A pesar de esta mxima, tambin resulta evidente que hasta para comerse un elefante se debe hacer en pequeos bocados. As, uno de los huesos ms duros de roer de la seguridad es el control de los accesos.
Esta rea de la seguridad constituye una de las de mayor dificultad a la luz de las abundantes estadsticas que afirman que entre el 60 y 70 por ciento de los incidentes de seguridad son internos, es decir, provienen de dentro de las organizaciones, sea consecuencia de errores o actuaciones deliberadas.
De esta forma, los datos evidencian que el control de accesos represneta uno de los mayores retos para el responsable de seguridad de cualquier empresa, y pone de manifiesto que conseguir implantar un control adecuado no es tan sencillo para la mayora de las organizaciones si no disponen de las polticas de seguridad y tecnologa adecuadas.
Pero, cmo hemos llegado hasta aqu? Si echamos un vistazo a la evolucin de la informtica en los ltimos aos, encontraremos alguna explicacin. En el inicio de los tiempos era el mainframe el punto final de todos los accesos; hoy en da existen multitud de servidores distribuidos con pedazos de informacin, que deben cooperar entre s para proporcionar el servicio requerido.
Hasta aqu, tampoco parece tan grave slo hay que multiplicar por el nmero de servidores (corporativos o departamentales) para conocer la magnitud del esfuerzo que nos supondr mantener todos estos sistemas.
No obstante, son los procesos de negocio los que condicionan las infraestructuras de informacin y no al revs. Si los clientes de los sistemas informticos eran los empleados de la organizacin, a stos se suman ahora los usuarios externos pero afines a ella clientes finales, socios, proveedores e, incluso, empleados mviles.
Estos avances implican que nuestros anteriores sistemas basados en un modelo de defensa del tipo bastin inexpugnable y con el sistema central cerrado a cal y canto en instalaciones con un frreo control de acceso fsico, han evolucionado a servidores accesibles lgica y fsicamente en algn caso. Una casa con muchas puertas es difcil de guardar.
Existen diferentes modalidades de gestin del control de acceso, pero en la fase de despliegue se debe intentar simplificar al mximo y apostar por las agrupaciones.
Crear roles o perfiles de usuario y agrupar recursos nos permitir trabajar por excepcin, con la ventaja de que cualquier cambio que se produzca lo podremos aplicar de inmediato al rol o perfil sin necesidad de reasignar individualmente a decenas o cientos de usuarios nuevos privilegios o autorizaciones a recursos.
Pero esto es slo el principio. Una vez cubierto el objetivo, debemos verificar su cumplimiento y realizar los ajustes pertinentes. De nuevo, las soluciones tecnolgicas vienen en ayuda de esta ardua tarea.
As, soluciones de auditora que centralizan eventos de seguridad o soluciones de Policy Compliance (cumplimiento de polticas) nos permitirn detectar intentos de acceso no autorizado o posibles agujeros de acceso en las mquinas.
Un claro ejemplo de este ltimo factor son las contraseas endebles. Una vez asignado, el password escapa del control del administrador, y queda en manos de los usuarios, pudiendo comprometer nuestros sistemas si se utilizan contraseas fcilmente adivinables.
No se desanime, aunque el control de accesos parezca un hueso duro de roer, la solucin no pasa por ocultar el problema y esperar que no pase nada, sino que estriba en analizar su organizacin, crear las polticas de seguridad adecuadas a la misma, utilizar una metodologa slida y dotarse de la tecnologa adecuada y desplegarla en consonancia con las polticas de seguridad existentes.
Al final de este proceso, le sorprender comprobar cmo lo que inicialmente le pareci un problema le abre nuevos canales de interaccin con sus clientes, empleados y socios, y se convierte en un motor de su negocio y no un efecto indeseado de la apertura al exterior.
Jordi Gascn, director tcnico de Computer Associates.
Adems de dotar nuestros sistemas de una defensa perimetral adecuada con sistemas antivirus, cortafuegos, de deteccin de intrusiones o inspeccin de contenidos, deberemos controlar adecuadamente los accesos a nuestra informacin y nuestras aplicaciones.
Existen diferentes estndares a seguir en seguridad (British Standard, ISO, MAGERIT, etc.) as como mejores prcticas. Es bueno documentarse y no reinventar la rueda. Altamente recomendable resulta la opcin de recurrir a los servicios de una empresa externa para el anlisis, diseo e implantacin, dejando despus en manos del responsable interno la supervisin, control y ajuste de los mecanismos de seguridad desplegados.
Cualquier responsable de IT es conocedor de lo difcil que resulta encontrar verdaderos expertos de seguridad. Es importante que stos se dediquen a sus funciones, dejando en manos de la tecnologa las tareas automatizables y repetitivas.
Si tenemos en cuenta que el control de accesos nos debe garantizar tres aspectos bsicos referentes a la informacin tales como confidencialidad, integridad y disponibilidad, es importante pues, antes de ponerse manos a la obra, contestar en primer lugar un par de preguntas importantes
– Qu activos debemos gestionar? Es preciso inventariar y clasificar las mquinas, ficheros, bases de datos, aplicaciones, cuentas de usuario, procesos de negocio, sobre una clasificacin que incluya parmetros de criticidad, es decir, cmo afecta a la actividad final de la empresa.
– Qu tipos de accesos debemos gestionar? Primero, es necesario conocer quin ser el usuario de nuestros sistemas y cmo va a acceder a nuestros sistemas (red local, web, acceso telefnico, inalmbrico u otros).
En este apartado, es importante establecer perfiles para facilitar la gestin e igualmente diferenciar la criticidad tanto por perfiles de usuario como por tipos de acceso.
As, una vez contestadas estas preguntas, bajaremos al siguiente nivel de detalle. Las caractersticas que fundamentan el control de acceso son la autenticacin y la autorizacin.
Es decir, garantizar que quien accede identificado como un determinado usuario es quien dice ser y que cuenta con atribuciones para acceder a esa informacin.
En este apartado cabe destacar soluciones tecnolgicas como las de control de accesos a la web, de administracin centralizada, los directorios access control y la tecnologa PKI, que vienen a socorrer a los administradores de seguridad para gestionar el cada vez mayor nmero de usuarios de nuestros sistemas.