Al ser considerados en su conjunto, algunos de los métodos e intenciones recientemente descubiertos de los malhechores informáticos lo dejan a uno boquiabierto.
Entre las tendencias preocupantes se encuentran:
- Vulnerabilidades ocultas por decenas de años (por ejm. Shellshock y Heartbleed), que salen a la luz por accidente, ya que el software nunca había sido auditado
- La existencia de un mercado "gris" y ya no sólamente "negro" para el descubrimiento y venta de vulnerabilidades
- Actividades de cyber-espionaje patrocinadas por gobiernos de todos los matices
- Robo de información dirigido a personas y no sólo a organizaciones (por ejemplo, robo de fotos de personalidades o datos bancarios y de tarjetas de crédito de millones de cuentahabientes).
- Reclutamiento malicioso de máquinas para crear dinero electrónico (bitcoin mining botnets)
La existencia de muchas de estas amenazas se vuelve lógica si consideramos que nuestro comportamiento como sociedad e individuos también ha cambiado con respecto al uso de las Tecnologías de Información y Comunicaciones.
Entre las circunstancias que han cambiado, se encuentran, por ejemplo:
- El uso de dispositivos móviles con conexión permanente a Internet como Smartphones y Tablets que mejoran nuestra productividad y nos dan múltiples opciones de entretenimiento.
- El uso de servicios "en la nube" (Cloud Computing) para comunicarte y para acceder a tu información. Servicios como Whatsapp, Dropbox, iCloud, Office360 te permiten estar conectado a tu información en cualquier lugar, cualquier momento y desde cualquier dispositivo.
- Las redes sociales te permiten mantener el contacto con amigos, familiares y toda persona o tema que te interese, convirtiéndose además en una opción de entretenimiento casi adictiva.
- Tecnologías cada vez más complejas se han vuelto sumamente fáciles de utilizar. Por ejemplo, ¿quieres compartir una foto que acabas de tomar con un grupo de amigos o familares? ¡Fácil! Sólo activa la opción para subir tu foto a Facebook, Twitter, Dropbox, Google+, etc. y la foto sube automáticamente después de tomarla, pero ¿cuáles son los ajustes de privacidad por default y qué tan fuerte es tu contraseña en esos servicios?
No todo esto es negativo, pero debemos aceptar que en la medida en que usamos nuevas tecnologías, desaparecen algunos riesgos y aparecen otros. Por lo tanto, nuestra estrategia de seguridad y la de nuestra organización debe permanecer en evolución constante.
Si contrastamos la situación de hoy en día con lo que pasaba hace unos cuantos años podemos darnos cuenta que es necesario cambiar algunos de nuestros métodos de protección.
Por ejemplo, hace algún tiempo era suficiente instalar un buen Firewall en la red y un potente antivirus en las computadoras de los usuarios de nuestra organización. El día de hoy esto ya no basta para protegernos. Inclusive, basar nuestra defensa en esos dos elementos podría darnos una falsa sensación de seguridad.
En una organización que ha dejado de ser pequeña, un buen lugar para desarrollar la estrategia de protección se encuentra en el área de "Innovación Tecnológica", si es que todavía no existe un área formal de "Seguridad Informática". ¡Cuidado! también existen organizaciones medianas y hasta grandes que se siguen comportando como si todavía fueran pequeñas.
El objetivo debe ser evaluar la mayor cantidad de tecnologías que utiliza nuestra organización formal e informalmente y decidir si el nivel de riesgo que representan es aceptable.
Entre los cambios de estrategia que podemos considerar para nuestra organización se encuentran:
- Hacer validación de contenido en las conexiones a Internet, ¿qué páginas visitan los usuarios? ¿qué temas consultan? ¿cómo encaja esto con las políticas de privacidad de la organización?
- Evaluar continuamente los servicios "en la nube" que descubren y utilizan los usuarios
- Evaluar continuamente las aplicaciones populares que los usuarios instalan en sus dispositivos móviles. El reto es cómo descubrirlas. Se requiere la colaboración de algunos usuarios.
- Crear listas "blancas" de servicios y aplicaciones autorizados para los usuarios
- Crear listas "negras" de servicios o aplicaciones que por su riesgo no debieran ser utilizadas por los usuarios de nuestra organización
- Mantener las listas blancas y negras actualizadas
- Imponer políticas de contraseñas robustas y uso de "libretas encriptadas" de aplicaciones
- Sensibilizar a usuarios de los riesgos de manejar información de la organización en dispositivos móviles (incluido el correo electrónico institucional)
- Fomentar una cultura de aceptación del cambio institucional
- No casarse con ninguna plataforma tecnológica
Vivimos en un mundo cambiante.
La tecnología y su uso se mantienen en constante evolución. Nuestras estrategias de protección deben, por lo tanto, evolucionar contínuamente si queremos mantenerlas relevantes.