La seguridad y los activos de información, tanto locales como a nivel global, son una prioridad en el área de seguridad este año. Diversos análisis y estudios recolectados y cotejados por la empresa argentina Simétrica ( www.simetrica.biz), especializada en estos tópicos, llevan a la conclusión que en Sudamérica, paradójicamente, los activos de información de los gobiernos serán este año los más vulnerables; las entidades financieras serán las más atacadas “y se prevé que mejoren su sistema de respuesta ante incidentes”.
CIO América Latina/Mario A. Beroes Ríos
Los técnicos y especialistas de Simétrica señalan que se ve un desarrollo sostenido en cuanto a normativa y controles de seguridad especialmente en Chile, Argentina y Brasil; adicionalmente se ven un desarrollo incipiente en Perú, Colombia y América Central.
“Se espera para 2015 que la mayoría de ataques provengan de Colombia, Argentina y México. Se considera que mejorará la inversión en capacidades para la seguridad de la información, especialmente en empresas medianas y grandes, rompiendo la tendencia de los últimos años. Se estima que en Sudamérica, más del 60% de las organizaciones son muy vulnerables; especialmente a las tácticas de ingeniería social.
Argentina
Con respecto a este país,el informe es contundente: En Argentina crece el interés, desde 2012, por implementar controles de seguridad y adecuarse a normas específicas como una imposición corporativa, pero cada vez más con el objetivo de mejorar la gestión de la seguridad. El análisis de seguridad se ha generalizado en las empresas grandes y medianas considerándose una necesidad periódica, al margen de la disponibilidad de presupuesto y/o recursos para su realización.
“Se ve un desarrollo sostenido de capacidades para la administracion de la seguridad en dispositivos móviles y en la inversión en soluciones de seguridad en general, para organizaciones grandes. Existe una tendencia clara por mejorar la capacitación del personal especializado; existe un claro déficit de personal especializado. Creemos que en Argentina la tendencia es positiva en general en cuanto a la mejora de las capacidades en seguridad en empresas medianas y grandes, se mantendrá la tendencia en 2015”.
El CIO y el CISO
Para la gente de Simétrica, en 2015 se verá más que nunca a los directivos consultar a sus responsables de sistemas, tecnología y de seguridad; la manera de mantener sus negocios con las tecnologías más eficaces, eficientes y seguras, “esto tiene cada vez más impacto en el retorno de todas las inversiones que hace la organización”.
“Serán muy escasos los recursos de personal calificado para el manejo estratégico de la tecnología y seguridad en 2015, esta tendencia se acentuó en 2014, se prevé que este será un problema grave en 2016 en todo el mundo”.
La nube y la seguridad
En base a este tema, Simétrica cree que dadas las tendencias que se ven a nivel global, en cuanto a incidentes y objetivos, la nube empieza a preocupar seriamente a los responsables de seguridad de los activos de información.
“La nube siempre planteo dudas en cuanto a la seguridad pero en 2015 pueden ser especialmente un objetivo global los grandes volúmenes de datos. Nuevos e importantes eventos se esperan sobre grandes volúmenes de datos en 2015”.
Cibercrimen
El tema fraude y cibercrimen se instala definitivamente en la agenda de los directivos de las organizaciones en todos los países del mundo; las pérdidas fueron record en 2014 y se esperan acciones desde los gobiernos y desde los privados.
“Se cambia definitivamente el concepto, desde “seguridad de la información” al de manejo de riesgos en activos, esto desde la perspectiva de los directivos de las organizaciones. Por otra parte, se esperan espectaculares novedades, (eventos de magnitud, más espectaculares que dañinos), en la guerra fría entre los estados, hay consenso sobre que el caso “norcoreano” es solo la punta del iceberg.
Entre otros aspectos Smétrica destaca que en 2015 se verán demostraciones de fuerza entre las grandes potencias, especialmente Este-Oeste; Se mantiene la tendencia a la cooperación entre los grupos principales de cibercrimen a nivel global; muy lamentablemente se verá un crecimiento del abuso de menores en internet, especialmente en Sudamérica y Asia; se prevé un nuevo capítulo en la historia de los estados avanzando sobre la privacidad en nombre de la seguridad, sea esto justificados o no; Las personas seguirán sufriendo ataques a su privacidad en niveles mayores a 2014; se prevé que la capacidad de encriptación de datos privados será vulnerada por las potencias estatales; se mantiene la tendencia de desarrollo mantenido en novedad y sofisticación técnica para las nuevas tácticas de ataque en 2015; los incidentes de seguridad, que crecerán en originalidad y cantidad, más los eventos por ciber-activismo van a provocar un incremento en el costo del compliance y los estados y entidades de regulación, van a exigir más capacidades y controles.
A lo anterior, el informe añade que las organizaciones globales van a ser multadas por pérdida de información, por no poder demostrar identidades y/o privacidad y/o propiedad de determinados activos de información; esto va a impactar también en las organizaciones subsidiarias. Se prevé un aumento de la litigiosidad debida al manejo de activos de información en las organizaciones medianas y grandes en todas las regiones; los Estados y entidades globales pondrán presión en 2015 como nunca sobre sus exigencias regulatorias; se espera un gran impacto sobre muchas organizaciones, la mayoría no comprenden aun, en detalle, la magnitud y profundidad de las exigencias; los marcos regulatorios son ya de aplicación práctica en todas las regiones, en 2015 se harán sentir las exigencias especialmente en organizaciones grandes y medianas.
La seguridad
Se prevé un desarrollo importante en el uso de servicios y soluciones para el análisis de seguridad en todas las organizaciones, de todo tipo y tamaño.
Las soluciones seguirán siendo complementarias a los proyectos de análisis de seguridad.
Existe un consenso generalizado en que la metodología para el análisis de seguridad en general no han sido lo suficientemente efectiva; se prevé más presión gubernamental y de privados para que las revisiones de seguridad sean completas y profundas.
Se verán avances metodológicos originales y orientados a la calidad en el desarrollo de los servicios y soluciones para el análisis de seguridad.