Movilidad y privacidad, ejes de la seguridad informática

La problemática de la seguridad de la información tomó un nuevo impulso tras las revelaciones de Edward Snowden, sobre el uso de los datos por parte de las agencias de seguridad norteamericanas. La noticia puso sobre la mesa la problemática de la privacidad y hasta despertó en el ámbito político —con Brasil y Alemania a la cabeza— una serie de proyectos de regulaciones y leyes para evitar el acceso a la información sensible de los ciudadanos. Entre las propuestas figura el establecimiento de centros de datos en territorio brasileño y de la Unión Europea, con el objetivo de que los Estados Unidos no puedan acceder a la información allí almacenada.

Los proyectos contemplan el traslado de información de redes sociales como Facebook o servicios como Google a servidores locales. No es una tarea fácil, y por supuesto, llevará su tiempo concretarla, si es que esto sucede.

Mientras tanto, los servicios en la nube continúan en alza, gracias a la posibilidad de contar con alternativas económicas y flexibles a servicios que de otra manera se hace imposible acceder. Pero las tecnologías en la nube ponen la alerta sobre la seguridad de la información. Si bien el mercado ha madurado a lo largo de los años, todavía no se ha resuelto la problemática de la seguridad. En general, las recomendaciones son siempre las mismas: utilizar servicios de empresas confiables —y probadas— y, especialmente, leer las condiciones de uso de los servicios —como siempre, el usuario aparece como el punto más débil—. Saber cuáles son los riesgos a los que se expone al contratar una aplicación o servicio es parte de la estrategia de seguridad, y uno de los ejes principales que hay que tener en cuenta a la hora de llevar adelante un plan integral en materia de seguridad, ya sea para el ámbito corporativo o personal.

Sin duda, nadie podrá evitar que una solicitud de la Justicia obligue a los proveedores de servicios a hacer pública la información de terceros presente en sus servidores, pero sí se pueden fijar pautas de qué tipo de información almacenar en la nube y cuál resguardar en servidores propios. De hecho, la tendencia parece ser a llevar a la nube servicios que no manejan información sensible y dejar el core del negocio dentro de la infraestructura corporativa.

En materia tecnológica, la alternativa que aparece como la principal forma de resguardar la información es la encriptación, tanto en el almacenamiento como en la transmisión de los datos.

Foco de ataques

Para este año seguirá fuerte la problemática de la movilidad, especialmente a partir de la integración cada vez mayor de los equipos personales al ámbito laboral —BYOD, o trae tu propio dispositivo, traducción de las siglas en inglés— y el aumento del uso de dispositivos móviles para conectarse a Internet. Android seguirá siendo el foco de ataques de los ciberdelincuentes, debido a su alta penetración en el mercado —más de 70 % de los equipos móviles tienen este sistema operativo—.

En tanto, los nuevos dispositivos conectados —relojes, pulseras, sensores, automóviles, marcapasos y hasta cafeteras— se muestran como un blanco de nuevos ataques. No obstante, las opiniones de los especialistas sobre el impacto de los ataques en este mercado son diversas: mientras unos consideran que los nuevos dispositivos desde su diseño tienen fallas de seguridad que los hacen más propensos a recibir ataques, otros sostienen que debido a que el mercado es muy incipiente, los delincuentes informáticos no los tendrán como foco de sus ataques. Lo cierto es que en el 2013 ya ha habido algunas experiencias de ofensivas contra los dispositivos de “la Internet de las Cosas” y se esperan nuevos ataques para este 2014, aunque probablemente seguirán tratándose de casos aislados.

“El consumo de nuevas tecnologías móviles, la colaboración entre socios de negocio, la permanente innovación tecnológica, la mercantilización de IT (ejemplo: cloudcomputing), el uso de las redes sociales y la necesidad de estar “online”, la globalización y la tercerización extienden los escenarios de riesgo conocidos”, explicó Diego Taich, Director del área de Forensic Technology Solutions de PwC Argentina. Para el ejecutivo, el principal problema en materia de seguridad informática es que mientras los riesgos de seguridad de la información han evolucionado y se han intensificado, las estrategias para combatir esos riesgos no le han seguido el ritmo. “Hoy, algunas organizaciones confían a menudo en estrategias de seguridad del ayer para combatir en una larga y poca efectiva batalla contra adversarios altamente capacitados que apalancan sus amenazas en las tecnologías del mañana”, resaltó.

La clave está, según Taich, en evolucionar de un modelo basado en el cumplimiento, a un modelo de gestión proactiva de las amenazas con un enfoque de priorización y protección de los activos de información más críticos.

La visión integral en materia de seguridad es una de las respuestas frecuentes de los especialistas del sector a la pregunta de cómo proteger la información. Las amenazas son cada vez más complejas y hace falta una visión que integre todas las áreas de la compañía para combatir con éxito las amenazas.

Una visión similar se fomenta desde IRAM, el organismo de normalización y certificación que lleva adelante las implementaciones de certificaciones de calidad en software y sistemas de gestión de la información. “Siempre hay riesgo, el tema es cómo lo gestionamos”, explicó Jorge Ceballos, coordinador de Laboratorios TI del Área Certificaciones de IRAM. En el organismo se trabaja en base a la norma ISO TEC 27.001, que establece los criterios de seguridad para gestionar la información en una organización. Uno de los temas principales, explicó Ceballos, es que sólo aquellas personas autorizadas tengan el acceso a la información sensible. Por esto, las organizaciones deben contar con controles de acceso, seguridad física y logística, para mantener su información al resguardo.

El organismo de certificación está trabajando además con el Gobierno de Neuquén en la implementación de un sistema de gestión que permita interconectar la información almacenada en diferentes organismos de gobierno — y con diferentes aplicaciones y

tecnologías— para democratizar el acceso a los datos, pero siempre desde una visión que involucre quién está autorizado para acceder a la información. “Así es cómo logramos pasar a un Gobierno Abierto”, destacó. El sistema es aplicable también a organizaciones que cuenten con una estructura tecnológica compleja y que requieran interconectar sistemas que de otra manera no se podrían comunicar entre sí.

Leticia Pautasio