Buscando algún tema como para cerrar el año de Tecnozona sin caer en la predicción de las tres o cuatro obviedades en las que está cayendo todo el mundo (movilidad, big data, cloud, hadoop, openstack, etc.) y como para darle un tono positivo a esta nota, me crucé con este artículo que quiero compartir con ustedes.
Se llama Cuatro predicciones positivas para la seguridad en el 2015, su autor es Roger Grimes, un columnista especializado en seguridad informática, y se publicó en Inforworld hace un par de días.
Grimes comienza su artículo con una especie de declaración de principios: “En el mundo loco de hoy, donde los hackers pueden voltear compañías enteras, cancelar proyectos, y arruinarle a millones una noche de cine, tengo que creer que nos hemos topado con una especie de punto de inflexión. Quiero decir, que a alguien no le guste tu empresa no quiere decir que se le puede permitir matarla”.
También recuerda que los ciberdelincuentes están dañando compañías grandes por cientos de millones de dólares y que esos ataques no requieren técnicas de hacking sofisticadas: “generalmente es un tema de pobres defensas” y es terminante: hoy en día “casi cualquier compañía puede ser Sony”, en referencia al ataque que la japonesa sufrió semanas atrás y por el cual está acusado el gobierno de Corea del Norte.
Pero, y aquí viene la parte optimista del asunto, según el autor de la nota, medio como que llegamos al fondo y las compañías no pueden seguir haciéndose las sotas… para decirlo en criollo. Y así es como propone cuatro áreas en las cuales, con toda probabilidad, empiecen a verse mejoras en 2015.
1. Mejor entrenamiento para combatir la ingeniería social. Grimes sostiene que gran parte de las compañías que han sido atacadas este año, lo han sido por parte de practicantes habilidosos de ingeniería social. El phishing original (el que tiene errores tipográficos, que está dirigido en general o en otro idioma) ya no existe. Hoy los mails llegan de alguien que trabaja junto a vos y se refiere a algún proyecto en el que han estado trabajando por largo tiempo. Sólo un buen entrenamiento es capaz de contrarrestar estos ataques. El 2015 será el año en el cual las empresas finalmente actualizarán este training.
2. Más privacidad por defecto. Por el “efecto Snowden” ya sabemos que prácticamente no existe la privacidad. Y esa experiencia fue definitoria. Muchos servicios cloud ya están implementando encriptación por defecto, o por lo menos están en proceso de. Para 2016 será difícil encontrar un servicio que no la haya implementado ya. Pero además, la privacidad estará en juego: “Nunca voy a estar dispuesto a renunciar a mi derecho a la intimidad personal, junto con la de miles de millones de otros, para atrapar a unos pocos cientos o miles de chicos malos” asevera Grimes. Y propone que el puesto de Chief Privacy Officer será cada vez más frecuente.
3. Defensas cruzadas. Si el crowdsourcing ha funcionado para tareas tan diversas como recolectar fondos u organizar protestas, ¿porqué no serviría también para la seguridad informática? Todas las compañías que han sido atacadas de alguna manera, han aprendido una lección y adquirido prácticas ¿porqué no compartirla con el resto? Algunas experiencias llevadas a cabo durante 2014 probaron ser muy productivas ¿porqué no difundirlas y extenderlas en el 2015?
4. Más cooperación internacional. “Los criminales de Internet comenten delitos porque saben que las chances de ser atrapados son escasas”, comienza el autor. Y hace la comparación con el Salvaje Oeste del siglo XIX, donde con cruzar una frontera ya evitaba las persecuciones. Los países “deberían ver la luz” aunque más no sea por sus propios intereses. Mientras los delincuentes atacaban países extranjeros era muy fácil hacer la vista gorda. Pero es cuestión de tiempo para que comiencen a atacar objetivos locales.
Grimes cierra su artículo afirmando que, al fin y al cabo, no cree que la seguridad informática mejore radicalmente en 2015, pero jura que ve destellos de esperanza. “Tengo grandes esperanzas porque algo tiene que cambiar. No podemos dejar que porque alguien no esté de acuerdo con una película, ataque una compañía e interrumpa la vida social de casi todos. Es demasiado Salvaje Oeste”.
Y yo me permito agregar, de mi propia opinión, que si sólo fuese problema de una película, no sería tan grave… hay mucho más de lo que se ve a simple vista… pero esto es parte de mi propio pesimismo. Que es otra cosa.
Hasta el año que viene.