Video: Lo que debes saber sobre seguridad digital - [Negocios en Tm] ® (Noviembre 2024)
La semana pasada, todo el equipo de SecurityWatch se desplegó en la Conferencia RSA para obtener lo último sobre las nuevas innovaciones de seguridad, la última tecnología y de lo que realmente está hablando la comunidad de seguridad. Como la mayoría de ustedes estaban lo suficientemente cuerdos como para no pasar la semana en una feria comercial, aquí están nuestras diez cosas que deben saber sobre seguridad en este momento.
10. RSA y la NSA
La Agencia de Seguridad Nacional estuvo en la mente de todos en la conferencia de este año, y ha sido la mayor historia de seguridad del año pasado. Y a pesar de que la Conferencia RSA es una entidad distinta de la compañía RSA Security, la supuesta conexión multimillonaria entre RSA y la NSA fue un tema frecuente de discusión. El presidente de RSA, Art Coviello, rechazó las acusaciones en su discurso de apertura, pero pidió reformas dentro de la agencia de espionaje. En marcado contraste con el año pasado, los temores sobre China quedaron en segundo plano.
9. Palabras de moda que matan palabras
Una vez que una palabra alcanza el estado de palabra de moda, deja de significar algo útil. Lamentablemente, había un montón de palabras así en RSAC, donde todos usaban las mismas palabras, pero nadie estaba de acuerdo con la definición. Cuando se trata de inteligencia de amenazas, ¿estábamos hablando de indicadores de compromiso o de enriquecer los datos existentes con fuentes de terceros? ¿Qué significa exactamente "next-gen" incluso más? En este punto, deberíamos estar en next-next-gen. ¿Cómo pueden tantos productos anunciar una revolución de seguridad? ¿La industria ya sabe lo que promete?
8. Cuando las tostadoras, los autos y las cafeteras atacan
El Internet de las cosas se infiltró en la Conferencia RSA este año y todos están preocupados por la posibilidad de asegurarlos. La conclusión clave, bastante angustiante, es que todavía no estamos listos para proteger todos nuestros dispositivos, ya sea que estemos hablando de electrodomésticos, dispositivos médicos o automóviles. Aun así, algunos no estaban tan preocupados, diciendo que no era probable que los delincuentes intentaran controlar o chocar de forma remota un automóvil conectado. Sería más probable que los delincuentes fueran "aguas arriba" para comprometer los servidores que usan las Cosas, como los servidores OnStar para automóviles, y monetizar eso.
7. Cifrar todo
La respuesta de todos sobre cómo mejorar la seguridad, particularmente la seguridad móvil, fue encriptación, encriptación, encriptación. Las aplicaciones móviles están moviendo grandes cantidades de información a través de Internet, y muchos desarrolladores están optando por no cifrar esas transacciones, dando a los atacantes y a los estados nacionales mucho para mirar. Volviendo nuevamente a la NSA, el CTO de Co3 Bruce Schneier postuló que la agencia probablemente ha roto alguna forma de cifrado pero no puede procesar grandes cantidades de datos cifrados. Dijo que la gran cantidad de información no encriptada que volaba simplemente está haciendo que sea demasiado fácil para cualquiera que busque almacenar datos.
6. No hay balas de plata
Pasamos mucho tiempo hablando de presentaciones e individuos en RSAC, pero no debemos olvidar que el evento es una feria comercial y que el piso de exhibición está lleno de vendedores que trabajan para convencer a los compradores de que su producto es el mejor. Sorprendentemente, muchas compañías de seguridad todavía estaban impulsando la idea de las balas de plata, una solución de servicio único para todos y cada uno de sus problemas de seguridad. Esto es un poco sorprendente dado que el año pasado demostró que existen numerosas vías para los ataques, y que pueden diferir dependiendo de quién está detrás de ellos y qué buscan. El vicepresidente senior de HP, Art Gilliland, sugirió que las empresas dejen de buscar nuevas armas y adopten un enfoque más holístico de la seguridad. ¿Lo más importante en su lista de mejoras? Invierta en individuos y mejore la capacitación en seguridad.
5. Mobile AV no funciona
Si bien celebró que la comunidad de seguridad trabaja con y dentro de Android para mejorarlo, el ingeniero principal de Google para seguridad de Android tuvo una visión tenue de la seguridad móvil hasta el momento. Dijo que el objetivo de Google era proporcionar seguridad silenciosa e invisible y sugirió que las compañías de seguridad tenían más que ver con llamar la atención y aumentar las ventas. El CEO y cofundador de viaForensics, Andrew Hoog, también tuvo problemas con los modelos de seguridad tradicionales en dispositivos móviles. Señaló que el sandboxing de aplicaciones en los sistemas operativos móviles hace un buen trabajo al proteger las aplicaciones, pero también limita la capacidad de las aplicaciones de seguridad para hacer frente a las amenazas. Su solución? Brinde a los desarrolladores de seguridad acceso a privilegios de root.
No estoy totalmente de acuerdo con ninguna de las posiciones, pero las crecientes amenazas móviles exigen nuevas formas de proteger los dispositivos. Protegerse contra aplicaciones maliciosas no es suficiente, y aunque las herramientas que las compañías de seguridad están agregando a sus aplicaciones móviles son útiles, no serán suficientes para siempre.
4. Seguridad en el asiento del conductor
Hablamos mucho sobre cómo la seguridad debe ser parte del ADN de la organización, y cómo los equipos de seguridad no pueden estar reaccionando a las crisis o en modo de lucha contra incendios todo el tiempo. El consenso general parece adelantarse a las amenazas, ya sea al tener mejores prácticas de seguridad para cerrar las vías de ataque o al integrarse con otros equipos para asegurarse de que las preocupaciones de seguridad se consideren desde el principio.
3. Necesitamos más personas en seguridad
Una de las cosas de las que seguíamos escuchando era cómo había escasez de profesionales de seguridad. Las empresas que tradicionalmente no tenían que pensar en la seguridad (proteger sus datos o asegurarse de que sus productos fueran seguros) ahora luchan por encontrar profesionales de seguridad con experiencia. Las agencias gubernamentales están tratando de atraer a los hackers más brillantes para llenar sus filas. Hay una brecha de habilidades, en parte porque no tenemos suficientes personas especializadas en seguridad, sino también porque las empresas no están haciendo un buen trabajo al reclutar.
Necesitamos más mujeres en tecnología y seguridad de la información en particular. Las sesiones en RSAC se centraron en crear estructuras de apoyo para alentar a las mujeres interesadas en infosec, pero también para resaltar algunos de sus logros.
2. Las aplicaciones con fugas son peores que el malware móvil
La defensa contra el malware continúa siendo un foco para muchas compañías de seguridad móvil, pero esa no es la única amenaza. Muchos asistentes a la conferencia de RSAC sugirieron que las aplicaciones con fugas, es decir, las aplicaciones que transmiten los datos personales de los usuarios sin cifrado o en grandes cantidades, son una amenaza mucho mayor para los usuarios. Para los lectores de nuestra cobertura Mobile Threat Monday, esto no debería sorprendernos. Este año, esperamos nuevas herramientas como viaProtect para ayudar a los consumidores a ver qué están haciendo realmente sus aplicaciones. Dicho esto, ver a alguien destrozar, modificar y reempaquetar una aplicación de Android en cinco minutos es un recordatorio de que el malware sigue siendo un problema.
1. La vigilancia no desaparece
El recién nombrado director del FBI, James Comey, dejó en claro dos cosas en su presentación de RSAC 2014: el FBI necesita la cooperación de las empresas para combatir las amenazas cibernéticas, pero esa vigilancia electrónica está aquí para quedarse. En un nivel, todos lo sabemos. No podemos esperar que espías y policías sigan tocando teléfonos cuando los malos se comunican con el correo electrónico y otras herramientas. Como sociedad, debemos aceptar que las comunicaciones digitales son un objetivo, y quizás legítimo. Del mismo modo, los panelistas en una fascinante mesa redonda de expertos de inteligencia de Estados Unidos enfatizaron que la NSA no es una "agencia deshonesta" y que todos los demás estados nacionales están participando en la vigilancia electrónica. También dijeron que el espionaje doméstico debe lograr un mejor equilibrio con la privacidad, y que las personas no deben permitir que los funcionarios electos usen su "historia de portada" de negación plausible para las operaciones de inteligencia.
Imagen vía el usuario de Flickr Niko Notibär
