A continuación os dejo el artículo número 3 que, continuando mi línea de colaboración, he publicado en el blog del Colegio Oficial de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta. Espero que os ayude a tomar decisiones ;-).
Por tanto, aceptando los riesgos que supone todo pronóstico, voy a intentar describir los que, a mi juicio, pueden ser los temas a considerar por los responsables de seguridad de las organizaciones, obligándoles a tomar decisiones y, como no, a evaluar sus riesgos.
También aprovecharé algunos de los puntos para ver que impacto tienen en el usuario final, ya sea desde un punto de vista profesional, cuando está trabajando en su organización, o personal, cuando trabaja en casa para resolver sus propios asuntos: económicos, ocio, búsqueda y utilización de información, etc.
- Seguridad en entornos virtualizados
Diversos estudios publicados nos informan de que el porcentaje de crecimiento de las soluciones virtualizadas está siendo superior al 30%. Gran parte de este crecimiento se debe a que muchas organizaciones están confiando su infraestructura o sus aplicaciones a terceros que las alojan sobre “entornos virtualizados”. Este movimiento ha sido realizado buscando una mayor flexibilidad en la configuración de las plataformas, así como intentando disminuir la inversión asociada a la evolución tecnológica, mejorando el retorno de la misma.
Sin embargo, este enfoque implica una cesión a terceros de información “crítica” para el negocio, siendo cada vez mayor el número de estos con los que la organización comparte información. ¿Cómo se protege esta información? ¿Quién tiene acceso a ella? ¿Quién se responsabiliza de lo que le pueda ocurrir, o lo que es lo mismo, qué cláusulas se han de especificar en los contratos que regulan la prestación del servicio?
- Registros de logs, correlación y confiabilidad
Recuerdo, en los años en los que comencé a trabajar, ver impresoras conectadas a las salidas de consola de aquellos sistemas de los cuales se quería tener un registro “físico” de lo que iba ocurriendo en cada momento. Algo ha cambiado desde aquel entonces en los que interminables rollos de papel eran agujereados por impresoras matriciales. Aunque todos los administradores serios de sistemas prestan una especial atención a los logs, no en vano son los que nos proporcionan pistas claves para averiguar lo que ha ocurrido o está ocurriendo, no todos ellos se preocupan de almacenarlos para hacer posible un posterior análisis con mayor detalle, si fuera necesario, o incluso para demostrar ante la autoridad judicial los daños y la responsabilidad de quien los llevó a cabo.
Por tanto, las preguntas claves son: ¿nos están aportando los logs toda la información que necesitamos? ¿Existen mecanismos de correlación, filtrado y lanzamiento de alarmas? ¿Tenemos herramientas que garantizan la confiabilidad de los logs que se están produciendo? ¿Están los logs siendo almacenados de forma que su integridad pueda ser verificada? ¿Somos conscientes de que cualquier detalle que se escape en su tratamiento puede invalidarlos como pruebas judiciales?
- Dispersión de datos y amenazas
Se está haciendo mucho hincapié en como la información fluye a lo largo y ancho de la organización. Podemos encontrar información clave para el negocio en: servidores de correo, servidores de ficheros, bases de datos, discos duros de los puestos de trabajo, memorias usb que entran y salen de la organización y, para los más eruditos en La Red, en aplicaciones que son prestadas desde “la nube”: almacenamiento en red, correos electrónicos personales, redes sociales, herramientas colaborativas, etc.
Asimismo, se comprueba (véase el último informe del INTECO sobre la seguridad en los hogares) que las amenazas evolucionan cada vez más rápido, llegándose a detectar un amplio conjunto de variaciones de los mismos especimenes. La característica fundamental: todos ellos intentan pasar desapercibidos y robar información confidencial que puede ser utilizada para ganar dinero.
Medidas: ¿qué información es crítica? ¿Hemos identificado dónde está esa información? ¿Existen políticas en la organización que garanticen su correcto tratamiento? ¿Hemos implantado mecanismos que nos garanticen que esa información no “se escapa” de forma incontrolada?
- El eslabón más débil: el factor humano
Muchos estudios nos siguen mostrando que el eslabón más débil de la cadena de seguridad sigue siendo el factor humano: que el porcentaje de equipos infectados ronde el 60%, que sólo el 30% de los usuarios gestione las actualizaciones de sus sistemas (software de seguridad, sistema operativo, aplicaciones), y que sólo el 34% de los mismos se preocupe de escanear los ficheros descargados de redes P2P, junto con el escaso conocimiento de conceptos como el de: cortafuegos, anti-spam, anti-fraude, etc., y la poca preocupación por adoptar habilidades favorables a la protección de la información: contraseñas fuertes, copias de seguridad, cifrado de la información confidencial, etc., así lo demuestra.
Cada vez es más patente la necesidad de formación y de crear cultura de seguridad en las organizaciones. La seguridad se sigue sintiendo más como un inconveniente que como una ayuda al correcto desempeño del trabajo diario.
Quizá, como me comentó un compañero, no viniera mal una campaña publicitaria de organismos públicos, entre tantas, ilustrando alguno de estos conceptos.
- Orientación al negocio
Desconozco si será una tendencia o un deseo mío. Ya lo comentaba en otro de mis artículos. Se viene detectando la necesidad de que los responsables de seguridad estén cada vez más involucrados en el entendimiento del negocio y de los procedimientos con los que se enfrentan las personas que trabajan en la organización. La seguridad está escapando de su jaula tecnológica y está filtrándose por cada una de las fibras que componen el tejido de la organización.
El arte: ser capaz de enfrentarse a las múltiples y evolucionadas amenazas impactando lo menos posible en el negocio, e incluso favoreciendo la adopción de nuevas formas de interrelación.
Iremos observando como transcurre este nuevo año 2010.
Y comentándolo.