Seguridad | Artículos | 03 OCT 2012

Seguridad y Sun Tzu

Network World
 

Los fallos de seguridad no tienen por qué ser un acontecimiento catastrófico. Diría incluso que una brecha podría ser casi positiva. Me explico.

La seguridad informática está todavía demasiado centrada en la protección del perímetro y la red, pero es hora de que se admita que las estrategias tradicionales no son suficientes. De hecho, los fallos de seguridad son tan cotidianos que han dejado de ser una gran noticia para pasar a ser una lacra social. ¿Podemos ganar esta guerra? En mi opinión, sí, pero necesitamos cambiar el enfoque.

Mi primera recomendación es simple: cambiar de filosofía a nivel empresarial y personal. En general y para la mayoría de las empresas, la estrategia de seguridad prácticamente no ha variado en los últimos 10 (10!) años. El 90 % del presupuesto de seguridad se gasta del mismo modo en que se hacía en el año 2002; nos centramos en la defensa del “perímetro” y de la red. No se me ocurre ningún otro sector de las tecnologías de la información que haya permanecido prácticamente sin cambios tanto tiempo como el de la seguridad, pero la forma de usar y compartir datos hoy nada tiene que ver con lo que se hacía en el año 2002…

Seguridad¿Realmente está concebida TODA la información para ser autónoma y estar sin control? Claro que no. ¿Pero entonces, qué hacemos con los datos? La Nube, SaaS, movilidad, BYOD…, han conseguido nuevas formas de acceso, por lo que hay que desarrollar una mentalidad que encaje en el mundo actual. Hay que pasar de una mentalidad de prevención de fallos de seguridad a otra que -además de prevenir-, acepte que la brecha ocurrirá.

La estrategia militar es una buena fuente de inspiración. El ‘Arte de la Guerra’ de Sun Tzu puede ilustrar con un símil nuestra posible estrategia de seguridad de cara a afrontar la nueva amenaza. Por ejemplo: damos por hecho que estamos siempre en estado de alerta y pongámonos en la piel de nuestro enemigo. ¿Cuál es hoy la mejor respuesta a un ataque? ¿Tenemos opciones? Por supuesto, estamos en alerta continua. Que se lo pregunten a los responsables de Seguridad TIC

Pongámonos en la piel del enemigo-hacker. ¿Qué es lo que más le interesa de nuestra empresa?: los datos. Luego la protección debe ser persistente y situarse lo más cerca posible de este activo vital. Necesitamos que los datos “se defiendan” y que no dependan de la defensa del perímetro o la red.

Situar una nueva línea de defensa en los propios datos permite, entre otras cosas, anularlos una vez que se ha producido un fallo de seguridad (cuando han sido capturados…), haciendo que la brecha (ataque) resulte irrelevante y ¡exponga al enemigo! Esta mentalidad «en alerta continua» es la que puede facilitar el cumplimiento normativo, mitigar el riesgo financiero y mantener nuestra confianza y reputación empresarial y personal ante nuestros clientes e inversores. Si no hay datos, no hay botín.

Para operar esta nueva línea de defensa, les presento a un viejo conocido: el cifrado. Aplicar cifrado selectivo a los datos permite destruirlos al ser capturados. Sin embargo, el cifrado gestionado y a gran escala no es tarea sencilla. Además, como cualquier arma, puede traer consecuencias muy, muy graves si no se maneja correctamente. De hecho, puede incluso provocar la pérdida de los propios datos si no se implanta adecuadamente. Pero si se utiliza de forma adecuada, consigue una protección controlable y definitiva. Recomendación: usar con precaución y cuidado.

Ante la popularización de los entornos virtuales y la nube, el cifrado garantiza la propiedad –y el control- de la información. Gracias al cifrado, se impide el uso, circulación y gestión indebidos y/o fraudulentos de datos, permitiendo ejercer la propiedad de los mismos. Por tanto, el cifrado no es sólo la respuesta adecuada para mantener los datos en buenas manos, sino que consigue de golpe el cumplimiento normativo. Una gran ventaja, que facilita y simplifica lo que solía ser un quebradero de cabeza.

Los atacantes-hackers odian el cifrado más que nada en el mundo. ¿Qué enemigo invierte tiempo y dinero en un ataque infructuoso?  Es hora de cambiar, ya que seguir actuando como hace una década es la forma más segura de perder la batalla. El miedo debe dejar de guiar los esfuerzos en seguridad informática. En lugar de ello, la aceptación de los fallos de seguridad, añadiendo una nueva línea de defensa, representa un enfoque proactivo y definitivo en el momento actual.

El cifrado a gran escala, utilizado inteligentemente, hace de los datos y su seguridad un solo elemento indivisible. El cifrado y su control pueden ser utilizados en toda la organización, mediante soluciones «transparentes» respecto al tipo de datos que pueden cifrar y descifrar en independientemente de su localización, en formatos o sistemas múltiples y globales. Invito a adoptar este nuevo enfoque y una mentalidad acorde, yendo así un paso por delante de las amenazas.

Seguiremos leyendo a Sun Tzu…

 

Miguel Angel Braojos, Vicepresidente Regional de Ventas para el Sur de Europa, Oriente Medio y Africa de SafeNet 

 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información