Inicio

GESTIÓN INFOSEC

ENTREVISTA

LAS LEYES

PALABRAS DE CISO

TIPS PARA UN CISO

PUNTOS DE VISTA

ACTUALIZACIÓN TÉCNICA

HACKING BAJO LA LUPA

ESTADÍSTICAS

PRODUCTOS

TOOLBOX

CAPACITACIONES

LINKS DE INTERES

¿LO SABIAS?

HOT VULNERABILITIES

COMUNIDAD INFOSEC

EFRAUDE

NOTICIAS

BOLSA DE TRABAJO

AGENDA Y EVENTOS

CARTA DE LECTORES

LIBROS DE PASES

CHISTE

 

ediciones anteriores

Envíanos tu comentario

 

AÑO 8 - Nº 02 - FEB 12

PALABRAS DE CISO

Pronósticos de seguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA

Cada año los múltiples eventos y fenómenos propios de la seguridad de la información nos revelan aspectos nuevos y creativos de las diferentes formas en las cuales la inevitabilidad de la falla se hace presente. Por tanto, cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y asimétrico, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.


A continuación cinco pronósticos de lo que puede pasar durante 2012 frente a las tendencias y manifestaciones de la inseguridad de la información.

Formalización de la certificación en seguridad de la información de terceras partes

Con el paso de los años la función de tecnología de información ha venido evolucionando dando paso a una fuerte tendencia hacia la administración de los recursos de tecnología con terceros.

En este contexto, durante los siguientes años se verá una importante tendencia en la certificación formal de la operación de los terceros frente a los temas de seguridad de la información, que si bien se ha venido adelantando utilizando otros referentes o buenas prácticas, se prevé el uso de una nueva norma de la serie ISO 27000, denominada ISO/IEC 27036 — Guidelines for security of outsourcing, la cual establece una serie de requisitos particulares que los terceros deben asegurar para certificar una adecuada prestación de servicios con estándares de seguridad de la información debidamente aplicados y probados. (CHICKOWSKI 2011)

El hacktivismo como estrategia moderna para reclamar atención de los estados y las empresas

Durante los últimos años hemos venido observando una serie de comportamientos y manifestaciones en la red, donde las redes sociales y nuevas expresiones digitales se convierten en la forma natural a través de la cual los individuos expresan su opiniones y levantan su voz para llamar la atención sobre aspectos de la vida cotidiana.

Anonymous, Lulzsec y nuevas expresiones de este tipo de hacktivismo será una tendencia clara en los próximos años, pues los nacidos digitales han entendido que la red es una forma de expresión que alcanza todos los niveles sociales y se visualiza en las altas jerarquías del estado y de las organizaciones. (CANO 2011) La tecnología de información es un medio para revelar la inconformidad y mantener atención sobre aquellas cosas importantes para la ciudadanía y las personas que no tienen voz.

Ecosistema tecnológico: necesidad competitiva o nuevo vector de ataque.

La computación en la nube, las redes sociales y la computación móvil advierten una realidad concreta, un escenario real donde los gobiernos, las organizaciones y las personas estarán conviviendo y compartiendo riesgos frente a una creciente demanda de servicios, información instantánea y procesamiento de grandes volúmenes de datos. (RAYWOOD 2011).

Forrester (WANG 2011) y otras empresas han venido revisando conceptos asociados con los modelos base de seguridad como Bell-LaPadula, para repensar la seguridad de la información en un ecosistema tecnológico, como es el concepto de etiquetas de alta seguridad (high-water mark principle – Mayor información en: WEISSMANN 1969 ) que exigen al tercero con el que se interactúa se sintonice con las exigencias de seguridad y control requeridas para la transacción (la idea es concentrarse en la transacción, los datos y su movilidad, más que en el dispositivo como tal).

Sin embargo, aún estamos en las primeras etapas de reconocimiento y análisis de estas nuevas propuestas, que poco a poco deben madurar para reconocer en el ecosistema tecnológico una forma pensar la seguridad en un ambiente dinámico, poroso y móvil.

Nuevos retos jurídicos frente a nuevas realidades de las tecnologías de información

Conforme avanzamos en esta nueva década del segundo milenio, los alcances de la tecnología de información exigen nuevos y mejores entendimientos de sus usos en el contexto social. En este sentido, los retos jurídicos naturales como los derechos humanos en internet, la privacidad, el derecho a la información, los activos digitales personales, los derechos de autor, el manejo de la imagen y las marcas, la democracia digital y la participación ciudadana de los individuos entre otros, han venido tomando matices inesperados, que exigen de los nuevos y experimentados juristas respuestas novedosas para entablar nuevos debates y propuestas que den cabida a una realidad social, digital y sin fronteras. (LEVINSON 2011)

Mayor visibilidad de los sistemas de control, mayor responsabilidad en su aseguramiento

Los eventos que se ha venido presentando en los últimos años, donde los protagonistas han sido sistemas de control avanzado, en facilidades con operaciones sensibles, nos indican que se debe avanzar en un reconocimiento de los vectores de ataque que se han identificado y desarrollar estrategias de aseguramiento que anticipen posibles variantes de lo que ha ocurrido, así como respuestas planeadas que enfrenten situaciones inesperadas, para lo cual las prácticas de gestión de incidentes de seguridad de la información y de pérdida de continuidad pueden ser útiles para contener y mantener la confiabilidad de las operaciones.

Reflexiones finales

La seguridad de la información es un proceso exigente y dinámico que requiere la habilidad de sus responsables para mantener en movimiento su creatividad frente a la inseguridad, no sólo para crear la sensación de confiabilidad requerida por los usuarios frente al tratamiento de la información, sino para que vinculando, a estos últimos en la conquista de la asimetría de la inseguridad, se construya de manera conjunta una distinción concreta y evidente de un ambiente controlado y confiable, mas no seguro.

Sólo nos queda observar el desarrollo del 2012, para ver cómo la inseguridad de la información nos cuestiona y nos hace meditar nuevamente y así, pensar de manera distinta para abrirle la puerta a las posibilidades, esas que no son otra cosa que el insumo de la inevitabilidad de la falla, fuente que debe alimentar permanentemente el instinto y la mente del responsable de la seguridad de la información.

Fuente: Infosecurity Blogspot


 

LA RED EL NUEVO CAMPO DE BATALLA
Andrés A. Buendía Ucrós

Sales Engineer – North LatinAmerica & Caribbean


Infosecurity y seguridad informática
Por Frano Capeta Mondoñedo

Country Manager Perú

I-SEC Information Security Inc.


Autenticación Segura en un mundo nublado

Por Esteban Lubensky
Gerente General
GMS


Seguridad Multinivel
Por Carlos Moreno Carrascal
Channel Account Manager
Trend Micro Latinoamérica


Seguridad Multinivel
Por Carlos Mario Reyes
Especialista de Producto
TECNASA El Salvador


Cloud & Virtualization Security

Por Carlos Rienzi
System Engineer
CISCO - Argentina


El Factor Gente en la Seguridad de la Información

Por Sandra Da Silva
Analista de Infraestructura TIC
Petrobras Paraguay Distribución Ltd
.


Impacto de las Amenazas Físicas y Ambientales en la Seguridad de Data Centers y Cuartos de Cableado

Por Daniel A. Molina

APC by Schneider Electric

Territory Manager - Puerto Rico & Dominican Republic


WikiLeaks: 40 Minutos de Verdad

HÉCTOR MARIO DELGADO
GERENTE GENERAL - SOFTNET S.A
Medellín - Colombia


Arquitectura de Seguridad de la Información: Una lección pendiente para los CISO's

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


La lección que nos deja Wikileaks
Alfredo Zuccotti

Subgerente de Seguridad

Cooperativa Universitaria - Paraguay


Administración de Eventos de Seguridad
Stephen Fallas
Security Solution Architect – Latin America
Hewlett Packard - Disertante para Infosecurity Vip - Quito 2010



Copyright © 2012 ISEC. Todos los derechos reservados
Política de privacidad