Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

¿Quién es travieso y quién es bueno? Una lista de seguridad para el año nuevo

Preparamos algunas recomendaciones para las listas de los traviesos y los buenos en seguridad. Esperamos que les sea útil para mejorar.

Parece que en esta época del año todo el mundo en tecnología comienza a armar una lista de deseos de seguridad para Santa Claus. Los esfuerzos son llevados desde una frustración real con la industria y la falta de progreso que parece haber en ciertas áreas, como la seguridad. Pensé que este año haría algo diferente. En lugar de una carta con una lista de cambios y mejoras que me gustaría ver, estoy proponiendo algunas recomendaciones para las listas de los traviesos y los buenos de Santa Claus. Estoy poniendo aquellos que deberían estar recibiendo carbón en sus medias y los que deberían recibir ponis o bicicletas.

En general, ha sido un año difícil para Santa, y él ya tiene bastante trabajo pesado con Edward Snowden y toda la debacle de la NSA que manejar, así que pensé que yo tomaría algo de la carga de trabajo mediante la compilación de esta lista de deseos de seguridad empresarial para el nuevo año.

En la lista de los traviesos: No más palabras de moda que no significan nada

Vamos a empezar con los traviesos. En primer lugar, me gustaría nominar a cualquier proveedor que utilice el término “próxima generación” en el nombre de un producto o en la literatura de marketing. Las palabras eran provocativas e intrigantes las primeras cien veces que las escuché, pero están empezando a agotarse. Originalmente, se aplicaban a los firewalls e implicaban nuevas sutilezas en la inspección de aplicaciones, pero ahora lo estoy oyendo utilizado liberalmente con todo, desde el hardware y las aplicaciones de red, a los sistemas de detección de intrusos. ¿En serio?

Los colegas me preguntan qué significa realmente “próxima generación”, y mi respuesta es: “Eso es lo que la gente de marketing dice cuando ya no pueden señalar ninguna mejora real de las propiedades, pero todavía quieren su atención”. Es el equivalente moderno de “nuevo y mejorado”, ya que realmente no puede usar esa frase más, sin despertar el escepticismo de los consumidores.

Se ofrece inteligencia de amenazas, pero sin explicar cómo se hace

¿Qué hay de las personas que utilicen la frase “inteligencia de amenazas” (IA) como característica de un producto de seguridad, sin definir realmente cómo se proporciona? Cuando un proveedor de seguridad admite que “el uso del término [no es] consistente”, usted sabe que tiene un problema. Gartner define IA  así: “ ... el conocimiento basado en la evidencia, incluyendo el contexto, los mecanismos, los indicadores, las implicaciones y el asesoramiento procesable, sobre una amenaza o peligro, existente o emergente, para los activos, que puede ser utilizado para informar las decisiones con respecto a la respuesta del sujeto a esa amenaza o peligro”.

Pero a medida que la industria se mueve hacia los servicios de seguridad más gestionados, y se aleja de los procesos realizados formalmente por los equipos de seguridad internos, parece que IA representa más a menudo datos de amenazas y vulnerabilidades conservados, combinados con algunos análisis de malware bajo demanda, todos disponibles a través de un solo portal. Yo no tengo problema con el mecanismo de entrega o su monetización, pero no estoy convencida de que esto representa una definición completa de la inteligencia sobre amenazas, como la que normalmente se encuentra en el modelo de los centros de intercambio y análisis de información (ISAC).

Lo siguiente en la lista es cualquier organización que permita a los usuarios llevarse a casa computadoras portátiles no cifradas que contienen información de puede ser identificada personalmente en ellas. Seguimos teniendo las mismas dolorosas revelaciones de brechas cada año, a pesar de que todo el mundo sabe de esto. Sí, la implementación de controles de seguridad es trabajo, pero hay muchos métodos simples para proteger los datos del usuario.

Está el uso de tokens, sustituyendo la información sensible con un comodín. AES -NI de Intel hace un cifrado de disco completo que apenas afecta el rendimiento del sistema, especialmente con una unidad de estado sólido. Además, los discos duros con cifrado automático realizan el trabajo en el controlador. También hay disponibles una serie de agentes de aplicación para laprevención de fuga de datos, que pueden detectar la presencia de información confidencial en el sistema de un usuario. Con todas estas opciones, no hay excusa para continuar siendo pobres custodios de la información que le es confiada. Estas opciones no garantizan que no tendrá una brecha, pero al menos no está dejando abierta la puerta principal.

¿Qué hay de las empresas que crean esas clases anuales, en línea, de capacitación en conciencia de seguridad para los usuarios? Ellas deberían recibir un trozo de carbón del tamaño de Islandia. Son malas, aburridas y parecen haber sido creadas solo para que alguien pueda marcar una casilla de verificación en un formulario cumplimiento. Y una masa aún mayor de carbón debe ir a los departamentos de seguridad que piensan que esas clases deberían ser la medida de su entrenamiento en comunicación y sensibilización para los usuarios. Están desconectadas y son insultantes, así que se obtiene lo que se merece. Por favor, recuerde eso cuando esté tratando de averiguar por qué su CFO respondió a un correo electrónico de spear phishing. En lugar de eso, trate de hablar con la comunidad de usuarios, y realmente educarlos acerca de las amenazas en el ciberespacio. Tal vez realmente haga una diferencia.

En el lado bueno: Hacer utilizable la encriptación para correo electrónico

Ahora los buenos. A cualquiera que esté trabajando para hacer el cifrado de correo electrónico utilizable y menos doloroso para los usuarios, le aplaudo. Sé que es difícil que salga bien, pero estoy muy cansada de la danza interpretativa que tengo que hacer al entrenar a los usuarios sobre cómo enviar correo electrónico con cifrado asimétrico utilizando pares de llaves públicas/privadas. Por el amor de Diffie-Hellman, por favor continúen con este trabajo.

¿Qué hay con esos incansables defensores de la privacidad que están comprobando constantemente sitios web, navegadores y plug-ins para determinar cuántos de mis datos terminan con el Gran Hermano? Si bien yo solía pensar que Bruce Schneier y Christopher Soghoian eran un par de paranoicos con sombreros de papel metálico, ya no tengo la ilusión de que puedo ser invisible en internet. Al menos sé que hay investigadores revelando cuánto de mi información ya no es privado. Si pudiera poner unicornios mágicos en sus medias, lo haría.

Por último, un brindis para aquellas empresas y personas trabajando y promoviendo la creación de redes definidas por software (SDN). Como profesional de la seguridad, he vislumbrado que el futuro de la orquestación y la gestión de políticas resulta en una auditoría más fácil: Es hermoso. Tengo la esperanza de que SDN puede integrar la seguridad en las operaciones de red y sistemas, de modo que yo no tenga que pasar mis días como niñera de cada implementación de una gran aplicación. Si pueden lograr hacer esto bien, deberían conseguir tirar del trineo de Papá Noel, empujando a Rodolfo hasta la parte de atrás de la línea.

Este artículo se actualizó por última vez en diciembre 2013

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close