Las tendencias actuales en Seguridad señalan la gestión del riesgo como una pieza angular, si bien, tradicionalmente se ha puesto una especial atención en la securización del perímetro como medio de protección frente a ataques externos. Las capacidades de relación entre las organizaciones han cambiado, al igual que las pautas de ataque y las posibilidades de defensa que las tecnologías existentes en el mercado proporcionan. Este artículo recorre un camino paralelo entre estas nuevas necesidades y las tecnologías disponibles en la actualidad para garantizar la seguridad. Al final de este camino, llegaremos a los mismos principios de gestión de riesgo y calidad

La seguridad dentro de la empresa, ya sea una gran corporación o una PYME, requiere de una constante supervisión para adaptarla al nuevo tipo de amenazas que en el mundo de las TI aparecen. Históricamente, la protección se solucionaba en el perímetro con uno o dos niveles de cortafuegos, y en los puestos cliente con un antivirus, aunque es cierto que el uso de Detectores de Intrusos es una práctica cada vez más extendida tanto en grandes como en pequeñas organizaciones.

Este modelo ha quedado ampliamente superado, no sólo porque los dispositivos actuales permiten la realización de más de una funcionalidad de seguridad, sino porque hay nuevas necesidades que han cambiado profundamente el escenario al que dar respuesta; la mayoría de las empresas disponen de una página web donde se ofrece información a clientes, se permite el acceso remoto a la infraestructura interna y se utilizan comunicaciones inalámbricas o VoIP. Otro cambio importante proviene de las nuevas amenazas, que ya no se centran en intentar encontrar un hueco en nuestros cortafuegos, sino en mecanismos que reportan un mayor beneficio con un menor esfuerzo, como un correo no deseado, un applet que aproveche una vulnerabilidad, etc.

No obstante la seguridad debe continuar esta transformación sin ser un impedimento para la evolución de las comunicaciones y la incorporación de nuevas tecnologías en nuestra empresa; al contrario, debe ser uno de los pilares sobre los que se asienta la innovación.

En la actualidad, es normal que una mayoría de empleados, usuarios de informática, dispongan de acceso a Internet desde su puesto de trabajo. Este servicio no puede representar una amenaza de seguridad ni una merma en la productividad. En el mercado existen dispositivos que, además de realizar las funcionalidades tradicionales de un Proxy de navegación, cacheo, autenticación; nos ofrecen protección antivirus, antiphising para protegernos de las amenazas y control de la navegación (filtrado de contenidos) que eviten usos inadecuados de este recurso.

Algo similar ocurre con el correo electrónico. Actualmente, el nivel de spam que reciben todas las organizaciones supone una enorme carga de trabajo a los administradores y a los equipos que albergan los servidores (tanto en proceso, almacenamiento, como en ancho de banda útil). Por ello, ante la disyuntiva entre invertir para aumentar la plataforma de correo o invertir para adquirir una solución que, además de servir de pasarela de Correo, elimine ese tráfico no deseado; la respuesta generalizada suele ser la segunda opción.

Hasta ahora, hemos aumentado la seguridad de nuestro perímetro al incluir la protección AV para el tráfico de navegación y de correo. Igual ocurre con las comunicaciones. Al restringir el tráfico de navegación a los sitios permitidos por la política, el rendimiento de nuestra infraestructura mejora pues se elimina tráfico no deseado. No obstante, persisten otros riesgos. Como hemos comentado, las estrategias de ataque han evolucionado. Ya no se intenta dejar a una organización sin servicio a base de ataques de denegación, sino que se intenta explotar alguna vulnerabilidad en los servicios que ofrecemos para recoger información o utilizarnos como zombies para sus actividades.

Debemos mejorar en la gestión del riesgo, es decir, debemos de ser capaces de conocer el estado de nuestros sistemas frente a vulnerabilidades, priorizando el foco en los activos más críticos para el negocio. Debido a lo heterogéneo de las plataformas existentes, esta tarea supone un gran esfuerzo, al tener que recoger la información de cada fabricante y realizar la posterior comprobación en cada una de las máquinas, si no se dispone de un inventario actualizado. Pero también en este punto, la tecnología disponible en el mercado ha evolucionado de manera que nos puede ofrecer herramientas que automáticamente inventaríen activos, busquen, prioricen, informen y asignen las vulnerabilidades para su corrección.

Con todo lo expuesto hasta el momento, ¿estamos completamente seguros?

Lamentablemente, todavía pueden existir amenazas, equipos no controlados, personal externo que se conecta dentro de nuestra infraestructura. Ahora es el momento para una vuelta más en la seguridad, podemos controlar mediante soluciones de control de acceso a la red física, tipo NAC (Network Access Control), o NAP (Network Access Protection), antes de que un equipo obtenga conectividad IP, qué software y antivirus tiene y, si no se ajusta a la política, asignarle una red de cuarentena donde actualizarse con el software necesario o tener acceso restringido a la navegación y servicios corporativos.

Ninguna solución es perfecta, ello implica que al aumentar de esta manera la seguridad, surge una serie de nuevas tareas: se complica la administración y gestión al tener más infraestructura, se complica la gestión de las alertas al recibir mucha más información. Es claro que se hace necesario valorar las mejoras operativas frente a las necesidades de gestión, para ello debemos dar un paso más.

Por un lado, se tiene que definir una política que vertebre todo lo anteriormente expuesto. En estos momentos la implantación creciente de Planes Directores y de SGSI (Sistemas de Gestión de Seguridad de la Información basados en UNE 71502 y empezando con ISO 27001) nos da solución a este problema. Estos Planes nos ofrecen la posibilidad de definir una política de seguridad que debe ser implantada, mantenida y comprobada en cada uno de los elementos de nuestra infraestructura. De nuevo, el trabajo que estas tareas representa puede llevarnos a disponer de unos procedimientos en papel de dudosa aplicación, no obstante la tecnología se ofrece para automatizar estos procesos de comprobación y alerta sobre los incumplimientos de la política definida. En definitiva, la implantación de un SGSI es un sistema de mejora continua que requiere herramientas para automatizar la gestión de riesgos, vulnerabilidades, controles y cuadros de mandos y auditorias.

En paralelo, se hace necesario administrar, monitorizar y gestionar las alertas de toda esta infraestructura, basado en soluciones que abarcan la mayoría de nuestras necesidades; con una consola de gestión tendríamos la mayor parte del trabajo realizado, podemos, por otro lado, tener un sistema que se encargue de obtener los datos de las fuentes sin importar que sean de distinto fabricante y correlar los distintos eventos de cara a obtener la información que realmente nos importa o , por último, incluso, podemos contratar un servicio gestionado que nos ofrezca una solución en función de nuestras necesidades de administración, gestión, informes y seguimiento de las alertas.

En conclusión, la Seguridad dentro de las organizaciones es un servicio en evolución permanente que requiere de tecnologías, personas y procesos. El rumbo que debe seguir este servicio está determinado por la gestión de riesgos y sistemas de calidad (SGSI), pero el aumento de las funciones de la empresa y la diversidad y sofisticación de los ataques y vulnerabilidades existentes nos obligan a considerar las nuevas tecnologías en el ámbito de la protección del perímetro. Tecnologías que también están evolucionando son aquellas que consolidan varias funciones y simplifican la administración e integración, lo que las hace especialmente atractivas desde la perspectiva de mejora de la seguridad y reducción de costes de explotación.