StoneSoft anuncia que quiere fomentar entre las organizaciones la reevaluación de su actual gestión de riesgos y arquitectura de seguridad.
Fenómenos recientes como Wikileaks, Stuxnet, las Técnicas de Evasión Avanzadas o la brecha de seguridad en el sistema criptográfico RSA han cambiado el panorama de la seguridad permanentemente y están actuando como estímulos en el ámbito estratégico. En consecuencia, StoneSoft considera que las organizaciones deberían reflexionar acerca de su actual gestión de riesgos y arquitectura de seguridad, de tal forma que la responsabilidad última fuera detentada por la alta dirección y el consejo de administración.
El periodo comprendido entre el año 2010 y comienzos de 2011 ha cambiado para siempre el panorama de la seguridad. Cuatro fenómenos diferentes, Wikileaks, Stuxnet, las Técnicas de Evasión Avanzadas y la violación del código fuente SecurID, han derribado los axiomas básicos del pensamiento de seguridad y actuado como despertadores también en el ámbito estratégico.
En efecto, las recientes series de cíber-ataques subrayan aún más la necesidad de pasar a la acción, sobre todo porque parece que cuanta más información valiosa posee una organización, más susceptible es de convertirse en objeto de un ataque. Así pues, las organizaciones deberían reevaluar su gestión de riesgos existente y su arquitectura de seguridad, incluso por parte de sus juntas directivas.
Wikileaks ha sido criticado por exponer información clasificada, dañar en ocasiones la seguridad nacional de varios países, comprometer la diplomacia internacional y faltar a la discreción editorial. Pero, por otro lado, ha llevado a las empresas a considerar si todavía pueden permitirse el lujo de mantener información y hábitos de sus negocios que, en caso de llegar al gran público, podría afectar o, en el peor de los supuestos, destruir sus compañías. En consecuencia, si la información básica de una organización debe permanecer oculta, ésta debería ser protegida de acuerdo a su importancia.
En segundo término, el gusano Stuxnet ha puesto de manifiesto que existen organizaciones y/o individuos que cuentan con recursos y competencias suficientes como para llevar a cabo ataques avanzados y muy bien orientados contra compañías u organizaciones. Por tanto, el argumento de que atacar ciertas redes es demasiado difícil o requiere de demasiados recursos ya no es válido; todo es posible si ofreces altas recompensas a los cíber-criminales o hackers.
Por su parte, las Técnicas de Evasión Avanzadas (AETs) constituyen un nuevo tipo de técnicas de evasión que pueden ser alteradas o combinadas con criterios diversos para evitar la detección por parte de los sistemas de seguridad.
Así, las AETs actúan como una llave maestra para acceder a los lugares altamente protegidos y facilitan que cualquier carga útil –nueva o vieja- pueda ser entregada en los objetivos. Las Técnicas de Evasión Avanzadas ponen en riesgo la funcionalidad de los datos capitales y sistemas de las organizaciones, lo que indica que el campo de la seguridad se ha centrado demasiado en la velocidad y la comercialización de los productos mientras la seguridad más importante, la real, estaba comprometida.
En consecuencia, con el descubrimiento de las AETs, hoy más que nunca las organizaciones deben asumir la responsabilidad de analizar en profundidad las arquitecturas de seguridad para asegurarse de que sus datos y sistemas críticos están protegidos.
Es más, la brecha de seguridad provocada en el sistema RSA ha hecho posible que los cíber criminales entren en los sistemas de seguridad y creen duplicados de claves electrónicas “SecurID” de la División de Seguridad de EMC Corp RSA.
