Llegamos a ustedes gracias a:



Columnas de opinión

La industria de la seguridad y una mirada al futuro

Por: Art Coviello, presidente ejecutivo de RSA

Art Coviello, RSA

[05/12/2014] Cuando reflexiono sobre el año que ha pasado y pienso en el futuro, en el año que está por venir, me vienen a la mente las inmortales palabras de Charles Dickens, "Era el mejor de los tiempos, era el peor de los tiempos, la edad de la sabiduría, y también de la locura; la época de las creencias y de la incredulidad; la era de la luz y de las tinieblas; la primavera de la esperanza y el invierno de la desesperación. Todo lo poseíamos, pero no teníamos nada; caminábamos en derechura al cielo y nos extraviábamos por el camino opuesto. ¿Puede imaginar una mejor descripción de los tiempos en los que vivimos y la dicotomía entre toda la innovación tecnológica de la que disfrutamos y la opresiva ciberamenaza bajo la que vivimos?

El mejor de los tiempos...

En el 2014, las tecnologías móviles y de nube siguieron haciendo nuestras vidas más eficientes, más productivas y, en general, mejores. La movilidad está rápidamente alcanzando a las PC como el medio preferido para interactuar con el mundo digital, se predice que el tráfico móvil de Internet va a explicar más del 30% del total del tráfico para fin de año (de acuerdo a KPCB), lo cual significa que el tráfico móvil se ha duplicado en los pasados 18 meses. Si se elimina el tráfico pasivo como el streaming, el creciente dominio de la movilidad es difícil de contradecir.

La propia tecnología móvil ha continuado evolucionando y ha pasado de ser algo que tenemos en la mano a algo que es parte de nuestra ropa, un entorno en el que el ruido generado por Google Glass en el 2013 ha dado paso al ruido alrededor de los smart watches en el 2014.

Pero, a pesar de la omnipresencia que ha adquirido, la movilidad no es nada en comparación con la nube. Más del 80% de las organizaciones (de acuerdo a CompTIA) y el 90% de los usuarios de Internet (BI Intelligence) están usando ahora la nube para conseguir un acceso sencillo, barato y ubicuo al almacenamiento y a los servicios. La Internet ha evolucionado, ha pasado de ser la conexión con el almacenamiento y los servicios, a ser el lugar donde se encuentran el almacenamiento y los servicios.

El peor de los tiempos...

Sin embargo, a pesar de los avances tecnológicos, los riesgos de nuestra creciente existencia digital fueron brutalmente evidentes durante el "Año de las filtraciones. Muchos retailers y organizaciones de servicios financieros y de cuidados de la salud experimentaron filtraciones que les causaron daño en el 2014, a pesar de tener instalados lo que considerábamos programas de seguridad fuertes.

El hecho de que nuestro conjunto de adversarios vaya más allá de los criminales y hacktivistas fue algo de lo que tomamos conciencia por la creciente sofisticación y número de ciberataques a naciones estado. Por primera vez, estas dudosas ciberactividades comenzaron a crear crisis diplomáticas en el mundo real (por ejemplo, las crecientes tensiones entre Estados Unidos y China).

Hablando del sector público, el trabajo del National Institute of Standards and Technology de Estados Unidos dio como resultado el lanzamiento del Cybersecurity Framework, que fue un paso positivo hacia la provisión de un fundamento común para aproximarse de manera inteligente a los desafíos de la ciberseguridad de hoy en día, pero existe poco avance real por parte de los gobiernos del mundo. Las revelaciones de Snowden en el 2013 continuaron polarizando el debate sobre la privacidad, e impidieron la llegada de la legislación sobre compartir información que necesitamos para asegurar colectivamente a nuestras compañías, industrias y economía.

Con esto como telón de fondo, ¿qué podemos esperar para el 2015?

1. Los ciberataques a nivel de naciones estado seguirán evolucionando y acelerándose pero el daño será asumido cada vez más por el sector privado. En el 2014, los estados nación de todo el mundo presionaron crecientemente los límites de lo que es un ciberasalto aceptable para poder controlar a sus propias poblaciones y espiar a otros estados nación. Ya que nadie trabaja de forma activa en el desarrollo de normas aceptables de comportamiento digital -una Haya o Convención de Ginebra digital, si se quiere- podemos esperar la continuación de esta guerra digital encubierta. Sin embargo, las compañías del sector privado se verán cada vez más atraídas hacia esta guerra, ya sea como la víctima escogida o como un involuntario peón en medio del ataque hacia otras compañías.

2. El debate sobre la privacidad va a madurar. Estamos comenzando a ver una suavización del actual ambiente polarizado en Estados Unidos y Europa, ya que las personas reconocen que la privacidad se encuentra bajo ataque por parte de -pero también defendida por- un conjunto más variado y complejo de actores que los que uno creería a partir de los actuales debates. Cada vez se reconoce más que la privacidad no es un concepto monolítico, y que no puede sobrevivir separada de la seguridad. En el 2015 se producirá un debate más pragmático y equilibrado sobre cómo asegurar nuestra privacidad, y podrían mejorar las posibilidades de que aparezcan políticas de privacidad responsables, y una legislación sobre compartir inteligencia. Una prueba para esta predicción serán los resultados de la Regulación General de Protección de Datos de la Unión Europea, que podría alcanzar su forma final en el 2015.

3. El retail es un objetivo continuo y la Información Personal de Salud (Personal Health Information - PHI) es la siguiente. Como resultado de las numerosas filtraciones en el retail y los servicios financieros en el 2014, las organizaciones que manejan datos de tarjetas de pago están reforzando sus defensas y reduciendo la ventana de oportunidades para los cibercriminales, convirtiéndolas en un objetivo menos lucrativo. Desafortunadamente, el sector de retail es enorme y mundial, y seguirá siendo un ambiente rico en objetivos. Sin embargo, en el 2015, los cibercriminales organizados cambiarán su atención para robar otros tipos de datos que no se encuentran bien seguros, son muy lucrativos para monetizar en la economía del cibercrimen y están en gran medida en manos de organizaciones sin medios para defenderse contra ataques sofisticados: La información personal en manos de los proveedores de cuidados de la salud. Probablemente, vamos a ser testigos de otra serie de filtraciones muy públicas antes de que muchos proveedores mejoren su seguridad para enfrentar con efectividad estas amenazas.

4. La Internet Identidad de las Cosas. A pesar de la publicidad que reciben las vulnerabilidades en el software y los sistemas, éstos objetivos se están haciendo menos lucrativos para los criminales que la ingeniería social y otros trust exploits de ejecución más sencilla. Este año vi un 'tuit' que decía "quien necesita días cero si se es estúpido.El incremento en la interacción máquina-humano y máquina-máquina solo va a exacerbar esta situación. Por ello, la autenticación y la administración de la identidad y el gobierno corporativo de quién -y, con la Internet de las Cosas, qué- está accediendo a nuestras redes y datos será un elemento cada vez más crítico de la seguridad en el 2015. Esté listo para la Botnet de las Cosas. Cuando se toma en consideración esta tendencia, el fuerte crecimiento de la Internet de las Cosas en el sector de cuidados de la salud y mi predicción sobre la PHI, las ramificaciones son verdaderamente atemorizantes.

Aunque acabamos de tener un cambio en el liderazgo del Senado de Estados Unidos, no tengo la esperanza de que veamos muchos cambios en la legislación sobre ciberseguridad en el 2015. Aunque este tema es de importancia crítica para el futuro de todos los países, es complejo y el progreso es difícil en el actual clima geopolítico. En ausencia de una legislación completa, los reguladores industriales van a llenar el vacío, creando parches con nuevos y potencialmente incompatibles requerimientos de cumplimiento (Oh, Dios).

Dicho esto, soy cautelosamente optimista sobre las perspectivas para la colaboración y el progreso colectivo en el sector privado, debido a que las compañías e industrias están reconociendo que en el mundo digital, nadie es una isla. Somos más como un archipiélago pero estamos comenzando a construir puentes. El reciente crecimiento de grupos industriales e ISACs (Information Sharing and Analysis Centers) va a ayudar a todos. El siguiente paso es que nosotros vayamos más allá de compartir información y unirnos -incluso entre países- para defender y liderar el desarrollo de ciberpolíticas fuertes y globales. Ya que si algo hemos aprendido en los pasados dos años es que si alguien nos va a sacar de este problema, vamos a ser nosotros mismos. Ojalá continuemos progresando juntos en la construcción de un mundo digital confiable en el 2015.

CIO, Perú