Caracasdigital Caracasdigital

  
 RUN RUN TECNOL脫GICO
Invitaci贸n, martes 18 de mayo, CASETEL webinar Transformaci贸n Digital

El 17 de mayo se celebra el D铆a Mundial de las Telecomunicaciones y de la Sociedad de la Informaci贸n, tambi茅n se...Leer m谩s


Publicado en Gaceta Oficial nuevo Reglamento sobre el Servicio Universal de Telecomunicaciones y su Fondo

En aras de minimizar las desigualdades que impiden un adecuado acceso a los servicios de telecomuni...Leer m谩s


驴Alertan sobre estafas mediante correos falsos del Ministerio P煤blico?

Es verdadero. Recientemente usuarios de las redes sociales denunciaron que estaban recibiendo corre...Leer m谩s


LG abandona la l铆nea de Celulares para impulsar su l铆nea de Tv
La muestra la dej贸 ver en la reciente feria global CES 2021, donde su principal innovaci贸n la bas贸 en su l铆nea de Te...Leer m谩s

Telef贸nica vende a m煤ltiplos r茅cord la divisi贸n de torres de Telxius a American Towers por 7.700 millones de euros
Telef贸nica ha informado que su filial Telxius Telecom, S.A. (sociedad del Grupo Telef贸nica participada minoritariament...Leer m谩s

IBM de Venezuela est谩 de aniversario

Todo comenz贸 el 18 de enero de 1938, cuando CA WATSON de M谩quinas Comerciales, abri贸 sus puertas...Leer m谩s


Wikipedia comenz贸 como una idea ambiciosa...

...Para crear una enciclopedia libre, escrita por voluntarios, para todos en el mundo. Parec铆a imp...Leer m谩s


China prepara una lista negra de empresas estadounidenses

China anunci贸 el establecimiento de una 鈥渓ista de entidades no fiables鈥, que 鈥渄a帽en graveme...Leer m谩s


Movistar estrena nueva imagen en su p谩gina web

- El nuevo dise帽o responde una estrategia global de la compa帽铆a de homolog...Leer m谩s


:::::::::::::::::::::::::::::::: Agregar Nuevo
===================Ver Todo

Opinan los Expertos

Lo que todo CIO debe conocer de su Centro de Datos
Paola Boccia
Directora Ejecutiva de Banesco Banco Universal

Lenovo y la revoluci贸n del software
Lorenzo Rub铆n
Sales & Operations Manager Venezuela, Bolivia, Uru

TECH: Nuestra fiel compa帽era
Rodolfo Carrano
Vice Presidente Comercial de Directv Venezuela

Rumbo a la era del IPv6
Agustin Speziale
Product Manager, Connectivity, Media & IP Level 3

La Ciudad Digital ser谩 el n煤cleo del progreso y el desarrollo d
Manuel Moreno
Gerente Regional de Marketing para Banda Ancha Ina
===================Ver Todo

Entrevista con Rub茅n Recabarren, Especialista en Seguridad Inform谩tica en Pruebas de Penetraci贸n con m谩s de 10 a帽os de Experiencia

BIG DATA: de la Seguridad 鈥淒efensiva鈥 a la Seguridad 鈥淥fensiva鈥

La llegada del Big Data a nuestro entorno es nada m谩s ni nada menos que la evoluci贸n natural del uso de la informaci贸n, asegura el Ing. Rub茅n Recabarren, Consultor Internacional en Seguridad Inform谩tica, la diferencia est谩 en que los datos se presentan en mayor volumen, mayor velocidad y mayor variedad.

Al cuestionamiento si a big data se le debe brindar toda la seguridad, se帽ala que una vez reconocida al Big Data como una extensi贸n al manejo de nuestros datos, la respuesta es indudablemente s铆, as铆 mismo expresa que en el punto de la historia en el que nos encontramos, y para lograr un salto significativo en el nivel de seguridad de nuestros datos es necesario alejarnos un poco de la seguridad "defensiva" y ac茅rcanos much铆simo m谩s a lo que se podr铆a llamar seguridad "ofensiva", la motivaci贸n de esta idea es simple: "no existe sistema invulnerable".

Estas afirmaciones las realiz贸 en entrevista con Caracas Digital, en momentos que este medio de comunicaci贸n se presta a realizar el III Foro de Big Data el pr贸ximo mes de noviembre, dirigido a profesionales IT del segmento empresarial y del gobierno central, abordando el tema 鈥淏IG DATA 鈥 SECURITY 2014鈥.

Evoluci贸n de la Informaci贸n

A juicio de Rub茅n Recabarren, la idea del "Big Data" es simplemente la evoluci贸n natural del manejo de nuestros datos que comenz贸 con la revoluci贸n de la tecnolog铆a de la informaci贸n hace una d茅cada atr谩s. La diferencia del Big Data de hoy y los problemas del pasado es que ahora nuestros datos se presentan en mayor volumen, mayor velocidad y mayor variedad. En consecuencia, es dif铆cil trazar una l铆nea definitiva entre lo que es Big Data y lo que no, pues lo que es mucho hoy, es 铆nfimo ma帽ana, etc. Sin embargo, todos los sistemas inform谩ticos en su propia evoluci贸n se encuentran irremediablemente con estos tres problemas: volumen, velocidad y variedad. Es decir, estamos condenados a lidiar con el Big Data querramos o no, lo sepamos o no. Desde cuantas veces se emite una c茅dula a una misma persona, hasta lo que se twittea en un radio de 3 kil贸metros alrededor de una empresa privada, son problemas que nos obligan a enfrentarnos a los intr铆ngulis del Big Data, aun cuando no lo hagamos de manera oficial.

Empresas Privadas y P煤blicas por el mismo Camino

Los sistemas y los datos en Venezuela no escapan a esta realidad y caminamos como el resto del mundo al paso que la tecnolog铆a disponible nos brinda en un momento dado. Muchas empresas privadas en el pa铆s, notablemente IBM, se encuentran mercadeando soluciones oficialmente bajo el nombre de BigData. El resto de empresas y organismo no lo hacen de la misma manera oficial ni con el mismo alcance, pero no escapan a la misma realidad.

Innegablemente S铆, Big Data necesita Seguridad

Una vez que reconocemos al Big Data como una extensi贸n al manejo de nuestros datos, la respuesta es indudablemente s铆. Lamentablemente, el avance de la velocidad, volumen y variedad de nuestros datos no va a la par con el avance de la conciencia de la necesidad de su seguridad. Esto tampoco es nada nuevo, el empuje de la tecnolog铆a de la informaci贸n ha sido muy fuerte desde sus inicios, y la situaci贸n no ha cambiado en lo absoluto. En todo caso tiende a continuar avanzado cada vez m谩s aceleradamente.

Protegiendo a Big Data con Soluciones 鈥渕ade in house鈥 o Soluciones Privadas

De acuerdo a la versi贸n de Recabarren, la seguridad inform谩tica es m谩s un proceso que un resultado final. En consecuencia, se hace necesario entender todas las soluciones de seguridad inform谩tica, no s贸lo las aplicables a Big Data, como piezas de una estructura en construcci贸n y no como una poci贸n milagrosa que va a resolver todos nuestros problemas de seguridad como por arte de magia. En este sentido, las soluciones existentes son simplemente extensiones naturales a sus contrapartes tradicionales que buscan lidiar con el mayor volumen, velocidad y variedad propios del Big Data. La forma en que estas soluciones tradicionales se adaptan a estos problemas es utilizando los mismos conceptos b谩sicos de seguridad: 1) Defensa en profundidad: establecer controles que solapen su actividad, 2) Monitoreo: instrumentalizaci贸n de los controles de seguridad y su continuo an谩lisis, reacci贸n y adaptaci贸n y finalmente 3) Protecci贸n CIA: Confidencialidad, Integridad y Disponibilidad. Soluciones escalables con estas caracter铆sticas han existido por varias d茅cadas. Hoy en d铆a es simplemente cuesti贸n de implementarlas sobre las nuevas tecnolog铆as de espacio, redes ultra-veloces y agregadores de fuentes diversas. Estas soluciones se pueden adquirir de forma privada, se puede utilizar software libre/comunitario o se pueden desarrollar "in-house". Sin embargo, el costo de utilizar esta 煤ltima opci贸n puede ser mucho m谩s alto que las anteriores juntas debido a la s煤per-especializaci贸n que estas implican.

Solo dos venezolanos en el mundo exhiben su Especializaci贸n en Seguridad Inform谩tica

A nuestra pregunta, 驴hay personal capacitado en seguridad para big data? el experto responde, el personal altamente capacitado para brindar seguridad de datos de forma tradicional no es abundante. Si tomas como ejemplo la certificaci贸n GSE del SANS Instituto, reconocida como una de las m谩s exigentes y prestigiosas credenciales de seguridad inform谩tica por su nivel de especializaci贸n, al d铆a de hoy, s贸lo existen 106 personas en el mundo que la han obtenido. De esas 106, nos contamos s贸lo 2 venezolanos. Si extrapolas estas cifras a una especializaci贸n a煤n mayor hacia la velocidad, volumen y variedad, las cifras no son nada alentadoras. Hasta donde tengo conocimiento, no existen certificaciones oficiales de reconocido prestigio especializadas en "Big Data." Pero es cuesti贸n de tiempo nada m谩s hasta que empiecen a salir. Esta situaci贸n es evidencia del rezago de la seguridad inform谩tica con respecto a los temas de la tecnolog铆a de la informaci贸n de forma general.

驴Los responsables de las inversiones IT est谩n dispuestos a destinar recursos para seguridad en big data?

No mucho m谩s que lo que est谩n dispuestos a invertir en seguridad inform谩tica en general. Lo vimos con el reciente incidente de las fotos de famosas robadas de la plataforma iCloud. Muchos comentarios, de forma adelantada, han salido a tratar de justificar el incidente al decir que los usuarios utilizaron contrase帽as d茅biles. Este razonamiento pasa por alto el hecho de que a mayor volumen de informaci贸n hace que los atacantes aumenten y sus motivaciones cambien. En consecuencia, una misma vulnerabilidad: la utilizaci贸n de claves d茅biles se ve potenciada por el hecho de estar presente en un ambiente de "Big Data". Por lo tanto, la responsabilidad del resguardo de estos datos es algo que los responsables de seguridad inform谩tica de iCloud no pueden transferir a sus usuarios, puesto que su acumulaci贸n en volumen es lo que los ha hecho m谩s vulnerables.

驴Ante un 鈥済igante鈥 como big data qui茅nes son los que se dedicar铆an a atacar?

Excelente pregunta. Como adelant谩bamos en la pregunta anterior, nuestros atacantes aumentan, y sus motivaciones cambian. Por un lado, es necesario diferenciarlos del atacante con motivaciones financieras. Regresando al ejemplo anterior, a pesar de que hubo intentos de vender fotos todav铆a no filtradas de iCloud por medio de m茅todos de pago an贸nimos como Bitcoins, esto es algo que no debe haber tenido mucho 茅xito. La respuesta generalizada era: para qu茅 pagar por algo que en unas semanas va a ser gratis? haciendo referencia a que eventualmente todas esas filtraciones estar铆an disponibles en Internet sin tener que pagar un centavo. Los atacantes del Big Data en este caso, no estaban en busca de una ganancia monetaria y si lo estaban se dieron cuenta que perdieron su tiempo.

驴Existen Caracter铆sticas claves de un atacante de big data?

Los atacantes del Big Data tampoco tienen caracter铆sticas propias del "hacktivismo" como se le ha llegado a conocer. Regresando al caso anterior, no se hizo ninguna afirmaci贸n pol铆tica junto con el filtrado de fotos, y a pesar de que algunos intentaron desprestigiar la plataforma iCloud con este incidente, tales intenciones nunca cumplen su objetivo correctamente. Todas las plataformas de competidores tienen los mismos problemas, s贸lo necesitan afirmar que no los tienen para que alguien en alg煤n lado de los oscuros rincones de la Internet les demuestre que no tienen raz贸n. Todav铆a es demasiado temprano para caracterizar definitivamente a los atacantes propios del fen贸meno "Big Data", sin embargo, se puede afirmar con bastante seguridad que su volumen debe ser mayor y sus motivaciones deben ser muy variadas. Muy en concordancia con las caracter铆sticas de Big Data que coment谩bamos en las anteriores preguntas.

驴Qu茅 estrategias deben de tener los responsables IT para que big data no sea atacada o vulnerada?

Excelente pregunta de nuevo. Aqu铆 voy a tomar un riesgo y salirme de las recomendaciones tradicionales. En mi humilde opini贸n, en el punto en la historia en el que estamos, para lograr un salto significativo en el nivel de seguridad de nuestros datos es necesario alejarnos un poco de la seguridad "defensiva" y ac茅rcanos much铆simo m谩s a lo que se podr铆a llamar seguridad "ofensiva". La motivaci贸n de esta idea es simple: "no existe sistema invulnerable". En lugar de continuar acerc谩ndonos a la inalcanzable invulnerabilidad, tratemos de disuadir a nuestros atacantes de otra forma adem谩s de obligarlos a adaptarse y a encontrar nuevas formas de vulnerarnos. La alternativa es simple una vez que reconocemos la futilidad de las anteriores estrategias: lo que necesitamos es realizar "m谩s arrestos". Tan simple como eso. No importa que tan peque帽a o inofensiva sea la falta, ante un incidente de seguridad inform谩tica, enfoquemos nuestro esfuerzo en conseguir las pruebas, la identidad y llevar a la justicia a los perpetradores.

隆De buena fuente!

Rub茅n Recabarren, es profesional de seguridad inform谩tica con especializaci贸n en pruebas de penetraci贸n con m谩s de 10 a帽os de experiencia. Sus trabajos incluyen proyectos de sistemas de detecci贸n y prevenci贸n de intrusiones, an谩lisis forense, ingenier铆a reversa, protocolos de comunicaci贸n segura, sistemas de autenticaci贸n, biometr铆a, auditor铆a de aplicaciones web, infraestructuras de clave p煤blica, redes privadas virtuales, etc. Adicionalmente, Rub茅n es un apasionado por la b煤squeda de soluciones novedosas a problemas bien conocidos, la criptograf铆a y la inteligencia artificial. Actualmente, el experto es uno de los pocos profesionales en el mundo en haber conseguido las siguientes certificaciones internacionales en seguridad inform谩tica: ISC2s CISSP, ISSAP, GIACs GSEC, GCIA, GCIH, GCFA, GAWN, GWAPT, GPEN, GXPN, Cyber Guardian (Red team), GSE, Offsecs OSCP, OSCE. 煤nico Cyber Guardian en Latinoam茅rica. http://latinsec.blogspot.com/
Twitter: @latinsec

BIG DATA: de la Seguridad 鈥淒efensiva鈥 a la Seguridad 鈥淥fensiva鈥
Env韊 este art韈ulo a un amigo Imprima este art韈ulo   

Comentarios
Juan Carlos
2015-06-03
Interesante post realmente, tambi茅n lo invito a leer uno que realic茅 recopilando informaci贸n: http://www.businessoftware.net/que-es-big-data/, si usted desea puedo nombrarlo en mi blog. Saludos, Juan Carlos



Comentar



Esta nota/art韈ulo ha sido originalmente publicado por www.caracasdigital.com, el 17 de Setiembre de 2014..

Caracas Digital no se hace responsable por los juicios de valor emitidos por sus colaboradores y columnistas de opini髇 y an醠isis.

Aceptamos colaboraciones previa evaluaci髇 por nuestro equipo editorial, estamos abiertos a todo tipo o corriente de opiniones, siempre y cuando a nuestro juicio est閚 dentro de valores 閠icos y morales razonables.

Usted puede reproducir, reimprimir, y divulgar este art韈ulo a trav閟 de los medios audiovisuales e Internet, siempre que identifique a la fuente original, http://www.caracasdigital.com