domingo, 13 de diciembre de 2009

Inseguridad de la información en 2010

Cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y disímil, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.


Considerando lo anterior y con la alta probabilidad de andar por sendas poco conocidas, trataremos de hacer una visión hacia adelante sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales de los eventos que se han manifestado hasta el momento y prometen seguir en el 2010.


A continuación cinco predicciones de lo que puede pasar durante 2010 en temas de inseguridad de la información.


1. Tormentas en la nube

Nuestra huella digital (datos que nosotros mismos generamos en sitios web, redes sociales, blogs, entre otros) (IDC REPORT 2008) cada vez es más amplia y visible. Ahora en un contexto de computación en la nube, donde tenemos una visión distribuida y de multiservidores virtualizados, es posible tener una sombra digital (información sobre nosotros) cada vez más extendida, difusa y muchas veces distorsionada, que impacte directamente los temas de seguridad y privacidad tanto de los datos como de la información.


Ante esta realidad, que de acuerdo con un estudio reciente de IDC, se espera que la inversión en este tipo de servicios crezca un 27% para 2012, es decir una inversión de 42 billones de dólares, (MATHER, T., KUMARASWANY, S. y LATIF, S. 2009, pág.10) es evidente que iniciativas como la de la Cloud Security Alliance animen las reflexiones y discusiones de las diferentes implicaciones de este tipo de tendencias que pone de manifiesto una computación basada en servicios de infraestructura, plataforma y aplicaciones.


2. Inseguridad móvil: equipos, datos e información

La realidad de los dispositivos móviles es contundente. Las cifras manejadas por Canalys (2009) sobre el mercado de teléfonos inteligentes donde se muestra un crecimiento de 4% año con año de estos dispositivos, llegando a una cifra de 41.4 millones de unidades en el tercer cuarto de 2009, así como el despacho de estas unidades con servicios integrados como GPS y WI-FI, nos muestran que habrá mayores elementos que analizar y proteger en la computación móvil.


Esta tendencia sumada al hecho que no se cuentan con adecuadas medidas de aseguramiento y control en este tipo de dispositivos (MAISTO 2009), nos abre un panorama bastante inestable y exigente para mantener el nuevo perímetro extendido de las organizaciones. Adicionalmente, la tendencia creciente del uso de memorias o dispositivos USB (más de 860 millones de unidades despachadas en 2007, considerando un crecimiento de 15% para 2010 según estudio reciente de Gartner – JUNGO 2009), se mantiene y extiende la alerta de fuga y pérdida de información en las organizaciones, lo que implica un ejercicio estratégico de los responsables de la seguridad de la información por incorporar prácticas de aseguramiento de información adecuadas con los flujos de información de negocio.


3. Cultura de la inseguridad: Desobediencia del factor humano

Considerando las reflexiones efectuadas por Furnell y Thomson (2009) en su documento de febrero de 2009 sobre la desobediencia de los usuarios para aceptar las medidas de seguridad de la información, es claro que las estrategias de sensibilización e interiorización de la seguridad, sigue siendo un reto importante para las áreas de seguridad de la información.


Mientras la seguridad de la información siga siendo un elemento externo la cultura de la organización, que no se contemple como parte fundamental de los procesos de negocio, basado en los flujos de información articulados en las soluciones de tecnología y adicionalmente, se advierta como “algo” que hay que cumplir por regulación o mandato normativo, las iniciativas de seguridad de la información serán objeto de apatía, desobediencia y resistencia. En este contexto, se genera un campo abonado para que la inseguridad riegue con serenidad sus nuevas semillas, esperando sin mayores contratiempos que nuevas manifestaciones hagan su aparición tanto en la tecnología, como en los procesos y las personas.


4. Nuevos retos, nuevas habilidades: Ciberseguridad, forensia y administración de riesgos

Ante una realidad de tecnologías de información y comunicaciones basadas en temas como computación en la nube, tecnologías convergentes, movilidad, perímetros porosos y plagas informáticas extendidas (redes sociales y teléfonos inteligentes), se requiere que los profesionales de la seguridad de la información desarrollen nuevas habilidades (GUPTA 2009, FIELD 2009) que permitan enfrentar esta realidad y apalancar las mismas en una cultura de seguridad de la información que genere una “barrera” importante para los atacantes y sus pretensiones.


La administración de riesgos, ya no es un ejercicio corporativo o específico efectuado para validar un contexto específico de un tema, tecnología o proceso, sino una competencia organizacional de cada uno de los individuos, que permita mantener un nivel de riesgos conocido, basado en prácticas confiables de administración de activos de información. De manera complementaria, dichas prácticas confiables, deberán estar como valores en uso (en todos los individuos de la organización) que muestren una relación adecuada con los servicios expuestos en internet y la información que se comparten allí.


Finalmente y no menos importante, cuando se materializa una falla de seguridad o peor aún, se hace evidente un fraude, se requiere que este profesional cuente con las habilidades requeridas para identificar, recoger, analizar y presentar los elementos materiales probatorios que sustenten las pruebas requeridas ante procesos jurídicos que se deriven de la atención de incidentes o actos ilegales. (CANO 2009) Esto no es otra cosa, que se cuente con destrezas propias de la computación forense que permitan avanzar rápidamente en la contención y análisis de lo ocurrido.


5. Las bases de datos: “la joyas de la corona en jaque”

El almacenamiento de los datos e información siempre es materia de análisis y revisiones en las organizaciones del siglo XXI. Un reciente estudio de ESG Research (ESG RESEARCH 2009), sobre las bases de datos, nos muestra que un alto porcentaje de ellas dependen de procesos manuales y que no cuentan con apropiadas medidas de seguridad, de acuerdo con la información, generalmente catalogada como confidencial, que permanece en ellas.


Así las cosas, la fuente principal, el insumo básico para el funcionamiento de las organizaciones y sus procesos de toma de decisiones, se encuentra en una ruta de malas prácticas y procesos poco automáticos que hacen encender las alarmas de los responsables de la seguridad de la información, para iniciar un proceso de aseguramiento que permita ajustar un paso más en su estrategia metodológica de defensa en profundidad.


Si bien esta tendencia en las bases de datos no es nueva, a lo que si apunta esta predicción, es a advertir que no es posible seguir aplazando este proceso de aseguramiento, de integración con las características de seguridad de las aplicaciones y por qué, no parte inherente y fundamental de la arquitectura de tecnología de información y comunicaciones de las compañías.


Referencias

CANALYS (2009) Smart phone market shows modest growth in Q3. Disponible en: http://www.canalys.com/pr/2009/r2009112.htm (Consultado: 13-Dic-2009)

ESG RESEARCH (2009) Frightening database security realities. Disponible en: http://www.guardium.com/assets/PDF/Databases_at_Risk_An_ESG_Research_Brief_Compliments_of_Guardium_2009-_09.pdf (Consultado: 12-Dic-2009)

GUPTA, U. (2009) The future of Information Security Profession. Disponible en: http://www.bankinfosecurity.com/articles.php?art_id=1997&opg=1 (Consultado: 13-Dic-2009)

FIELD, T. (2009) Core security skills: What’s required in 2010? Disponible en: http://www.bankinfosecurity.com/articles.php?art_id=1976&opg=1 (Consultado: 13-Dic-2009)

JUNGO (2009) USB Market Overview. Disponible en: http://www.jungo.com/st/usb_market.html (Consultado: 13-Dic-2009)

MAISTO, M. (2009) Enterprise cell phone security is lacking, say report. Disponible en: http://www.eweek.com/c/a/Mobile-and-Wireless/Enterprise-Cell-Phone-Security-Is-Lacking-Says-Report-757731/ (Consultado: 13-Dic-2009)

IDC REPORT (2008) The diverse and exploding digital universe. Disponible en: http://www.emc.com/collateral/analyst-reports/diverse-exploding-digital-universe.pdf (Consultado: 13-Dic-2009)

Sin autor. (2009) Horóscopo 2010 para la seguridad informática. Disponible en: http://www.redusers.com/horoscopo-2010-para-la-seguridad-informatica (Consultado: 12-Dic-2009)

FURNELL, S. y THOMSON (2009) From culture to disobedience: Recognising the varying user acceptance of IT Security. Computer Fraud & Security. February.

CANO, J. (2009) Computación forense. Descubriendo los rastros informáticos. Editorial AlfaOmega.

MATHER, T., KUMARASWANY, S. y LATIF, S. (2009) Cloud security and privacy. An enterprise perspective on risks and compliance. O’Really.