Hola,
Aprovechando que va quedando menos para el fin de año, aquí os dejo algunas ideas para el 2011. Algunas están estrictamente relacionadas con la seguridad, otras sólo en parte. No deja de ser un ejercicio en que se pretende arrojar ideas, las cuales sois libres de comentar :)
Tranquilos, que no son muchas, y están escritas en un tono coloquial para no parecer muy dramático. Allá vamos.
- La gente seguirá confundiendo la seguridad doméstica y la corporativa. Nos queda mucho por recorrer para explicar cosas tan básicas como por qué una organización no puede parchear un sistema operativo nada más salir un parche, por qué es ineficiente -e inalcanzable- pretender tener una seguridad que arañe el 100% o por qué no es lo mismo mantener y monitorizar dos ordenadores en tu cuarto que 50.000 PCs en los 5 continentes. ¿Suena obvio, verdad? Pues yo todavía sigo escuchando a gente decir «no entiendo como esa empresa lleva dos meses sin actualizar los servidores«.
- La gente seguirá perdiendo el tiempo comparando Windows y Linux. Esto no cambiará jamás, especialmente en lo que a seguridad se refiere. Estamos todavía lejos de que la gente comprenda que en el mundo de los sistemas operativos lo que es verdaderamente relevante es obtener mantenibilidad, usabilidad, rendimiento y seguridad en la justa proporción según el caso, y que esto se puede hacer con CUALQUIER sistema operativo. Hay que seguir trabajando en explicarle a la gente que en los negocios el riesgo está, además de en el sistema, en otros aspectos como el proceso en sí, el riesgo operacional, las aplicaciones, las comunicaciones, la motorización, lo bien que se haga la configuración de seguridad …
- Muchos seguirán teniendo una versión limitada y obtusa del cloud computing. Para estos sujetos, este tipo de modelo seguirá estando exclusivamente representado por el uso de Windows Live Office, Google Docs, el Facebook, sus adláteres y usar un netbook con Chrome OS. Habrá que dedicar esfuerzos en 2011 para explicar que hay vida más allá de esa visión: centros de datos con replicación en tiempo real, interconexión MPLS -mira que tiene años-, almacenamiento virtual, accesos a infraestructura crítica desde localizaciones remotas, reducción de costes energéticos, el trabajo con terceras partes, los SLA, la dificultad en la contratación, los problemas legales debidos al cumplimiento, los nuevos modelos de seguridad, donde unos explotan y otros administran infraestructura, y ese largo etcétera que desarrollaremos en el blog convenientemente. Y sí, seguirá habiendo aburridos eventos de seguridad en los que sólo se hable de cloud computing y en los que se repiten una y otra vez las mismas monsergas teóricas que llevamos oyendo años, sin poner en lo alto de la mesa soluciones reales.
- Muchos verán en el NAC y el DLP sus nuevos santos griales, pero cuando acudan al mercado y se enteren de lo que cuesta implementar y mantener este tipo de soluciones, se les quitará de la cabeza. En el mejor de los casos, se exprimirán los cerebros para ir aproximándose a estos modelos gradualmente y en el caso ideal, se darán cuenta antes de extender el talonario que este tipo de estrategias requiere una madurez muy fuerte, en cuanto a tecnología, procesos y personas, que por lo general no está presente.
- La gestión de identidades será objeto de deseo de muchas organizaciones, pero pocas serán capaces de implementar con éxito un modelo completo de provisión de identidades, gestión de roles y responsabilidades y mecanismos de cumplimiento. Amigos, esto no es un cuestión de comprar software, servidores y mano de obra barata, aquí hay que analizar de cabo a rabo los procesos -TODOS- que tienen que ver con identidades, hay que tener una estructura clara para completar el programa, hay que definir un modelo de identidades, hay que elegir bien a los implementadores y hay que trabajar mucho y duro para mantener. Los beneficios son espectaculares, pero esto no es moco de pavo. Seamos graduales, que atragantarse con este bocado es lo que normal en el 99% de los casos si se mastica demasiado rápido.
- Los que nos dedicamos a la investigación forense estamos de enhorabuena: de extraños sujetos aptos cuasi exclusivamente para recopilar evidencias para llevarlas al juzgado seremos, poco a poco, consultados más y más, ya no sólo por los problemas de fuera, sino los de dentro. En un mundo global e interconectado, las aportaciones de un equipo forense pueden ser determinantes en cada vez más y más escenarios.
- El malware seguirá haciendo mella en los bolsillos de los usuarios y en la información clasificada de las organizaciones. Y poco podemos hacer para evitarlo, más allá de volver a plantearnos qué estamos haciendo bien, que estamos haciendo mal, y cuál es el mejor camino de reducir al mínimo los problemas que derivan del malware. La situación es tan grave que hay que volver a examinarlo todo, analizar todos los procesos y determinar dónde fallan los controles. Este es un problema que va para largo, y más vale ir adquiriendo una mentalidad a largo plazo, no cortoplacista. Y por favor, vamos a bajarnos del caballo en el que este problema se resuelve con antivirus, HIPS y NIDS/NIPS, que ya ha quedado claro que no son suficientes.
- Complementando a lo anterior, Los 0-day serán frecuentes y los ataques dirigidos, el pan nuestro de cada día. Los amigos de lo ajeno son conscientes de que aquí hay oportunidades claras y manifiestas para llenar sus cuentas corrientes, y van a seguir en su línea, profesionalizándose más y más, poniéndonos las cosas cada vez más difíciles. Y estos van a estrujar hasta ahogar.
- Después de n años vaticinando que este sería el año de IPv6, parece que de una vez por todas, así va a ser. No ahondaré más en el asunto, que peores cosas hemos visto :)
- El imparable avance tecnológico y las cada vez más crecientes tasas de penetración de las tecnologías en la sociedad seguirán siendo muy relevantes, pero en paralelo, como no podía ser de otro modo, la movilidad, el número de víctimas potenciales, la más que previsible falta de formación de muchos de ellos y los modelos sociales 2.0 harán que esto sea una fiesta para los amigos de los ajeno y para aquellos que están recopilando información personal (legal e ilegalmente) para luego venderla al mejor postor. Pasen y vean, el show no ha hecho más que comenzar.
En fin, solo sólo 10 ideas de las muchas que podríamos escribir. Si ves que falta algo, o si estás en contra de alguno de los argumentos, eres libre de dejar tu comentario :)
Un saludo,
¿ Qué opinas de la proliferación de ataques cuyo origen es del más alto nivel, como Stuxnet o la redirección de tráfico hacia servidores chinos ?
Cada vez se oye más que los gobiernos pueden estar usando puertas traseras en nuestro software. Ya se que BSD lo ha desmentido en su caso pero ¿ ves tendencia en esto ?
En el apartado de tendencias yo apuntaría el desarrollo de nuevos instrumentos financieros populares como las tarjetas de crédito prepago que pese a su indudable interés para colectivos con un protagonismo cada vez mayor en la era de la movilidad (estudiantes, parados, menores en tránsito, beneficiarios de ayudas sociales, representantes de comercio, etc.) parecen diseñados ex profeso para delincuentes informáticos y muleros. Algunas de estas tarjetas no requieren comprobaciones de solvencia ni más allá de un pasaporte escaneado para su emisión, y tienen su cuenta asociada a través de números codificados.
A modo de ejemplo:
http://www.groupactiv4-x.com/
Creo que este es un fenómeno interesante y con importantes repercusiones de seguridad, sobre todo después de la conmoción creada en los medios por el robo de material informático en Francia por la banda terrorista ETA.
José María,
Lamentablemente la información existente en ataques de este tipo es tan limitada que no me atrevo a mojarme. Quiero pensar que estas cosas han ocurrido siempre, y seguirán ocurriendo, pero es difícil aventurarse a hablar de algo de lo que apenas se sabe. Por mero sentido común te responderé que sí, que esto seguirá pasando, pero no creo que sea algo que descubramos y sepamos con todo lujo de detalles :)
Patxi,
En el mundo financiero ya se sabe que la seguridad va corriendo detrás de los requisitos del negocio. Este tipo de instrumentos que comentas, bien gestionados, son perfectamente válidos y seguros pero como todo en esta vida, hay situaciones en las que se pueden generar conflictos de seguridad. También dependerá del país emisor, ya que hay sitios donde la regulación de prevención de blanqueo es fuerte y rigurosa, como en España, donde yo no percibo tanto riesgo, y sitios donde es casi inexistente, como en ciertos paraisos fiscales, donde nuevamente se genera oportunidad para los amigos de lo ajeno.
Intentaré hacer durante 2011 un seguimiento más cercano a los medios de pago. Es un campo que tiene que dar mucho más de si, tanto en lo bueno como en lo malo.
Un saludo a ambos y perdonad la demora en la respuesta :)