Si no puede ver este mail, haga click aquí

Staff

Registro

Infosecurity Vip

Inicio

AÑO XIV - Nº 02 - FEB 2018

Palabras de CISO

Pronósticos de seguridad de la información 2018

Jeimy J. Cano

Escuela de Administración.

Universidad del Rosario, Bogotá, COLOMBIA


Las reflexiones que se plantean en este documento alrededor de la seguridad de la información, la inevitabilidad de la falla y los retos emergentes para los ejecutivos de la seguridad, son un ejercicio de análisis, que basado en algunos de las señales identificadas en el entorno, patrones de acción que se revelan en la actualidad y otras manifestaciones de posibilidades observadas, tratan de sugerir elementos de pronóstico para todos aquellos interesados en ver comportamientos potenciales de la inseguridad de la información en un contexto global y asimétrico.

Así las cosas, tratar de establecer un pronóstico sobre la inseguridad de la información para los próximos 365 días es un ejercicio de tratar de dar en blanco, desde un vehículo en movimiento, una apuesta basada en la mejor estimación de distintas variables, las cuales cambian con la perspectiva de cada analista, para vislumbrar una oportunidad para lograr alcanzar la “diana” de la mejor forma posible

1. La inevitabilidad de la falla en los Cloud Access Security Brokers (CASB)

El incremento de la dependencia cada vez mayor de las organizaciones de soluciones y propuestas en la nube, hace que la interacción natural ahora de las aplicaciones y sistemas de información sea a través de servicios soportados con terceros.

Una vulnerabilidad detectada y no controlada en un servicio de seguridad intermediado por un tercero debe estar considerado dentro de los escenarios de riesgo establecidos por la organización, habida cuenta que el incidente que se pueda presentar no sólo impacta su operación y reputación frente a sus terceros, sino que revela una cadena de ejercicios de responsabilidad demostrada que todos las terceras y cuartas partes involucradas deben asegurar frente a un evento inesperado, cuyas consecuencias aún están por determinarse.

2. Ciberataques basados en la inteligencia artificial

Si bien la inteligencia artificial ha salido de los laboratorios para concretar productos y servicios de interés para la sociedad, el avance acelerado de sus capacidades y posibilidades cognitivas pronto estará disponibles para crear tanto soluciones novedosas que anticipen respuestas a interrogantes claves, como para motivar acciones contrarias que aumenten la capacidad de los atacantes para conocer y revelar nuevas formas posibles de comprometer la infraestructura de las organizaciones y naciones (Campbell, 2017).

3. Inicia la era de la especulación con criptoactivos

El uso de las criptomonedas ha generado una dinámica de interés para la sociedad en general. Una manera de ceder la propiedad, transferir valor y crear confianza entre los participantes, define un ejercicio de intercambio que utiliza la criptografía para asegurar las transacciones y controlar la creación de nuevas emisiones de esta moneda (Preukschat, 2016).

Continuarán apareciendo nuevos ICO (en Inglés ICO – Initial Coin Offering), cada vez más refinados, con características de anonimato y sin control central, que continuarán ganando adeptos, creando una espiral ascendente de crecimiento, que sin un control particular, sólo bajo la dinámica de las tensiones y movimientos del mercado, terminará siendo objeto de usos y abusos que llevarán a muchos inversionistas a concretar grandes negocios o detonar una burbuja de criptoactivos que deje consecuencias inesperadas para las economías locales e internacionales.

4. Redes sociales como vector de ataque consolidado

Las redes sociales se consolidan cada vez más como el canal privilegiado por las personas para mantener un contacto o para concretar negocios de grandes movimientos de intereses colectivos que generen utilidades por la interacción prevista de los participantes. La redes sociales se constituyen hoy por hoy la superficie de ataque más relevante, habida cuenta de su permanente utilización desde los dispositivos móviles y el alcance global de sus efectos (Grimes, 2017.

La confianza natural que general el uso de las aplicaciones que conectan las redes sociales, se vuelve un vector de ataque inherente al uso y abuso de estas interacciones sociales. Basado en esta características se explotan la familiaridad e inocencia de los individuos para generar mensajes perfilados y estratégicamente motivados para crear entornos donde “hacer click” es lo normal y así tomar control de las interacciones, posiblemente de contraseñas o configuraciones específicas que ponga en juego la estabilidad de una persona o compañía.

5. Malos hábitos persistentes y avanzados

Las personas son la primera y última línea de defensa de las organizaciones modernas. Si bien cada individuo puede asumir una manera particular de proteger la información, es necesario concretar el desarrollo de nuevas habilidades y capacidades que le permitan, superar sus “malos hábitos persistentes” (MHP) como son contraseñas débiles, configuraciones por defecto, hacer clicks en enlaces desconocidos, hablar de temas confidenciales en lugares públicos, no asegurar el portátil en hoteles o habitaciones, no contar con un respaldo de datos actualizado, etc (Morgan, 2017).

Estos “malos hábitos persistentes y avanzados” se consolidan en entornos emergentes como la computación oscura, el internet de las cosas, las infraestructuras críticas, los pagos basados en criptomonedas y sobre manera en los nuevos ecosistemas digitales donde se revelan nuevos productos y/o servicios que cambian la manera de hacer las cosas y crean experiencias totalmente distintas para su empleados.

Reflexiones finales

Las tendencias enumeradas anteriormente generan un escenario incierto para los ejecutivos de seguridad de la información. Esta realidad que mezcla exigencias tecnológicas, negocios disruptivos y limitaciones humanas crea un caldo de cultivo natural para la inevitabilidad de la falla, que no sólo afecta la reputación de la empresa, sino su dinámica empresarial en un entorno dinámico, generalmente mediado por medios de pago alternos como las criptomonedas (Cearley, Burke, Searle y Walker, 2017).

Esta realidad marcada por una marcada participación de los terceros con soluciones en la nube, concentra los esfuerzos de seguridad y control, ahora en las validaciones que se hacen por parte de terceros y los ejercicios de simulación propios de los proveedores de servicios de seguridad de la información en la nube (brokers de seguridad), para poder dar cuenta de los futuros incidentes que se pueden presentar y la forma como deben apropiar y comprobar su marco de debido cuidado acordado con su cliente.

Las criptomonedas serán parte natural ahora del escenario digitalmente modificado que el responsable de seguridad de la información debe tener en cuenta, como quiera que este tipo de iniciativas estará sobre la mesa de muchos ejecutivos y negocios emergentes, donde habrá que tomar riesgos de forma inteligente para mantener el perfil de riesgo de la empresa alineado con las oportunidades que las nuevas tecnologías plantean dentro y fuera de sus segmentos de industria.

Si bien, nada está escrito en términos de realidades y retos de seguridad de la información para 2018, lo que sí sabemos es que tendremos siempre una lección por aprender fruto de la materialización de la inevitabilidad de la falla, una realidad desafiante y enriquecida desde un entorno organizacional inestable y ambiguo, que es referente permanente de la maestra, siempre nueva y siempre viva, como lo es la inseguridad de la información.

 

 

Fuente: insecurityit.blogspot.com.ar

 

Gestión Infosec

Entrevista

Las leyes

Palabras de CISO

Tips para un CISO

Puntos de vista

Actualización Técnica

Hacking bajo la lupa

Estadísticas

Productos

Toolbox

Capacitaciones

Links de interés

¿Lo sabías?

Hot vulnerabilities

Comunidad Infosec

Efraude

Noticias

Bolsa de trabajo

Agenda y eventos

Lectores

Libro de pases

El chiste del mes

Ver Anteriores

Envíenos su Comentario

Conferencias 2017 y anteriores

Últimas Conferencias:

 

 

 

 

 

 

 

 

 

 

Ediciones Anteriores:


Algoritmo de detección de fugas de información

Byron Guevara Maldonado y Janio Lincon Jadán Guerrero

Ingeniero en Sistemas

Universidad Tecnológica Indoamérica - Ecuador


Machine learning en Soluciones WAF Web Application Firewall

Juan Muñoz
Director Latam
Zyprotect


Experiencia Banco WWB S.A.

John Ignacio Penagos
Jefe de Producción Informática
Banco WWB S.A. - Colombia


Reporte Anual de Infosecurity Ayuda en Megaevento Buenos Aires

Alejandra Campolinghi
Coordinadora Infosecurity Ayuda
ayuda@isec-infosecurity.com


Digital Forensics, casos de la vida real

Mario Orellana
CEO Tigersec Latam
San Salvador


Ciberataques a nivel mundial ¿cómo detenerlos?

Mateo Martínez
Kod Latam
Uruguay


Audición Infosecurity Tour 2017

Jairo Millán Grajales
Editor y Productor General
Cyberradio “El universo Informático de la Radio Colombiana”
Universidad del Valle, Cali


La seguridad en dispositivos empresariales

Michell Escutia
Gerente Regional,
América Latina y Europa del Sur


Previsión de Fuga de Información

René Fuentes
VDV Networks, Director
México


Inteligencia Artificial, prevención real frente a amenazas

Héctor Díaz
PMM Latinoamérica y Caribe
Cyclance


Dron Pelícano para fuerzas policiales

Carlos Suárez
Director de Seguridad y Defensa de Indra
España


Los consumidores están más preocupados por el cibercrimen que por el crimen común

John Shaw
Enduser Security Group VP
Sophos


¿SABE QUIEN ESTÁ EN SU RED?

Rosa Martínez
Business Development
Fujitsu - Latinoamérica


Concientización de Usuarios en Cammesa

Fernando Carrillo
Information Security - CAMMESSA
Argentina


Seguridad Digital Total basada en Riesgos

Pablo A. Silberfich
Socio - BDO
Buenos Aires
Extracto de la conferencia dictada para InfosecurityVip 2016.


Repensando el entrenamiento en seguridad de la información

Jeimy J. Cano
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Protección de la Información

Osvaldo Casagrande
Director - INFORMATION SECURITY SERVICES
Asunción


Ciberseguridad, ¿cómo la estamos gestionando?

Jorge Dávalos Campos Cervera
Intendente de Riesgo Operacional y Tecnológico
Superintendencia de Bancos - Asunción
Extracto de la conferencia dictada para InfosecurityVip 2016


Confianza y Valor en los sistemas de información

Luis Andrade Torrealba
ISACA
Caracas, Venezuela
Extracto de la conferencia dictada para InfosecurityVip 2016


I2 como herramienta para manejar el caos

Humberto Urroz
Director de Evolusoft
Santo Domingo - República Dominicana
Extracto de la conferencia dictada para InfosecurityVip 2016


Los principales actores del cibercrimen actual

Adrian Nish
Jefe Inteligencia Ciberdelitos
Bae Systems - Inglaterra


Intel Security (Mcafee) retira varias de sus soluciones de seguridad

Sergio Maestre
CEO - Maestre Consulting
Venezuela


Cuatro factores claves que afectan la privacidad

Jeimy J. Cano

Facultad de Derecho - Universidad de los Andes

Bogotá - COLOMBIA


El ataque terrorista a una infraestructura clave es algo muy real

James Lyne

Cybersecurity specialist


Informática forense – Consejos Prácticos

Diego R. Hvala, Gerente - BDO Argentina

Gustavo L. Amago, Gerente - BDO Argentina


Antivirus de Sophos para evitar vulnerabilidades en sistemas OS X

Alberto Ruiz Rodas

Presales Engineer for Spain and Portugal

Sophos


Securing Social media

Tanya Baccam
Oracle Database and Web Application Security Professional
SANS Senior Instructo


Cisco anuncia Security Everywhere en toda la red extendida

Héctor Casas
Consultor de Seguridad de Cisco
Argentina


Amenazas en el Tráfico Cifrado

Andrés A. Buendía Ucrós
Senior Sales Engineer - Latin America & Caribbean
WatchGuard Technologies


Tecnologías alineadas a la sabiduría de Sun Tzu

Samuel Yecutieli
Director Segured.com, México
Extracto de la conferencia dictada para Infosecurity Tour


Los hackers de elite no son programadores de elite

Gabor Szappanos
SophosLabs
Muchos de los grupos de hackers asociados a la creación de malware y amenazas persistentes avanzadas (APTs) parece que carecen de conocimientos técnicos sobre los exploits que usan. También fallan a la hora de testear adecuadamente la efectividad de esos exploits antes de usarlos con sus víctimas.
Juegos de guerra: Escenarios emergentes para retar la inseguridad de la información


HP y Symantec se unen para dar una solución DRaaS para 2015 OpenStack

Por Luis Julves
Super Collector - HP


Next Generation Security - how to protect your applications against the emerging trends

Por Alexandre Moraes, CISSP
Solutions Architect Manager Latin America - HP


Repercusiones "Cisco Security Partner Summit 2014" Cancún y Cartagena

Dirigido a socios estratégicos y aliados de México y Latinoamérica, con el fin de dar a conocer todos los detalles técnicos, tecnológicos y de negocio de la integración de los productos de Sourcefire, empresa adquirida el año pasado y las distintas plataformas de Cisco.


Cisco security invita a "Cisco Security Partner Summit 2014" Cancún y Cartagena

Durante el evento, se realizarán sesiones técnicas y comerciales impartidas por expertos analistas y ejecutivos del Grupo de Cisco Secrurity


El recurso humano, el activo más valioso de una empresa?

Por Olga Rentería
Social-Ing Colombia.


Endureciendo el cortafuegos humano. El arte de la contrainteligencia social

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Una Introducción a COBIT 5
Por Clara Vidovich
ISACA Cap. Uruguay
Montevideo - Uruguay


Experiencia práctica de adecuación GRC y Ley 1581 de Protección de Datos Personales con GESCONSULTOR
Por Iván Darío Marrugo Jimenez
Especialista en Derecho de las Telecomunicaciones, Privacidad, Seguridad de la Información. Auditor ISO 27001
GESCONSULTOR - Colombia
Extracto de la conferencia dictada para Infosecurity Tour - Tour 2014


Network Access Control

Por Jan Michael de Kok

Sales Engineering Manager – Caribbean & Central America

AVAYA

Extracto de la conferencia dictada para Infosecurity Tour - Tour 2014


Privacidad y seguridad de la información. Desafíos territoriales alrededor de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


OJO CON TUS DATOS

Se inició en España, en diciembre pasado una serie de documentales sobre Protección de Datos Personales y Privacidad, con diferentes temáticas dirigidas a la sociedad española pero que son de utilidad para el resto de Latinoamérica.


Copyright © 2018 ISEC Global Inc. Todos los derechos reservados - Política de privacidad