Home Tags Posts tagged with "seguridad"

seguridad

¡Seguridad y privacidad amenazadas! El impacto de la era digital

Por David Mondragón Tapia

En la realidad del ser humano de nuestros días, existen diferentes tendencias tecnológicas como el internet de las cosas (IoT), el cómputo en la nube (cloud computing), la generación y el aprovechamiento de enormes volúmenes de datos (big data), el uso de tus propios dispositivos y tecnologías de trabajo e interacción (consumerization of IT), entre otras tendencias (otros ejemplos: RPA, AI, ML o Robots), que han venido a acelerar lo que hoy a mi juicio conforma el núcleo de lo que llamamos, la “transformación digital”.

A la par de esta transición, la transformación digital requiere para su correcta consolidación, de la transformación humana y no solo de una transformación en la forma en cómo se hacen las cosas (técnica) o de los medios con qué se realizan estas (tecnológica) o de los productos y/o servicios qué se involucran (negocio), sino que se requiere sobre todo de la transformación de la mente, de sus ideas, valores, creencias, conocimientos, actitudes y de sus experiencias (cultura).

¡Lograr esta transición en poco tiempo, es un gran reto!, más aún si lo juzgamos ante lo que dice la historia y la evidencia que existe hasta ahora, sobre la velocidad que ha mostrado el ser humano para evolucionar en el tiempo.  El hombre o mujer del siglo XXI, necesita transformar su mente en períodos que van de quinquenio en quinquenio, o cuando mucho de década en década.

Internet y sus orígenes: primer acercamiento a la transformación en marcha

De acuerdo con algunas fuentes documentales, fue en los años 60 del siglo XX que la nación de los Estados Unidos de América, decidió crear una red con fines militares llamada ARPANET, para asegurar el acceso a la información militar en caso de un posible ataque soviético (o la URSS).  Dicha red inició con cuatro computadoras distribuidas entre algunas universidades de los EUA y fue creciendo paulatinamente hasta que se incorporó el protocolo TCP/IP, que más tarde se convertiría en el estándar de comunicaciones dentro de las redes informáticas y que en nuestros días seguimos utilizando para conectarnos a internet.  El tiempo pasó y con este acontecimiento, en la década de los 80 del mismo siglo, la red ARPANET siguió creciendo y abriéndose al mundo, para posteriormente ser absorbida por otra red creada con fines académicos y científicos, llamada NSFNET (de la National Science Foundation).  Esta última red continuó su crecimiento y expansión, hasta finalmente llegar a ser lo que hoy en día conocemos como la red de INTERNET.

En la actualidad, el internet ha pasado a formar parte de la vida cotidiana de los seres humanos del siglo XXI, quienes tienen acceso desde sus propios dispositivos móviles de trabajo o interacción social, creándose con esto, una aplicación más de las muchas que aprovechan sus bondades, con lo que hoy se conoce como el Internet of Things o el internet de las cosas.

Internet of Things: segundo acercamiento a la transformación en marcha

El Internet of Things o internet de las cosas (por sus siglas en inglés IoT), es el uso del internet en o para las cosas cotidianas de la vida.  El internet de las cosas o IoT, es uno de los conceptos que está empujando la Cuarta Revolución Industrial, así como habilitando la transformación digital de las organizaciones.  El IoT conlleva la capacidad de interconectar mayormente objetos cotidianos, pero también dispositivos digitales (o tecnología que genera, almacena, procesa y/o transmite datos) con el internet; esto con el propósito de poder identificar y gestionar los objetos cotidianos a través de otros equipos (vía la automatización, robotización e inteligencia artificial) o a través del ser humano.  Con la consumerization del internet para la gestión de las cosas cotidianas, el manejo de los datos de diversa índole sobre la red abierta, se vuelve un tema de seguridad primordial para la protección de dicha información (ej. privacidad y protección de datos).

Consumerization of IT: tercer acercamiento a la transformación en marcha

De acuerdo con una encuesta realizada en tres países desarrollados (EUA, Alemania y Japón), para el año 2011 el 56% de las organizaciones estaba ya a favor de la consumerization of IT y para el año 2020, se espera que este porcentaje sea todavía mucho mayor.  Con la Cuarta Revolución Industrial, el internet y la movilidad, han impulsado otro de los llamados habilitadores de la transformación digital de las organizaciones, conocido como la consumerization of IT o el consumo de la tecnología de la información para el desempeño de las actividades cotidianas del trabajo o las actividades profesionales.

La consumerization of IT es la tendencia en los miembros de una organización, por utilizar sus propios dispositivos y/o tecnologías de la información, para desempeñar sus actividades diarias de trabajo, utilizando desde sus teléfonos inteligentes o cualquier otro tipo de dispositivo portátil, hasta sus identidades, sus cuentas de usuarios y/o plataformas tecnológicas preferidas.  Es cierto que con esta tendencia, las organizaciones se ven aliviadas en cuanto al gasto e inversión que debían realizar, con el fin de dotar a sus miembros de las herramientas o tecnología de trabajo necesaria, pero también es cierto que con esta tendencia, los riesgos relacionados con el manejo de la información relacionada con las actividades de las organizaciones, enfrenta nuevas amenazas y riesgos al incorporarse el concepto del Bring Your Own… (BYO…): device, identity, application o technology.

Tipos de consumerization of IT: ¿un mayor riesgo?

Desde el año 2005, Gartner anunció el uso del término “consumerization of IT”, destacándolo como una tendencia que vendría a cambiar los siguientes 10 años por venir, dentro de las actividades de trabajo, en casa y/o en tránsito, de la vida del ser humano.  Hoy rebasamos ya esa fecha de referencia, logrando entender los efectos iniciales del uso de los dispositivos y tecnología personal, así como la manera en que han venido a alterar a las organizaciones y con este hecho, la seguridad de la información requerida por estas.

Son ahora los consumidores informados (haciendo Shadow IT) y no los departamentos de TI, quiénes adquieren e invierten en los mejores dispositivos móviles, descargan las aplicaciones más útiles o populares, acceden a los servicios en línea más ad-hoc e integran las tecnologías más amigables para sus actividades tanto personales como de trabajo.  Así, en el entorno de las TICs ahora se habla de:

  • traer tu propio dispositivo al trabajo o BYOD (Bring Your Own Device),
  • traer tu propia identidad o cuenta al trabajo o BYOI (Bring Your Own Identity),
  • traer tu propia aplicación al trabajo o BYOA (Bring Your Own Application) y/o
  • traer tu propia tecnología al trabajo o BYOT (Bring Your Own Technology).

Es importante mencionar que todas estas vertientes, se dan en el contexto que sea necesario cubrir para poder desarrollar tus actividades o tareas cotidianas.

Privacidad y protección de datos: ¿también bajo riesgo?

En un entorno digital, en donde el manejo de los datos de diversa índole se dan con mayor frecuencia en entornos de trabajo abiertos, interconectados, mediante dispositivos digitales y con infinidad de posibilidades para su uso o mal uso, la privacidad y la protección de los datos -pero sobre todo de los datos personales-, cobra importancia para proporcionar un nivel mínimo de protección a las personas físicas, sin importar su naturaleza o posición.  Hoy en día, cumplir con leyes de este tipo es una prioridad y una obligación en México.

La privacidad de los datos personales en México y en el mundo, está protegida por leyes que se emiten en la materia, teniendo ejemplos de esto en Europa con el RGPD o Reglamento General de Protección de Datos y en EUA con las leyes HIPAA, FACTA y COPPA; en el caso de México, esta materia se rige por la LFPDPPP o Ley Federal de Protección de Datos Personales en Posesión de Particulares, vigente desde el año 2012 a la fecha junto con su reglamento de operación.

De acuerdo con algunos datos revelados y difundidos por la ALAPSI (Asociación Latinoamericana de Profesionales en Seguridad de la Información) dentro del evento InfoSecurity México 2019, menos del 30% de las empresas en México cumplen con la Ley Federal de Protección de Datos Personales.  ¡Una cifra alarmante!, sobre todo si se considera que es una obligación que debería cumplirse, o de lo contrario se sanciona fuertemente.  Baste recordar algunas de las implicaciones o sanciones, establecidas en los capítulos X y XI de la ley referida, por no cumplir con la debida protección de los datos personales:

  • Multas: se puede ser acreedor a una multa que va de las 100 hasta las 320,000 UMA (Unidad de Medida y Actualización) y en caso de reincidencia o infracción cometida en el tratamiento de datos sensibles, el monto se duplica.
  • Prisión: se podrán imponer penas desde 3 meses y hasta 5 años de prisión, a quien provoque una vulneración de seguridad a las bases de datos que contengan datos personales o a quien trate datos personales mediante el engaño; tratándose de datos personales sensibles, las penas se duplican.

De vuelta a las cifras publicadas por la ALAPSI, lo anterior quiere decir que menos de una tercera parte de las empresas de nuestro país, cuentan con sistemas de privacidad, realizan análisis de riesgos, implementan los controles necesarios y publican un aviso de privacidad (indicando el tratamiento a realizar en los datos, quiénes tienen acceso a estos, así como los llamados derechos ARCO, entre otros aspectos), según lo indica la ley.  Definitivamente este es un campo en el que aún hay mucho trabajo por hacer, de cara a la “era digital”.

Ciberespacio y cibernautas: ¿la gota que derramó el agua?

De acuerdo con el consenso de las definiciones documentadas sobre el tema, el “ciberespacio” es un ámbito artificial y virtual, que se crea a partir de las redes informáticas habilitadas para este fin y en donde ocurre una cadena de acontecimientos reales.  En el ciberespacio uno se puede encontrar con otras personas “navegando”, a las que se les confiere por esta última razón, el término de “cibernauta”.  Resulta curioso que en un espacio virtual, ocurran acontecimientos reales o se pueda comprometer la privacidad, de ahí la trascendencia que debe tener para nosotros.

Es en el ciberespacio en donde los cibernautas realizamos diariamente innumerables acciones, como parte de nuestra actividad personal y profesional, conllevando desde la realización de actividades educativas, sociales, de servicio, comerciales, financieras, de salud, de entretenimiento, para acceder a servicios públicos y privados, entre otras.  Es en este punto en donde los cibernautas nos volvemos vulnerables, a las actividades del crimen que se comete en el ciberespacio (también llamado “cibercrimen”).  La era digital nos lleva a convivir habitualmente en el ciberespacio o dentro de un mundo al que podemos llamar como “cibermundo”.

Pero y a pesar de los riesgos evidentes que hay en el cibermundo, ¿qué tan seguro es el ciberespacio?  Definitivamente, siempre habrá riesgos en cualquier espacio físico que exista dentro del planeta tierra e incluso me atrevería a asegurar que en el universo, nada está aislado del resto o por su cuenta, no siendo una excepción a esta regla el espacio virtual que se crea, en el ciberespacio.  Por ende, gestionar los riesgos vinculados al ciberespacio, adoptando una serie de medidas orientadas a salvaguardar la seguridad de los cibernautas, será siempre un práctica deseable y aconsejable para la seguridad de todos.

Seguridad de la información vs “BYO… y el IoT”

La tendencia del BYO… definitivamente ha llegado para quedarse al interior de las organizaciones.  No sacar ventaja de esta situación, puede traer consecuencias graves para estas últimas en materia de productividad, innovación, competencia, posicionamiento, tecnología y clima laboral.

Permitir que los miembros de la organización se auto-provean de los medios y herramientas tecnológicas necesarias para desempeñar su trabajo, no debe ser objeto de prohibición, sobre-regulación o un riesgo inevitable para la seguridad de la organización.  Por el contrario, debemos integrar la seguridad de la información a esta nueva modalidad de trabajo (seguridad digital), estableciendo los controles necesarios para salvaguardar la confidencialidad, integridad y disponibilidad de la información de la organización, sin eliminar o afectar la flexibilidad y potencial de la tecnología de la información suministrada por los usuarios.  No podemos evitar ya que los usuarios de las tecnologías digitales, las utilicen para su beneficio personal y laboral, pero sí podemos regular hasta cierto punto, algunos aspectos relacionados con los riesgos que implica utilizar la tecnología personal, estableciendo controles sencillos y básicos, que faciliten la integración de los BYO… con los servicios e información de las organizaciones, de una manera segura y práctica.

Por otro lado, el uso del internet para la gestión de las cosas cotidianas de la vida, ha implicado, implica y seguirá implicando hacia adelante para los seres humanos y su entorno, enfrentar algunos riesgos vinculados con los contenidos y las acciones criminales, de las cuales no se encuentra exenta la red y que encuentran siempre huecos entre las naciones, sus fronteras, sus legislaciones y sus culturas, comprometiendo así la seguridad de las personas y su información, dentro del llamado “ciberespacio” o espacio creado virtualmente dentro de la red de internet.  Ante tal situación de riesgo, uno encuentra dos posibles caminos a seguir:

1) Internarse de manera segura dentro del ciberespacio creado por el internet, teniendo conciencia de los riesgos que esto conlleva y adoptando una cultura de seguridad de la información pertinente.

2) Retirarse del uso del internet, asumiendo los costos de oportunidad u obsolescencia que dicha decisión pudiera generar.

La realidad es que en la actualidad el IoT y la consumerization of IT, nos empuja a seguir utilizando el internet y la movilidad como un medio más para la vida, por lo que la única opción viable es crear una cultura de seguridad de la información, que nos lleve a prevenir riesgos vinculados con:

  • el robo o daño de información,
  • los ataques a sistemas o equipos,
  • la suplantación de identidad,
  • la venta de datos personales,
  • el robo de dinero, entre otros delitos.

“BYO… y IoT” vs Seguridad de la información: conclusiones

En pleno siglo XXI, tendencias tecnológicas como el cómputo y los servicios en la nube, el marketing y el uso de los medios sociales, el internet y la movilidad, entre otras vertientes, obligan a las organizaciones y a los individuos a abrirse a la rápida adopción de la consumerization of IT y del IoT.

De acuerdo con información proporcionada por Gartner, para el año 2020 se estima que habrá conectadas al internet unas 20,400 millones de cosas.  Esto hace del IoT, uno más de los llamados habilitadores de la transformación digital que están presentando las organizaciones y el ser humano a nivel individual.

De acuerdo con la UNICEF, la conexión a internet tiene muchas más cosas buenas que malas, sin embargo, esto conllevará también riesgos derivados del mal uso que los criminales le dan al internet.  Esto último no debe desanimar su uso sino por el contrario, reforzar su uso pero de manera segura e integrando algunas buenas prácticas o medidas de seguridad, como lo son:

  • en el uso del antivirus y firewalls,
  • en el manejo seguro de usuarios y contraseñas,
  • en la divulgación segura de información y contenido personal,
  • en el buen manejo y conducción personal dentro de los medios sociales,
  • en la adecuada configuración de seguridad y privacidad utilizada,
  • en la correcta selección y uso de las redes informáticas y/o
  • en la juiciosa selección de los espacios seguros de trabajo o esparcimiento.

Finalmente, en materia de inversión y administración de la infraestructura tecnológica y de servicio requerida por el personal de las organizaciones, el consumo de la tecnología de la información personal para la realización de las actividades de trabajo, viene a aligerar la carga financiera.  Sin embargo y al igual que con el IoT, en materia de seguridad de la información, la consumerization of IT obliga a revisar, adecuar y adoptar nuevos enfoques para integrar controles que permitan aprovechar el uso de esta tendencia tecnológica, pero sin comprometer la seguridad de la información de las organizaciones o ser demasiado intrusivas en el uso de las tecnologías de la información personales, de manera que resulten un obstáculo y no un facilitador de estas.

Si a ti te apasiona e interesa saber más sobre el tema, ¡contáctame!, será un gusto poder platicar contigo.

Referencias y/o consultas

1. Portal BMC Blogs: https://www.bmc.com/blogs/consumerization-of-it/

2. Portal Techopedia: https://www.techopedia.com/definition/28237/consumerization-of-it

3. Portal BringYourOwnIT.com: https://bringyourownit.com/2011/09/26/trend-micro-consumerization-report-2011/

4. Portal Computación Aplicada al Desarrollo: http://www.cad.com.mx/historia_del_internet.htm

5. Portal Wikipedia: https://es.wikipedia.org/wiki/Internet_de_las_cosas

6. Portal GCF Global: https://edu.gcfglobal.org/es/seguridad-en-internet/que-es-la-seguridad-en-internet/1/

7. Portal del UNICEF: https://www.unicef.org/spanish/online-safety/

8. Portal de Gartner: https://www.gartner.com/en/newsroom/press-releases/2017-02-07-gartner-says-8-billion-connected-things-will-be-in-use-in-2017-up-31-percent-from-2016

9. Portal USECIM.NET International Magazine: http://usecim.net/2019/02/20/menos-del-30-de-empresas-en-mexico-cumplen-con-la-ley-de-proteccion-de-datos/

10. Portal de ALAPSI: http://alapsi.net/

11. Reglamento y Ley Federal de Protección de Datos Personales en Posesión de Particulares emitida por la Cámara de Diputados del H. Congreso de la Unión, de los Estados Unidos Mexicanos.

Te invitamos a leer:

Con Mantenimiento Productivo

¿OCDE o Comisión Europea? Principios o Requerimientos para IA confiable

octubre 15, 2020 0 comment
0 Facebook Twitter Google + Pinterest
Entidades e instituciones financieras de México, sufren ciberataques

El 100% de las entidades e instituciones financieras de México ha manifestado que identificaron algún tipo de ciberataque. Cada vez no de ellos le cuesta un 50% más a una empresa de servicios financieros que a una compañía de cualquier otra industria. La micro-segmentación y los micro-perímetros limitan las consecuencias de estos ataques.

Petróleos Mexicanos se sumó a la lista de entidades gubernamentales que evidencia la falta de una estrategia integral en ciberseguridad por parte del gobierno actual; según estimaciones se han presentado más de 45 millones de intentos de ataques cibernéticos para acceder a bases de datos y robar información en el sector público.

A lo largo de este año instituciones financieras como Banjército, la CNBV y  Casa de Moneda, principalmente, también han estado en el ojo del huracán.

Los atacantes continúan utilizando herramientas y tácticas cada vez más más sofisticadas para intentar acceder a activos y datos valiosos. Avishag Daniely, directora de Gestión de Producto de Guardicore, destacó que esta actividad imparable obliga al sector financiero y de otras industrias a desplegar estrategias efectivas de mitigación de riesgos que combatan las últimas amenazas cibernéticas.

La explosión de servicios financieros digitales combinados con iniciativas de computación en la nube y nuevos modelos de entrega de aplicaciones ha ampliado la superficie de ataque que los delincuentes pueden explotar.

Según estimaciones, un ciberataque le cuesta  un 50% más a una empresa de servicios financieros que a una compañía de cualquier otra industria.

Asimismo, de acuerdo con el estudio Estado de la Ciberseguridad en el Sistema Financiero Mexicano realizado por la Organización de los Estados Americanos (OEA), el 100% de las entidades e instituciones financieras de México manifestó que identificaron algún tipo de evento (ataques exitosos y ataques no exitosos) de seguridad digital en su contra durante 2018.

Los eventos de seguridad digital más comúnmente identificados fueron: 1) el código malicioso o malware (56%); 2) el phishing dirigido para tener acceso a sistemas de la entidad (47%), y 3) la violación de políticas de escritorio limpio (31%). Se destaca que un 19% de las entidades e instituciones financieras identifican ocurrencia de eventos de malware diariamente.

Avishag Daniely se refirió a estos eventos no como una falta de negligencia por parte del sector financiero, sino a que las organizaciones están utilizando herramientas muy complejas para cumplir con los requisitos de seguridad más críticos y básicos.

“La segmentación es uno de los conceptos más antiguos en seguridad, todos lo entienden y están de acuerdo en que una mejor segmentación conduce a un menor riesgo y una mejor postura de seguridad”.

Desde el punto de vista de la directora, muchas empresas tienen muy poca segmentación implementada en su red; la falta de segmentación adecuada en el sector financiero ha permitido a los atacantes realizar movimientos laterales y alcanzar fácilmente las joyas de la corona digital de estas organizaciones.

“Una red plana no es una opción viable ya que la mayoría del tráfico es este – oeste y los perímetros son difíciles de definir y defender, se deben tomar medidas para reducir el riesgo de movimiento lateral y el alto impacto de un incumplimiento”.

Daniely informó que las organizaciones de servicios financieros pueden aprovechar la micro-segmentación para cumplir con regulaciones como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y garantizar la protección de la infraestructura local de SWIFT y otros sistemas.

Las políticas de micro-segmentación pueden adoptar diversos aspectos, incluidos los controles basados ​​en el tipo de entorno, el alcance normativo, la aplicación y el nivel de infraestructura.

También permiten aplicar el principio de privilegio mínimo de manera más amplia en los centros de datos y entornos de nube, proporcionando una postura de defensa más efectiva que los controles tradicionales de capa de red.

Por último, Avishag Daniely comentó que la micro-segmentación es un concepto nuevo para muchos, pero se está convirtiendo en una herramienta cada vez más importante para los equipos de TI que se enfrentan al desafío de mantener las políticas de seguridad y el cumplimiento al ritmo de la rápida tasa de cambio en el centro de datos dinámico, la nube y los entornos de nube híbrida actuales.

diciembre 8, 2019 0 comment
0 Facebook Twitter Google + Pinterest