domingo, 22 de agosto de 2010

Tendencias en Seguridad.


Las áreas de seguridad tienden a transformarse. Empezarán a diluirse y entretejerse cada vez más en otras áreas organizacionales de TI. En el futuro cercano, en las corporaciones ya no deberá de haber un área de seguridad informática como se concibe hoy, sino que las funciones de seguridad estarán bajo la responsabilidad de diversas áreas de TI.

Dentro de una empresa, el área de desarrollo será responsable de codificar software no sólo funcional sino seguro y tendrá uno o más codificadores capacitados para desarrollar con seguridad. La Oficina de Redes también ya no sólo será responsable de la operación de las redes, sino de su seguridad, por sí sola esta Oficina tendrá un par de ingenieros capacitados en seguridad que propondrán productos de protección, revisarán su buen funcionamiento y estarán al tanto de las tendencias en ataques y controles que los mitiguen.

Los administradores de servidores o bases de datos ya no andarán sólo atendiendo que “la operación” prevalezca, sino que también estarán a cargo de la seguridad de los servicios que residen en sus servidores y de los servidores mismos.

Las áreas de seguridad informática tienden a transformarse y especializarse en ciertos temas “avanzados” de seguridad y en entender las tecnologías para poder atender los riesgos a los que se enfrentan. Las funciones operativas de seguridad tienden a absorberse. Los productos de seguridad tienden a ser administrados ya no por esos de “Seguridad”, sino por cada área administrativa.

¿Antivirus? Para los de Servicios de Sistemas Operativos. ¿Firewall perimetral? Para Redes. ¿Antispam? Para los encargados del Correo. ¿Filtrado de contenido y/o DLP? Redes también (bueno, hablemos de DLP cuando madure un poco más).

El área de seguridad cambiaría su nombre a algo así como “Protección de la Información” o “Administración de Riesgos de la Información”, probablemente con funciones de análisis de riesgos informáticos y de la información, auditorías de seguridad (incluyendo revisión de configuraciones) y pentest. Así lo veo (y algunas de estas ideas de hecho las empecé a escuchar de @ElProfeSeguro). ¿En todas las corporaciones? Estimo que por la naturaleza del cambio, esto se daría en organizaciones medianas y grandes (si no es que ya se está dando de forma natural).

Lo anterior también se puede ver en la tendencia de incorporar la seguridad en servicios y productos. Google en su servicio de GMail tiene un satisfactorio filtro antispam y control de malware. Microsoft muere de ganas por incorporar su antivirus Security Essentials en Windows y eventualmente lo hará de alguna manera u otra al 100% (por ejemplo, ¿recuerdan la integración del firewall de MSFT en XP-SP2? Ahí van poco a poco, no?). Asimismo, Intel acaba de comprar a McAfee. HP a Fortify.

Tiene lógica. Cuando compro un auto, no quiero comprarle por separado dos bolsas de aire, cinco cinturones de seguridad, un sistema ABS o una alarma. Hoy en día estas protecciones vienen incorporadas en muchos de los autos nuevos, y así debería de ser. La seguridad forma parte de las características del auto, como el sistema de frenos o el eléctrico.

Bueno, eso es todo de este tema. Ahora cambio de dirección y les comparto algunas de mis opiniones respecto a la compra Intel-Mcafee anunciada la semana pasada (que fue la que me dio la idea de este post):

+ Intel pagó un 60% más por acción. Muestra un gran interés y que le ven potencial a McAfee. Osease, ven lana.

+ Intel en su comunicado comentó que la seguridad no es suficiente en dispositivos móviles, ATM o automóviles. Intel, el gran fabricante de chips para las PC, no lo es para el mercado móvil que representa un jugoso futuro. Tal vez quiera ofrecer productos/servicios de seguridad para estas “nuevas” áreas de oportunidad y estar presente ahí.

+ Se ha dicho que de alguna forma se delegarán funciones del software de seguridad (Mcafee) al hardware (chip Intel). No estoy convencido de esto. Tal vez (eso sí) vayan a crear hardware (no forzosamente procesadores) especializado en seguridad que se incorpore en los sistemas de cómputo o móviles. La idea de Intel tal vez sea que la seguridad estará –mejor- en el hardware y no en el software.

+ Se ha dicho que este tipo de adquisiciones afecta la innovación. Yo no ligo poca innovación con grandes corporaciones. Creo que la innovación se da cuando están las bases puestas.

+ Se ha dicho que Intel buscaba especialistas en seguridad para colaborar en los diseños de sus procesadores y que de ahí la compra. No creo que hayan tenido que comprar toda una compañía para conseguir a estos especialistas.

¿Cuál es tu lectura de la compra?

Finalmente, un comentario de Bruce Schneier del 2008: “What we're going to see is consolidation of non-security companies buying security companies. So, remember, if security is going to no longer be an end-user component, companies that do things that are actually useful are going to need to provide security. So, we're seeing Microsoft buying security companies, we're seeing IBM Global Services buy security companies, my company was purchased by BT, another massive global outsourcer. So, that sort of consolidation we are seeing, it's not consolidation of security; it's really the absorption of security into more general IT products and services”.