Los directores de informática, operadores de redes y sistemas, ejecutivos de empresas, la Administración y otras personas involucradas en la operación de las redes informáticas están comprensiblemente preocupados con la posibilidad de un ataque terrorista a sus instalaciones.
En el sector de las TI, la seguridad se ha definido para muchos simplemente como un firewall en el servidor gateway, o bien un software antivirus en el sistema sobremesa, y tal vez un sistema de detección de intrusiones añadido con el fin de lograr una buena medición, considerando la seguridad como algo que las tecnologías aisladas, por sí solas, podían resolver. Existen multitud de soluciones para proteger partes de la red, pero la complejidad y heterogeneidad de los cientos de sensores de muy diversos tipos han creado una situación difícil de manejar. A esta complejidad se suman, además, la explosiva proliferación de dispositivos móviles para Internet.
Y que ahora asistimos a una nueva fase en la seguridad empresarial, a medida que entran en escena cientos de innovaciones y productos, cada uno resolviendo una parte del problema.
Así, los responsables TI se encuentran con docenas de herramientas sumamente especializadas que no se comunican entre sí, no interactúan y no pueden gestionarse de forma global en la empresa.
Esta situación se complica si los sistemas de seguridad son gestionados por grupos distintos y que, con frecuencia, tienen objetivos diferentes.
Debido a la creciente diversidad de amenazas
-que aumentan en complejidad, frecuencia y severidad- cada semana se identifican más de cien nuevos virus y se descubren sesenta vulnerabilidades. Las sofisticadas amenazas combinadas, como Code Red, Nimda y Klez van en aumento.
Por su parte, partners y clientes demandan mayores niveles de servicio en los sistemas on line, al tiempo que y se intensifican los requisitos legales y las empresas deben enfrentarse a significativas limitaciones de presupuestos y personal.
Para resolver estos temas, muchas empresas cuentan ya con diferentes productos de distintos fabricantes pero, de nuevo, sólo para enfrentarse a otro reto aparentemente imposible cómo gestionar efectiva y eficazmente un entorno de seguridad complejo, donde sin una visión integrada y única de los eventos de seguridad, los costes operacionales de la protección crecen desorbitadamente al tiempo que la seguridad se debilita.
Hoy en día, los complejos retos de la seguridad requieren una estrategia holística que reúna cuatro grandes cometidos alerta, protección, respuesta y gestión.
Symantec analizó durante seis meses más de mil millones de eventos de seguridad para los clientes de sus Servicios de Seguridad Gestionados.
Se comprobó que una empresa es atacada una media de 32 veces a la semana, frente a las 25 del año anterior, lo que implica un aumento del 28 por ciento.
Las amenazas van en aumento, y, desgraciadamente, los ataques provienen de fuentes que están a nuestro alrededor hackers y crackers, pero también clientes, proveedores y empleados descontentos.
Sin embargo, no todos los eventos de seguridad requieren una atención urgente. A modo de ejemplo, los cortafuegos y dispositivos de detección de intrusos de un cliente de tamaño medio generaron durante un mes 9,5 millones de logs de entradas y alertas.
Después de relacionar los datos de varias fuentes, se identificaron 620 eventos que requerían una mayor investigación. Tras eliminar los falsos positivos, se determinó que 55 eventos constituían una amenaza a la seguridad; y un análisis más exhaustivo demostró que sólo 2 amenazas eran lo suficientemente críticas como para requerir una acción inmediata.
Aunque la buena noticia es que sólo 2 requerían la atención inmediata, la mala es que muy pocas empresas disponen del tiempo, recursos y experiencia necesarios para llevar a cabo de forma proactiva un análisis exhaustivo de sus eventos de seguridad.
En el apartado de protección, la información crítica del negocio reside en varios niveles de la red -gateway, servidor y cliente- lo que abre posibles nuevos puntos de entrada para los códigos maliciosos o la explotación de vulnerabilidades.
Hasta ahora, las empresas utilizan una serie de productos que trabajan independientemente y que deben ser comprados, instalados, desplegados, gestionados y actualizados de forma separada, lo que supone un uso poco eficiente de la plantilla TI, así como una solución costosa y poco efectiva.
Para solventarlo, la mejor opción pasa por una solución de seguridad integrada que no sólo ofrece protección frente a las amenazas combinadas, sino que también reduce la complejidad y los costes.
Como respuesta, las corporaciones requieren una infraestructura que detecte las amenazas tan pronto como aparecen, en cualquier momento del día, y que garantice una respuesta rápida.
Esta infraestructura debe, además, abarcar una amplia gama de servicios que van desde el análisis y la gestión de amenazas hasta los servicios gestionados de seguridad, basados en miles de fuentes de información en todo el mundo que son analizadas por expertos y recomiendan las estrategias de defensa apropiadas.
Finalmente, se requiere una forma de gestionar estos complejos entornos que alertan de las notificaciones de eventos y amenazas procedentes de múltiples sitios, con el fin de relacionar estos sistemas de alarma con los mecanismos de protección y respuesta a través de un sistema completo que proporcione una protección reactiva y proactiva, permitiendo conocer dónde están las vulnerabilidades, con qué rapidez se pueden implementar y monitorizar las políticas de seguridad, o bien qué sistemas necesitan parches y cómo se pueden desplegar.
Con una estrategia de seguridad que cubra los cuatro puntos mencionados -alerta, protección, respuesta y gestión- las empresas pueden estar seguras de que sus activos de información están protegidos, incluso cuando se multipliquen las amenazas en la Red.
John Schwarz presidente y Chief Operating Officer de Symantec.
