A+ R A-
HOT NEWS
Aviso 700x100 interno1

La seguridad informática ¿Una ilusión?

User Rating:  / 0
PoorBest 

mcafee-seguridad-ilusionLa accesibilidad casi total de nuestros entornos convierte a menudo la seguridad en una ilusión. Las tecnologías que utilizamos en la actualidad son fundamentales para demasiados aspectos de nuestras vidas. Y aunque comprendemos algunas de ellas, hay mucho más que desconocemos.

 

 

Por: Chris Roberts.

Fundador de One World Labs.

 

Santa Clara, California (USA).

Hemos conseguido con éxito crear sistemas complejos que nadie es capaz de comprender totalmente, y hemos hecho evolucionar la tecnología hasta niveles que pocos podían imaginar. Sin embargo, tenemos la sensación cada vez mayor de que perdemos más conocimiento del que adquirimos. Durante nuestras visitas a las instalaciones de los clientes, hemos llegado a oír reflexiones del tipo: "nadie sabe exactamente cuál es la función de ese viejo sistema, pero sabemos que es necesario".

 

El uso que hacemos de la informática ha sobrepasado hasta tal punto el centro de datos, que creo que puedo demostrar que mi microondas tiene más capacidad de proceso que los sistemas ICL y VAX con los que he trabajado. Y está claro que no los habría podido nunca meter en mi mochila y utilizarlos en la cafetería.

 

En la actualidad, interaccionamos con los datos a través de redes ampliadas que hemos construido durante los últimos años. Al mismo tiempo, ahora tenemos que enfrentarnos con problemas de soporte y de seguridad, ya que todo el mundo reclama el derecho a conectarse a las arquitecturas de la empresa bajo nuestra responsabilidad. Desafortunadamente, esta conveniencia traslada los datos que hemos sido capaces de administrar y controlar durante años al espacio público, que, como sabemos, está lleno de peligros.

 

No estoy seguro si debería estar preocupado por trasladar nuestro correo, sistemas, accesos y datos a los dispositivos móviles. Después de todo, hace ya años que utilizamos ordenadores portátiles. En mi caso, he tenido el mismo ordenador portátil durante cuatro años, pero he cambiado de teléfono ocho o nueve veces en el mismo tiempo, la mayoría de las veces a causa de accidentes. A pesar de todo, se trata de una gran cantidad de información en circulación, sin contar con el portátil de repuesto, los dispositivos de evaluación, el iPad de Apple y otros sistemas que contienen información confidencial.

 

Mis equipos están bien cifrados o disponen de otros tipos de protecciones, pero soy la excepción que confirma la regla. En la mayor parte de los casos, las empresas autorizan que dispositivos personales, terminales sin cifrar, clientes B2B y toda clase de otros dispositivos accedan a su información crítica, a menudo sin disponer de los controles mínimos (o de un procedimiento de validación de controles). Además, muchas empresas todavía piensan que es suficiente.

 

Vuelta a los fundamentos

 

Dediquemos un momento a analizar los elementos fundamentales de que disponemos en la actualidad y veamos hasta qué punto se adaptan al universo móvil en continua expansión, que se extiende más allá de nuestros ordenadores de mesa. Nos levantamos por la mañana con una solicitud para introducir una contraseña para iniciar una sesión en el ordenador. Ocho caracteres y ya estamos, a menos que forme parte del 5% de usuarios que cifran sus máquinas (en ese caso, enhorabuena por tener en cuenta la seguridad y por recordar dos contraseñas).

 

En este punto, el programa antimalware del ordenador se despierta y comienza su labor de vigilancia, es decir, la supervisión teórica de todos los puntos de entrada y salida. Normalmente comenzamos nuestro día protegidos detrás de firewalls, sistemas de detección y prevención de intrusiones, filtros antispam, mecanismos de prevención contra la pérdida de datos y toda una serie de otros dispositivos diseñados para protegernos del mundo malicioso.

 

A primera vista, todo indica que se trata de un entorno seguro. Sin embargo, en un mundo tan abierto como el nuestro, agarro mi dispositivo portátil, introduzco un número PIN de cuatro dígitos (probablemente el mismo que el de mi tarjeta de débito), y comienzo a navegar por Internet y a descargar correo, aplicaciones y otras muchas cosas con total tranquilidad.

 

Para ello utilizo un dispositivo Bluetooth colocado en mi oreja para seguir una teleconferencia a través de una red de telefonía VoIP inalámbrica gratuita, ignorando, por tanto, todo control posible. Para los que se quejan de las contraseñas, intenten introducir una combinación de ocho caracteres especiales y alfanuméricos mientras conduce. Si todavía no ha tenido un accidente, seguro que acaba gritándole al equipo de TI para que modifique la política de seguridad de los datos.

 

El panorama que he descrito es bastante preocupante. Sin embargo, se repite en las oficinas, parques empresariales y hogares de todo el mundo. Es cierto que he llevado la situación al límite, pero los profesionales de la seguridad se enfrentan a diario a casos como estos. Y la situación no mejora. Los usuarios demandan flexibilidad, conectividad y facilidad de uso de nuestros dispositivos, y deseamos evitar las limitaciones que hemos visto recortan las posibilidades de ordenadores portátiles y de mesa. Sencillamente intentamos hacer demasiado, con muy poco control, y vamos a pagar muy cara esta ambición.

 

El desafío

 

Hasta el momento, he dibujado un panorama bastante sombrío, y por razones de peso. Nos enfrentamos a una economía subterránea que "factura" miles de millones de dólares y cuyo único objetivo es robar, blanquear y revender los datos que intentamos proteger en los entornos informáticos (más o menos centralizados) de empresas y de instituciones públicas. Al mismo tiempo, multiplicamos las iniciativas destinadas a diseminar esa información, y el acceso seguro a la misma, hasta los límites mismos de nuestro control. Sin embargo, no hay que desesperarse.

 

Debemos volver a los fundamentos: el código (seguridad como parte integrante del ciclo de desarrollo de software, no después), las personas (formación y sensibilización), y las directivas, los procedimientos y los controles que debemos implementar.

 

Necesitamos identificar nuestras carencias e implementar todas las medidas que nos habíamos propuesto. Si no refuerza la seguridad de sus sistemas por su empresa, por sus auditores o por sus clientes, hágalo por mí. No debería ser capaz de apoderarme del contenido de Active Directory y de tener en mi mano las tarjetas de crédito del director financiero el primer día de una prueba de penetración. Hágame un favor, complíqueme un poco la tarea.

 

Fuente: High Results.


 

informacion relacionada

Aviso 700x100 interno1

Aviso 700x100 interno1

ultimas noticias

Aviso 700x100 interno2
Aviso 400x150 interno2  Aviso 300x150 interno5

Aviso 300x300 interno2

Aviso 300x150 interno4

Aviso 300x150 interno3

Aviso 300x600 home

Aviso 300x150 interno2

Síguenos en:


fb  twitter  yt  linkedin     SoundCloud  

Aviso 1100x60