En el comienzo de este nuevo año, desde el Observatorio de INTECO, creemos que es interesante lanzar una reflexión tanto de lo que ha acontecido en seguridad de la información y privacidad durante este último año, como de lo que está por venir en 2012. Y para ello, quién mejor que nuestros expertos colaboradores del Blog de la Seguridad de la Información.

A lo largo de varias entregas, estamos publicando las entrevistas que hemos mantenido con estos profesionales (informáticos, abogados, consultores, profesores universitarios, periodistas, etc.) que trabajan en el ámbito de la seguridad y la privacidad TIC. Como veréis, el resultado obtenido es una rica y heterogénea amalgama formada por diversos puntos de vistas y experiencias.

A todos ellos les hemos pedido que respondan a dos sencillas preguntas: qué destacarían de lo sucedido en materia de seguridad y privacidad en 2011 (#resumen2011) y qué está por venir a lo largo de este año que comienza (#prospectiva2012).

La siguiente entrega de esta colección corre a cargo de Miguel Ángel Hernández (@miguelangelher), Ingeniero en Informática y Máster en Tecnologías de la Información y Telemática Avanzadas por la Universidad de Murcia, y actualmente Consultor en Seguridad de la Información en la empresa Firma-e Proyectos y Formación.

¿Cuáles han sido los principales acontecimientos de seguridad y/o privacidad producidos en 2011?

A pesar de que el año 2011 ha sido complicado para todos los sectores, el de la seguridad de la información goza de buena salud. Los certificados ISO 27001 siguen creciendo en número según los últimos datos publicados y nuestro país se encuentra en una meritoria sexta posición en cuanto a número de certificados expedidos.

Desde la perspectiva de seguridad informática podemos destacar el afianzamiento del movimiento anonymous que, si bien viene de bastante atrás, ha reivindicado diversos ataques y defacements entre los que podemos destacar el reciente ataque en contra de la ley norteamericana Stop Online Privacy Act (SOPA) que afectó, entre otros, a los sitios web del Departamento de Justicia de EEUU y el FBI. Asimismo, el malware que se divulga a través de redes sociales y el malware para dispositivos móviles siguen en incremento tanto en número como en sofisticación. Todo esto, unido a las reflexiones de seguridad en los entornos de cloud computing podrían conformar el panorama más llamativo a este nivel.

Si atendemos al punto de vista legal, sin duda alguna, este 2011 ha traído buenas noticias en forma de la Ley de Protección de Infraestructuras Críticas (LPIC), Ley 8/2011 de 28 de Abril y el Real Decreto 704/2011 por el que se aprueba el correspondiente reglamento. Esto supone un hito y un reto, constituyendo un marco en el que se incluyen tanto organizaciones públicas como privadas y que supondrá una supervisión de la gestión de la seguridad en todos los puntos críticos para la población española. Merece también una mención especial en este punto la publicación de la Estrategia Española de Seguridad.

En el ámbito de la protección de datos y la privacidad, el 2011 estuvo marcado por la lucha de las asociaciones de privacidad españolas contra el coste 0. El trabajo continuo de la Asociación Profesional Española de Privacidad (APEP) con constantes reuniones e iniciativas en contra de esta práctica nada profesional así como el afianzamiento de las certificaciones para profesionales en protección de datos, lanzadas anteriormente por el ISMS forum y la propia APEP son hechos a destacar. La loable tentativa, que va viendo sus frutos, de regularizar un sector cuyas competencias profesionales no fueron definidas en su momento y cuya reputación ha quedado mermada por la poca ética de unos pocos no puede quedar inadvertida.

¿Se pueden apuntar tendencias para el 2012?

En este 2012 se puede pronosticar un estancamiento en el número de empresas certificadas a nivel nacional víctimas de un panorama económico-social que les hace bajar un escalón en la pirámide de Maslow hasta el más bajo. Las necesidades de primer nivel a atender pueden desviar la atención de la seguridad de la información en el sector privado que puede experimentar una desaceleración notable.

El crecimiento de usuarios en las redes sociales, donde Facebook supera los 700 millones y el número de smartphones vendidos presagia que continuaremos con la misma tendencia en cuanto al malware para este año. Incremento de malware que se propaga por redes sociales e incremento de malware para dispositivos móviles, cualquiera que sea su sistema operativo. A tener en cuenta aquí el crecimiento de dispositivos con Android y la alianza entre Nokia y Microsoft que dará lugar a un incremento de dispositivos con Windows Phone 7 en el mercado, con el correspondiente desarrollo de virus para esta plataforma en función de su crecimiento de ventas.

La publicación de la LPIC y la asignatura aún pendiente por muchos organismos públicos, en relación al cumplimiento de la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos y los esquemas nacionales de seguridad e interoperabilidad, deben marcar la tendencia futura hacia una instauración de la seguridad impulsada por la legislación. La seguridad de los servicios básicos y la salvaguarda de los derechos de los ciudadanos impulsarán la seguridad desde el punto de vista del cumplimiento legal.

La lacra del coste 0 debe tocar a su fin poco a poco restaurando la normalidad en el sector de la privacidad y la protección de datos, consiguiéndose un reconocimiento claro de los profesionales cualificados para esta labor que permita discriminar al cliente entre quién está, y no está, capacitado para algo tan importante como asegurarle que su organización salvaguarda adecuadamente un derecho constitucional.