Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad de la información: 5 tendencias que dominarán en el 2015

Seguridad ciberamenazas

[02/01/2015] En los círculos de seguridad de la información, el 2014 ha sido un año que pareció ser una corriente interminable de ciberamenazas y violaciones de datos que afectaron a los minoristas, bancos, redes de juego, al gobierno y más.

El calendario del año puede haber llegado a su fin, pero es de esperar que el tamaño, severidad y complejidad de las ciber amenazas siga creciendo, señala Steve Durbin, director general del Information Security Forum (ISF), una asociación sin fines de lucro que evalúa los problemas de gestión de seguridad y riesgo en nombre de sus miembros.

Proyectándose al 2015, Durbin anota que el ISF ve cinco tendencias de seguridad que van a dominar el año.

"Para mí, no hay muchas cosas que sean espectacular y totalmente nuevas, señala Durbin. "Lo que es nuevo es el incremento en la complejidad y sofisticación.

1. Ciberdelincuencia

La Internet es un campo cada vez más atractivo para los criminales, activistas y terroristas, motivados por el hecho de hacer dinero, hacerse conocidos, causar desorden o traerse abajo corporaciones, empresas y hasta al gobierno mediante ataques online, comenta Durbin.

Los cibercriminales de hoy en día operan principalmente fuera de los ex estados soviéticos. Ellos están altamente cualificados y equipados con herramientas sumamente modernas, y así como Durbin señala, la mayoría de las veces usan herramientas del siglo 21 para ser capaces de manejar los sistemas del siglo 20.

"En el 2014 los cibercriminales demostraron tener un grado muy alto de colaboración entre ellos, y un grado de competencia técnica que tomó desprevenidas a muchas organizaciones, añade Durbin.

"En el 2015, las organizaciones deberán estar preparadas para lo impredecible, para que de este modo tengan la resistencia necesaria para soportar eventos imprevistos de alto impacto, agrega. "La ciberdelincuencia, junto con el incremento de causas en línea (hacktivism), el incremento del costo de cumplimiento para hacer frente al aumento de los requerimientos regulatorios, junto con los avances incesantes de la tecnología en un contexto de falta de inversión en los departamentos de seguridad, pueden combinarse para causar la perfecta tormenta de amenazas. Las organizaciones que identifican la base del negocio, estarán muy bien posicionadas para cuantificar el caso de negocio e invertir en la recuperación y así minimizar el impacto de lo imprevisto.

2. Privacidad y regulación

La mayoría de gobiernos ya han creado, o están en el proceso de crear, regulaciones que impongan condiciones para la protección y uso de Información Personal (PII), penalizando a las organizaciones que fallen en su protección o no la protejan del todo. Como resultado, Durbin señala que las organizaciones necesitan tratar la privacidad tanto como un problema de riesgo de cumplimiento como uno de negocio, para así reducir sanciones regulatorias y costos asociados, como el daño a la reputación y la pérdida de clientes por las brechas y fallas de privacidad.

Es probable que la naturaleza mosaico de (la) regulación en todo el mundo se convierta en una carga mayor y más pesada para las organizaciones en el 2015.

"Estamos viendo cada vez más planes para la regulación en temas de colección, almacenamiento y uso de la información, junto con penalizaciones por la pérdida de datos y la falta de notificación, especialmente a través de la Unión Europea, anota Durbin. "Es de esperar que esto continúe y se siga desarrollando la imposición de una sobrecarga en la gestión regulatoria mucho más allá de la función de seguridad, e incluyendo necesariamente aspectos legales y de recursos humanos.

Él añade que las organizaciones deberían considerar las luchas y esfuerzos de la Unión Europea en la regulación de la violación de datos y de privacidad como un indicador de temperatura y planificación en consecuencia.

"Los reguladores y los gobiernos están tratando de involucrarse, anota. "Eso supone una carga mayor en las organizaciones. Ellos necesitan tener los recursos en su lugar para poder responder correctamente, y necesitan estar al tanto de todo lo que está pasando. Si tiene un consejo dentro de su organización, va a comenzar a usarlo más. Si no lo tiene, existe un costo.

Seguridad ciberamenazas
3. Amenazas de terceros proveedores

La cadena de suministro es un componente sumamente importante en las operaciones de una organización, y la columna vertebral de la economía global hoy en día. Sin embargo, Durbin señala que los jefes de seguridad de todo el mundo se están preocupando cada vez más por cuán abiertos y vulnerables están a numerosos factores de riesgo. Muy a menudo, toda una gama de información valiosa y confidencial es compartida con los proveedores, y cuando esa información es compartida se pierde el control directo. Esto conduce a un aumento del riesgo de que su confidencialidad, integridad y disponibilidad sean comprometidas.

Incluso las conexiones aparentemente inocuas pueden ser vectores de ataque. Los atacantes que dañaron Target, explotaron una aplicación de servicios web que el vendedor HVAC de la compañía usaba para presentar las facturas.

"Durante el próximo año, terceros proveedores seguirán siendo presionados por los ataques dirigidos y es poco probable que sean capaces de proporcionar u ofrecer garantías de confidencialidad, integridad y/o disponibilidad, señala Durbin. "Las organizaciones de todos los tamaños necesitan pensar en las consecuencias de proporcionarle a los proveedores acceso accidental, pero perjudicial, a su propiedad intelectual, información del empleado o cliente, planes comerciales o negociaciones; y este pensamiento no debe limitarse a los socios de fabricación o distribución, también debería tomar en cuenta a los proveedores de servicios profesionales, a sus abogados y contadores, y a todos aquellos que comparten acceso a sus activos de datos más valiosos.

Durbin añade que los especialistas en seguridad de la información deberían trabajar muy de cerca con aquellos encargados de la contratación de servicios, para llevar a cabo la debida diligencia sobre los arreglos posibles y potenciales.

"Es necesario que las organizaciones tengan grandes planes para la continuidad del negocio, para estimular tanto la resistencia como la confianza del director senior en sus habilidades respecto a sus funciones, anota. "Un enfoque de la información de evaluación de riesgos de la cadena de suministro bien estructurada puede proporcionar un enfoque detallado para posicionar un proyecto, de cualquier otra manera desalentador, en porciones manejables. Este método debería ser impulsado por la información y no centrado en un proveedor, para que de esta manera sea escalable y repetible en toda la empresa, añade.

4. Tendencias BYOx en el lugar de trabajo

La tendencia bring-your-own (BYO) ha venido para quedarse sin importar si a las organizaciones les gusta o no, señala Durbin, y pocas organizaciones han desarrollado buenas políticas para hacerle frente.

"A medida que la tendencia de que los empleados lleven sus dispositivos móviles al lugar de trabajo y usen su propias aplicaciones y almacenamiento basado en la nube siga creciendo, los negocios de todos los tamaños están viendo que los riesgos de seguridad de la información están explotando a un ritmo mayor que nunca, comenta. "Estos riesgos se derivan de las amenazas internas y externas, incluyendo la mala gestión de dispositivo, las vulnerabilidades a la manipulación externa del software, y la implementación de lo que no ha sido probado - aplicaciones de negocio no confiables.

Durbin afirma que si determina hoy que los riesgos de BYO son muy altos para su organización, debería asegurarse por lo menos de mantenerse al tanto de los nuevos desarrollos; y si decide que los riesgos son aceptables, asegúrese de establecer un programa BYO muy bien estructurado.

"Tenga en mente que mal implementada, una estrategia de dispositivo personal en el lugar de trabajo, podría experimentar revelaciones accidentales por la pérdida de separación entre los datos personales y los del trabajo. Además, podría experimentar también una mayor retención de información de negocio a la cual se accedería de manera no protegida en los dispositivos de los consumidores, añade.

Y seamos realistas, anota Durbin, cuente con que sus usuarios encontraran la manera de usar sus propios dispositivos en el trabajo, a pesar de que exista una política en contra del ello. "Es un poco como tratar de detener la marea, añade. "Podrá evitar que toque la arena por un rato, pero eventualmente encontrará la manera de hacerlo. El poder del usuario es demasiado grande e increíble.

Seguridad ciberamenazas
5. Compromiso con su gente

Y eso nos lleva al punto de partida del mejor y más grande activo -y el objetivo más vulnerable de cualquier organización: la gente.

En las últimas décadas, las organizaciones han gastado millones -sino miles de millones- de dólares en actividades de conocimiento de la seguridad de la información. El aspecto racional detrás de este enfoque, señala Durbin, fue tomar a su más grande activo, la gente, y cambiar su comportamiento, reduciendo así el riesgo, proporcionándoles el conocimiento de sus responsabilidades y de lo que tienen que hacer.

Pero esto ha sido -y continuará siendo- una propuesta perdedora, indica Durbin. En vez de eso, las organizaciones necesitan hacer que los comportamientos positivos de seguridad sean parte del proceso de negocio, transformando así a los empleados de riesgo en su primera línea de defensa en la organización.

"En el 2015, las organizaciones necesitan cambiar. Para eso, en vez de promover tanto la conciencia del problema, deberían crear soluciones e incrustar comportamientos de seguridad de la información que afecten de manera positiva, anota Durbin. "Los riesgos son reales porque la gente sigue siendo un 'comodín'. Muchas organizaciones reconocen a la gente como su más grande activo; sin embargo, muchas todavía fallan a la hora de reconocer la necesidad de asegurar el elemento humano de la seguridad de la información. En esencia, la gente debería ser el control más grande y fuerte de la organización.

"En vez de simplemente hacer que la gente este consciente de sus responsabilidades de seguridad de la información y cómo deberían responder ante ellas, la respuesta para los negocios de cualquier tamaño es incrustar comportamientos positivos de seguridad de la información, los cuales resultarán en un comportamiento 'para y piensa' que se convertirá en un hábito, y en parte importante de la cultura de seguridad de la información de la organización, comenta Durbin. "Mientras que muchas organizaciones tienen actividades de cumplimiento que caen bajo el título general de "consciencia de seguridad, el conductor comercial real debería ser de riesgo y cómo los nuevos comportamientos pueden reducir ese riesgo.

Thor Olavsrud, CIO (EE.UU.)