En cada etapa de la evolución de la seguridad de la información, ha habido algún problema que ha parecido insuperable: control de acceso, virus, hackers, fuga de datos, por nombrar algunos. Luego, poco a poco, la comunidad de profesionales de la seguridad de la información llegó a enfrentar cada uno de estos problemas. No los eliminaron, pero los contuvieron y los hicieron manejables. Después de todo, todavía nos enfrentamos a accesos no autorizados, al desagradable malware, a los script kiddies y a los datos mal utilizados, pero somos capaces de seguir utilizando los sistemas de información y, El-Fin-de-la Civilización-Tal-Como-la-Conocemos-Hasta-Ahora no ha ocurrido, a pesar de las frenéticas predicciones contemporáneas sobre el caos.
El tema más reciente de la Brigada Doom and Gloom son los ciber ataques.1 Ahora bien, éstos son realmente diferentes porque son intentos intencionados, deliberados y maliciosos cuyo objetivo es dañar a organizaciones específicas y que son perpetrados por gobiernos, criminales y terroristas con mucho tiempo, dinero y experiencia. Pero estoy convencido de que, por más grande que sea el problema, la comunidad de la seguridad de la información contendrá y manejará el problema de los ciberataques. Eventualmente, sí, ¿pero cuándo?
Bueno, quizá sea ahora. Con un poco de la valentía, o de tontería, de sacar la cabeza por sobre el bunker, y parafraseando a Winston Churchill, quisiera sugerir que podríamos estar viendo no el principio del fin, sino el final del principio.2
¿Qué nos aporta esta explosión de soleado optimismo? IBM ha reportado estadísticas de ataques cibernéticos que muestran un descenso de 12.017 casos en el año 2014 a 1.157 casos en el 2015.3 La evaluación anual entregada por el Instituto Ponemon, del costo de los ataques a la información, indica que en Alemania y en los Estados Unidos la tasa de aumento de los costos ha bajado durante el período comprendido entre el 2013 y el 2015 y realmente ha disminuido en Australia y en el Reino Unido.4 Symantec también publica un estudio anual sobre las amenazas a la seguridad en Internet, en donde informa un aumento del 2 por ciento en el número de ataques a la información en el año 2015, en comparación con el aumento del 23 por ciento que fue observado en el año anterior.5
Ahora, una golondrina no hace verano, pero tres informes de disminución de las tasas, o disminuciones reales de éstas, pueden ser los primeros indicadores de una tendencia. Por el bien de este artículo supongamos que esto es así. Puesto que podemos suponer razonablemente que los ciber villanos (cyberbaddies) no han tenido un repentino estallido de virtud, tal vez nosotros, que intentamos prevenir los ciber ataques, estamos teniendo algún efecto positivo. ¿Cuáles son algunas de estas cosas que están creando esta tendencia favorable, si es que es una tendencia?
Aceptación
Hace varios años escribí en este mismo espacio que la aceptación de la amenaza de ciber ataques, por parte de la alta dirección y los consejos de administración, era la clave para generar los presupuestos para contrarrestar estas amenazas.6 Existe una pequeña duda en mi mente de que esto se haya logrado. Numerosos informes de noticias, estudios de investigación y publicaciones7 han hecho que la realidad de los incidentes de seguridad cibernética sea clara para aquellos que gestionan el problema.
La comprensión no necesariamente conduce a la acción, pero creo que en este caso sí lo ha hecho. Como profesional veterano de la seguridad de la información, creo se han hechos los preparativos para enfrentar la seguridad cibernética. Por sí mismos, los informes de los medios de comunicación no convencieron a los tomadores de decisiones de que se necesitaban adoptar contramedidas. En todo caso, plantearon preguntas sobre por qué las salvaguardias existentes eran insuficientes. Pero cuando se dio el caso, la aceptación de la existencia de las amenazas cibernéticas, mostró a la administración de la seguridad de la información tener una audiencia receptiva.
Tecnología
Donde se haga dinero, el mercado responderá, y así ha sido. Hay cientos de productos y servicios disponibles8 que pretenden ser la solución a los ciberataques. Muchos de ellos, como he descubierto, los productos para la ciberseguridad son meramente un reempaquetado de herramientas y tecnologías ya existentes, pero este dato es relativamente poco importante. Esas tecnologías no fueron previamente compradas, implementadas y utilizadas (o al menos no) para fines de seguridad cibernética. Si para poner las herramientas adecuadas en manos de las personas adecuadas se necesita poner una nueva etiqueta brillante y contar con un vendedor ávido, eso está bien para mí.
Al analizar el mercado veo que, de aproximadamente un tercio de los principales productos proporcionan prevención cerca de un cuarto son para detección y análisis y el resto se distribuye entre la administración de riesgos, servicios y pruebas. Sorprendentemente, para mí al menos, no existen en el mercado productos para la recuperación de ciberataques. Creo que allí hay una gran oportunidad de ofertar productos, sí una significativa, si hay compradores esperando a que el mercado responda.
En muchas organizaciones, la seguridad de la información y la recuperación de desastres se encuentran en diferentes cadenas de mando, y los fondos presupuestados no están fluyendo en la dirección de la recuperación. Quizás es solo que la promesa de la prevención sobrepasa a la realidad, que incluso las agencias del gobierno y las compañías muy bien protegidas igual han experimentado ciber ataques. No importa cuán fuertes sean las herramientas preventivas y las de detección, a los atacantes les sobra el tiempo, el dinero y la paciencia. Los ataques suceden tanto a los que están bien preparados como a los que están desprotegidos, por lo que la ciber-recuperabilidad necesita ser parte del arsenal de cada organización.
La nube
Cada vez más organizaciones están migrando más y más aplicaciones e infraestructuras a la nube. Esto puede ser un poco más de externalización o bien puede ser una revisión completa de sus arquitecturas de TI, pero parece que la ida a la nube ha traído un efecto secundario positivo, tal vez involuntario: la seguridad se ha mejorado.
Los proveedores de servicios de TI externalizados tienen un interés estratégico en la seguridad de la información en general y un interés específico en la seguridad cibernética. La mayoría de nosotros, profesionales de la seguridad de la información, ofrecemos soporte para sistemas de información que, a su vez, soportan procesos empresariales. No hacemos préstamos, ni fabricamos acero ni dulces para ganarnos la vida; ayudamos a que la información que los empresarios usan sea más confiable y que esté disponible. Incluso, si se rompe la seguridad de la información, los productos igual conserven su valor. Los proveedores de la nube están en el negocio de los sistemas de información y los sistemas son sus productos. Por lo tanto, las infracciones a la seguridad, especialmente aquéllas en las que los datos de los clientes terminan en manos nefastas, socavan el potencial de mercado de las mismas compañías de la nube. Como dijo un colega mío, si eso es lo que se necesita para llegar al principio del fin, yo estoy de acuerdo.
Los servicios en la Nube y el Software como un Servicio (SaaS)…claramente tienen los recursos y las capacidades para proporcionar ambientes seguros. Sus recursos técnicos en muchos aspectos no tienen precedentes, como lo demuestra la forma en que los proveedores de Nube y SaaS han desarrollado sistemas innovadores, utilizando servidores genéricos de bajo costo, que ahora amenazan a los negocios de los bien capitalizados principales líderes en tecnología. Presumiblemente, ellos también tengan la capacidad para asegurar sus servicios y datos. Ellos tienen, también, un incentivo comercial. Una violación de seguridad en una Nube o en un SaaS traería al vendedor no sólo un riesgo financiero, legal, reputacional y regulatorio, sino también un riesgo existencial.9
Si eso es lo que se necesita para llegar al principio del fin, yo soy todo para ello.
Notas Finales
1 Ross, S., “The Train of Danger,” ISACA Journal, vol. 5, 2011, https://www.isaca.org/resources/isaca-journal/issues. Myself included, no one who can write an article called “The Train of Danger” has any right to point fingers at others. But I shall point anyway.
2 Churchill, W.; “The Bright Gleam of Victory,” speech delivered to the Lord Mayor’s Day Luncheon at the Mansion House, London, England, 10 November 1942. The exact quote is, “Now this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.”
3 IBM Security, Reviewing a Year of Serious Data Breaches, Major Attacks and New Vulnerabilities, USA, 2016, p. 5. IBM defines an attack as, “A security event that has been identified by correlation and analytics tools as malicious activity that is attempting to collect, disrupt, deny, degrade or destroy information system resources or the information itself.”
4 IBM, 2016 Ponemon Cost of Data Breach Study: Global Analysis, 2016, p. 5, www-03.ibm.com/security/data-breach/
5 Symantec, 2016 Internet Security Threat Report, April 2016, p. 9, https://www.symantec.com/security-center/threat-report
6 Ross, S., “Bear Acceptance,” ISACA Journal, vol. 4, 2014, https://www.isaca.org/resources/isaca-journal/issues
7 ISACA, Cybersecurity: What the Board of Directors Needs to Ask, USA, 2014
8 See the list of the top 500 in 2016 at www.cybersecurityventures.com.
9 Cytryn, A., et al; “Hackers, Snoopers and Thieves: How to Handle the Latest Threats,” The Journal of Corporate Accounting and Finance, July/August 2014, p. 49–50
Steven J. Ross, CISA, CISSP, MBCP
Es director ejecutivo de Risk Masters International LLC. Ross ha escrito una de las columnas más populares de la revista desde 1998. Puede ser contactado en stross@riskmastersintl.com.