Estar en un mundo interconectado, indudablemente tiene sus beneficios. Sin embargo, también supone una serie de desafíos relacionados con la preservación de la confidencialidad, integridad y disponibilidad de la información. Por esta razón, la protección de la información se ha convertido en un factor crítico para todo tipo de organizaciones.
No importa a qué se dedica su compañía; si es pequeña, mediana o grande; si cuenta sólo con un computador portátil o con una granja de cien servidores; si tiene implementada una modesta red de datos en sus oficinas o su red se encuentra extendida a lo largo del país; si cuenta con una conexión a Internet de 128Kbps o de 20Mbps. Lo cierto es que igualmente tendrá que tomar medidas para salvaguardar su información. Pero atención, estas medidas no sólo deben servir para protegerla de ambientes externos se debe considerar el contexto interno también.
Pero vamos por partes. En esta oportunidad comenzaremos por lo que aparentemente representa mayor peligro: el ámbito externo. Seguramente términos como Firewall o IPS (Sistema de Prevención de Intrusos) no le son indiferentes (y no me refiero únicamente a que suelen ser muy mencionados cuando se presenta algún problema en su red). Usted sabe que para conectarse con el mundo exterior (léase Internet) debe contar con una solución que le brinde protección. De la misma manera que intentaría proteger su vivienda construyendo un muro alrededor, necesita un sistema que lo proteja a nivel de perímetro. Entonces, en lo primero que piensa es en un Firewall. Eso está bien. De hecho va un poco más allá y decide también implementar un IPS para complementar el sistema de defensa perimetral. Y como además cuenta en su compañía con una persona encargada de la seguridad, usted está tranquilo.
Igualmente vamos a plantear unas simples inquietudes:
– ¿Cómo sabe usted que la plataforma de seguridad implementada realmente está salvaguardando su infraestructura tecnológica y su información?
– ¿Está seguro de que los dispositivos que hacen parte de la plataforma de seguridad implementada están configurados adecuadamente?
– ¿Está seguro de que estos sistemas de protección no han sido ya vulnerados?
– ¿Cuándo fue la última vez que se hizo una depuración de las reglas configuradas en el Firewall?
– ¿Son revisados con alguna frecuencia los logs del Firewall o las alertas generadas por el IPS?
– ¿Están en su compañía al tanto de vulnerabilidades reportadas por los fabricantes de tecnología que podrían afectar a su plataforma de seguridad?
– ¿Tiene respaldo de la configuración de la plataforma de seguridad? ¿Han hecho alguna vez pruebas de restauración?
– ¿Mantienen la plataforma de seguridad en su compañía actualizada a las últimas versiones?
– ¿Hay un proceso formal que permita que los cambios en la configuración de la plataforma de seguridad queden registrados y soportados?
– ¿El administrador de su plataforma de seguridad cuenta con la preparación adecuada? ¿Dispone del tiempo y la dedicación necesaria para desempeñarse en su rol o por lo general está asignado a otras tareas menos importantes pero más urgentes?
Seguramente, al intentar responder a estas inquietudes se habrá percatado que disponer de los recursos tecnológicos y humanos no lo es todo. La mala noticia es que en el mundo exterior hay sujetos (los chicos malos) que tratan de aprovecharse de sus vulnerabilidades por diferentes motivos (ya sea por un beneficio económico o simplemente por jugarle una mala pasada). De hecho muchos de ellos están organizados en asociaciones que, dicho sea de paso, parecen funcionar muy bien, pues han orquestado ataques exitosos incluso contra grandes corporaciones. Definitivamente hay que estar preparado.
La pregunta que surge es ¿cómo podría protegerse mejor? Posiblemente usted hizo una gran inversión tratando de implementar una plataforma de seguridad utilizando equipos de las marcas líderes del mercado. Sin embargo, esto de nada sirve si no le brindan la protección que necesita. ¿Cómo puede darse cuenta de ello? Bueno, ¿Qué tal si empieza contratando un análisis de vulnerabilidades externo y unas pruebas de Ethical Hacking para ver como lo observan desde afuera? Es fundamental saber qué vulnerabilidades puede tener su plataforma de seguridad para decidir qué acciones tomar (siempre es mejor que usted las conozca primero antes de que alguien más se entere de ellas, ¿no cree?). Ojalá los análisis sean frecuentes y no se trate de uno al año o cada dos años.
Ahora, ¿por qué hablo de contratar este servicio en lugar de hacerlo in-house? Algunas compañías creen contar con los recursos tecnológicos y humanos para hacerlo. Sin embargo, ¿está totalmente seguro de que el administrador de su plataforma de seguridad tiene la preparación adecuada y la experiencia para no subestimar o incluso sobreestimar algunas o la totalidad de las vulnerabilidades encontradas? Probablemente quien está a cargo de la seguridad de la información en su compañía es la persona más adecuada para definir políticas de seguridad que soporten el crecimiento del negocio, sin embargo esto no quiere decir que también está al tanto de todos los detalles relacionados con las nuevas técnicas de ataque y las particularidades de cada una de las plataformas que componen la infraestructura tecnológica de su compañía. ¿Por qué mejor no hacerlo con un proveedor que cuenta con personal certificado y las herramientas adecuadas para llevar a cabo este tipo de análisis?
Ahora bien, dejemos un poco de lado el aspecto técnico y vayamos al lado humano. Una de las inquietudes que se plantearon en este artículo es si usted está seguro de que el administrador de su plataforma de seguridad realmente cuenta con la preparación adecuada. Las certificaciones ofrecidas por fabricantes de tecnología y las asociaciones de seguridad reconocidas a nivel mundial podrían dar fe de que un individuo posee el conocimiento. También está la experiencia obviamente, pero sabemos lo que significa contratar una persona certificada: altos costos (sin contar con que este tipo de recursos no abundan en el mercado). No todas las compañías pueden darse el lujo de contar en sus filas con personal de esa categoría, entre otras razones porque el negocio de la mayoría de las compañías no está enfocado en la administración de la seguridad de la información. Toda organización necesita contar con expertos en seguridad que sean capaces de definir e implementar estrategias relacionadas con el negocio de la compañía, pero no necesariamente todas pueden costear un equipo técnico experto que ofrezca soporte operativo 7×24 para esas estrategias.
¿Qué opción hay? La tercerización ha demostrado ser una muy buena alternativa. El modelo de outsourcing de servicios gestionados de seguridad es una tendencia que ha tomado mucha fuerza y, según las predicciones de importantes compañías de consultoría en TI, esta tendencia seguirá creciendo a grandes pasos durante los próximos años.
Pensemos por un momento: si un proveedor tiene la infraestructura (llámese Centro de Operaciones de Seguridad, o SOC por sus siglas en inglés) y la plataforma tecnológica adecuada; cuenta con expertos que se encargan de la administración y monitoreo de su plataforma de seguridad; adicionalmente brinda atención 7X24X365 ¿por qué no considerarlo? Claro, hay algunos reparos relacionados con el tratamiento de su información y la calidad del servicio. Pero recuerde que como parte del contrato puede incluir acuerdos de confidencialidad y de niveles de servicio. Seguramente este modelo puede favorecerlo en costos, y por otro lado usted podrá dedicarse a lo que le interesa: el core del negocio.
Es más que claro que cuando se trata de seguridad de la información el tema no es sencillo, pero eso no indica que sea imposible. Si bien nunca puede garantizarse la seguridad al 100%, un buen comienzo para la toma de decisiones podría iniciarse con un cuestionamiento hacia el interior; planteándose inquietudes como las que indiqué. Muchas compañías que creyeron estar seguras porque hicieron inversiones en recursos tecnológicos y humanos han llegado a cuestionarse, pero lamentablemente después de sufrir un incidente de seguridad. No espere a que ese sea su caso.
Cuando esté pensando en cuánto vale su información o cuánto vale la imagen de su compañía recuerde que tal vez no hay mayor vulnerabilidad que estar en riesgo, y aún así, sentirse protegido debido a una falsa sensación de seguridad.
Por Ricardo Mateus
Security Marketing Specialist -CISSP, ISO 27001 Lead Auditor
Global Crossing
