Los que nos dedicamos a esto siempre decimos que el enemigo más peligroso está dentro y no en el exterior pero este año es posible que sea por primera vez, el año en el que empecemos a mirar qué ocurre en la red desde dentro hacia afuera. Este cambio en la orientación de la monitorización del tráfico de red tiene justificada su necesidad por dos motivos principalmente:

La sofisticación del malware y su orientación a pasar desapercibido para infectar y contaminar equipos reclutando así cuantos más PC zombies mejor hace que los firewalls ya no sean una herramienta suficiente para evitar infecciones. La contaminación se produce a través de tráfico legítimo y es necesario saber qué hace nuestro parque de PC para descubrir patrones de tráfico extraños que sean indicios de cosas raras. Conexiones masivas a dominios raros y no justificados por nuestra actividad, uso de puertos extraños, movimientos internos de datos no justificados serán las causas que lleven a empezar a mirar la red como un modelo policial donde la detección de anomalías basadas en sistema de detección/prevención de intrusiones en segmentos internos sean tan cotidianos como los elementos de protección perimetral.

El fenómeno “Wikileaks” puede que lleve también a muchos altos responsables de las empresas a cuestionarse su vulnerabilidad frente a filtraciones internas malintencionadas y la “clasificación y control de la información sensible”, esa asignatura pendiente de muchas organizaciones, puede que empiece a verse como una necesidad. Hemos visto sufrir muchísimo más a un Gobierno como el americano por la fuga de unos documentos delicados que por las tan temidas armas de destrucción masiva. Sin embargo este tipo de amenazas puede afectar a toda organización que es vulnerable a revelaciones de información intencionadas que dejen al descubierto sus trapos sucios más íntimos. Por tanto, es posible que este “fenómeno” haga que se tomen más medidas contra esta vulnerabilidad debida a la ausencia de criterio de clasificación de información o bien a la falta de control. Servicios de almacenamiento masivo tan comunes como Dropbox, Evernote o el propio correo Gmail serán vistos en entornos corporativos muy controlados como una amenaza. En cualquier caso, todas estas restricciones de trafico saliente deben ir acompañadas de las medidas de restricciones de conexión de los dispositivos de almacenamiento USB. No tiene sentido cortar la conexión a los servicios de almacenamiento en la nube y no hacerlo sobre los dispositivos cotidianos USB. Igualmente lo reciproco también, si cortas los USB, corta los servicios de almacenamiento masivo en la nube.