He aquí los hallazgos de una breve investigación sobre la evolución de la seguridad informática y las amenazas a las que estábamos expuestos hace una década, hace cinco años y actualmente.
El incipiente 2001
Los resultados de diversas encuestas de seguridad informática entre 2000 y 2001, realizadas por firmas consultoras proveedoras de estos servicios, mostraban que entonces los planes de continuidad del negocio (BCP) en 75% de las empresas eran solamente eso: planes. Apenas un tercio de las empresas que consideraban una estrategia de continuidad ya había puesto a prueba sus BCP.
El incipiente comercio electrónico se enfrentaba al gran temor de la inseguridad, pues solamente 33% de los encuestados por Ernst&Young a nivel mundial se decían seguros de que podrían detectar un ataque de hackers. De hecho, aunque 80% de las empresas europeas encuestadas manifestó no haber experimentado un ataque por intrusión durante el pasado año, solamente 33% de las mismas confiaban en su capacidad de detectar un ataque.
El tema de concientizar a los usuarios empezaba a cobrar relevancia. Poco más de la mitad de las empresas encuestadas decían que ésta era su prioridad. Otros rubros relevantes eran la adquisición de herramientas o soluciones de seguridad, la disponibilidad de personal apto, el presupuesto, y el apoyo de la alta dirección.
El tema de tercerizar recursos y servicios en materia de seguridad no había ganado aún muchos adeptos – las encuestas situaban esta tendencia entre un 30 y 40% de aceptación. Sin embargo, los departamentos internos de TI se mostraban incapaces de cumplir con la demanda de servicios de seguridad y control para las empresas, en cuanto al nivel de servicios, la escasa capacidad de respuesta y la inhabilidad para alcanzar las expectativas esperadas.
2006, año de aplicar las lecciones
Un estudio realizado este año por la revistas CSO y CIO, en conjunto con PricewaterhouseCoopers, reveló que los ejecutivos de seguridad informática estaban aprendiendo y mejorando en la implementación de políticas y tecnologías de seguridad, pero seguían propensos a comportamientos arriesgados.
De acuerdo con el estudio, eran más independientes en cuanto a lo financiero, con presupuestos de seguridad subiendo a tasas de dos dígitos. Sin embargo, la mayoría de los ejecutivos con responsabilidades en seguridad habían progresado poco en implementar medidas de seguridad que podrían haber prevenido muchos de los problemas de seguridad este año. Solo el 37% dijo tener una estrategia de seguridad general.
En ese año destacó el gran número de organizaciones que reportaron pérdida de laptops con datos personales sin encriptar de millones de clientes. De manera similar, después del huracán Katrina, que arrasó con la costa del Golfo de México, la mayoría de las compañías no tenían un plan de recuperación de desastres. Más aún, gran parte de los ejecutivos de seguridad admitieron que no estaban cumpliendo con las regulaciones locales, nacionales e internacionales que les correspondían a sus organizaciones.
Aunque más de la mitad de las compañías en todo el mundo aún no contaban con un cargo específico para tomar responsabilidad por la tarea de seguridad de información en la empresa, el lado positivo es que más compañías empezaron a integrar la seguridad física y la de la información. Además, el personal de TI metió manos a la obra para hacer los arreglos pertinentes en sus tecnologías y procesos y hacerlos más seguros.
Las compañías del sector financiero –bancos, compañías de seguros, inversionistas– se posicionaron como las que más invirtieron en seguridad y tenían más prisa por hacerlo. La razón era obvia: el dinero es el objetivo principal de los criminales cibernéticos, incluyendo las mafias, hasta los terroristas.
Candente 2011
Las encuestas este año señalan la pérdida de datos o fuga de información como la principal preocupación en materia de seguridad informática. El grado de concientización en torno al valor de la información se ve en franco aumento, por lo que los incidentes relacionados con este recurso inquietan a las organizaciones tanto por los costos asociados como por los riesgos relacionados a la reputación de la empresa. El caso Wikileaks, ocurrido a fines de 2010, contribuyó a posicionar en primera plana la problemática.
Los códigos malicioso siguen causando problemas y se posicionan entre las primeras cinco amenazas que más preocupan y afectan a usuarios y organizaciones en todo el mundo.
Los indicadores de concientización acerca de la importancia de adecuadas políticas de gestión de seguridad informática en las empresas resaltan un avance en la materia que, sin embargo, encuentra dificultades como el presupuesto o la capacitación para llevarse a la práctica. Si se considera el crecimiento en el uso de las redes sociales, este tema debería revisarse para mantener el nivel de seguridad empresarial aceptable.
Otras amenazas a la seguridad informática, según varios expertos mundiales, son: el mal uso de los aparatos móviles por parte de los usuarios, el cifrado del dispositivo y del canal de comunicación, generación y almacenamiento de certificados digitales. También destacan el creciente robo de dispositivos móviles con información sensible almacenada, vulnerabilidad y ataques por delincuentes, seguridad de las aplicaciones firmadas y sin firmar, intervención fraudulenta de teléfonos móviles, aplicaciones y transacciones financieras, comerciales y bancarias, entre otras.
Además, la pérdida o robo de este tipo de dispositivos abrirá una nueva preocupación corporativa, dado que estos productos transportan cada vez más información sensible. Se espera asimismo que aumente el número de programas maliciosos -o malware- dirigido a este tipo de productos.
Por otro lado, podemos esperar que continúen los ataques cibernéticos dirigidos a países, como los que se vieron con el gusano Stuxnet; debido a que los controles tradicionales de seguridad no los detienen, los gobiernos tendrán que preparar nuevas estrategias para defenderse.
Finalmente, se espera que el mundo de los hackers maliciosos cambie. La tendencia es que se agrupen para colaborar en ataques de relevancia o se integren a organizaciones criminales con la capacidad económica de seguir invirtiendo en tecnología para ejecutar sus planes.
Amenazas informáticas actuales
Los estudios de diversas firmas de consultoría resumen como las mayores amenazas a la seguridad informática, las siguientes:
1. Ataques cibernéticos a países
2. Robo interno de información (empleados)
3. Ataques contra navegadores
4. Seguridad y privacidad en Redes Sociales
5. Robo de archivos y no de base de datos
6. Seguridad en la nube
7. Mayor riesgo en teléfonos inteligentes y tabletas
8. Menos hackers, pero más poderosos
9. Seguridad informática en redes corporativas
10. Leyes para proteger la seguridad de los datos privados
Tomando en cuenta este escenario, la propuesta de seguridad para el presente y el futuro no debe plantear al antivirus como un programa, sino como un servicio descargable desde la nube para todas las tecnologías, aplicaciones y dispositivos disponibles en el mercado. (Vale la pena ver un video gráfico en la liga: http://malware-world.blogspot.com/2010/06/la-evolucion-de-la-seguridad.html)
