FotoReportaje - Galería de fotos

Las 9 mayores amenazas a la seguridad de la información

Para los próximos dos años

  • El panorama de amenazas a la seguridad está en constante evolución. Para ayudarlo a navegar en este tema, cada año el Information Security Forum (ISF) -una asociación sin fines de lucro que evalúa los problemas de seguridad y gestión de riesgos a nombre de sus miembros- lanza su informe Amenazas en el Horizonte para ofrecer a los miembros una vista hacia adelante de las más grandes amenazas en un período de dos años. Lo que sigue son nueve de las más grandes amenazas en el horizonte hasta el 2017 que puede que su organización tenga que manejar y mitigar.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • La irrupción tecnología es generalmente vista como algo bueno, lo que lleva a la creación de nuevos mercados y redes de valor. Pero este principio funciona tanto para los chicos malos como lo hace para todos los demás, señala Steve Durbin, director gerente del ISF.

    "Muchas de las amenazas que vemos ahora están habilitadas o creadas por la tecnología", agrega Durbin. "Siempre hemos alabado la innovación disruptiva, pero los chicos buenos no somos los únicos que pueden tomar ventaja de esto".

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • La conectividad de gigabits súper rápida y a un precio razonable tiene un potencial masivo para abrir nuevos mercados y oportunidades para los negocios, especialmente en áreas como la telepresencia, el entretenimiento y los dispositivos incorporados. Pero esa misma tubería súper rápida abre nuevas oportunidades para los delincuentes. "El reto para las organizaciones es cómo tratar realmente con el problema completo de la conectividad súper cargada", anota Durbin. "Esto significa una exposición aumentada a ciertos ataques e irrupción".

    Para prepararse para esta amenaza, el ISF recomienda que elabore robustos planes de resilencia con sus proveedores, e identifique y evalúe los riesgos de los dispositivos incrustados.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • Los sindicatos del crimen organizado vieron el potencial de la Internet con prontitud y han estado desarrollando sus capacidades digitales y migrando sus actividades en línea desde siempre. Estos atacantes tienen grandes presupuestos, profundas combinaciones de conocimientos y herramientas altamente sofisticadas. "Realmente son muy eficientes y efectivos en comunicarse entre ellos y en construir centros de excelencia que intentan sacar provecho del hecho de que tenemos tal tecnología avanzada en estos días", indica Durbin. "Esto realmente apunta directo a la necesidad que tenemos de comunicarnos y de colaborar de manera mucho más efectiva".

    Las organizaciones tienen que participar en la compartición privada de información de amenazas. Durbin también recomienda priorizar la protección de su información más valiosa y evaluar los costos y beneficios de los ciber seguros.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • En décadas pasadas, los trabajadores en el sector manufactura han llevado la peor parte en la pérdida de empleos, debido a los avances tecnológicos en automatización y eficiencia. Hoy, esa clase de automatización se está expandiendo más allá del sector manufacturero. La inequidad socio económica resultante probablemente conduzca a un malestar social generalizado que irrumpa en las economías locales y las cadenas de abastecimiento en las regiones afectadas. "Nos preocupa que dentro de los próximos dos años vamos a empezar a ver disturbios civiles que emergen como resultado de los avances tecnológicos rápidos", indica Durbin. "Cada vez más, las personas son valoradas por los conjuntos de habilidades que tienen, y si tiene los conjuntos de habilidades equivocadas ese no es un buen lugar para estar".

    Para prepararse para esta amenaza, la ISF recomienda la realización de evaluaciones de amenaza en las regiones donde su organización podría ser un blanco y revisar sus intenciones de riesgo para tener en cuenta el caos y la interrupción a proveedores críticos. También es una buena idea considerar la responsabilidad económica y social global de la organización, indica Durbin.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • La Internet puede haber sido desarrollada originalmente como una medida de resilencia, pero hoy en día somos crecientemente dependientes de la tecnología y las redes, al punto de que los ataques o fallas en unas cuantas áreas clave podrían tener efectos devastadores.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • Muchas sociedades en el mundo son dependientes de infraestructura crítica, la cual frecuentemente está envejecida y es pobremente mantenida. Por otra parte, ciertas tecnologías frecuentemente actúan como una pieza clave en múltiples áreas críticas. Como ejemplo, Durbin señala un estudio del Departamento de Seguridad Nacional realizado en el 2011 que encontró que de 15 sistemas de infraestructura crítica en los EE.UU., 11 se apoyaban en el GPS como componente nuclear. Una falla en ese sistema podría traer todo abajo. Otro ejemplo está referido a los atacantes que hackearon la cuenta de Twitter de Associated Press en abril del 2013. Los atacantes usaron la cuenta para tuitear acerca de una falsa explosión en la Casa Blanca que hirió al presidente, enviando el mercado bursátil en caída libre por casi cinco minutos hasta que la mentira fue expuesta.

    Para prepararse para el riesgo, el IFS recomienda actualizar sus planes de continuidad y realizar simulaciones regularmente. También recomienda evaluar el impacto de la interrupción de infraestructura importante como los servicios de nube.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • La monocultura de la tecnología omnipresente conducirá a los actores maliciosos a convertir en armas las vulnerabilidades sistémicas en los sistemas de software de compañías de tecnología individual, señala Durbin. Esto amenaza la integridad de la infraestructura de Internet. "Por ejemplo, Oracle puede ofrecer un amplio rango de aplicaciones que realmente se esparcen en un amplio rango de mercados verticales y áreas de aplicación", señala Durbin. "Que pongan en la mira a ese proveedor es una preocupación".

    Y no es solo Oracle, por supuesto. El uso omnipresente del iOS de Apple, el Android, los routers de Cisco y más, significa que una vulnerabilidad en uno de ellos podría ser explotada a escala masiva.

    El ISF recomienda una ampliación de sus evaluaciones de riesgos que incluya el examen de las tecnologías ampliamente utilizadas y de los proveedores. También recomienda actualizar sus planes de respuesta organizacional frente a vulnerabilidades sistémicas.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • Las organizaciones hoy en día se esfuerzan por extender la vida de su tecnología, lo cual significa continuar soportando tecnologías legacy. El crecimiento en la conectividad significa que la tecnología legacy quedará expuesta a atacantes.

    Como ejemplo, el año pasado, el 95% de los cajeros automáticos en los Estados Unidos utilizaban Windows XP como sistema operativo, aun cuando Microsoft dio por concluido el soporte para el sistema, incluyendo los parches de seguridad. "El impacto de algunas de estas cosas podría tener un costo creciente de mantenimiento", anota Durbin. "Eso reduce los recursos de los ya apretados presupuestos de seguridad de TI".

    El ISF recomienda identificar y evaluar la exposición de sus organizaciones a tecnología legacy. También debería actualizar su arquitectura de sistema y el plan de modernización.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • Cuantos más y más sistemas digitales comienzan a controlar activos físicos, es solo cuestión de tiempo antes de una interrupción de esos sistemas -por ejemplo, servicios de transporte o servicios médicos- conduzca a muertes verificables. La presión pública resultante forzará a las organizaciones a responder. "En el Reino Unido solamente, para el 2017 se estima que habrá cinco muertes atribuidas a lo cibernético bajo alguna modalidad o forma", comenta Durbin. "El punto en esto no es tanto el número, sino que como negocio o proveedor de servicios o materiales, no querrá ser la organización responsable de alguna de esas cinco muertes".

    El ISF recomienda que evalúe su exposición y responsabilidades de un sistema ciber-físico y que revise sus mecanismos de comunicación y respuesta ante crisis.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • Las organizaciones se han vuelto demasiado complacientes hoy, anota Durbin. No le están prestando suficiente atención a las amenazas ocultas por las fronteras internacionales.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • Los proveedores de información a gran escala, como Google, continuamente están expandiéndose hacia mercados en todo el mundo. Su posición dominante y la falta de competencia comercial, hacen a los clientes vulnerables a potenciales interrupciones del servicio y a fallas, señala Durbin. El ecosistema iOS de Apple hoy en día alimenta un amplio rango de negocios, desde productores de apps, hasta redes de pago, haciendo a todos ellos vulnerables a interrupciones del ecosistema Apple.

    El ISF recomienda identificar y evaluar el riesgo de los proveedores dominantes en los que hay pocas alternativas. También recomienda explorar diversificar los proveedores de servicios críticos.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

  • Independientemente del hecho de que el número de violaciones de datos y del daño que esto ocasiona continúa en aumento, las organizaciones se están volviendo más complacientes. "Las compañías se están volviendo más y más complacientes respecto a tratar con las violaciones de datos", anota. "Nos hemos anestesiado. Sabemos que no hay un impacto a largo plazo en el precio de las acciones".

    En el corto plazo, agrega, una violación de datos masiva podría ocasionar que usted dé un golpe en el mercado, pero si se mantiene en ello, el efecto de largo plazo en sus acciones puede que sea nulo. Sin embargo, grupos como la Unión Europea están saliendo con regulaciones respecto a la información personal identificable (PII, por sus siglas en inglés), respaldada por fuertes multas. Nuevos desarrollos en legislación y regulaciones probablemente le caigan a su organización a menos que se sacuda de la complacencia.

    El ISF recomienda revisar todas las responsabilidades jurisdiccionales potenciales en base a la ubicación y el volumen de datos manejados. También recomienda asegurarse de que las responsabilidades por las violaciones a los datos estén claramente establecidas en los contratos de proveedores.

    Thor Olavsrud, CIO (EE.UU.), 9/abril/2015, Imagen: Cortesía Shutterstock

Llegamos a ustedes gracias a:

FOTO REPORTAJES

Más »
Échele un vistazo al smartphone del futuro

Échele un vistazo al smartphone del futuro

¿Cómo se verá su teléfono en diez años? Visitamos las escuelas de diseño y los laboratorios de investigación para descubrir las innovaciones que llegarán a nuestros dispositivos móviles.
13 marcos para dominar el aprendizaje automático

13 marcos para dominar el aprendizaje automático

¿Aventurarse en el aprendizaje automático? Estas son las herramientas de código abierto que hacen el trabajo pesado.
25 sencillas herramientas para crear apps móviles rápidamente

25 sencillas herramientas para crear apps móviles rápidamente

Una vía rápida para el éxito de las apps móviles.
6 apps para Android que le permiten ser más productivo

6 apps para Android que le permiten ser más productivo

A continuación, seis apps con las que incrementar su productividad.