Infraestructuras críticas, el objetivo de mira más sensible y olvidado

Este año, nos hemos encontrado con varias noticias relacionadas con ataques a infraestructuras críticas o sistemas SCADA (centrales nucleares, transporte, red eléctrica, suministro de agua, etc.). Diversos fabricantes de soluciones de seguridad han alertado del peligro de los ataques a estas infraestructuras debido a su exposición a Internet y a que éstas no hayan sido diseñadas con la seguridad como premisa básica, pudiéndose producir una amenaza real a la seguridad nacional.   Un ejemplo lo encontramos en una noticia publicada recientemente sobre la denuncia de un hacker ante la vulnerabilidad de los sistemas que controlan el suministro y el tratamiento del agua. PrOf, que así se dio a conocer el hacker, publicó datos de una planta de Polonia de tratamiento de aguas residuales, los datos de un programa de gestión de un generador, y lo que se atribuye a archivos de medición de agua de España y Portugal. El hacker solo quería criticar la pobre configuración de los sistemas, el bajo nivel de las contraseñas y la inexistencia de restricciones al acceso del interfaz.   La protección de las infraestructuras críticas sigue siendo la asignatura pendiente para empresas y para administraciones públicas. Los fabricantes de servicios y productos de seguridad recomiendan potenciar la colaboración y el intercambio de información entre todos los participantes en este ámbito; la colaboración público-privada; garantizar la adaptabilidad de la protección a nuevas situaciones; y abordar la protección desde el punto de vista físico y lógico.
  Cloud, la desconfianza de una información en manos de terceros

Las empresas se enfrentan al reto de gestionar los programas maliciosos e infecciones, pero también, han de mantener vigilados los nuevos métodos de acceso a aplicaciones y datos, como los que se ofrecen a través del cloud computing. La seguridad y la disponibilidad de la información se han convertido en uno de los grandes hándicaps de los servicios en la nube, ante la desconfianza de que los datos corporativos estén en manos de terceros. Y es que el modelo aún se basa en componentes de hardware por lo que no es inmune a la pérdida de datos. En este sentido, el CPD que aloje estos servicios debe de disponer de sistemas que garanticen la disponibilidad de la información, una red tolerante a fallos, que garantice el acceso en tiempo real desde cualquier ubicación, políticas de backup, control de acceso a través de procesos de autenticación, administración de identidades, y soluciones de disaster recovery.   Por su parte, los clientes que hayan contratado o vayan a contratar servicios en la nube deben conocer dónde están sus datos y qué medidas aplicará su proveedor para la protección de la información. También, es necesario controlar quién accede a la información y asegurarse de que las comunicaciones sean seguras. En este nuevo paradigma, la carga recaerá en los administradores de TI, que tendrán que garantizar la seguridad de los datos críticos de su empresa a medida que se suban datos y aplicaciones corporativas a las nubes públicas.
  Las redes sociales redefinen la privacidad

El gran abanico de posibilidades de comunicación y de interacción que ofrecen las redes sociales está dando lugar también a una nueva problemática, especialmente en las empresas, fruto de los problemas en la seguridad y la privacidad de la información, y cada vez más, de los intentos de ataques por parte de ciberdelincuentes. Los ataques a través de la ingeniería social está siendo utilizado para llegar a más víctimas potenciales en las redes sociales.   Los llamados spammers y scammers han sabido aprovechar los ‘trending topics‘ de los medios sociales para mejorar sus tácticas y métodos de piratería e ingeniería social, robando datos de millones de usuarios de redes sociales en todo el mundo. Como consecuencia, los legisladores han comenzado a exigir que los sitios de redes sociales implementen políticas y mecanismos para proteger la privacidad de sus usuarios. En el último año, Facebook, Twitter y Youtube han sido las redes preferidas por los ciberdelincuentes, que han aprovechado su gran popularidad para conseguir nuevas víctimas que les reportaran beneficios económicos.
  El reto de la movilidad y de la tendencia ‘Bring your on device’

La proliferación de los dispositivos móviles, como los smartphones y los tablets, está dando lugar a una tendencia a nivel global que se ha denominado como ‘Bring your on device’ (traiga su propio dispositivo), en la que los trabajadores cada vez más tienden a utilizar su dispositivo móvil personal, además, como herramienta de trabajo. Esto estimulará la adopción de soluciones VDI (Virtual Desktop Infraestructure), y la conectividad inalámbrica, entre otras cosas, pero también, el acceso a información confidencial, que generará una nueva problemática para los responsables de TI en el ámbito de la seguridad y del cumplimiento de las políticas corporativas. Por este motivo, se prevé que las organizaciones inviertan mucho tiempo, dinero y esfuerzo en este aspecto. Y es que, será necesario concentrarse en contar con la protección básica para los nuevos modelos y dispositivos utilizados, sin olvidar las herramientas de s eguridad dentro también de la empresa.