miércoles, 4 de enero de 2012

Pronósticos de seguridad de la información para 2012

Cada año los múltiples eventos y fenónemos propios de la seguridad de la información nos revelan aspectos nuevos y creativos de las diferentes formas en las cuales la inevitabilidad de la falla se hace presente. Durante el 2011 esta situación no ha sido diferente, hemos experimentado diferentes vistas de errores, vulnerabilidades y fallas que nos muestran cada vez más que somos tan seguros como el eslabón más débil de la cadena.

Por tanto, cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y asimétrico, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.

Considerando lo anterior y con la alta probabilidad de andar por caminos insospechados, trataremos de hacer una visión propositiva sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales reportadas hasta el momento y que prometen seguir o variar en el 2012.

A continuación cinco pronósticos de lo que puede pasar durante 2012 frente a las tendencias y manifestaciones de la inseguridad de la información.

1. Formalización de la certificación en seguridad de la información de terceras partes
Con el paso de los años la función de tecnología de información ha venido evolucionando dando paso a una fuerte tendencia hacia la administración de los recursos de tecnología con terceros. En este sentido, la operación, el aseguramiento y control de los servidores, enrutadores, aplicaciones, servicios de seguridad y control de acceso se ha venido entregando a proveedores especializados que, considerando su labor crítica frente a la estrategias de los negocios, desarrollan sus actividades para movilizar de manera confiable y continua los procesos que soportan la generación de valor de la empresa.

En este contexto, durante los siguientes años se verá una importante tendencia en la certificación formal de la operación de los terceros frente a los temas de seguridad de la información, que si bien se ha venido adelantando utilizando otros referentes o buenas prácticas, se prevé el uso de una nueva norma de la serie ISO 27000, denominada ISO/IEC 27036 — Guidelines for security of outsourcing, la cual establece una serie de requisitos particulares que los terceros deben asegurar para certificar una adecuada prestación de servicios con estándares de seguridad de la información debidamente aplicados y probados. (CHICKOWSKI 2011)

2. El hacktivismo como estrategia moderna para reclamar atención de los estados y las empresas
Durante los últimos años hemos venido observando una serie de comportamientos y manifestaciones en la red, donde las redes sociales y nuevas expresiones digitales se convierten en la forma natural a través de la cual los individuos expresan su opiniones y levantan su voz para llamar la atención sobre aspectos de la vida cotidiana. En este sentido, eventos como los ocurridos en Egipto, España y diversos países de latinoamérica nos muestran la capacidad de convocatoria y sinergia que se puede desarrollar a través de la red para poner en alerta a ciudades, gobiernos y naciones, frente a situaciones de la realidad nacional que merecen atención por parte de las autoridades respectivas. (CIO UPDATE 2011)

Las manifestaciones asistidas desde lo que podríamos llamar un hacktivismo digital incorrecto (LIZAMA 2005), donde una parte de la población insatisfecha con algunos hechos de su realidad (privilegiando los contexto políticos y sociales, más que los tecnológicos), se asesora de especialistas en el manejo de temas tecnológicos, para efectuar acciones perturbadoras que afectan activos digitales claves de las naciones, es una clara tendencia que los ciudadanos digitales, han encontrado para manifestar su inconformidad sobre aquello que no les parece adecuado o injusto frente a la comunidad o población afectada.

Anonymous, Lulzsec y nuevas expresiones de este tipo de hacktivismo será una tendencia clara en los próximos años, pues los nacidos digitales han entendido que la red es una forma de expresión que alcanza todos los niveles sociales y se visualiza en las altas jerarquías del estado y de las organizaciones. (CANO 2011) La tecnología de información es un medio para revelar la inconformidad y mantener atención sobre aquellas cosas importantes para la ciudadanía y las personas que no tienen voz.

3. Ecosistema tecnológico: necesidad competitiva o nuevo vector de ataque.
La computación en la nube, las redes sociales y la computación móvil advierten una realidad concreta, un escenario real donde los gobiernos, las organizaciones y las personas estarán conviviendo y compartiendo riesgos frente a una creciente demanda de servicios, información instantánea y procesamiento de grandes volúmenes de datos. (RAYWOOD 2011)

En este escenario, se plantea un elemento emergente que se denomina un ecosistema tecnológico, un lugar donde tenemos la participación de terceros que administran y movilizan la información y los datos, según las consideraciones de los servicios contratados con cada uno de ellos. Si bien, son múltiples las ventajas de este tipo de ambientes, también se hace necesario desarrollar nuevas propuestas de aseguramiento tanto en aplicaciones, datos e infraestructura, que permitan aumentar el nivel de confianza que este nuevo modelo requiere.

Forrester (WANG 2011) y otras empresas han venido revisando conceptos asociados con los modelos base de seguridad como Bell-LaPadula, para repensar la seguridad de la información en un ecosistema tecnológico, como es el concepto de etiquetas de alta seguridad (high-water mark principle – Mayor información en: WEISSMANN 1969 ) que exigen al tercero con el que se interactúa se sintonice con las exigencias de seguridad y control requeridas para la transacción (la idea es concentrarse en la transacción, los datos y su movilidad, más que en el dispositivo como tal). Sin embargo, aún estamos en las primeras etapas de reconocimiento y análisis de estas nuevas propuestas, que poco a poco deben madurar para reconocer en el ecosistema tecnológico una forma pensar la seguridad en un ambiente dinámico, poroso y móvil.

4. Nuevos retos jurídicos frente a nuevas realidades de las tecnologías de información
Conforme avanzamos en esta nueva década del segundo milenio, los alcances de la tecnología de información exigen nuevos y mejores entendimientos de sus usos en el contexto social. En este sentido, los retos jurídicos naturales como los derechos humanos en internet, la privacidad, el derecho a la información, los activos digitales personales, los derechos de autor, el manejo de la imagen y las marcas, la democracia digital y la participación ciudadana de los individuos entre otros, han venido tomando matices inesperados, que exigen de los nuevos y experimientados juristas respuestas novedosas para entablar nuevos debates y propuestas que den cabida a una realidad social, digital y sin fronteras. (LEVINSON 2011)

En este contexto, durante los siguientes años los estados y las escuelas de leyes tendrán el reto de conciliar los derechos constitucionales de las personas en las múltiples manifestaciones de las tecnologías de información y las decisiones nacionales que demanden un balance general del estado para mantener el orden y el control de la sociedad y el país en general. Esto es, encontrar y descifrar esa zona gris donde los individuos deben mantener buenas prácticas para respetar las libertades e individualidades de los ciudadanos y las regulaciones necesarias para proteger los bienes jurídicamente tutelables y las acciones requeridas que las autoridades necesitan para mantener el equilibrio en el estado social de derecho, ahora en un sociedad de la información y el conocimiento.

5. Mayor visibilidad de los sistemas de control, mayor responsabilidad en su aseguramiento
Durante muchos tiempo los sistemas de control industrial fueron elementos claves propios de instalaciones con operaciones especializadas cuyo funcionamiento cerrado, específico y poco conocido, se asociaba con un mundo restringido a una comunidad técnica, con entrenamiento especial y lenguaje de máquina. Conforme ha venido avanzando la tecnología este tipo de sistemas ha venido integrándose a las redes corporativas como otros elemento más de la misma, con protocolos semejantes a los estándares y transmisiones cada vez más homogéneas.

Considerando lo anterior, la visibilidad de los sistemas de control ha aumentado, lo cual significa un mayor nivel de exposición que requiere la atención tanto de los especialistas en estos temas como de los de riesgos y seguridad de la información. Es importante anotar, que este llamado exige un trabajo conjunto entre los tres mundos: la seguridad, los riesgos y los sistemas de control, pues se hace necesario entender la realidad de la disponibilidad de éstos últimos y las operaciones que realizan, para que desde la vista de riesgos y la especialidad de los sistemas de control, se desarrolle y actualicen los modelos de seguridad y control que requieren las instalaciones y los diseños de los sistemas mencionados. (ENISA 2011)

Los eventos que se ha venido presentando en los últimos años, donde los protagonistas han sido sistemas de control avanzado, en facilidades con operaciones sensibles, nos indican que se debe avanzar en un reconocimiento de los vectores de ataque que se han indentificado y desarrollar estrategias de aseguramiento que anticipen posibles variantes de lo que ha ocurrido, así como respuestas planeadas que enfrenten situaciones inesperadas, para lo cual las prácticas de gestión de incidentes de seguridad de la información y de pérdida de continuidad pueden ser útiles para contener y mantener la confiabilidad de las operaciones.

Reflexiones finales
La seguridad de la información es un proceso exigente y dinámico que requiere la habilidad de sus responsables para mantener en movimiento su creatividad frente a la inseguridad, no sólo para crear la sensación de confiabilidad requerida por los usuarios frente al tratamiento de la información, sino para que vinculando, a estos últimos en la conquista de la asimetría de la inseguridad, se construya de manera conjunta una distinción concreta y evidente de un ambiente controlado y confiable, mas no seguro.

Sólo nos queda observar el desarrollo del 2012, para ver cómo la inseguridad de la información nos cuestiona y nos hace meditar nuevamente y así, pensar de manera distinta para abrirle la puerta a las posibilidades, esas que no son otra cosa que el insumo de la inevitabilidad de la falla, fuente que debe alimentar permanentemente el instinto y la mente del responsable de la seguridad de la información.

Referencias

LEVINSON, M. (2011) Why Law Enforcement Can't Stop Hackers. CIO Magazine. Diciembre Disponible en: http://www.cio.com/article/print/694071 (Consultado: 4-01-2012)
RAYWOOD, D. (2011) 2012: security predictions for the future of mobile, cloud, attacks, data loss and big data. SC Magazine UK. Diciembre Disponible en: http://www.scmagazineuk.com/2012-security-predictions-for-the-future-of-mobile-cloud-attacks-data-loss-and-big-data/article/220301/ (Consultado: 4-01-2012)
CHICKOWSKI, E. (2011) 2012 compliance checklist. Security professionals need to consider these best practices and new compliance requirements as they ring in a new year. Dark Reading Magazine. Diciembre. Disponible en: http://www.darkreading.com/taxonomy/index/printarticle/id/232200757 (Consultado: 4-01-2012)
ENISA (2011) Industrial control systems security. Recommendations for Europe and member state. Disponible en: http://www.enisa.europa.eu/media/press-releases/industrial-control-systems-security-recommendations-for-europe-member-states (Consultado: 4-01-2012)
CIO UPDATE (2011) Fortinet’s Top 8 security predictions for 2012. CIO Update. Diciembre. Disponible en: http://www.cioupdate.com/technology-trends/fortinets-top-8-security-predictions-for-2012.html (Consultado: 4-01-2012)
LIZAMA, J. (2005) Hackers en el contexto de la sociedad de la información. Facultad de Ciencias Políticas y Sociales. Tesis doctoral. Disponible en: http://descargas.segu-info.com.ar/tesis/hackers-sociedad.zip (Consultado: 4-01-2012)
CANO, J. (2011) Voces de la inseguridad de la información. Algunas reflexiones desde la academia. Computerworld Colombia. Agosto.
WANG, C. (2011) The extended enterprise: A security journey. Forrester Research. Disponible en: http://www.forrester.com/rb/Research/extended_enterprise_security_journey/q/id/60179/t/2 (Requiere suscripción)
WEISSMAN, C. (1969) Security controls in the ADEPT-50 time-sharing system. AFIPS Conference Proceedings Fall Joint Computer Conference. pp. 119—133. Disponible en: http://dl.acm.org/citation.cfm?id=1478574 (Requiere suscripción)

No hay comentarios:

Publicar un comentario