*

Andrew Cushman: "Las redes sociales representan uno de los principales desafíos"

La´s aplciaciones están en al mira de las hackers. Hacen al 86,7% de las vulnerabilidades, según un estudio de Microsoft. Entre los mercados más afectados están Brasil y España. Andrew Cushman, director del centro de Respuesta y Alcance de Seguridad de Microsoft a nivel global, comenta en entrevista exclusiva con Infotechnology.com las tendencias a tener en cuenta para éste año. 22 de Marzo 2010
Andrew Cushman: "Las redes sociales representan uno de los principales desafíos"

El panorama web en temas de seguridad no es muy alentador. Todos los proveedores de seguridad, entre ellos Symantec, MacAfee, Verisign, anticipan que la amenaza de ataques y las filtraciones seguirá en aumento. El principal escollo para evitarlo es la creciente cantidad y sofisticación de aplicaciones que se incorporan al universo web a medida que crece la cantidad de participantes en la red de redes. Un estudio elaborado por Microsoft advierte ante la necesidad de reconocer que el tipo de defensas es cada vez más inadecuado ante el nivel de desarrollo que muestran los malware.

El estudio indica que, en comparación, las aplicaciones representan el 86,7 por ciento de las vulnerabilidades, un 8,8 por ciento le corresponde a los sistemas operativos (OS, por su siglas en inglés) y el 4,5 por ciento llega por las debilidades de los buscadores. Un de las sorpresas del estudio es que, entre las zonas geográficas más amenazadas por este tipo de problemas está, Brasil y España. Ambos se ubican, junto a Rusia, Turquía, Oriente Medio y algunos países de África como las zonas con mayor nivel de ataques. Para la Argentina, el estudio registró a los gusanos (worms) y troyanos como la principal amenaza.

 En entrevista exclusiva con Infotechnology.com, Andrew Cushman, director del centro de  Respuesta y Alcance de Seguridad de Microsoft a nivel global, comentó algunos de los puntos más relevantes del informe. “Para reaccionar ante esta amenaza, el desafío pasa por los mismos puntos: lograr gestionar el nivel de seguridad de la infraestructura que el usuario utiliza: eso es diseñar una red segura, asegurarse que los equipos sean de última generación. Esto es algo muy básico. Pero sorprende cuánta gente todavía no lo logra hacer o entender”, comentó el especialista en el marco del evento Blue Hat, realizado en Buenos Aires.

¿Qué cambios se deben esperar en materia de seguridad para este año?
Uno de los más anticipados es el mundo cloud. Las empresas deberán tener sumo cuidado qué se les ofrece como un servicio cloud y qué tipo de seguridad estos ofrecen. Deberán asegurarse que la oferta responde a las necesidades que tiene la empresa en particular. El peligro es que cloud (la nube) es en estos momentos unos de las palabras más usadas y vendidas. Eso no quita que deba responder a los cuatro pilares que rigen desde siempre el nivel de gestión informática: confiabilidad, seriedad, seguridad y las sanas prácticas de negocio. O sea, en una palabra: permitir una gestión transparente. La idea es que el proveedor sea muy transparente en cuánto a qué ofrece en cuanto a los servicios cloud que ofrece y, exactamente, cuánta seguridad y cuánta privacidad ofrece. La idea es que éste le ayude a las empresas a tomar una decisión. Y eso es algo muy difícil de encontrar en estos días. 

¿La idea de un mundo virtualizado que opera desde la nube, es entonces una utopia o el futuro?
Digámoslo así: no creo que haya una respuesta en la nube para todas las necesidades que hoy se proponen. Dependerá del tamaño de su organización qué tipo de riesgos asociados tendrá a tener en cuenta así como la tolerancia al riesgo. Por ejemplo para una PYME, que no tiene un equipo de IT propio, es muy probable que las soluciones que recibe de un proveedor desde la nube sean mucho más seguras y confiables de las que estuvo usando hasta ahora en sus propias oficinas. Sin embargo, es muy probable que ese nivel de seguridad no sea el que necesite, por ejemplo una empresa de las Fortune 500.

En este sentido y ante los cambios que presentaron el año pasado  tanto con las novedades en torno a Windows 7 o las herramientas de Azzure, ¿uno podría tener la sensación de que Microsoft está llegando algo tarde a la nube o no?
En esto sentido déjeme aclararle lo siguiente. En Microsoft estamos trabajando desde hace 10 años en materia de ingeniería y seguridad informática. Por otro lado, la nube no es realmente un concepto revolucionario. Es una paso evolutivo, una transición si usted quiere. Y a medida que en Microsoft acompañamos esa transición introduciremos nuestro conocimiento y experiencia en este tipos de herramientas, de ingeniería de seguridad, de respuestas de seguridad. Lo que aprendí en mis años en el centro de respuesta de seguridad de Microsoft es que en seguridad todo se reduce a la gestión del riesgo de seguridad y de reducción de riesgo. Entonces, la seguridad absoluta no existe.

Desde esa perspectiva que lo sorprende aún hoy, ¿por qué cree que la gente sigue cometiendo los mismos errores?
Una de las cosas es la cantidad de usuarios que operan sin la última versión de software disponible. Las empresas presentamos, mes a mes, las últimas versiones actualizadas de muchas herramientas. Aún así es sorprendente la cantidad de gente que opera con sistemas no actualizadas. Y no sé por qué estiman que no necesitan tener una versión actualizada.

¿Cuál sería el entorno que ven cómo el más vulnerable en ese sentido?
Uno de los principales desafíos pasa hoy por las redes sociales.

Sin embargo, usted mismo tiene varios perfiles: en LinkedIn, en Facebook…
Efectivamente, pero la cantidad de información que dejo allí es minúscula, justo lo necesario. Lo que sorprende y asusta es la cantidad y el nivel de información que se mueve y se encuentra en las redes sociales hoy. Un ejemplo, una de las empresas argentinas más respetadas en este sentido es CORE Security. Ellas tienen una excelente herramientas que permite realizar una test de penetración –o sea cuán accesible es una red para recabar información de forma no autorizada. Ellos hicieron el test con redes sociales, para ver cuánta información recababan desde allí. Y la respuesta fue impresionante  por lo fácil y por el volumen de información que recabaron.

Entonces, ¿las redes sociales son, para ustedes, los entornos menos seguros?
No sé si se puede decir así. Lo que sí se puede decir es que el resigo que presenta la cantidad y el nivel de información que se comparte en este tipo de redes es uno de los aspectos más subestimados del momento. Todo es cómo la gente usa estas herramientas.
 

En Microsoft propagan, entre varias empresas, la colaboración entre varios players para generar más seguridad. Sin embargo, eso significa compartir información sensible.
Como tantos otros, que trabajamos en estas cosas, yo soy un optimista. Sino estaría equivocándome de trabajo. Por eso interpreto este tipo de evoluciones como una oportunidad, una oportunidad para el pensamiento creativo y para buscar y generar más valor agregado para nuestros clientes. Es una oportunidad para buscar y desarrollar cada vez más soluciones para problemas que nunca antes existieron. Y eso es algo que me apasiona.
Hay dos ejemplos en los cuales ya estamos trabajando en ese sentido. Uno es Safecode y el otro ICasey (Icasi). La segunda es la colaboración entre IBM, Juniper, Cisco, Intel y Nokia. Y funciona. Hace tres años que estamos trabajando en esto y las relación de confianza que logramos establecer entre los distintos centros de respuesta inmediata de cada firma es impresionante.

¿Eso implica compartir información sensible?
Mire, nos conocemos las caras, trabajamos juntos. Hay una relación casi personal. Yo confío en ellos y yo comparto información sensible con ellos. Porque la idea es que juntos podemos generar soluciones, valor , que ayudará al bien común que es para todos nosotros que Internet funcione y sea más seguro.

¿Cómo funciona? Digamos que hoy se genera un riesgo de seguridad…
El año pasado hubos dos casos. En esos convocamos a una conferencia conjunta, el así llamado un plan de respuesta coordinada (USUF, por sus siglas), se trata de una protocolo para responder a amenazas que ponen el peligro el funcionamiento de Internet.  Y en esos procedimiento, el primer paso es convocar una conferencia telefónica, que sigue ciertos pasos preestablecidos para analizar y responder a la amenaza. Gran parte de ello se basa en la experiencia que adquirimos en Microsoft para responder a este tipo de ataques. El tema es que este tipo de cosas es reactivo y no alcanza. Por eso estamos involucrados en una estrategia de carácter más preventivo: la marco de respuesta a vulnerabilidades comunes. Se trata de una proceso estandarizado para compartir información sobre vulnerabilidades detectadas que son generadas no por humanos sino por las máquinas.

¿Hay otras empresas que están ingresando o aplicando para entrar al círculo?
Nokia fue la última que lo hizo, el año pasado. Y sí, tenemos un proceso de incorporación de nuevos miembros.



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar