Tendencias de seguridad para 2009
Debido a la proliferación de amenazas y vulnerabilidades -que constituyen un riesgo permanente para la estabilidad de los sistemas- ocho tendencias probablemente marcarán la evolución de este mercado durante el presente año.
1. Protección en el punto final. Se considera seguridad en el punto final (endpoint security) al concepto en el que básicamente cada dispositivo o punto final es responsable de garantizar su propia protección frente a amenazas y vulnerabilidades.
En este sentido, los dispositivos finales están sufriendo una importante transformación: de incluir únicamente software antivirus, han pasado a combinarlo con herramientas firewall y anti-spyware. Además, este año ampliarán sus funciones antivirus con prevención de pérdida de datos y encriptación de disco.
2. Seguridad ‘en la nube’. Mientras la informática cloud computing redefine el segmento de software a través de una aproximación basada en la web, 2009 será probablemente un año marcado por los servicios de seguridad gestionada.
Esto se debe a que muchas empresas simplemente no cuentan con los fondos suficientes o la experiencia necesaria para enfrentarse a unas vulnerabilidades y ataques cada vez más sofisticados.
De esta forma, compañías como Trend Micro, Panda, Blue Coat o Cisco completarán su oferta de equipamiento en la casa del cliente con nuevos servicios actualizados y gestionados a través de ‘la nube’.
3. Virtualización. A medida que la virtualización servidor y del desktop continúan avanzando, los usuarios demandarán cada vez más medidas de protección para funciones como el control de acceso basado en roles, la gestión de identidades en servidores virtuales, la seguridad de red o la auditoría de sistemas virtuales.
VMware, Citrix y Microsoft, así como las distintas aplicaciones open source de virtualización para servidores y PCs liderarán esta tendencia, asociándose con partners del mundo de la seguridad y de las redes como IBM, McAfee, Cisco o CheckPoint.
4. Políticas corporativas. Todas las organizaciones, independientemente de su tamaño, deben ser capaces de descubrir y clasificar su información más sensible, aplicarle políticas de seguridad corporativas y trasladar estas políticas a la red, donde confluyen con partners y clientes.
Esta tendencia seguirá consolidándose durante 2009 a medida que a los documentos y archivos con información corporativa se añaden nuevas medidas de protección como la prevención frente a la pérdida de datos y sistemas de gestión de derechos de acceso, sin olvidar las transacciones electrónicas garantizadas mediante encriptación PKI (Infraestructura de Clave Pública).
5. Encriptación omnipresente. Las tecnologías de encriptación se han añadido de golpe a los sistemas de almacenamiento de información. Así, tanto cintas como discos duros de fabricantes como Hitachi, Fujitsu o Seagate cuentan ahora con procesadores criptográficos.
Igualmente, Intel ha anunciado el lanzamiento en 2009 de una versión de su chip vPro con soporte integrado de encriptación. Siguiendo esta tendencia, en el presente ejercicio probablemente veremos múltiples capas de tecnologías de encriptación aplicándose a todo tipo de dispositivos, generando una demanda paralela de herramientas de administración para todas ellas.
6. Gestión de derechos. Mientras los mecanismos de autenticación permiten la entrada de los usuarios a la red, la gestión de derechos estipula lo que dichos usuarios pueden o no hacer. Durante 2009, los mecanismos de gestión de derechos se extenderán y ganarán en escalabilidad, con ofertas de actores como Cisco, IBM-Tivoli o RSA y estándares respaldados por el consorcio Oasis del tipo XACML (XML Access Control Markup Language).
7. Mayor visibilidad. Al igual que los CIOs están cada vez más presentes en los consejos directivos de las empresas, los responsables de negocio demandan herramientas de control y visibilidad que les permitan conocer el estado de protección de su negocio.
No les bastará con recibir informes superficiales, sino que durante este año reclamarán acceso a portales de control especializados o herramientas estadísticas más sofisticadas. De producirse, sería bueno tanto para la seguridad en sí misma -apoyada con mayor inversión- como para las grandes consultoras como Accenture, CSC, IGS BM Global Services o HP.
8. Estandarización. Durante el pasado año, la gran mayoría de los ataques de código malicioso se dirigieron a las aplicaciones, no a los sistemas operativos.
Este hecho, unido al creciente foco en ciberseguridad, motivará que las compañías que diseñan programas de software se unan a programas de desarrollo coordinados y basados en estándares y mejores prácticas.
El consorcio Open Web Application Security Project (OWASP) o el Software Security Institute (SANS) son algunos ejemplos de organismos de coordinación internacionales con este fin.