Por esta época en 2006 se desarrolló un ejercicio de predicciones que se esperaba no se cumplieran, algo extraño, pero la idea era que las consideraciones expuestas no fueran la constante durante el 2007.

En este contexto, veamos a ver si NO se cumplieron las predicciones efectuadas.

Predicción No.1 - Mientras las organizaciones no adelanten los ejercicios de clasificación de la información y que éstos, sean el sustrato para el fortalecimiento de la cultura de seguridad de la información, se hará cada vez más complejo, gobernar la inseguridad informática.

Análisis: ***** Se adelantaron en muchas organizaciones ejercicios de clasificación de datos, pero nuevamente dado que no se ha interiorizado el tema de seguridad, sigue siendo un tópico que es de “los de seguridad informática” o “de los informáticos ”. Efecto neto mayor complejidad en el gobierno de la información.

Predicción No.2 - Las acciones de cumplimiento relacionadas con las buenas prácticas y regulaciones que, cada vez con más frecuencia se delinean por los gobiernos, deben generar espacios para la concertación de estrategias para administrar la inseguridad y no como mecanismos para forzar y mostrar resultados. Si esto último se hace la norma, la inseguridad de la información será fuente permanente de incumplimientos y sanciones.

Análisis: ***** Las normas que se han ido liberando están en la línea de cumplimiento formal. No se notan incentivos por el complemento, es decir, evaluaciones que demuestren que un adecuado nivel de cumplimiento de la regulación genere incentivos para las organizaciones frente a sus competidores. Desafortunadamente cada vez más se cumple esta predicción.

Predicción No. 3 - El factor humano es el enlace fundamental en la administración de la inseguridad. Si continuamos evadiendo la responsabilidad de formar dicho factor en el contexto de la realidad organizacional y sus valores, la inseguridad tendrá el nicho perfecto para crecer y evolucionar.

Análisis: ***** Los niveles concientización actuales sobre el tema de seguridad están atados a normativas y regulaciones internas. En este sentido, la seguridad y el cumplimiento de sus directrices, por lo general es obligado y orientado a incumplimiento, castigo y sanción.

Predicción No.4 - El Web es la condición natural de la comunicación de los individuos en Internet, si no continuamos entendiendo sus limitaciones y cómo esta afectan a los usuarios, tendremos en la telaraña mundial, un tejido de inseguridad emergente mucho más complejo y variado.

Análisis: ***** Sin lugar a dudas es el sitio predilecto de los atacantes. El tejido de la inseguridad se ha ampliado, pues el atacante sabe que ese es el punto más débil de la cadena y que se profundiza con los malos hábitos y poca formalidad en la construcción de aplicaciones menos inseguras.

Predicción No. 5 - Si no cambiamos nuestra manera de enfrentar el desafío de la seguridad de la información, por una reflexión profunda de su dual, la inseguridad, cederemos más terreno en la comprensión de la administración de la seguridad.

Análisis: ***** Por un lado se ha cedido terreno en lo relacionado con las personas y procesos, pero se ha acortado en los temas de tecnologías de seguridad. Si bien la industria de seguridad cada día es más conciente de la vulnerabilidad y la falla, formalizando mayores controles de calidad; debe avanzar en reconocer su responsabilidad cuando su producto es el causante del incidente de seguridad, claro no por su inadecuada configuración, sino por deficiente aseguramiento y construcción. Las buenas prácticas y estándares buscan ordenar e identificar los procesos de seguridad de la información, pero no profundizan en la variable humana que es la que hace realidad la misma. Allí hay un terreno importante de investigación que está abierto para el que quiera explorar y encontrar nuevas formas de entender y repensar la práctica de la seguridad.

EL RIESGO DE PREDECIR LO QUE PASARÁ EN 2008

Siempre es un reto y un riesgo tratar de hacer predicciones y más en seguridad de la información, mejor en inseguridad de la información. Conforme la inseguridad avanza, nuevas estrategias de protección se generan, lo cual nos muestra que la industria de seguridad, en términos tecnológicos, es una de las más activas en el mundo. Bien, en este sentido trataremos de hacer una visión hacia delante sobre las variaciones y efectos de la inseguridad informática considerando los actuales móviles de las actividades que se han manifestado y prometen seguir en 2008.

1. Evoluciona la “ciberguerra fría ”

Tal como lo manifestó el Informe de Criminología de Mcafee recientemente, se abre la puerta a una manera de espionaje, operaciones encubiertas, ciber agentes secretos, altamente entrenados para enfrentar las barreras de las naciones en la protección de su información. El tema de protección de infraestructura crítica estará a la orden de día,
pues se advierten ya muchas formas de penetrar los escudos y defensas de las naciones industrializadas, las cuales ven en esta tendencia una amenaza real y tangible, algo que no puede pasar de desapercibido y requiere recursos y atención especializada. Si en el pasado la guerra fría era la amenaza nuclear, ahora la amenaza se establece en ataques masivos y toma de control de principales sistemas de misión crítica de un estado como son: la banca central, el sistema bancario, los servicios públicos, los hospitales y servicios de emergencia, gasoductos y poliductos, entre otros.

2. Se transforma la inseguridad en las aplicaciones

La rápida apropiación del web y las posibilidades de tener mayores servicios e interacción, abre nuevas relaciones que aún no conocemos con claridad y que serán objeto de análisis y revisión tanto por analistas de seguridad como por los intrusos. El paso de las aplicaciones orientada al WEB, basada en interacción sobre el protocolo http a una donde los mensajes que viajan son XML, establecen un nuevo paradigma en
las aplicaciones denominado Web Services. La promesa de estas nuevas tecnologías es tener acceso a los servicios en cualquier momento, en cualquier lugar, sin preocuparse por la implementación del mismo, sólo utilizarlo o como dirían los programadores, consumirlo. En este nuevo contexto, los riesgos de seguridad cambian y ahora ya las
medidas de seguridad heredadas del mundo web y del mundo cliente/servidor no son
aplicables en toda su dimensión, con lo cual sugiere repensar nuevamente la inseguridad informática por parte de los programadores.

3. Se acentúa la amenaza de incidente de seguridad interno

El factor humano es y será parte de ese eslabón débil de la cadena de la seguridad. Una cadena que tiene tantas debilidades o inseguridades como las personas mismas. Pero igualmente tantas oportunidades y desafíos como las inquietudes y creaciones de las personas que hacen parte de la organización. Esta paradoja de la seguridad informática,
plantea un escenario de múltiples variables y componentes que deben ser parte de la agenda del estratega de la seguridad de la información. Las personas son la fuente de las amenazas y de los controles, luego un estudio juicioso de esta realidad es necesario, no para resolver esta variable en la ecuación de la seguridad, sino para repensarla y explorar nuevas posibilidades de control, entendiendo éste concepto, como la capacidad de orientación para llevar el sistema a un mejor funcionamiento.

4. Las iniciativas normativas y regulatorias se hacen más evidentes

Las noticias tanto nacionales como internacionales sobre exposición de datos, fugas de información, transacciones electrónicas fraudulentas, robos de identidades entre otras,
ha alertado a las organizaciones gubernamentales sobre la realidad de la inseguridad de la información y los impactos de ésta en la competitividad de las naciones. En este
sentido, propuestas de regulación en Colombia como la de la Circular 052 de 2007 de la Superintendencia Financiera, el proyecto de Ley de Habeas Data (en revisión por parte de la Corte Constitucional), las directrices de la resolución 1732 de 2007 de la Comisión Reguladora de Telecomunicaciones, son iniciativas que tomarán fuerza, como una respuesta del gobierno ante la realidad de los escenarios de falla propios a los sistemas de información y de las comunicaciones. Es probable que esto sea el inicio de otras regulaciones que se estén preparando ante la realidad de un mundo interconectado y global.

5. Muchos estándares, muchos procedimientos, poco gobierno y poca interiorización en seguridad de la información.

Hemos experimentado durante los últimos 10 años una explosión de estándares, buenas prácticas y recomendaciones sobre la seguridad de la información que buscan ofrecer a las organizaciones lineamientos para organizar y administrar este tema. El resultado de la aplicación de los mismos ha llevado a mejorar la formalización de la práctica de seguridad en términos operacionales y tácticos, algo que, si bien es positivo, nos ha rezagado en la madurez de la función de seguridad informática. Este rezago se debe que estamos trabajando en el fortalecimiento de la credibilidad y funcionalidad de los
procesos de seguridad informática, pero no se avanza formalmente en la proyección e interiorización de los mismos en las instancias de gobierno. La seguridad de la información se percibe como “algo que otros piensan por mi ” y no como algo de lo cual “yo soy responsable ” como “primer custodio de la información ”. En este escenario se plantea una paradoja interesante, por lado querer cumplir con la regulación que
sobre el tema se manifieste y por otro, “creerme ” que el tema es importante, no sólo por las sanciones que me pueden llegar si incumplo la norma, sino como elemento estratégico para darle mayor valor a los clientes y al negocio, es decir, dejar de asumirlo como gasto y entenderlo como inversión.

Autor del Artículo: