  Las soluciones de seguridad ayudan a mitigar los riesgos y a salvaguardarse de las amenazas, pero también requieren de personal tecnológico que sepa seleccionarlas, implantarlas, gestionarlas y mantenerlas. Y este es uno de los problemas en los entornos TIC actuales, la falta de especialistas en seguridad, o lo que es lo mismo, la ausencia de la figura del CISO (chief information security officer). Como resultado, la gran parte de las empresas no evalúan y gestionan de manera adecuada los riesgos que puede sufrir su negocio por no tener bien implementada una buena estrategia de privacidad y seguridad de la información.
Este hecho se complica además porque la fuerza laboral móvil está creciendo vertiginosamente. Por ejemplo, en Estados Unidos este crecimiento fue del 74 por ciento en 2009, según WorldatWork Telework Trendlines. Y tener un equipo disperso de trabajadores móviles implica más trabajo y nuevas preocupaciones a los responsables de las TI en una organización. Según IDC, la mayoría de los CIOs con los que ha hablado no confían en la política de seguridad de su compañía para evitar que estos trabajadores envíen información confidencial a terceras partes. Es más, según Accenture, el 74 por ciento de las compañías de todo el mundo han perdido alguna vez información sensible. Por tanto, asegurar las medidas de seguridad es un reto formidable para los CIOs, sobre todo, en el área de movilidad que proporciona grandes oportunidades a los hackers, e incrementa el riesgo de otras amenazas y vulnerabilidades. Es preciso entonces, adoptar una buena metodología de gestión de la seguridad, que incluya una valoración de las políticas de seguridad perimetral e interna y la creación de una estrategia de seguridad móvil.
Así lo constata, David Barroso, director de S21sece-crime, al afirmar que, “los riesgos relacionados con Internet han ido evolucionando a pasos agigantados en los últimos años. Uno de los principales es la deperimetrización, donde no sólo tenemos que proteger nuestro perímetro, sino que ahora la mayoría de los ataques atentan contra activos internos. Es por ello que la fuga de información sensible nos tiene que preocupar, pero además debemos empezar a preocuparnos de activos más intangibles como pueden ser la imagen de nuestra organización, o qué información se encuentra en Internet. Un CISO necesita ser multidisciplinar y contar con un equipo experto que pueda controlar cualquiera de estos aspectos, intentando conseguir una visión más holística”.
REDES SOCIALES
La llegada de innovaciones como el cloud computing, redes sociales o los nuevos dispositivos móviles de consumo (smartphones, netbooks…), también está dificultando el securizar las redes de una organización. “Hoy en día, las fronteras de las comunicaciones han desaparecido: las soluciones cloud eliminan las fronteras del centro de datos; las redes sociales eliminan las fronteras de la información, que reside también en otros medios; el teletrabajo y la movilidad son una realidad creciente, eliminando las fronteras del acceso; y los dispositivos de consumo inundan el entorno empresarial eliminando las fronteras del punto terminal”, Cisco. “El perímetro se ha diluido, y ante esta realidad, es imprescindible contar con una arquitectura segura a través de la cual viajen y se extiendan las políticas de seguridad. Esto es lo que llamamos “arquitectura de redes sin fronteras seguras”, añade.
Del mismo modo, advierten desde Cisco, que para responder a las amenazas se requiere de telemetría global, ya que las amenazas son globales y es importante prevenir a nivel mundial una amenaza que surge en Australia, por ejemplo. “Gracias al Centro Global Sensor Base, esta amenaza es avisada a todos nuestros clientes y mitigada en sólo minutos. Además, esta tecnología se integra con las soluciones tradicionales de seguridad y otros sistemas de seguridad de red”,declara Pilar Santamaría.
COMUNICACIONES UNIFICADAS
Otra de las tendencias que en estos tiempos se está materializando en cada vez más empresas, son las comunicaciones unificadas, un entorno que también puede sufrir riesgos de seguridad ya que, “su éxito se basa en el intercambio de información confidencial”, y podría sufrir “la intercepción mal intencionada de mensajes y conversaciones y las tradicionales amenazas de virus, malware, gusanos y spam”, señala David Negrete, director de la unidad de negocio de Productividad y Colaboración de Microsoft Ibérica.
Es requisito entonces para el responsable de la seguridad de una organización adoptar medidas, no sólo en la red, también “desde el origen mismo de la información mediante la encriptación de los datos y con soluciones como ForeFront para evitar el resto de las amenazas”,apunta David Negrete. “El firewall es imprescindible para securizar contra el acceso no autorizado a través de WAN, LAN o WLAN, protección de las redes y puertas de entrada (gateway). Y la encriptación en origen de los datos, añadido al antispam, antivirus, antimalware, es clave para mantener la integridad de la información y de las aplicaciones”, añade.
SERVICIOS GESTIONADOS Finalmente, conviene mencionar también otra inclinación que cada vez más se está produciendo en el mercado ante el aumento continuado de ataques cuyo objetivo son los activos internos de una empresa. Y es la externalización de la seguridad de las redes a un proveedor de servicios gestionados. Así lo afirma un estudio de Frost & Sullivan, que estima que el mercado de los servicios gestionados de seguridad movió un volumen de negocio de 1.200 millones de dólares en 2009, y que alcanzará los 3.900 millones en 2016.
Ayudar a mitigar los riesgos de seguridad y controlar los costes son dos de los factores que están impulsando este tipo de outsourcing, y que dados los recortes presupuestarios que muchas empresas están sufriendo, es una opción atractiva a considerar por parte de los CIOs. Jose Manuel de Paz, District Manager de Sirt, proveedor de servicios de Internet en las áreas de consultoría, gestión e integración de redes y sistemas, convergencia IP y seguridad, afirma además que, otros motivos que mueven a las empresas para optar por el outsourcing “son de índole estratégica, económica o productiva. Una empresa que decida externalizar su seguridad TIC le permite, por un lado, dedicase a la actividad principal del negocio y, por otro, confiar en un proveedor que le aporte esos conocimientos de seguridad TIC que la empresa no tiene para la gestión de este apartado”.
Cinco pasos para reducir los puntos ciegos:
1. Asegurar la visibilidad monitorizando la salud y cumplimiento de las políticas de seguridad de los dispositivos móviles
2. Proteger los datos sensibles en los `endpoints´ de la empresa
3. Desarrollar una política específica para proteger la organización
4. Controlar el acceso a los directorios con gestión de identidades y roles
5. Potenciar la productividad con medidas como la monitorización de las conversaciones por mensajería instantánea
S
