En un panorama empresarial en el que la colaboración y la tendencia
a compartir los recursos aumentan cada día, la mayoría de sistemas de
seguridad TI no están diseñados para trabajar más allá de los límites de
la propia empresa.
Cada año el número de incidentes declarados relacionados con la
fuga de datos continúa creciendo, mientras las compañías siguen buscando
la manera de proteger su activo más importante: su información.
Quienes
trabajan en el ámbito de la seguridad y protección de información han
tenido que lidiar desde siempre con los problemas de fugas de datos que
surgen del correo electrónico, de la mensajería instantánea y de otros
canales de Internet. Pero hoy, con la proliferación de tecnologías de
movilidad, es más fácil que nunca sufrir una pérdida de datos, bien sea
de manera accidental o bien de forma explícitamente maliciosa.
Las empresas necesitan una estrategia de seguridad coherente y un
proceso fiable para mantenerlas actualizadas con las últimas
tecnologías. Sólo así es posible hacer frente a futuras amenazas.
En 2008, el Identity Theft Resource Center (Centro
de Recursos para casos de Robo de Identidad) documentó 656 infracciones
relacionadas con la fuga de datos, lo que supone un aumento del 47 por
ciento de los casos reportados con respecto al año anterior.
La
seguridad es un elemento crítico para los sistemas TI de las
organizaciones por varias razones. Por un lado, las empresas deben
protegerse de las personas que podrían robar o destruir su información y
servicios. Por el otro, las regulaciones gubernamentales como Sarbanes-Oxley significan que las corporaciones deben saber quién tiene acceso a qué información y cuándo.
Todas
las empresas que cotizan en bolsa tienen que cumplir obligatoriamente
con estos reglamentos y las insuficientes políticas de seguridad y
controles son los culpables, en gran medida, del aumento del coste de
este cumplimiento.
Además, muchas empresas están virtualizando
algunas de sus estructuras de negocio para ser más eficientes y ágiles.
La colaboración con los socios de negocio es ya tan importante como la
colaboración entre los empleados.
Las empresas deben integrar
procesos y federar identidades más allá de los límites de la compañía.
En consecuencia, la seguridad es el primer obstáculo. Más
específicamente, las empresas han de diferenciar a los empleados de los
socios y definir cómo acceder a los sistemas TI internos como soporte a
estos procesos integrados.
En este punto, las compañías necesitan
un proceso que identifique a las personas adecuadamente, como dar un
identificador para que puedan iniciar la sesión, otorgar los permisos de
acceso apropiados y gestionar todo el sistema.
Por esto, estamos
en condiciones de asegurar que el grueso de sistemas de seguridad no se
ha concebido para trabajar más allá de la empresa. Las tecnologías
emergentes habilitan nuevas capacidades, pero no basta con instalar un
producto. La política empresarial y el procedimiento son aún más
importantes.
Si miramos cómo evoluciona el mercado en estos
ámbitos, las tendencias apuestan por consolidar la gestión de la
prevención de fuga de datos (Data Leakage Prevention -DLP-), los derechos digitales (Rights Management Services
-RMS-) y el control de las características de los dispositivos. La DLP,
en primer lugar, reconociendo datos sensibles durante la inspección de
contenidos (servidores de archivos, bases de datos, portátiles...).
La
RMS, restringiendo las acciones que se le permiten realizar a un
usuario (no permitir la impresión, copiar y pegar…) allí donde la
información pueda escapar al control de los responsables de TI. Y, por
último, el control de los dispositivos para prevenir que datos
confidenciales salgan de los sistemas corporativos en dispositivos de
almacenamiento, como USB.
La mayoría de sistemas de seguridad TI no están diseñados para trabajar más allá de los límites de la empresa
Sin embargo, todas estas medidas pueden quedar rápidamente
reducidas a la nada cuando introducimos en la ecuación a las personas.
Nuestro comportamiento social, la falta de criterio, etc. pueden
quebrantar con extrema facilidad cualquier iniciativa tecnológica que
llevemos a cabo.
Y es por ello que toda la organización sin
excepción debe estar implicada, educando donde sea necesario, trabajando
en políticas de uso que ayuden al gobierno y asegurando que el
desarrollo de las aplicaciones integre mecanismos de protección de
datos.
Aunque no hay respuestas fáciles cuando se habla de la protección de los datos y activos de las empresas, desde Avanade
consideramos una serie de aspectos fundamentales que permitan disponer
de una empresa segura, mediante un análisis detallado y reflexivo de
varios factores dentro de un entorno empresarial único.
Elaborar un plan estratégico
Las
empresas necesitan una estrategia de seguridad coherente y un proceso
fiable para mantenerlas actualizadas con las últimas tecnologías y las
amenazas existentes y venideras.
Como responsable de una empresa,
es necesario abordar la seguridad desde una perspectiva integral y
estratégica para garantizar la fiabilidad, el cumplimiento de las
normativas, la integridad y la disponibilidad.
En lugar de apostar por una mayor seguridad, las empresas deberían luchar por una seguridad efectiva
Este plan debe incluir los costes estimados, además de fijar
los objetivos y realizar el blueprint de la solución. Adicionalmente, es
un factor crítico desarrollar un plan predeterminado que actúe como
hoja de ruta para alcanzar el resultado final esperado y así garantizar
el éxito de cualquier implementación.
En las siguientes líneas
encontramos algunos de los pasos a considerar con el objetivo de crear
el plan correcto para la organización:
- Establecer el alcance global y los objetivos.
- Reunir los requisitos de alto nivel, como a qué sistemas necesita dar soporte, etc.
- Determinar el estado actual de su seguridad y de lo que pretende conseguir.
- Desarrollar el caso de negocio para obtener la aceptación ejecutiva a ese plan y estimar sus costes.
- Desarrollar el blueprint para la construcción de su solución de seguridad.
- Seleccionar el software apropiado para conseguir los objetivos.
- Desarrollar la hoja de ruta para implementar la solución.
- Personas y procesos
Las soluciones de seguridad dependen de la integración de la tecnología, de los procesos y de las personas.
Las soluciones de seguridad dependen de la integración de la
tecnología, los procesos y las personas. Ya se encuentre ideando la
aproximación a la gestión de las identidades o diseñando la metodología
de gestión de actualizaciones de su organización, se debe considerar
cada uno de estos aspectos como fundamentales para su estrategia de
seguridad.
La tecnología es sólo una parte de la solución.
Disponer de un proceso eficaz, a la vez que se alinea la solución con
los empleados, ayuda a facilitar la transición para cualquier
organización.
Con tantos proveedores y consultores disponibles, es
importante encontrar un socio que comparta la visión estratégica de la
organización. Después de determinar una estrategia, se debería elegir
como socios a aquellos que aporten experiencia y que dispongan de una
sólida reputación. El socio adecuado ayudará a diseñar e implementar un
sistema que maximice los ya existentes para gestionar el acceso a través
de ellos y de las redes de manera segura y eficiente en costes.
Implementar con objetivos
No
implementar soluciones arbitrariamente y esperar que funcionen sin
problemas. Es esencial establecer las guías de arquitectura con el fin
de eliminar -o cuanto menos reducir- la complejidad antes de que
empiece.
Un error que muchas organizaciones cometen en el área de
seguridad de la información es dar por sentado que cuanta más tecnología
se ponga en funcionamiento, más seguras podrán mantener sus empresas.
En lugar de impulsar la necesidad de una mayor seguridad, las empresas
deberían centrarse en luchar por una "seguridad efectiva" -aquélla donde
se evalúa su situación actual y luego se diseña y construye un
planteamiento de seguridad que se adapte a las necesidades específicas
de su negocio y al presupuesto de su organización-.
Esta visión
holística del estado de seguridad de la organización proporciona un buen
punto de partida para trabajar en la mitigación de los riesgos de
seguridad en la empresa. Posteriormente, una vez que la evaluación del
riesgo de seguridad se ha completado, la empresa puede ya trabajar en la
arquitectura, diseño e implementación de una solución que se adapte a
las necesidades de su negocio específico.
La adaptación o
modernización de los sistemas de seguridad rara vez se puede llevar a
cabo sin tener que rediseñar partes sustanciales del sistema y, en la
mayoría de los casos, requiriendo para dicha renovación una importante
inversión. La seguridad debe ser una pieza integral del diseño del
sistema desde el principio y no una reflexión posterior.
No confiar en la modernización
Sin
embargo, la modernización puede resolver problemas tácticos tapando los
agujeros en un sistema existente, aunque también puede crear nuevos
problemas estratégicos.
Para balancear los beneficios frente a los
costes, las empresas deberían integrar soluciones dentro de los
sistemas existentes. A la vez, han de estar preparadas para hacer las
inversiones estratégicas necesarias que permitan crear un sistema seguro
que perdure en el tiempo, sin la necesidad de recaer en la
modernización.
En general, la seguridad no es algo que se compra
sino que es algo que se hace. Es un proceso que se utiliza para mantener
y garantizar la calidad de los sistemas TI de las empresas, del mismo
modo que sucede con la escalabilidad o la disponibilidad.
Con el
proceso correcto en mente y las tecnologías adecuadas para apoyar esas
cualidades, las empresas pueden mantener una visión holística de los
objetivos generales, el papel de la seguridad dentro de esos objetivos y
desarrollar un plan de ejecución coherente.
Autor
Ricard Piñol, Director de Soluciones de Infraestructura y Seguridad para Avanade en España.
Fuente http://www.redseguridad.com