Aportes del Módulo a nuestro Proyecto de Especialización

Ante el desarrollo globalizado que se ha evidenciado en las telecomunicaciones (principalmente por la masificación de los servicios en la nube), dentro de la Gerencia de Recursos Tecnológicos he sido testigo de las amenazas emergentes que son inherentes a dicha evolución y el entorno agresivo en el que se desarrollan las transacciones informáticas. 

A medida que se presenta una nueva solución, incrementa la frecuencia y complejidad de los ataques a las plataformas de comunicaciones, frenando el desarrollo de nuevos conceptos con base en el miedo. Dentro de los objetivos que me he propuesto como responsable de mi área, ha sido desarrollar competencias específicas dentro del ramo de la administración de recursos humanos e informáticos, para gestionar eficientemente los proyectos de crecimiento y afianzamiento de mi Compañía. 

Dentro de estos objetivos, siempre ha sido central el desarrollo de estrategias de seguridad, que permitan el crecimiento sostenible de la industria, apalancados en un modelo que garantice la seguridad de sus participantes (proveedores y clientes), para generar una fuerza autosustentable que impulse el crecimiento y creación de nuevos desarrollos, dentro de lo que concibo como una inercia de poderes; donde todos los interesados participemos en conjunto, para crear y proteger nuestra creación.

Brindando confianza en la Red, arriegando con Seguridad

Hasta ahora hemos hablado de los riesgos que implica la publicación de contenidos y de cómo este miedo puede generar una renuencia al uso de las TIC de manera amplia en la actualidad, pero debemos tener en cuenta la oportunidad que la tendencia de seguridad basada en el riesgo ofrece. Del surgimiento de la nube pública, se han generado servicios comunitarios, privados e inclusive híbridos, que de manera paulatina han desplazado la inversión en infraestructura propia, gracias al crecimiento del sentimiento de confianza en la tercerización de los servicios.

El crecimiento escalonado y el desligarse de la necesidad de llevar a cabo tareas de mantenimiento y actualización de plataformas, en conjunto con la protección de datos, son los pilares de la migración de servicios y responsabilidades desde las empresas hacia los proveedores de servicios en la nube. Es mediante el lograr proveer un entorno digital especializado que ofrezca calidad, economía y seguridad, que esta alternativa se torna en una opción viable para pequeñas, medianas y grandes empresas. Lo que empezó con el correo electrónico, ha derivado en cosas tan complejas como el alojamiento de aplicaciones Oracle, SAP, Dynamics, etc.

El desarrollo de tecnologías de virtualización ha permitido un mejor uso de los recursos de hardware, así como ha permitido desarrollar ambientes de bajo costo a gran escala. La evolución de estas infraestructuras ha alcanzado un nivel de madurez suficiente para satisfacer las necesidades de procesamiento de los clientes y ofreciendo la oportunidad de ofrecer estos servicios a cualquier rincón del planeta. De manera paralela, este crecimiento globalizado ha permitido entender y desarrollar estrategias de seguridad que contrarresten las amenazas existentes en el mundo virtual. “La nube” ha dejado de ser un concepto abstracto, para convertirse en un mundo real, con riesgos reales y por lo tanto, con oportunidades de crecimiento y mejora continua.

Garantizando la seguridad

Los esquemas de seguridad informática ya no están regidos solo por las necesidades de los usuarios, sino por los requisitos legales inherentes al manejo de información de terceros por plataformas informáticas en la nube. Dentro de este precepto, nos encontramos con una contradicción entre los requisitos de confidencialidad y seguridad de la información y la falsa idea de una jurisdicción. Si bien los datos que se encuentran en “la nube”, están publicados desde un centro de cómputo con una ubicación geográfica, por parte de una empresa constituida con una casa matriz centralizada en algún país, la esencia de su servicio global trasciende las fronteras, a medida que sus transacciones se hacen de manera internacional.

La gestión de la seguridad en las organizaciones ya tiene unos parámetros a seguir, como los son la norma ISO 27001 y la ley de Habeas Data. Para toda organización que busque desarrollar su negocio dentro de cualquier tendencia emergente, es importante que ponga atención a desarrollar un proceso de adopción de las políticas de seguridad necesarias, para garantizar la satisfacción de las necesidades de seguridad fundamentales de sus clientes mediante un proceso de vigilancia tecnológica.

En torno a las tendencias de tecnología y telecomunicaciones, deben evolucionar planes estratégicos de evaluación, estudio y análisis de riesgos, que conlleven a una adecuada toma de decisiones. La correcta recopilación de información, se ve fortalecida por desarrollos que tengan en cuenta que no existe un sistema infalible, ya que el estancamiento es la debilidad principal que es atacada por los delincuentes informáticos.

Solo garantizando la seguridad de los usuarios, se pueden establecer relaciones de confianza que afiancen el continuo crecimiento de la utilización de las TIC en todas las áreas del conocimiento y desarrollo.

Seguridad basada en el Riesgo y la Autoprotección

Existen diversas tendencias que surgen en respuesta a las necesidades, tanto existentes como emergentes, pero toda evolución dentro del marco tecnológico está involucrada de manera directa o indirecta con la seguridad. En muchas ocasiones, esta relación se fundamenta en el miedo; la decisión de subir información confidencial a la nube, es tan crítica como el hecho de tener que realizar transacciones desde dispositivos móviles.

Esta condición puede traducirse en un impedimento para el progreso y es debido a que las condiciones de seguridad perfectas no existen; a medida que los sistemas evolucionan, también lo hacen sus riesgos. Es por ellos que las aplicaciones que surgen en esta nueva era, deben ser capaces de entender y aprender los riesgos, a través de estadísticas y comportamientos, de manera que puedan cambiar y adaptarse.

La tendencia de las nuevas tecnologías, al ser de naturaleza móvil, es que no tengan que depender de la seguridad perimetral de una empresa (firewall, antivirus, etc.); a esta tendencia se le conoce como “Seguridad basada en el riesgo y la autoprotección”. En ella se observa la posibilidad de desarrollar sistemas de seguridad que sean sensibles a su entorno. El éxito del desarrollo de las herramientas de colaboración del futuro, radica en que cada aplicación sea consciente de sí misma y que así como es parte de una arquitectura más grande interconectada a nivel global, sea capaz de existir como una entidad individual, sin correr el riesgo de ser afectada por externos, por el hecho de encontrarse fuera de un centro de cómputo.

Los controles de acceso no solo deben poseer un alto grado de adaptabilidad, sino que además deben contar con una interfaz de modificación de protocolos amigable para el usuario. Si bien la responsabilidad sobre los cambios en las reglas de comportamiento de los esquemas de seguridad recae sobre los usuarios, estas tienden a limitarse a preferencias (seguimiento, recordación y acceso);  la verdadera seguridad contra ciber-ataques se deriva de un modelo básico de inteligencia artificial, que es capaz de reconocer riesgos y amenazas en comportamientos recurrentes. Algunos ejemplos hoy en día, son los esquemas de protección de contraseñas de varias plataformas, que recurren a procesos de autenticación de segundo nivel, al momento de identificar varios intentos de acceso con contraseña errada o al tratar de abrir cierta aplicación desde una ubicación diferente a la usual (entre algunas encontramos a Hotmail, Facebook y  entidades bancarias).

Para alcanzar este objetivo, se deben establecer funciones y asignar responsabilidades en el desarrollo de un proceso de evaluación y administración de riesgos de seguridad informática en el desarrollo de las aplicaciones.

https://www.microsoft.com/spain/technet/recursos/articulos/images/rmch0305_big.gif

http://www.ibm.com/smarterplanet/us/en/ibm_predictions_for_future/ideas/

http://portfolio.cicei.com/artefact/file/download.php?file=3783&view=491

Seguridad Informática en Colombia

En razón al creciente desarrollo de las telecomunicaciones y de la dependencia sobre las herramientas tecnológicas para el cumplimiento de los objetivos del gobierno en línea, el Ministerio TIC ha profundizado en el desarrollo de herramientas enfocadas hacia el sistema de gestión de la seguridad de la información en el Estado. Entre otros, ha contratado un estudio para "conocer cuál es el estado actual de adopción y apropiación de los SGSI en las entidades del Estado, del orden nacional y territorial".

De este estudio, concluyó que “el proyecto de creación de un Sistema de Gestión de Seguridad de la Información, comienza generalmente por el área de TI (…) la mayoría plantea un alcance inicial que incluye mínimo el área de TI y los sistemas de información de la entidad (…) las razones para este tipo de alcance inicial son: practicidad y recursos".

Teniendo en cuenta las cifras de inversión en TI en los últimos cinco (5) años, es claro un crecimiento constante que demuestra un interés real en este aspecto. Solo en los seis primeros meses de este año, se ha superado la apropiación de partidas de un año entero a principios de esta década.

Si bien un rubro importante son los servicios de soporte y adquisición de infraestructura, la inversión en software crece a un ritmo constante, demostrando un interés genuino en estar a la vanguardia de la evolución tecnológica, en particular en el desarrollo de aplicaciones bajo un contructo sólido y seguro como lo son las bases de datos Oracle.

En el 2014 fue lanzado el primer portal en ciberseguridad www.ccp.gov.co, desde el que se busca garantizar la interacción de manera ininterrumpida entre la ciudadanía y policías con conocimientos a nivel experto en delitos informáticos. Solo el año pasado fueron atendidos 172.576 casos y en lo corrido del 2015 más de 55.000 colombianos han utilizado el portal para realizar sus denuncias.

Es de resaltar que dentro del Plan Estratégico de TI (PETI), se han definido las estrategias del actual gobierno en referencia al uso y apropiación de las herramientas de tecnología, de manera estratégica y enfocada hacia la seguridad, calidad, cubrimiento, así como hacia los planes de continuidad de negocio en caso de desastres/ataques, teniendo en cuenta el marco normativo y legal, así como las políticas organizacionales y los procesos internos de las entidades.

De igual forma, la INTERPOL-DIJIN participa de manera activa con entidades internacionales (FBI, European Cybercrime Centre, etc.) en operaciones contra el cibercrimen , logrando casos de éxito tan grandes como el de la operación DARKODE en julio de este año, donde participaron en conjunto oficiales de Australia, Brasil, Canadá, Croacia, Colombia, Cyprus, Dinamarca, Finlandia, la antigua república Yugoslava de Macedonia, Alemania, Israel, Latvia, Nigeria, La república de Srpska (Bosnia y Herzegovina), Rumania, Serbia, Suecia, Reino Unido y USA.  En este operativo se detuvo un tráfico de información que involucraba cerca de 300 usuarios activos, logrando 28 capturas de líderes de este sitio, así como la confiscación de varios equipos de cómputo especializado.

Otros casos han sido la captura del “rey de las millas” quien defraudó a una aerolínea por una suma superior a los 541 millones y a una banda que logró hurtar más de 77 mil millones de pesos de cuentas de nómina de diferentes empresas.

Adicionalmente, la institución ha sido responsable del desarrollo de aplicaciones dirigidas al usuario final, con el fin de extender los esfuerzos de la policía dentro de las familias, protegiendo y defendiendo los derechos y la libertad de los ciudadanos.

El gobierno ha reconocido la importancia de esta área más allá de una simple herramienta comercial, desarrollando una estratégia que crece continuamente, a medida que busca impulsar el desarrollo económico y político dentro de un ambiente seguro y confiable.

 Fuentes: 

http://estrategiaticolombia.co

http://colombiadigital.net
http://www.mintic.gov.co