Pues de regreso nuevamente por estas tierras regias, no puedo decir que extrañé su tráfico porque no fue así. Desde donde anduve, llené la pseudo encuesta (no les diré cuántas veces, pero una sí) sobre los segundos pisos en algunas vialidades de Monterrey; y después de andar por otras tierras, me doy cuenta que la solución no son más avenidas, viaductos y segundos pisos, sino un sistema integral de transporte colectivo de calidad que creo nuestra ciudad merece. Todas las demás soluciones generarán lo que tratan de evitar, más tráfico, ya que atraen más automóviles, como dice una reconocida arquitecta, atraes lo que construyes. Hasta una isla (no tan popular como sus hermanas) en el mediterráneo tiene mejor sistema de transporte público que nuestro querido Monterrey (y no digamos que mejor aeropuerto). Dicen que los viajes ilustran, en lo personal, me desmotivan, prometo ya no volver a viajar. Claro, en todos lados se quejan de sus respectivos gobiernos y en todos lados te tratan de fregar.
Regresando a temas de tecnología, las grandes empresas norteamericanas del sector no tienen buenos amigos en los legisladores del mundo, ni en los de su país. Francia ya puso un impuesto del 3% a las empresas de tecnología por los ingresos generados en su país. Reino Unido anda en las mismas. Además, los legisladores norteamericanos andan tras ellas y son el objetivo de los precandidatos a la nominación demócrata por la presidencia de los EEUU.
En general, se percibe una gran desconfianza en las grandes empresas de tecnología. Mi preocupación respecto a las grandes empresas de tecnología está en los temas de innovación y surgimiento de nuevas empresas, por ejemplo Peter Thiel (de quién tampoco hay que confiar mucho ya que tiene sus ideas extremistas) dice que Google ya no es una empresa de tecnología y que se ha quedado sin nuevas ideas. Claro que también la acusa de traición contra los EEUU y ya el presidente norteamericano hizo eco de las declaraciones de Thiel (quien lo apoyó en su pasada campaña electoral).
En fin, en todas partes tenemos retos en el tema de la tecnología, en algunos países creen que el petróleo es el futuro, en fin. Y si tan sólo fueran esos retos, pero no, no quedan en esos temas. También el panorama de la seguridad de información es complicado.
El perímetro de nuestras organizaciones se ha desvanecido; tanto por los temas de computación en la nube, como por el trabajo remoto y los dispositivos móviles. El pensar que, porque estás dentro de la red corporativa o conectada a ella por un VPN y por eso puedes confiar, algún día funcionó, pero ya no. El contexto, el usuario y el dispositivo son ahora los temas que necesitan considerarse y no sólo en el acceso a la red, sino a las aplicaciones. Es decir, no porque estés en una red interna, las aplicaciones deben de confiar en ti (al concepto le dicen “Zero Trust Model”, Google lo ha implementado bajo el nombre “BeyondCorp” y muchas otras organizaciones lo traen como el paradigma).
Y si a eso le sumamos que las organizaciones están introduciendo soluciones de IoT (en donde muchas de ellas la seguridad no es una prioridad), pues los movimientos laterales al comprometer estos dispositivos hacen que las cosas sean por demás interesantes.
Si a eso le sumamos que no existen profesionales suficientes en el tema de la ciberseguridad y que la cultura de una sociedad incide directamente en el tema de ciberseguridad, pues tenemos un ambiente muy propicio para incidentes. Además, no quiero mencionar que al estar en internet los ataques no necesariamente provienen de tu mismo terruño, sino que pueden venir desde otras regiones.
Y si a eso le sumamos que menos del 50% de los desarrolladores pueden identificar vulnerabilidades de seguridad más adelante en el ciclo de vida del software y que casi la mitad de los errores encontrados existen después de que el código se fusiona al ambiente de pruebas de acuerdo con un reporte de GitLab, pues las cosas no están nada sencillas.
Pero “que no panda el cúnico”, sólo es cosa de ponerse a diseñar, construir y trabajar en la arquitectura de seguridad que cada una de nuestras organizaciones determine que atienda los niveles de riesgo que decide aceptar. Eso sí, no podemos seguir pensando que “mi red está segura” porque no me han atacado (lo más seguro es que te hayan atacado, pero no te hayas dado cuenta).
Como dicen, existen dos tipos de organizaciones: las que han sido atacadas y han detectado el ataque y las que han sido atacadas y no se han dado cuenta. Aunque digan que la ignorancia es una bendición, no creo que esto aplique para los activos de información de las organizaciones.
También conviene darle una leída a un reporte sobre la ciberseguridad en el sistema financiero mexicano publicado por la OEA y la CNBV. Lo interesante del reporte (página 36) no está en los tipos de eventos de seguridad más comunes que se identifican en el sistema financiero mexicano (phishing, malware y no cumplir con política de escritorio limpio), sino en los que dicen que “No Hay”: puertas traseras, sabotaje interno, ataques día cero, DDoS y ataques “man-in-de-middle”. Eso sí, el firewall sigue siendo el rey en cuanto a medidas técnicas usadas (página 32), pero con el panorama actual (y lo que pasó el año pasado en el ataque contra SPEI) creo que debemos evolucionar.
Aquí termino el día de hoy, que disfruten de un excelente miércoles. Un fuerte abrazo.
BitCasting es posible gracias a Insight Level y CITI Value in Real Time.
El número del día de hoy es patrocinado por CoSpace.
Imagen por Stevepb en Pixabay.
Imagen por Skitterphoto en Pixabay.