Fuga desde Storage en la nube
Hoy en día el Software se construye de manera diferente y en muchas ocasiones el código se almacena en servicios de nube como GitHub, Amazon S3, Azure entre otros. Las mayores fugas de información se han presentado desde repositorios de nube mal asegurados. Código y Datos almacenados de manera insegura, repositorios privados que por accidente se marcan como públicos. Llaves y contraseñas almacenadas en los lugares equivocados
Gobierno de los Datos
Las organizaciones no sólo deben tener un inventario de Activos de sus Equipos físicos, sino un inventario de sus datos y las organizaciones grandes deberán tener un curador de Datos encargado de controlar los activos de información, este debe interactuar con los desarrolladores y con el negocio para identificar donde se están almacenando los datos más críticos. Adicionalmente utilizar herramientas que permitan la identificación automática de los datos más críticos en los repositorios de nube y que realicen un análisis del consumo de información y las operaciones que están realizando los usuarios sobre los datos. Analítica de uso de los datos.
Voy tras sus Datos no sus Equipos
Se observa un cambio en los hackers cuyo interés cambia de hackear equipos a hackear los datos. Finalmente los datos son los que tienen valor y se observa el uso de analítica y Big Data para extraer y correlacionar datos de diferentes fuentes aparentemente inocuos para derivar valor. El fenómeno del Ransomware es un ejemplo del valor que los datos tiene para el usuario, y como este se monetiza ilegalmente.
Controle el usuario no la red
Del lado de la defensa, hoy se trata de controlar el Usuario, no la red. La teoría del Zero-Trust lanzada hace unos años tiene hoy más vigencia, ante la inexistencia del perímetro y movilidad de los usuarios, datos y aplicaciones. Temas de Gobierno de Datos y Gobierno de Nube son ahora mucho más críticos que el mantenimiento de las reglas del Firewall.
Identidad y Autenticación Fuerte
Con la adopción de soluciones de nube la autenticación de múltiple factor se vuelve imprescindible. La confianza empieza con la gestión de la identidad. La red nos da conectividad, pero no nos garantiza la confianza. Independiente del modelo de implementación (IaaS, SaaS etc) seguimos siendo los dueños y responsables de nuestros datos. Y esta responsabilidad de los datos incluye el respaldo de los mismos. Los controles de seguridad deben seguir los Datos. Estamos ante un cambio de paradigma: donde la identidad es el nuevo perímetro. Hoy en día el 75% de los ataques tienen que ver con identidad.
Cifrado
Muy importante el cifrado de la información en reposo, sobre todo cuando esta se encuentra sobre en la infraestructura de un tercero (nube). Uno de los problemas serios hoy es dónde almacenamos las llaves de cifrado. Cuando se adopten soluciones de nube se debe pensar previamente en el aseguramiento de la misma, esto incluye los controles de auditoría y visibilidad.
Automatización de la ciber defensa
En la medida que los ataques se hacen más complejos y utilizan herramientas automáticas de escaneo y explotación, la respuesta a los ataques debe automatizarse para poder escalar a los nuevos volúmenes de datos y transacciones que se están manejando. La inteligencia artificial es una manera de aumentar las capacidades humanas, no de remplazarlas, similar a como sucedió con la revolución industrial, donde las máquinas nos permitieron llegar más lejos, más rápido.
Diversidad
Otro tema importante que se apreció como eje de la conferencia fue la importancia de tener equipos diversos en la seguridad, personas que piensen diferente y provengan de diferentes culturas, razas y entornos. Excelente el testimonio de Reshma Saujani, fundadora de Girls who Code, quien se dedicó a promover el aprendizaje de la programación en las niñas para cerrar la brecha de género que tiene nuestra industria. Esto enlazó muy bien con la ponencia de Margot Lee Shetterly autora del libro “Hidden Figures”, que inspiró la película del mismo nombre, donde se rescata el aporte -hasta ahora inédito- de tres mujeres afroamericanas en las matemáticas y el cálculo que permitieron poner al hombre en el espacio y recuperar terreno en la carrera espacial a finales de la década de los 60.
