Otros Columnistas
coyuntura

¿Qué significa seguridad de la información hoy en día?

No existe una solución mágica a los posibles riesgos. La única estrategia es un modelo que integre diferentes controles. 

Otros Columnistas
Opinión
POR:
Otros Columnistas
abril 06 de 2016
2016-03-29 07:20 p.m.
http://www.portafolio.co/files/opinion_author_image/uploads/2016/04/05/5703e5663d293.png

Los hackers siempre serán hackers, y la seguridad de la información siempre se definirá por las propiedades de confidencialidad, integridad y disponibilidad… bueno, al menos hasta que cambie o se mejore el modelo actual! Sin embargo, más allá de invocar una definición del diccionario, este artículo apunta a responder algo mucho más concreto: para un Director de TI (CIO/CTO) o un Director de Seguridad (CSO/CISO), ¿qué representa gestionar la seguridad de la información?

Quisiera proponer abordar este tema desde la perspectiva de cuáles deberían ser los axiomas de una gestión de la seguridad de la información efectiva en la actualidad, es decir, qué es lo mínimo que debemos considerar y hacer para poder proclamar con orgullo que efectivamente estamos gestionando el riesgo de la información y por lo tanto protegiendo al negocio.

Vale aclarar de antemano dos cosas: en primer lugar, la selección de los axiomas es absolutamente caprichosa; solamente con base en la experiencia y el aprendizaje recogido en las visitas que realizo habitualmente a empresas de toda la región, he tratado de agrupar en varios axiomas aquellas iniciativas que, además de considerar fundamentales en torno a la seguridad de la información, he tenido oportunidad de comprobar que dan resultado.

Por supuesto, algunos de los axiomas pertenecen a normas internacionales, otros son buenas prácticas establecidas en el mercado, y algunos también son opiniones de mi autoría. Sin embargo, sirva también de aclaración, que más que ser original lo que busco es presentar temas que posean relevancia en la actualidad.

En segundo lugar, con el ánimo de agregar valor a los axiomas, me animo a compartir algunas recomendaciones asociadas a cada uno de ellos y contribuir a que este White Paper, lejos de ser un ejercicio netamente teórico, se convierta en una herramienta útil de aplicación práctica.

Creo que nadie se atrevería a negar que hace 20 años todo era mucho más fácil en relación a la seguridad de la información, ¿verdad? Si bien nos preocupábamos (¡y mucho!) de ciertos virus en determinadas fechas, el mayor riesgo que podíamos correr era que se borrara el disco del computador. En esa época las amenazas no se distribuían por la red, y el principal método de contagio era la información trasladada en disquetes.

Cuando internet comenzó a ser realmente masivo, y los riesgos en torno a la seguridad de la información aumentaron considerablemente, el modelo que se impuso fue el de la ‘seguridad perimetral’. Ese modelo operaba en base a determinados axiomas, los cuales me gusta resumir en una frase: ‘todo lo malo viene de afuera’, es decir, que mientras existiera una separación (punto de control) entre la red privada y la red pública (o sea, internet), las amenazas no tendrían por dónde ingresar; y por otro lado, al existir una zona de confianza (es decir, la red privada), no era necesario adicionar más controles por fuera del perímetro.

Sé que ya no es ninguna novedad, pero vale la pena decirlo: ¡el modelo de seguridad perimetral está completamente obsoleto, hace años!

¿Qué cosas han cambiado desde aquella época hasta hoy? Repasemos algunas por favor:

1) No existen más zonas de confianza: los ataques pueden venir, literalmente, desde cualquier punto de la infraestructura; de hecho es una verdad establecida en la industria que la mayor cantidad de ataques se originan en la red privada.

2) Los ataques de ingeniería social crecen sostenidamente: este tipo de ataques, que explotan vulnerabilidades en la tecnología y también condicionamientos innatos en los seres humanos, ¡hacen más complicada aún la implementación de controles!

3) Movilidad, teletrabajo y la distribución de la información: en cualquier compañía, la información está hoy en día cada vez más distribuida. Celulares, laptops, servicios de nube pública, sucursales, ex-empleados, datacenters… Y la lista sigue creciendo a medida que los modelos de nube híbrida y las tendencias como consumerización y BYOD (Bring Your Own Device) van en aumento.

4) Crecimiento en complejidad y cantidad de ataques: malware, vulnerabilidades en el código de las aplicaciones, ataques de día cero, amenazas avanzadas (APT), ataques de denegación de servicio (DDoS) e ingeniería social son solamente algunos de los ataques y técnicas más utilizados en la actualidad, con impacto en toda la infraestructura de la empresa.

Quizás una de las conclusiones más importantes que podemos obtener aquí es que no existe una solución mágica a todos los posibles riesgos a la seguridad. La única estrategia viable es un modelo que integre diferentes controles, como lo es la ‘defensa en profundidad’ (defense in depth).

Gabriel Marcos 
Director de producto de C&W Business Solutions.

Nuestros columnistas

día a día
lunes
martes
miércoles
jueves
viernes
sábado