Seguridad en 2020: revisitada – Schneier sobre seguridad


Hace diez años, escribí un ensayo: «Seguridad en 2020». Bueno, finalmente es 2020. Creo que lo hice bastante bien. Esto es lo que dije entonces:

Realmente no existe la seguridad en abstracto. La seguridad solo se puede definir en relación con otra cosa. Estás a salvo de algo o contra algo. En los próximos 10 años, la definición tradicional de seguridad informática, que lo protege de piratas informáticos, delincuentes y otros delincuentes, sufrirá un cambio radical. En lugar de protegerlo de los malos, protegerá cada vez más a las empresas y sus modelos comerciales de usted.

Hace diez años, el gran cambio conceptual en la seguridad de TI fue desperimetrización. Una agrupación tipo palabra de 18 letras con un prefijo y un sufijo, tiene que ser la palabra más fea que inventó nuestra industria. Sin embargo, el concepto, la disolución de los límites estrictos entre la crimson interna y la externa, era genuine e importante.

Hoy hay más desperimetría que nunca. Acceso de clientes y socios, acceso de invitados, correo electrónico externo, VPN en la medida en que hay un límite de crimson organizacional, está tan lleno de agujeros que a veces es más fácil fingir que no está allí. Sin embargo, el cambio más importante es conceptual. Solíamos pensar en una purple como una fortaleza, con los buenos en el interior y los malos en el exterior, y paredes, puertas y guardias para garantizar que solo los buenos entraran. Las redes modernas son más como ciudades, entidades dinámicas y complejas con muchos límites diferentes dentro de ellas. Las relaciones de acceso, autorización y confianza son aún más complicadas.

Hoy, otros dos cambios conceptuales son importantes. El primero es consumerización. Otra palabra inventada, es la plan de que los consumidores obtienen primero los nuevos y geniales devices y exigen hacer su trabajo en ellos. Los empleados ya tienen sus computadoras portátiles configuradas de la manera que les gusta, y no quieren otra solo para pasar por la VPN corporativa. Ya están leyendo su correo en sus BlackBerry o iPad. Ya tienen una computadora en casa, y es más fría que la máquina estándar del departamento de TI. Los administradores de purple están perdiendo cada vez más el control sobre los clientes.

Esta tendencia solo aumentará. Los dispositivos de consumo se volverán más modernos, más baratos y más integrados y las personas más jóvenes ya están acostumbradas a usar sus propias cosas en sus redes escolares. Es una recapitulación de la revolución de la Computer. El concepto de centro de cómputo centralizado fue sacudido por personas que compraron Computer para ejecutar VisiCalc ahora son iPads y teléfonos inteligentes Android.

El segundo cambio conceptual proviene de la computación en la nube: nuestra creciente tendencia a almacenar nuestros datos en otro lugar. Llámalo descentralización: nuestro correo electrónico, fotos, libros, música y documentos se almacenan en algún lugar y son accesibles para nosotros a través de nuestros dispositivos de consumo. Cuanto más joven sea, más espera obtener sus cosas digitales en la pantalla más cercana disponible. Esta es una tendencia importante, porque señala el final de las batallas de hardware y sistema operativo con las que todos hemos vivido. Home windows vs. Mac no importa cuando todo lo que necesita es un navegador website. Las computadoras se vuelven temporales la copia de seguridad del usuario se vuelve irrelevante. Todo está disponible en alguna parte, y los usuarios pierden cada vez más el control sobre sus datos.

Durante los próximos 10 años, surgirán tres nuevos cambios conceptuales, dos de los cuales ya podemos ver los comienzos. Al primero llamaré desconcentración. La computadora de uso general está muriendo y está siendo reemplazada por dispositivos de uso especial. Algunos de ellos, como el Iphone, parecen de uso typical pero están estrictamente controlados por sus proveedores. Otros, como las máquinas de juegos con Net o las cámaras digitales, tienen un propósito realmente especial. En 10 años, la mayoría de las computadoras serán pequeñas, especializadas y ubicuas.

Incluso en lo que aparentemente son dispositivos de propósito common, estamos viendo más aplicaciones de propósito especial. Claro, puedes usar el navegador website del Iphone para acceder a New York Periods sitio world wide web, pero es mucho más fácil usar la aplicación especial para Apple iphone del NYT. A medida que las computadoras se vuelven más pequeñas y baratas, esta tendencia solo continuará. Será más fácil usar hardware y application para propósitos especiales. Y las empresas, que desean un mayor control sobre la experiencia de sus usuarios, impulsarán esta tendencia.

El segundo es decustomerization – Ahora puedo inventar las palabras realmente feas: la notion de que tenemos más de nuestra funcionalidad de TI sin ninguna relación comercial. Todos somos parte de esta tendencia: cada motor de búsqueda regala sus servicios a cambio de la capacidad de anunciar. No son solo Google y Bing La mayoría de los sitios de webmail y redes sociales ofrecen un servicio básico gratuito a cambio de publicidad, posiblemente con servicios quality por dinero. La mayoría de los sitios world-wide-web, incluso los útiles que reemplazan al software program del cliente, son gratuitos se ejecutan de manera altruista o para facilitar la publicidad.

Pronto será components. En 1999, la startup de World wide web FreePC intentó ganar dinero regalando computadoras a cambio de la capacidad de monitorear los hábitos de navegación y compra de los usuarios. La compañía falló, pero las computadoras solo se han vuelto más baratas desde entonces. No pasará mucho tiempo antes de que regalar netbooks a cambio de publicidad sea un negocio viable. O regalando cámaras digitales. Ya hay empresas que regalan minutos de larga distancia a cambio de publicidad. Los teléfonos celulares gratuitos no están lejos. Por supuesto, no todo el hardware de TI será gratuito. Algunos de los nuevos equipos geniales costarán demasiado para ser gratuitos, y siempre habrá una necesidad de poder de cómputo concentrado cerca del usuario [los sistemas de juego son un ejemplo obvio], pero serán la excepción. Sin embargo, cuando el components cuesta demasiado para regalar, veremos hardware gratuito o altamente subsidiado a cambio de un servicio bloqueado esa es la forma en que se venden los teléfonos celulares.

Esto es importante porque destruye lo que queda de la relación comercial normal entre las empresas de TI y sus usuarios. No somos clientes de Google Somos el producto de Google que venden a sus clientes. Es una relación tripartita: nosotros, el proveedor de servicios de TI y el anunciante o comprador de datos. Y a medida que proliferan estas relaciones de TI no relacionadas con el cliente, veremos a más compañías de TI que nos tratan como productos. Si compro una computadora Dell, entonces obviamente soy un cliente de Dell pero si obtengo una computadora Dell gratis a cambio del acceso a mi vida, es mucho menos obvio con quién estoy entrando en una relación comercial. La continua reducción de la privacidad del usuario por parte de Facebook para satisfacer a sus clientes reales, los anunciantes, y mejorar sus ingresos es solo una pista de lo que está por venir.

El tercer cambio conceptual que he denominado despersonalización: la informática que elimina al usuario, ya sea parcial o totalmente. Espere ver más agentes de application: programas que hacen cosas en su nombre, como priorizar su correo electrónico en función de sus preferencias observadas o enviarle anuncios de ventas personalizados en función de su comportamiento anterior. La función «a la gente que le gustó esto también le gustó» en muchos sitios world wide web minoristas es solo el comienzo. Un sitio website que le avisa si un boleto de avión a su destino favorito cae por debajo de cierto precio es uncomplicated pero útil, y algunos sitios ya ofrecen esta funcionalidad. Diez años no serán tiempo suficiente para resolver los serios problemas de inteligencia synthetic requeridos para realizar plenamente agentes inteligentes, pero los agentes de esa época serán sofisticados y comunes, y necesitarán menos información directa de usted.

Del mismo modo, conectar objetos a Net pronto será lo suficientemente barato como para ser practical. Ya existe una considerable investigación sobre dispositivos médicos con acceso a World wide web, redes de energía inteligentes que se comunican con teléfonos inteligentes y automóviles en crimson. Las zapatillas Nike ya pueden comunicarse con tu Iphone. Su teléfono ya le dice a la crimson dónde se encuentra. Los dispositivos habilitados para Web ya tienen un uso limitado, pero pronto serán la norma. Las empresas adquirirán unidades de climatización inteligentes, ascensores inteligentes y sistemas de inventario inteligentes. Y, a medida que las comunicaciones de corto alcance, como RFID y Bluetooth, se vuelven más baratas, todo se vuelve inteligente.

El «Net de las cosas» no necesitará que te comuniques. Los electrodomésticos inteligentes en su hogar inteligente hablarán directamente con la compañía eléctrica. Su automóvil inteligente hablará con sensores de carretera y, eventualmente, con otros automóviles. Tu ropa hablará con tu tintorería. Su teléfono hablará con máquinas expendedoras ya lo hacen en algunos países. Las ramificaciones de esto son difíciles de imaginar Es probable que sea más extraño y menos ordenado de lo que la prensa contemporánea lo explain. Pero ciertamente los objetos inteligentes estarán hablando de ti, y probablemente no tendrás mucho handle sobre lo que están diciendo.

Una vieja tendencia: desperimetrización. Dos tendencias actuales: consumerización y descentralización. Tres tendencias futuras: desconcentración, despersonalización y despersonalización. Eso es TI en 2020: no está bajo su management, está haciendo cosas sin su conocimiento y consentimiento, y no está necesariamente actuando en su mejor interés. Y así es como serán las cosas cuando estén trabajando como deberían Ni siquiera he comenzado a hablar de los malos todavía.

Esto se debe a que la seguridad de TI en 2020 tendrá menos que ver con protegerlo de los malos tradicionales y más con proteger sus modelos empresariales corporativos. La desperimetría supone que todos desconfían hasta que se demuestre lo contrario. La consumerización requiere que las redes asuman que todos los dispositivos del usuario no son confiables hasta que se demuestre lo contrario. La descentralización y la desconcentración no funcionarán si puede piratear los dispositivos para ejecutar computer software no autorizado o acceder a datos no autorizados. La desconsumización no será feasible a menos que no pueda evitar los anuncios, o lo que sea que el proveedor utilice para monetizarlo. Y la despersonalización requiere que los dispositivos autónomos sean, bueno, autónomos.

En 2020, dentro de 10 años, la Ley de Moore predice que las computadoras serán 100 veces más potentes. Eso cambiará las cosas de maneras que no podemos saber, pero sí sabemos que la naturaleza humana nunca cambia. Cory Doctorow señaló acertadamente que todos los ecosistemas complejos tienen parásitos. Los parásitos tradicionales de la sociedad son criminales, pero una definición más amplia tiene más sentido aquí. A medida que los usuarios pierdan el command de esos sistemas y los proveedores de TI obtengan el regulate para sus propios fines, la definición de «parásito» cambiará. Tanto si son delincuentes que intentan agotar su cuenta bancaria, los espectadores de películas que intentan eludir cualquier estudio de protección de copia que estén utilizando para proteger sus ganancias, o los usuarios de Facebook que intentan utilizar el servicio sin renunciar a su privacidad o verse obligados a mirar anuncios, los parásitos lo harán. Continuar tratando de aprovechar los sistemas de TI. Existirán, como siempre han existido, y, como hoy, la seguridad tendrá dificultades para mantenerse al día con ellos.

Bienvenido al futuro. Las empresas utilizarán medidas de seguridad técnicas, respaldadas por medidas de seguridad legales, para proteger sus modelos de negocio. Y a menos que sea un usuario modelo, el parásito será usted.

Mi única queja real con el ensayo es que usé la «descentralización» de una manera no estándar, y no lo expliqué bien. Quise decir que nuestros datos personales se descentralizarán en lugar de que todo esté en nuestras propias computadoras, estará en las computadoras de varios proveedores de la nube. Pero eso provoca una centralización masiva de todos nuestros datos. Debería haber llamado explícitamente los riesgos de eso.

De lo contrario, estoy contento con lo que escribí hace diez años.



Enlace a la noticia authentic