viernes, 14 de diciembre de 2012

Claves en seguridad de la Información para 2013 en Sud-América


CIO America Latina

A partir de nuestra experiencia y conocimiento de aproximación global y de la realidad local y regional, podemos entregarle nuestra opinión, en líneas muy generales, sobre lo que puede presentar el año 2013 para nuestra región SUD-Americana; en cuanto a la seguridad de la información.

Claves 2013: Aplicaciones WEB / Análisis de Vulnerabilidades / Adecuación a Normativas – Controles / Aplicaciones para el Control de Activos de Información / Diseño de la Seguridad: Red Social – Red Corporativa – Dispositivos Móviles / Continuidad del Negocio – DRP / Manejo de Riesgos & Incidentes / Grupos de Activistas-Gobiernos.

1. Se preve un desarrollo importante del malware, en cuanto a su originalidad como pieza de desarrollo técnico, a su capacidad de propagación y a su baja detección.
> Evolución notable de toolkits, capacidades y eficacia desarrolladas.
> Creciente virulencia y violencia en la táctica conceptual del ataque (secuestro, extorsión, daño).
> Ataques efectivos a la integridad de los activos de información, es decir, a la modificación de su contenido; se considera particularmente peligrosa esta tendencia.
> Se prevé la consolidación de la táctica de daño irreversible, vía encripción y otros métodos.
> Elementos para ataques a browsers, del tipo mitB o similar; Foco en y desde la nube.
> Elementos vía e-mail a partir de activismo.
> Evolución formal del mercado de vulnerabilidades.

2. Aplicaciones WEB; la nube y los dispositivos móviles serán targets en crecimiento, la tendencia se acelera con respecto a 2012.
> Entender la seguridad a partir de los usuarios MOVILES (internos & externos a la organización). Foco de ataques para Android.
> Ataques concentrados en servidores Web.
> Entender el concepto de proteger y compartir información mas allá del perímetro de seguridad clave de la organización.
> El problema del límite entre la red corporativa y la red social. Las redes sociales tienen nuevo foco a partir de incluir transacciones comerciales en crecimiento.
> Crecerán los eventos por ingeniería social con respecto a la 2012.
> Hay acuerdo en que TELCOS serán objetivos en todo el mundo de ataques masivos y efectivos.
> La nube como ambiente de propagación.
> Crecimiento de Phishing.

3. Nuevas herramientas potencialmente inseguras por su novedad.
> Desarrollos en HTML5 con problemas si no se implementa la seguridad adecuada.
> IPV6 requerirá su implementación de seguridad adecuada.
> Se prevén ataques novedosos especialmente desarrollados para entornos virtuales y de difícil detección.

4. Se elevara, en la organización, el nivel de la responsabilidad del CISO, con mas poder y recursos, especialmente en corporaciones globales.
> El riesgo de los activos de información en la agenda de CFO y CEO.
> Serán mas escasos aún, los especialistas en la seguridad de la información, con educación y experiencia.
> Crecerán los presupuestos para la seguridad de la información en organizaciones de todo tipo en toda la región.
> Responsables de unidades de negocio, en organizaciones de todo tipo, preocupados por la integridad de sus bases de datos, datos sensibles y por ataques a sus campañas comerciales a través de la Web.

5. Para Sud-América crecerá la normativa legal para resolver conflictos por incidentes de seguridad para individuos y organizaciones.
> Las organizaciones intentaran controlar sus riesgos legales en activos de información.
> Los gobiernos preocupados por la seguridad de la información, se espera algún conflicto inter-regional por cyberataques.
> La jurisprudencia crece de manera importante y moldea el ambiente para el análisis de riesgos propios de las organizaciones.

6. Las normas globales de seguridad son cada vez mas importantes, los gobiernos más preocupados por la seguridad de las organizaciones en general.
> En Sud-América evolucionara la normativa para la industria financiera y PCI.
> Crecerá en forma importante la adecuación a la norma ISO.
> Foco en la administración y control de activos de información sobre un compliance y en el assessment de seguridad de tipo diverso y periódico.
> Reglas para el acceso a la información de la organización, según regulación gubernamental.
> Desarrollo importante, a nivel global, de la implantación de controles por normativas.

Sebastián Fernández - Simétrica de Argentina

 Fuente:  www.cioal.com