¿Qué sucedió y qué está por venir en seguridad y privacidad? - Entrevista a Mariano del Río
En el comienzo de este nuevo año, desde el Observatorio de INTECO,
creemos que es interesante lanzar una reflexión tanto de lo que ha
acontecido en seguridad de la información y privacidad durante este
último año, como de lo que está por venir en 2012. Y para ello, quién
mejor que nuestros expertos colaboradores del Blog de la Seguridad de la
Información.
A lo largo de varias entregas, iremos publicando las entrevistas que hemos mantenido con estos profesionales (informáticos, abogados, consultores, profesores universitarios, periodistas, etc.) que trabajan en el ámbito de la seguridad y la privacidad TIC. Como veréis el resultado obtenido es una rica y heterogénea amalgama formada por diversos puntos de vistas y experiencias.
A todos ellos les hemos pedido que respondan a dos sencillas preguntas: qué destacarían de lo sucedido en materia de seguridad y privacidad en 2011 (#resumen2011) y qué está por venir a lo largo de este año que comienza (#prospectiva2012).
Inauguraremos esta colección con la opinión de Mariano del Río (@mmdelrio), consultor en seguridad de la información y experto en seguridad relacionada con el cloud computing y miembro del Board del capítulo argentino de Cloud Security Alliance (CSA), y frecuente colaborador de este Blog.
¿Cuáles han sido los principales acontecimientos de seguridad y/o privacidad producidos en 2011?
Podríamos decir que el 2011 fue el año más fuerte de impulso y adopción de soluciones basadas en cloud computing hasta la fecha. Esta "nueva" modalidad de servicios de TI presenta una gran cantidad de beneficios, tanto económicos como tecnológicos, que bien gestionados podrían facilitar ampliamente el gobierno de TI, la reducción de costes y en definitiva el acercamiento los servicios de TI al negocio que corresponda.
Pero todo no es tan sencillo, las guías de seguridad recomiendan que aquellas organizaciones que decidan ir hacia soluciones en cloud, tengan un cierto grado de madurez en lo que a la gestión de TI se refiere, el correspondiente análisis de riesgos y que la adopción de los servicios en cloud computing se realicen en forma paulatina, con el objetivo de minimizar el impacto en la Organización. Lo que se pudo observar durante todo el 2011 es que esto en líneas generales no se ha realizado y muchas empresas podrían haber priorizado los aspectos económicos (de corto plazo), dejando de lado aquellas aspectos de seguridad que permitan llevar a cabo la migración en un nivel de riesgo aceptable.
¿Se pueden apuntar tendencias para el 2012?
Recientemente se ha producido un caso relevante de seguridad en relación a cloud computing, con el cierre de Megaupload. Si bien este caso está más relacionado con los derechos de autor, muchos usuarios legítimos del portal podrían haber perdido información personal/confidencial.
Aunque este caso es muy particular, desde el plano de la seguridad se pone en duda la "disponibilidad" de la información en los servicios de cloud computing. Incluso grandes referentes de cloud computing recomiendan no hacer más backups, dado que la información se encuentra en muchos sitios y en forma redundante...Y yo me pregunto: ¿los usuarios legítimos de Megaupload habrán realizado sus resguardos o confiaron la información al proveedor de servicios de cloud?
En definitiva casos como el comentado dejan claro que si bien el cloud computing puede ser un factor competitivo al momento de optar por un determinado servicio de TI, la responsabilidad por el cuidado de la información sigue siendo del usuario/Organización, con las particularidades que incorpora el cloud computing.
Creo que durante 2012 se presentarán muchos más incidentes, aún más que durante 2011, donde ya tuvimos un año muy fuerte con las principales empresas de cloud computing afectadas.
Este año a los grandes jugadores del cloud computing se le suman las empresas que han migrado hacia soluciones de cloud y que podrían comenzar a sufrir la falta de gobierno y análisis de riesgos, con la consecuente materialización de incidentes de seguridad.
El hacktivismo les dará grandes dolores de cabeza tanto a proveedores de servicio como a las Organizaciones que apoyen cualquier acción que los grupos de protesta consideren amenazante. En relación a este punto, se habla mucho de los distintos ataques DDoS, pero ¿quién lo está considerando como una amenaza real al momento de realizar análisis de riesgos? ¿Quién está libre de ser víctima de un DDoS?
En definitiva, el cloud computing podría ser el factor impulsor de aquellos procesos clave de seguridad de la información que las regulaciones no lograron establecer y que incluyen a la clasificación de activos, gestión de riesgos, incidentes, cambios, en definitiva, el involucramiento de la seguridad de la información a lo largo de la Organización. Quizás sea el 2012 el año en que esos viejos proyectos de clasificación de información y gestión de activos se ejecuten definitivamente, o veremos los resultados en los distintos incidentes.
Fuente: Inteco
A lo largo de varias entregas, iremos publicando las entrevistas que hemos mantenido con estos profesionales (informáticos, abogados, consultores, profesores universitarios, periodistas, etc.) que trabajan en el ámbito de la seguridad y la privacidad TIC. Como veréis el resultado obtenido es una rica y heterogénea amalgama formada por diversos puntos de vistas y experiencias.
A todos ellos les hemos pedido que respondan a dos sencillas preguntas: qué destacarían de lo sucedido en materia de seguridad y privacidad en 2011 (#resumen2011) y qué está por venir a lo largo de este año que comienza (#prospectiva2012).
Inauguraremos esta colección con la opinión de Mariano del Río (@mmdelrio), consultor en seguridad de la información y experto en seguridad relacionada con el cloud computing y miembro del Board del capítulo argentino de Cloud Security Alliance (CSA), y frecuente colaborador de este Blog.
¿Cuáles han sido los principales acontecimientos de seguridad y/o privacidad producidos en 2011?
Podríamos decir que el 2011 fue el año más fuerte de impulso y adopción de soluciones basadas en cloud computing hasta la fecha. Esta "nueva" modalidad de servicios de TI presenta una gran cantidad de beneficios, tanto económicos como tecnológicos, que bien gestionados podrían facilitar ampliamente el gobierno de TI, la reducción de costes y en definitiva el acercamiento los servicios de TI al negocio que corresponda.
Pero todo no es tan sencillo, las guías de seguridad recomiendan que aquellas organizaciones que decidan ir hacia soluciones en cloud, tengan un cierto grado de madurez en lo que a la gestión de TI se refiere, el correspondiente análisis de riesgos y que la adopción de los servicios en cloud computing se realicen en forma paulatina, con el objetivo de minimizar el impacto en la Organización. Lo que se pudo observar durante todo el 2011 es que esto en líneas generales no se ha realizado y muchas empresas podrían haber priorizado los aspectos económicos (de corto plazo), dejando de lado aquellas aspectos de seguridad que permitan llevar a cabo la migración en un nivel de riesgo aceptable.
¿Se pueden apuntar tendencias para el 2012?
Recientemente se ha producido un caso relevante de seguridad en relación a cloud computing, con el cierre de Megaupload. Si bien este caso está más relacionado con los derechos de autor, muchos usuarios legítimos del portal podrían haber perdido información personal/confidencial.
Aunque este caso es muy particular, desde el plano de la seguridad se pone en duda la "disponibilidad" de la información en los servicios de cloud computing. Incluso grandes referentes de cloud computing recomiendan no hacer más backups, dado que la información se encuentra en muchos sitios y en forma redundante...Y yo me pregunto: ¿los usuarios legítimos de Megaupload habrán realizado sus resguardos o confiaron la información al proveedor de servicios de cloud?
En definitiva casos como el comentado dejan claro que si bien el cloud computing puede ser un factor competitivo al momento de optar por un determinado servicio de TI, la responsabilidad por el cuidado de la información sigue siendo del usuario/Organización, con las particularidades que incorpora el cloud computing.
Creo que durante 2012 se presentarán muchos más incidentes, aún más que durante 2011, donde ya tuvimos un año muy fuerte con las principales empresas de cloud computing afectadas.
Este año a los grandes jugadores del cloud computing se le suman las empresas que han migrado hacia soluciones de cloud y que podrían comenzar a sufrir la falta de gobierno y análisis de riesgos, con la consecuente materialización de incidentes de seguridad.
El hacktivismo les dará grandes dolores de cabeza tanto a proveedores de servicio como a las Organizaciones que apoyen cualquier acción que los grupos de protesta consideren amenazante. En relación a este punto, se habla mucho de los distintos ataques DDoS, pero ¿quién lo está considerando como una amenaza real al momento de realizar análisis de riesgos? ¿Quién está libre de ser víctima de un DDoS?
En definitiva, el cloud computing podría ser el factor impulsor de aquellos procesos clave de seguridad de la información que las regulaciones no lograron establecer y que incluyen a la clasificación de activos, gestión de riesgos, incidentes, cambios, en definitiva, el involucramiento de la seguridad de la información a lo largo de la Organización. Quizás sea el 2012 el año en que esos viejos proyectos de clasificación de información y gestión de activos se ejecuten definitivamente, o veremos los resultados en los distintos incidentes.
Fuente: Inteco
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!