logo
www.idg.es/cio


Seguridad en la empresa sin fronteras 

Según los expertos, los negocios extendidos y distribuidos de nuestros días requieren nuevos enfoques de la seguridad TI. Cualquier estrategia de seguridad que se precie deberá seguir hoy una aproximación global, multinivel y basada en políticas que cubra cualquier punto final de la red corporativa, incluidos los dispositivos móviles. Por tanto, la mera protección perimetral resulta claramente insuficiente. El precio y la dificultad de justificar la inversión necesaria para proteger las redes siguiendo estos enfoques, como también conseguir la colaboración de los usuarios finales, parecen constituir en estos momentos los máximos desafíos para los responsables de seguridad TI, según un reciente sondeo del proveedor de software y servicios de consultoría INS.

Podría decirse que ya hace un par de años se hizo evidente que el antiguo modelo de seguridad basado en establecer un firme perímetro defensivo basado en el principio de “nosotros pertenecemos a esta parte y tú perteneces a esa otra” no permitía satisfacer los nuevos requerimientos de los negocios extendidos.

A los trabajadores de la información de hoy en día se les requiere a menudo que realicen sus tareas cruzando virtualmente fronteras geográficas y necesitan estar conectados constantemente con sus colegas, clientes y socios en cualquier lugar en que se encuentren y en cualquier momento. Esta nueva forma de trabajar sin lugar a dudas aumenta la productividad de los profesionales, pero también exige asegurar que la información, siempre en trasiego de un lado para otro, no caiga en las manos equivocadas. Como también que los accesos a la información que reside dentro de los firewalls corporativos -unos accesos cada vez más flexibles y abiertos precisamente para facilitar la colaboración y el acceso remoto- queden cerrados automáticamente a usuarios no autorizados.

Todo ello ha creado un entorno en el que la protección perimetral no es ya sólo insuficiente, sino, en cierto sentido, imposible, por el mero hecho de que ha dejado de existir un perímetro definido en las redes corporativas. En palabras de Arun Chandrasekaran, analista de Frost & Sullivan, “la expansión de las redes corporativas y la creciente movilidad de los empleados ha originado la necesidad de securizar múltiples puntos de contacto”.

Y la situación además se agrava con el tiempo. La utilización cada vez más frecuente de los móviles como equipos de datos donde con frecuencia reside información confidencial que entra y sale constantemente de la empresa portada por sus usuarios no viene precisamente a resolverla. Ni tampoco la creciente aceptación de las denominadas redes sociales, que permiten a las personas con intereses personales o profesionales comunes comunicarse más fácilmente. De hecho, estas redes están proporcionando ya a los atacantes un instrumento para atentar contra un mayor número de usuarios a través de una única entidad.

Al mismo tiempo, a medida que se extiende el uso de RSS, el software de hoy en día se vuelve cada vez más incapaz de gestionar adecuadamente los ataques, según algunos expertos. Las frecuentes actualizaciones de RSS, unidas a la incrustación de descargas y codificación a través de una variedad de formatos XML, pueden favorecer las infecciones no detectadas. Por si ello fuera poco, con el aumento de las aplicaciones –por ejemplo, de hojas de cálculo- embebidas dentro de los navegadores, la Web tiende a convertirse cada vez más en una plataforma de aplicación, lo que conlleva un considerable incremento de posibles vulnerabilidades y problemas de seguridad.

Seguridad multinivel
Teniendo en cuenta este panorama, no es extraño que analistas y fabricantes coincidan en señalar que durante 2006 se produjo un brusco aumento en la demanda de appliances y software de seguridad capaces de ayudar a implementar mecanismos de acceso a las redes más flexibles y abiertos sin renunciar a una defensa robusta frente al software malicioso y a los intrusos.

Además, en 2006 ha ido ganando terreno la gestión de riesgos de seguridad a través de un enfoque multinivel y multifabricante de la protección, especialmente en las grandes corporaciones. Al mismo tiempo, las directrices de conformidad, tanto externas como internas, han empezado a tener un impacto importante sobre las estrategias y decisiones de compra de las empresas.

En este contexto una de las prioridades más críticas es la garantía de la privacidad de los datos. La información se hace cada vez más y más valiosa pero también más y más accesible, por lo que resulta imprescindible poner en funcionamiento controles de seguridad completos que permitan proteger la información de extremo a extremo, tanto cuando es transmitida como dentro de los centros de datos.

Al mismo tiempo, en lo que a accesos desde el exterior se refiere, el año pasado las redes privadas virtuales (VPN) basadas en protocolo SSL consiguieron desbancar al resto de alternativas debido a sus ventajas como método de securizar las conexiones por su flexibilidad y la utilización de un cliente universalmente disponible, como son los navegadores Web.

Prioridad para el 84% de las empresas
Por lo que respecta a 2007, parece que seguirá la tónica del año anterior. Según una reciente encuesta realizada por INS entre 84 profesionales TI, nueve de cada diez organizaciones colocan la seguridad entre sus principales prioridades, y un 29% la consideran como la prioridad número uno. Más de un 75% aseguraron sentirse satisfechos con las capacidades de protección de sus organizaciones, y un porcentaje aún mayor (un 85%), con los productos disponibles en el mercado para mejorarlas.

En este sentido, según Chandrasekaran, los usuarios valoran una auténtica integración de los diversos componentes de seguridad que, combinados, puedan proporcionar una protección global. Además, las empresas están más preocupadas por desarrollar un enfoque estratégico y planificado de su seguridad y buscan una relación más estrecha con suministradores y socios de negocio para conseguirlo.

Una apreciación con la que coincide Paul Ducklin, máximo responsable de tecnología de Sophos para la zona Asia-Pacífico. “Las organizaciones parecen mucho más dispuestas a replantearse y adaptar sus políticas y procedimientos de seguridad informática ahora que en el pasado”. Según Ducklin, a ello ha contribuido en gran parte el hecho de que amenazas como los virus y el spam estén ahora más asociadas al crimen organizado y a la consecución de dinero de forma ilegal que con los actos de aficionados en busca de fama o diversión. “Se buscan especialmente formas mejores de combatir amenazas de seguridad como los ataques de phishing y el spyware, así como de proteger a las empresas del peligro de fuga de datos”.

Un enfoque basado en políticas
Pero, sobre todo, como se ha dicho, cuando las empresas analizan alternativas para proteger su información buscan controlar algo más que los virus y el spam, aplicando un enfoque global y completo de la seguridad, basado en políticas que fijen los límites de lo aceptable a través de toda la organización. Y dado que cada organización tiene su propio negocio y requerimientos de seguridad, el primer paso será realizar un análisis de riesgos global para, después determinar cuáles serán las políticas más adecuadas.

Tradicionalmente la aplicación de las políticas corporativas se ha apoyado en el despliegue de múltiples productos. Muchos suministradores de seguridad empaquetan varias soluciones, pero gran parte de esos paquetes suelen simplemente agrupar múltiples productos que implican drivers, motores de escaneo y procesos de actualización igualmente múltiples, así como herramientas de generación de informes y gestión diferentes –a veces incluso inconsistentes entre sí- para cada uno de ellos.

“Para responder a las auténticas necesidades del mercado, los suministradores deberán ampliar su catálogo y su visión proporcionando soluciones de extremo a extremo que se encuentren realmente en línea con los requerimientos de negocio de los clientes y sean fáciles de gestionar”, indica Chandrasekaran.

Por lo que respecta a los usuarios, los expertos aconsejan establecer y asegurar la aplicación de las políticas más adecuadas para cada negocio, realizando previamente un exhaustivo análisis de su operativa. Además, no deben escatimar esfuerzos en identificar y evaluar las soluciones que puedan proporcionarles una seguridad multinivel capaz de valorar amenazas, monitorizar controles, securizar aplicaciones individuales con mecanismos específicos, y proteger sistemas de sobremesa y móviles; una protección que también habrá de cubrir los hosts gestionados y no gestionados defendiéndolos frente a ataques, tanto conocidos como desconocidos.

Pero aunque todo ello sea difícil de conseguir, quizá haya desafíos aún más importantes, según los resultados del sondeo realizado por INS. Pese a que el 85% de los encuestados por la consultora manifestara sentirse satisfecho con los productos disponibles en el mercado para mejorar sus niveles de seguridad, la mayoría consideró que su coste era excesivo, sobre todo a la hora de justificarlo ante los responsables de negocio.

Las barreras de precio y retorno de la inversión (ROI)
Ciertamente, los productos de seguridad están constantemente evolucionando para poder hacer frente a las amenazas en constante cambio y añadir continuamente nuevas funcionalidades con vistas a satisfacer las nuevas necesidades de los clientes, como son los nuevos mandatos gubernamentales sobre protección de datos. Pero este avance tiene un precio. Y ese precio se erige como una muralla, a veces infranqueable, para mejorar las capacidades de seguridad de la información dentro de las organizaciones. De hecho, el 54% de los encuestados por INS respondió que justificar este coste comparándolo con los potenciales beneficios representa una de las barreras más importantes.

¿Significa esto que los profesionales de seguridad TI necesitan conseguir un MBA para avanzar? Quizá sí. Ciertamente siempre existirá la necesidad de habilidades técnicas, pero comprender cómo construir un caso de negocio que el CFO pueda leer y aprobar se está convirtiendo en una capacidad de igualmente crítica. Desafortunadamente, demostrar el valor de las inversiones en seguridad es una de las tareas más duras que un responsable de TI pueda emprender. Mientras que un nuevo y atractivo servicio web puede tener el potencial de generar nuevos ingresos –y mostrar así de manera evidente un sólido retorno de la inversión a corto plazo- las mejoras en la seguridad generalmente sólo aportan el potencial de evitar costes, no de producir ganancias. En otras palabras, si funcionan bien, nadie lo notará.

Aun así, no realizar la inversión podría hundir el negocio. Es así, y por tanto así deberá poder demostrarse. Será tarea del responsable de seguridad de la información buscar el medio de probar que el peligro existe y justificar el coste del remedio. Por eso, necesitará hacer números –cálculos de costes y de costes potenciales en caso de fallo-. Probablemente haya llegado el momento de que empiece a familiarizarse con acrónimos como NPV (Net Present Value) e IRR (Internal Rate of Return).

Usuarios negligentes
Pero aún existe una tercera barrera fundamental para mejorar la seguridad de la información corporativa; una barrera poco relacionada con la tecnología en sí misma. Se trata de la negligencia de los usuarios. Casi un tercio de los encuestados por INS respondieron que la fuente más importante de su preocupación por la posibilidad de que pueda producirse una brecha de seguridad es la inadecuada formación de los usuarios finales en los procedimientos que deben seguir al respecto; muchos incluso se depreocupan por las consecuencias de sus acciones. Ni la carencia de formación ni la despreocupación pueden resolverse mediante productos de seguridad con más código criptográfico.

La mayoría de los responsables de seguridad TI reconocen desde hace tiempo la importancia de crear procedimientos y políticas de seguridad globales, y generalmente los plasman en documentos bien desarrollados. En lo que, sin embargo, fallan es en conseguir la adhesión de los usuarios a esas políticas; es más, a menudo estos no sólo no las siguen, sino que ni siquiera las leen. Pero su cooperación no puede conseguirse mediante simples dictámenes. Son necesarios conocimientos en teoría de la educación y psicología. El mero hecho de capacitar a los empleados para que reconozcan potenciales agujeros de seguridad requiere mucha formación y un constante refuerzo posterior de lo aprendido.

Como resumen, cabría concluir que la construcción de una seguridad corporativa eficiente no es demasiado distinta al resto de actividades de negocio. Debe probarse el valor que aporta a la organización para así conseguir los fondos necesarios, y el simple deseo de que todos cooperen no habrá nunca de sustituir el desarrollo de programas de formación y concienciación activos.



CIO  [02/03/2007 ]