| Artículos | 01 FEB 2007

Tendencias en el mercado de la seguridad en 2007

Tags: Histórico
Juan Larragueta.
Hay un antiguo dilema al que se enfrentaban los fabricantes de TI: ¿qué es mejor, proporcionar acceso sin límites a todas las funciones, aunque se ponga en riesgo la seguridad, u ofrecer una gran seguridad aunque ponga en riesgo la usabilidad? Lo ideal es alcanzar el punto de equilibrio entre ambas posturas. Desafortunadamente, este punto de equilibrio aún no se ha identificado.

A pesar de la laguna existente a la hora de tomar un rumbo acordado unánimemente, las TI continúan su marcha hacia una mayor seguridad, mejorada en términos de fortaleza, disponibilidad y usabilidad. Los asuntos a los que la seguridad deberá hacer frente durante los próximos meses son los siguientes:

Se ampliará la responsabilidad en el ámbito de la seguridad de datos
De todas las áreas de negocio afectadas por el actual clima de regulación, muchas de ellas están vinculadas al impacto de las TI, fáciles de manejar y trazadas por la implementación de tecnologías existentes. Un ejemplo son los actuales métodos de encriptación y estándares para el almacenamiento y transmisión de datos, password factibles y políticas y plataformas de autenticación, así como métodos ejecutables de prevención de malware y protección de integridad de sistemas.
Aunque ha estado presente durante años, el uso de herramientas de análisis exhaustivo de códigos, se convertirá en un componente crítico del ciclo de desarrollo, por lo que hay más posibilidades de descubrir las amenazas y remediarlas antes de los lanzamientos de los productos. Las compañías que proporcionan estas herramientas de análisis de códigos fuente se convertirán en proveedores integrales de estas soluciones.

La seguridad por capas SSL empezará a ser cuestionada otra vez
La tecnología SSL fue desarrollada, tal y como comenta su creador Netscape, “para proporcionar privacidad entre dos aplicaciones de comunicación (un cliente y un servidor)... [y además] para autentificar el servidor y opcionalmente, el cliente”. Desde su inicio hasta 1994 y hasta hoy en día, la tecnología SSL ha perdido fuerza y una gran parte de su valor real. Antiguamente, cuando internet era un sitio seguro, los usuarios de buscadores web, avisaban al personal de TI cuando aparecía en su pantalla un aviso popup con el nombre del sujeto, certificando autoridad o validación de errores. Pero como normalmente el aviso solía ser el resultado de una errata o un certificado firmado automáticamente, los responsables de TI respondían: “no es nada, pincha en OK”. Como resultado, los usuarios se hicieron rápidamente inmunes a los avisos. Cuando las amenazas reales empezaron a llegar, el sistema ya estaba en peligro y el SSL ofrecía únicamente privacidad, pero no una identificación significativa de identidad. Una vez establecida una conexión SSL sin verificar, el análisis proactivo de contenido actual, como los filtros URL o la inspección exhaustiva de paquetes, no pueden ser puestos en marcha fácilmente, lo que permite la entrega de cargas maliciosas antes de ser detectadas.
Sin embargo ahora los nuevos buscadores web incluyen capacidades antiphishing integradas y los add-ons, al tiempo que hay disponibles extensiones para buscadores más antiguos. Pero tal como ocurrió con los avisos SSL, estos pronto se neutralizarán por el mismo “no es nada, pincha en OK”.

La virtualización comienza a emerger como herramienta de seguridad
Yendo más allá de la productividad, escalabilidad, y el poder de las economías, los escritorios virtuales proporcionarán a los usuarios un entorno informático que es relativamente impermeable a la corrupción.
Las capas de operación virtuales se convertirán en lugares comunes, proporcionando un entorno protegido en el que los entornos se pueden instalar sin ningún tipo de riesgo. El almacenamiento centralizado de alta capacidad con una fuerte autenticación y una solución de protección de datos continua securizarán las librerías de imágenes virtuales.
Más que como un software de análisis de códigos, esta virtualización está destinada a su adopción como herramienta de seguridad, por lo que los entornos de desarrollo virtuales se integrarán al ciclo de desarrollo convencional.

La autenticación en factor-dos será adoptada masivamente
Los métodos de autenticación en factor dos (2FA), conocido así después del uso de una combinación de “algo que sabes” (un password) y “algo que tienes” (tarjeta de información, tarjeta de teléfono, etc.) o “algo que eres” (características físicas de una persona...) han sido adoptados por las empresas, pero todavía tienen un uso muy limitado. La adopción de 2FA ha sido lenta debido a sus fallos iniciales y la carga que conlleva para el personal de TI. Sus críticos además señalan su susceptibilidad a los ataques provocados por el hombre. A pesar de estos obstáculos, estamos a punto de reconocer que el coste que supone la no utilización de 2FA es mucho mayor que el coste de su implementación.
La autenticación en factor-dos por sí sola no dificulta el robo de un password, pero hace que este password sea mucho más difícil de utilizar para los ladrones. Del mismo modo, los diseñadores deben considerar que explotar una vulnerabilidad de una aplicación web para obtener acceso a las bases de datos comienza a ser menos significativa y rentable cuando todos los datos están encriptados. El robo de un dispositivo físico, como un portátil, una Blackberry o un servidor no tiene ningún valor más allá del propio hardware si el acceso a los datos está protegido por una fuerte encriptación.
El movimiento para hacer que los datos robados tengan menos valor no es nada nuevo. La privacidad y la seguridad de los portavoces ha sido un tema necesario durante los últimos años por lo que las instituciones financieras han implementado medidas para prevenir el robo de identidades. Después de todo, no son ni los nombres ni los números de seguridad social los que tienen valor por sí mismos, sino el hecho de que el ladrón puede obtener fácil acceso a cualquier sitio y quedarse con el dinero. Aunque se rectificaran los sistemas de verificación del sector financiero con algún sistema más potente que una simple coincidencia de datos, esto sigue estando más allá de nuestro control inmediato. Pero hay cosas que hoy en día podemos hacer. Como consumidores deberíamos utilizar los números de las tarjetas de crédito una sola vez siempre que sea posible. Como profesionales de TI, deberíamos incluir las innovaciones en software y hardware existentes. A parte de las bases de datos DRM (gestión de derechos digitales) y las teorías de conspiración, existen otro tipo de herramientas más cercanas. Como los software o hardware en propiedad predecesores, estas soluciones ofrecen anulaciones instantáneas de datos robados.
Los fabricantes más anticipados verán, que como ha ocurrido anteriormente, con los diferentes esfuerzos para mejorar la seguridad, nunca encontrarán una solución perfecta, y que siempre encontrarán costes de soporte e infraestructura. Con un poco de suerte, estos costes demostrarán que el precio para llevar a cabo los pasos necesarios a la hora de neutralizar los crímenes informáticos sigue siendo pe

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información