¿Seguridad frente a innovación?

La aplicación para smartphone permite abrir y cerrar la tapa, tirar de la cadena, activar el bidé o encender el vaporizador de fragancia por control remoto.

Está claro que la seguridad no fue el criterio de diseño decisivo; el PIN Bluetooth no modificable ("0000") también puede considerarse una invitación directa a los piratas informáticos.

Aunque el daño económico potencial sea ciertamente limitado -incluso si alguien acciona la cisterna las 24 horas del día-, y ciertamente no hay aquí ningún riesgo agudo para la vida humana.

De la habitación silenciosa 2.0 al coche del futuro...

Pero la diversión se acaba cuando se trata de dispositivos médicos como las bombas de insulina. Hay muchos ejemplos de este tipo, incluso en zonas donde los atacantes podrían causar daños considerables.

Basta pensar en la industria del automóvil, donde las TI son cada vez más importantes. El objetivo es innovar y entrar en el mercado lo antes posible.

Los expertos en seguridad no suelen formar parte de los equipos de producto responsables de estas nuevas soluciones. En consecuencia, no se presta mucha atención a la seguridad desde el principio. Por desgracia, estas decisiones pueden tener importantes consecuencias negativas.

Este es el caso, por ejemplo, cuando nuevos productos despiertan el interés de los piratas informáticos, y cuando estos se encuentran con obstáculos de seguridad que no existen o que son muy fáciles de superar.

...la seguridad amenaza con quedarse en el camino

Esta tendencia también se observa en los proyectos de TI cuando se introducen innovaciones: La atención se centra en la mejora del rendimiento, el ahorro de costes o la optimización de procesos, pero de lo que rara vez se habla es de lo que hay que hacer y adaptar en materia de seguridad.

Durante la prueba de concepto, la atención se centra entonces en si se cumplen las expectativas de la innovación. Una vez finalizada con éxito la fase POC y cuando se planifica la introducción de los servidores de producción, se constata que las directrices de la empresa aún no se cumplen plenamente porque la innovación es todavía demasiado nueva y las funciones de seguridad que faltan aún deben añadirse en futuras versiones.

O, como se describe en algunas instrucciones de instalación, los componentes de seguridad ni siquiera deberían utilizarse en la nueva innovación debido a las pérdidas de rendimiento.

En el ámbito del conflicto entre TI y empresa

¿Y ahora? ¿Esperar o aplicar? Se crea así una zona de tensión entre la seguridad informática, que insiste con razón en que hay que respetar las directrices internas porque los compromisos en este ámbito suelen provocar daños muy rápidamente, y el departamento empresarial, que quiere introducir las innovaciones lo antes posible.

Desde el punto de vista de la seguridad, cuanto más crítica para la empresa sea la nueva innovación, más interesante será para el atacante. Comprometer la seguridad puede tener consecuencias fatales.

Por cierto, a diferencia del inodoro 2.0, que existe realmente en Japón, la "revolucionaria app de pago" antes mencionada forma parte de un juego en línea. Aquí, una empresa -ficticia, por supuesto- está a punto de lanzar una app al mercado, las medidas publicitarias han comenzado con éxito, pero las lagunas de seguridad o los ataques selectivos podrían poner en peligro el proyecto.

Como CIO, tiene que tomar numerosas decisiones y resolver problemas durante los últimos preparativos para el lanzamiento previsto al mercado.

Pruébelo en http://targetedattacks.trendmicro.com/ger el juego "Targeted Attack - The Game" puede iniciarse gratuitamente. No tiene que revelar ninguna información personal para iniciarlo.