El perímetro está en todas partes, pero ¿dónde están realmente tus datos?

Es difícil proteger lo que uno no entiende. Por otro lado, también es difícil proteger datos cuando no sabemos dónde están. Si por ejemplo se trasladaron silenciosamente a un centro de procesamiento de datos en el extranjero, mientras van migrando de un lado a otro por la nube, ¿es posible enterarse? ¿Cómo podrías protegerlos o saber con certeza cuán seguros son? Éste es el problema de la convergencia de datos: suponemos que funcionarán y serán seguros, a la vez que serán capaces de interactuar entre sí sinérgicamente.

Es difícil proteger datos cuando no sabemos dónde están
Si no sabes dónde se encuentran tus datos, probablemente no sea posible protegerlos en forma legal, o al menos no será fácil saber con exactitud lo que necesitas hacer para protegerlos en diferentes jurisdicciones del extranjero ante algún problema. En ese sentido, hoy en día es muy difícil entender lo que ocurre realmente en la nube: uno simplemente espera lo mejor en lo que a la seguridad se refiere.

No es que no podamos averiguarlo, pero cada vez hay más capas de abstracción entre el usuario y el lugar de residencia de sus datos, ya sea por razones de mercado o por motivos técnicos (el porcentaje más alto tiene que ver con el marketing). Si por ejemplo los mercados ofrecen descuentos para almacenar datos en el extranjero, podrás apostar a que una gran parte terminará migrando silenciosamente al exterior con el paso del tiempo. Si los mercados determinan que todo debe incluir la palabra “nube” en el título (en lugar de la tecnología subyacente, que normalmente está conformada por un grupo de máquinas virtuales que ni siquiera cuentan con protección), entonces eso es lo que dirán los folletos.

Al sumarle los múltiples tipos de endpoints existentes (que cada vez es más probable encontrar en uno de tus bolsillos, monederos o mochilas), el perímetro se vuelve muy difícil de entender, y aún más difícil de proteger.

Hay una tendencia a simplificar todo, por lo complicado de gestionar múltiples nodos
Durante años, la interoperabilidad entre plataformas ha sido la pesadilla de los tecnólogos. Hasta tienen un evento exclusivo en los Estados Unidos, llamado Interop, donde expertos en tecnología pueden compartir historias y malas experiencias y, con suerte, corregir errores.

Pero se observa una tendencia a simplificarlo todo, muy probablemente como consecuencia de que es muy difícil gestionar múltiples nodos en lugar de uno o dos, por lo que es imprescindible simplificar las cosas. Lo que no se puede simplificar es la seguridad. Aunque agregues más botones de seguridad bien grandes y brillantes en tu enjambre de dispositivos móviles, en la nube y de la Internet de las Cosas, no los hará necesariamente más seguros. De lo contrario, nadie sería víctima de ataques cibernéticos en la actualidad.

Es cierto que los fabricantes están tratando de facilitar la seguridad en forma predeterminada, pero si lo único que quieres ver es un gran botón brillante y no te interesas por conocer lo que hay detrás, eso no te protegerá. En cambio, te hará más dependiente de la ética de tus proveedores.
Algunas empresas que le dan mucha importancia a la seguridad pueden tener éxito si son capaces de justificar el gasto ante los inversores, que suelen ver la seguridad como un derroche de fondos. Cuando prevalecen las presiones del mercado, lo único que te queda es esperar que ese gran botón brillante funcione.

Pero si dicha empresa proveedora con su fuerte ética de seguridad se vende en forma silenciosa, ¿quién puede decir lo que el nuevo propietario o responsable podría deparar? El año pasado en Interop observamos un montón de empresas de tecnología comprando desenfrenadamente pequeñas empresas sólidas para añadir a su creciente cartera de productos y servicios. Pero ¿quién puede predecir si las nuevas empresas paraguas tendrán la misma sensatez que el pequeño emprendimiento que vivía de la seguridad?

Por eso la seguridad en la actualidad es un tema complicado: la solución reside en poder confiar en la capacidad de tu personal para ir más allá de lo que dice la propaganda y analizar las funcionalidades de seguridad reales, para determinar si el proveedor ofrece un buen producto o si simplemente sus botones brillan más que el año pasado. Aunque no se trate de botones reales, sino algo que cumpla su función en tu dispositivo móvil.

¿Quieres analizar este tema más a fondo? Búscanos en la exposición Interop en Las Vegas, en el Stand 1105, o después de mi presentación Seven Ways Malicious Code Enters Your Virtual World, que daré el viernes 6 de mayo en la sección K. Si no puedes asistir a la feria, te recomiendo que te inscribas en este webcast de mi presentación (en inglés).

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos