El escenario de riesgo en que se tienen que desenvolver los profesionales de la Seguridad IT sigue presentando crecientes desafíos. A ello contribuye que el valor de los activos de las organizaciones aumentan, que se multiplica el número de objetivos y puntos de ataque, y aunque las medidas de defensa cada vez son más potentes, también lo son las técnicas (muchas de ellas de carácter social) de las que se valen los atacantes, que a su vez son más numerosos y profesionales. Por eso la Seguridad siempre es un ejercicio de equilibrios: hay que dejar a los malos fuera, pero permitir que los buenos trabajen con comodidad, hay que proteger los datos corporativos, pero facilitar el intercambio de información con socios o clientes, hay que tener el mejor nivel de seguridad pero que no cueste mucho. La cuestión es entonces ¿Cuál es la manera más eficiente de invertir en Seguridad? ¿Cuáles son los proyectos más relevantes para 2007?

Estas preguntas no admiten una respuesta única, sino que la situación de partida, la forma de relacionarse con el exterior y los intereses de cada organización condicionan el tipo de proyectos que se deben acometer en cada momento. Si lo enfocamos desde una perspectiva funcional, la Seguridad esta orientada a cuatro grandes tareas: proteger, gestionar, auditar y habilitar relaciones de negocio, y dentro de cada una de estas áreas existen soluciones más o menos sofisticadas que permiten acometer proyectos de mejora o ahorros de costes.

La Protección es la función primaria, y hoy en día es difícil plantearse instalaciones que no dispongan de los servicios básicos de cortafuegos y antivirus, pero las tendencias se están orientando a completar la protección desde el punto de vista interno, con soluciones para protección del punto final, o control de acceso en la red interna con soluciones NAC (Network Access Control). La presión que las medidas regulatorias están imponiendo hace que se tenga que prestar atención a un campo mucho más difícil como es la protección de datos corporativos (cifrado y auditoria), donde las soluciones de seguridad tienen serios desafíos en cuanto a la transparencia de la solución y al impacto en el rendimiento, dado que muchas de las aplicaciones corporativas trabajan sobre las mismas bases de datos. Tampoco conviene olvidar las necesidades de Seguridad (y Gestión) en el despliegue de nuevos dispositivos móviles con funciones corporativas como PDA y smartphones, o los equipos e infraestructuras de VoIP.

Otro de los servicios que se le exige a los responsables de Seguridad es el cumplimiento de ciertas regulaciones, y en concreto la ley de protección de datos personales (LOPD). En aquellas organizaciones grandes, la complejidad de su estructura y funciones hace que la información sensible este muy distribuida en la organización, dificultando por consiguiente la protección de esta información sensible y también el trabajo de auditorias periódicas. Para este tipo de organizaciones ya empiezan a salir al mercado herramientas orientadas precisamente a resolver esta problemática de adecuación y auditoria en entornos complejos..

Protección sin Gestión es un esfuerzo efímero. De poco sirven los cortafuegos o antivirus si no se actualizan sus reglas o firmas de forma continua. Pero las posibilidades de gestión son muy amplias, de la misma manera que el foco de gestión. El nivel más básico corresponde a la propia gestión de dispositivos de seguridad. A partir de ahí hay que considerar la gestión de vulnerabilidades e incidencias. Esta es una labor muy importante, pero que supone un notable esfuerzo de los recursos propios de las empresas, a los que además se les demanda un alto nivel de conocimiento. Por eso la alternativa de externalización de estos servicios empieza a ser cada vez más interesante, no realmente por razones de abaratamiento de costes sino fundamentalmente por razones de garantía de servicio y control del nivel de riesgo. Solventado este servicio, se llega a algo mucho más importante y sustancial en el trabajo de Seguridad, que es la Gestión de Riesgos.

Muchos fabricantes califican a sus tecnologías como de gestión de riesgos, y si bien aportan soluciones muy buenas para la parte técnica de vulnerabilidades, es más discutible que resuelvan el problema real de la gestión de riesgos. Para ello es necesaria una cuidadosa identificación de los activos de las organizaciones y sus relaciones, y las soluciones reales de gestión de riesgos tienen que tener en cuenta que los activos no solo son tecnológicos. En esta derivada, y gracias a los continuos esfuerzos de AENOR y su impulso con la UNE 71502, y la divulgación de ISO 27000, cada vez es mayor el numero de responsables de Seguridad que consideran adaptar o avanzar en el establecimiento de un SGSI (Sistema de Gestión de la Seguridad de la Información) para sus organizaciones, no necesariamente con la intención de obtener una certificación, sino fundamentalmente para estructurar el conjunto de servicios de seguridad. Durante este año, este tipo de proyectos pasaran del ámbito consultivo, para identificar y establecer los procesos necesarios, al ámbito táctico y operativo, mediante herramientas especificas sobre los que basar el sistema, entre ellas cabe señalar las de consolidación de indicadores, análisis de riesgos ( tecnológicos y no tecnológicos ) y gestión de controles ( con sus procedimientos de verificación ). Si se explotan y combinan las capacidades de análisis estadísticos de tendencias y simulación de escenarios de las herramientas de análisis de riesgos y controles, empezaran a verse las primeras soluciones y proyectos de Gobierno de Seguridad (en los que sin duda se vera una sinergia importante con las soluciones de Gobierno IT). La definición del IT Governance Institute establece que “ Gobierno de Seguridad es el conjunto de responsabilidades y prácticas ejercidas por la alta dirección y dirección ejecutiva de la empresa con el objetivo de señalar dirección estratégica, asegurar que los objetivos se consiguen, garantizar que los riesgos son gestionados apropiadamente y verificar que los recursos de la empresa son utilizados responsablemente” En el fondo es el mismo Circulo de Mejora Continua de Demming, pero con un énfasis más fuerte en la faceta estratégica a medio y largo plazo.

Una de la tecnologías que ha retomado el auge en este contexto es la de Gestión de Incidencias y Eventos (SIEM - Security Incident and Event Management), dado que en cualquier caso es necesario alimentar los sistemas SGSI con información de los que realmente esta pasando. Además, y en extensión a esta actividad, empiezan a encontrarse en el mercado propuestas de análisis de incidentes-eventos orientadas a la detección de fraude. Este tipo de soluciones, aunque todavía más básicas de lo que nos gustaría en el ámbito de reconocimiento de patrones y detección de comportamiento anómalo, ya resultan muy provechosas y atractivas precisamente para las organizaciones más vulnerables al fraude, fundamentalmente la banca, aunque también para organizaciones con un creciente nivel de transacciones en la red, como operadoras de telefonía móvil, sociedades de juego, mercados virtuales e, incluso, para la Administración Pública, donde ya empezamos a ver ataques de phising.

No cabe duda que dentro de Gestión de la Seguridad, una de las tareas más relevantes (tanto en los aspectos operativos como tácticos y estratégicos) es la de Gestión de Identidades. El abaratamiento de los costes de licencias de este tipo de herramientas está potenciando una generalización de estos proyectos. La parte operativa se centra en el control de acceso y provisioning de cuentas, y en la mejora de los sistemas de autenticación, a veces combinados con soluciones de Single Sign On. La parte táctica se centra en la Gestión de autorizaciones, y los modelos de administración. Soluciones clásicas de workflow cumplen con esta tarea, pero conviene complementarlas con soluciones para facilitar la gestión de roles y, especialmente, la gestión de usuarios privilegiados (superusuarios). La parte estratégica tiene que ver con las nuevas posibilidades y proyectos de federación, mediante los cuales se pueden combinar identidades gestionadas por distintos dominios, y a la postre permitir la relación de usuarios de una organización con aplicaciones y recursos de otra distinta (con la que se haya establecido la correspondiente relación de confianza).

Ya en el último artículo que publicamos en esta serie habíamos anunciado que 2007 será el año del DNIe en España. Verdaderamente España ha enfrentado con notable éxito unos de los proyectos más ambiciosos para el aprovechamiento de la Identidad Digital, donde el eDNI es un simple instrumento, pero un fabuloso dinamizador, tanto para la Administración Publica, como lo será para la empresa privada: ¿quién puede pasar por alto los cerca de 1 o 2 millones que habrá al final del año con casi toda la geografía española cubierta, y los cerca de 6-8 hacia final del 2008? Cierto es que no todos serán usuarios de servicios electrónicos, pero casi todos los usuarios activos serán los más motivados para obtener el DNIe lo antes posible, y dado que la Administración Publica (tanto a nivel de la Administración General del Estado, como en los niveles Autonómicos y Locales) están ya en la senda de adaptar sus aplicaciones y servicios para permitir y fomentar su uso. La Ley para el acceso electrónico de los ciudadanos a las Administraciones Públicas supone un claro estímulo para este desarrollo. Dentro de las organizaciones aprovechar las posibilidades del DNIe supone poner en operación Plataformas de Firma y de Validación, aplicaciones Portafirmas y sistemas de Archivo Electrónico para la salvaguarda y custodia de documentos electrónicos.

Por otra parte la Administración Electrónica, y la búsqueda de la flexibilidad, e interoperabilidad está asociada al avance de arquitecturas orientadas a servicios (SOA), Web Services y el nuevo Web 2.0 dónde por supuesto son necesarios los servicios de seguridad. La tendencia en este caso es suministrar estos servicios, como validación de esquemas, cifrado y descifrado, protección XML DoS, verificación de firmas o, incluso, PEP (Policy Enforcement Point) o virtualización de servicios Web, en dispositivos de red especializados. Siguiendo el despliegue de este tipo de proyectos, sobre todo en la Administración Pública, donde las barreras para compartir servicios y aplicaciones es menor que entre empresas privadas, empezarán a introducirse soluciones de Federación y Plataformas de Intercambios de Servicios basadas en toma de decisiones considerando atributos de peticionarios y reglas de decisión sobre el acceso a los recursos (tecnologías ABAC, Attribute Based Access Control)

El dinamismo que el negocio exige a las organizaciones de IT impone nuevas necesidades y desafíos en el ámbito de la Seguridad. Pero la seguridad no es sólo una cuestión de tecnologías sino también de procesos y personas, y por lo tanto son los directores de Seguridad y de IT los mejor capacitados para interpretar cuales son los condicionantes de cada empresa para decidir las estrategias de mejora y los proyectos más convenientes. En cualquier caso, los avances en la industria y las nuevas tecnologías ofrecen interesantes alternativas y oportunidades de mejoras y ahorros de coste para alcanzar los niveles de riesgos adecuados para cada organización.