Es patente que existe una conciencia creciente respecto a la importancia de dotar de seguridad a las infraestructuras tecnolgicas, ya que son componente fundamental de los procesos de negocio. Sin embargo, como se apunta desde la empresa Unitronics, el porcentaje de compaas que ha evaluado los perjuicios econmicos que supone la falta de seguridad en sus sistemas de informacin y comunicaciones es mnimo y creemos que ste es un ejercicio necesario e indispensable para argumentar a los rganos mximos de direccin la necesidad de establecer polticas de seguridad y conseguir los presupuestos necesarios para proteger sus infraestructuras e implantar dichas polticas. Hoy en da la mayor amenaza para una empresa es no tener definida e implantada una poltica de seguridad.
Ms all de esta amenaza, falta conciencia ante otro tipo de amenazas, y principalmente falta valorar la informacin que maneja la empresa. Si la pyme le diera el valor que se merece a la informacin y los datos con los que trabaja, se preocupara ms por su seguridad, como afirma el director general de Symantec Iberica, Joaquin Reixa, quien entiende que la seguridad va ms all de un simple antivirus. La seguridad es una poltica, una forma de actuacin, de reaccin y de evaluacin; para la cual es necesario contar con soluciones de proteccin antivirus y filtrado de contenidos, seguridad perimetral Firewalls y VPNs, deteccin de intrusiones, gestin de vulnerabilidades y seguridad integrada.
Por lo tanto la primera fase de un proyecto completo de seguridad consiste en comprender cul es el negocio del cliente, cules son sus activos de informacin y cmo es su red, ya que aunque las empresas son conscientes de los riesgos implcitos a la conexin de las redes y todas ellas intentan adoptar las medidas necesarias; sin embargo muchas de ellas se esfuerzan en ir poniendo parches a los problemas que van detectando, en lugar de acometer proyectos integrales, como se explica desde Getronics.
La seguridad en los sistemas es el paso natural que sigue la apertura de stos a la comunicacin y el acceso remoto, como afirma el responsable de canal de Aladdin Espaa, Camilo Vaquero Y si bien es cierto que, como seala el director de marketing de Veritas Software Iberica, Luis Fuertes, las empresas se encuentran actualmente ms concienciadas de la necesidad de poner en marcha polticas de activas de seguridad, todava son muchas las organizaciones que no contemplan la seguridad con la importancia que se merece y que no dedican a este aspecto los recursos e inversiones necesarios.
El reconocimiento del carcter estratgico de la informacin y la concienciacin respecto al imperativo de proteger el bien ms valioso de las organizaciones se revelan como el punto de partida para definir una poltica de seguridad que contemple metodologas y prcticas en base a la identificacin de las amenazas y las vulnerabilidades.
Segn los principales analistas del mercado, se espera un crecimiento anual a nivel mundial del mercado de la seguridad informtica del 25,5 por ciento hasta el 2005. El principal fundamento de estas previsiones es el reconocimiento generalizado de que la seguridad no slo es importante, es imprescindible, como afirma Fuertes, quien considera que el ncleo de un negocio reside en sus datos y stos deben estar protegidos, no slo ante accesos no deseados, sino tambin ante la corrupcin de los mismos o las equivocaciones en su manejo.
Proactividad y globalidad son dos conceptos fundamentales al hablar de seguridad. Si antes la seguridad era un concepto implcito en otras palabras menos rotundas como disponibilidad, control, backup, contingencia, etc …., ahora, el componente preventivo de la seguridad, pasa el filtro de las prioridades presupuestarias ms facilmente, seala Vctor Mojarrieta, director para el sur de Europa del rea de seguridad de BMC Software, quien subraya la importancia de tener una visin corporativa de la seguridad, pues sin ella, nuestra actuaciones se convierten en parches; la actividad, la direccin de la compaa y la capacitacin de los responsables de seguridad, suelen determinar las prioridades, pero si no se tiene la visin global de las necesidades, fracasar.
La misma opinion manifiesta el director de Tivoli en Espaa, Javier Moro, quien apunta que el primer paso que debe dar una empresa en este sentido es buscar asesoramiento, analizando los puntos dbiles en su infraestructura de empresa y revisando sus planes de seguridad para ver si stos son adecuados y para determinar cmo se pueden mejorar. Posteriormente ya se implantara una poltica de seguridad apropiada, unos sistemas de monitorizacin y deteccin de incidencias y un sistema de recuperacin de desastres.
En cuanto al grado de preparacin de la empresa con respecto a cada uno de estos segmentos, el responsable de la division e-networking de Alcatel Espaa, Jos Mara Molins, entiende que ante la prdida de datos, en general, la empresa est preparada ya que lleva muchos aos realizando back ups de los datos de los servidores centrales o incluso redundando stos; si bien un punto dnde cabe mejorar, es en el back up de los datos que cada usuario guarda mecnicamente en su propio ordenador y que son de inters general. En lo que se refiere a la proteccin frente a intrusiones, la mayora de empresas con conexin a Internet ya se protegen mediante la utilizacin de un firewall, aunque desgraciadamente, en muchas ocasiones, la configuracin de este firewall no se adapta ni a los avances que se realizan paralelamente en el mundo de los ataques ni a las necesidades especficas de la propia empresa. Ante una cada de servicio online, la empresa se protege redundando servidores web y firewall o duplicando el router o lnea de acceso a Internet. Sin embargo, hay que decir que en este apartado, no todas las empresas han hecho sus deberes y confan en la operacin continuada de un solo servidor http, un solo firewall, un solo router, o en el grado de servicio de la lnea que proporciona el operador. Aqu todava queda mucho camino por recorrer.
El tamao de la empresa y el sector de actividad donde desarrolla su actividad se revelan condicionantes claves de la aproximacin que las compaas respecto a la seguridad. Y en este sentido, desde BT Ignite se apunta que aunque la poltica de seguridad ms adecuada depende de la empresa y sector, y no existe una regla general a aplicar, normalmente se debe plantear un proyecto con una visin global de las necesidades del cliente, incidiendo en los diferentes aspectos deseguridad de forma paralela y gradual. Lo importante es que el cliente sea previsor y no se mantenga en una cultura de apaos, ya que esto ltimo slo conduce a dejar guardado en el cajn bombas de relojera.
Desde el punto de vista de Federico Villalva, director general de Osiatis, en cuanto a si la empresa est preparada ante una prdida de datos la respuesta es s y no, es decir, la gran compaa con datos crticos s que ha adoptado medidas para protegerlos y ha adecuado sus sistemas a la Ley Orgnica de Proteccin de Datos (LOPD), que dicta qu medidas de seguridad ha de dotar una compaa en funcin de la criticidad de sus datos; y decimos no por la pyme espaola, que todava tiene un largo camino que recorrer en este mbito, ya que pese a que el plazo dictado por ley para adecuacin de los sistemas a la LOPD ya ha expirado, muchas pymes espaolas todava no cumplen dicha normativa.
La importancia de la seguridad es extrema teniendo en cuenta que, como explica Nstor Carralero, director de marketing para el sur de Europa de 3Com, todos los segmentos que configuran la empresa son importantes y deben contar con la mxima proteccin. Hay que partir de la idea de que no existe una garanta de seguridad al 100 por cien, pero las mximas garantas de xito se alcanzan con planificadas polticas de seguridad y mantenindolas vivas. As que la primera medida a tomar, sera establecer dichas polticas de seguridad. Y sobre estas poltica, la tecnologa que nos permita llevarlas a cabo.
En la misma idea incide el director general de Entrust en Espaa, Miguel ngel Braojos, quien afirma que la seguridad se debe basar en un concepto amplio de proteccin ya que afecta a toda la infraestructura de la empresa.
Tambin Ruben Morales, product manager del Grupo SIA, expresa una visin similar. Todos se las reas de la empresa deben de blindar en su justa medida, no hay ninguna que se deba blindar ms que otra. Obviamente hay ciertas normativas legales que implican ciertas medidas que son ms urgentes como el cumplimiento de la LOPD, recuperacin frente a desastres, back up de datos, cifrado de las comunicaciones, correcta identificacin de las personas en el acceso de datos, etc. Y a partir de ah, dependiendo de cada organizacin se determinan las medidas a adoptar.
Queda claro entonces que todos los segmentos son importantes si contienen informacin crtica para el negocio, como afirma el director general de ISS Iberia, Manuel Arrevola, quien considera queno se puede de dar ms importancia a las redes que a una determinada aplicacin, si sta es crtica, de forma que la primera medida a adoptar es realizar un diagnstico inicial que priorice los elementos ms importantes.
Sin embargo y a pesar del carcter extensivo del concepto seguridad, la mayora de los proveedores coinciden al destacar tres temas fundamentales en materia de seguridad.En primer lugar deben proteger los puestos, terminales y servidores, para lo cual necesitan fundamentalmente de soluciones antivirus; en segundo lugar, se debe proteger el control de acceso a la red empresarial, para lo cual existen diferentes soluciones de autenticacin; y, por ltimo, est lo que se ha llamado seguridad perimetral, que consiste en rodear al sistema informtico de una serie de soluciones capaces de detectar y neutralizar una intrusin, como pueden ser los cortafuegos, los sensores y soluciones de auditora y monitorizacin de redes que permiten detectar y responder de forma dinmica a los ataques, en palabras de Christian Mariusse, director general de Varcity Espaa.
Una vez implementadas las diversas soluciones que dan respuesta a cada una de las concretas necesidades de cada empresa, el desafo consiste en conseguir una gestin de alto nivel. Y es este punto en el que incide el director tcnico de Allaso Informtica en Espaa, Francisco Sancho, quien considera queel gran reto con que nos encontramos ahora es la demanda de gestin de la seguridad, tanto desde el punto de vista de integradores suficientemente cualificados como de herramientas que permitan la explotacin eficaz de todas estas soluciones.
En trminos generales no suele existir una visin global del problema, es decir, las iniciativas de seguridad de datos surgen desde los departamentos de TI, por lo que el alcance de cualquier iniciativa se restringe lgicamente a lo que TI conoce; y aunque TI puede conocer la ubicacin de mucha de la informacin sensible, y fuentes de vulnerabilidad, no caigamos en el error de pensar que conoce todo; eso nos dara una peligrosa falsa percepcin de seguridad. La existencia de una poltica de seguridad conocida y apoyada por toda la compaa se convierte en un factor determinante en el xito de cualquier iniciativa de proteccin, afirma el responsable de programas de seguridad en Microsoft Ibrica, Hctor Snchez, quien estima que el principal problema es la inseguridad por la falta de conocimiento, o por la falta de percepcin de los riesgos; muchos de los problemas derivados internamente en las compaas no provienen de la mala fe de sus empleados internos, sino de la falta de percepcin de los riesgos asociados a las acciones que realizan. Lo que debemos tener claro es que el problema de la seguridad debe abordarse de una manera global, dado que a la informacin se va a poder acceder en cualquier momento, desde cualquier lugar y a travs de cualquier dispositivo.
Desde Panda Software tambin se insiste en esta idea. Evidentemente, son los directores de sistemas los que tienen que vigilar todos los sistemas de seguridad, pero, cualquier directivo ha de considerar que los presupuestos de seguridad no son intiles ya que son clave pare asegurar la continuidad del negocio. Y por otro lado, todos y cada uno de los empleados debe conocer unas normas bsicas a la hora de trabajar con seguridad; de nada sirve que se instale un antivirus si los usuarios no se dan cuenta de por qu est instalado y cul es su funcin.
De todo esto se deduce, como resume el consejero delegado de StoneSoft para Espaa y Portugal, Vesku Turtia, que una solucin global de seguridad pasa por combinar diversas soluciones complementarias que convergen y, en ningn caso, soluciones diferentes sin interrelacin entre s. El objetivo es tener una solucin cerrada, global, escalable a medida de las necesidades y gestionada de forma centralizada.
El reto es claro. La seguridad no debe contemplarse como un grupo de diferentes segmentos sin relacin, sino como un aspecto global que afecta a toda la tecnologa y a todos los procesos que desarrolla la empresa, y como tal debe afrontarse, afirma el director general de Novell Spain, Julin Rubio, quien insiste en que es necesario que la empresa, al abordar su seguridad, se decida por implantar soluciones de infraestructura que abarquen una serie de metodologas de autenticacin para toda la plataforma, aplicaciones y accesos internos y/o externos, desestimando el despliegue de un nmero de productos de seguridad desligados entre s. Al mantener mltiples soluciones de seguridad se introducen significativas vulnerabilidades de red, se incrementan los costes de administracin y soporte y se reduce la calidad en la experiencia de los usuarios finales, que se ven obligados a utilizar mltiples passwords.
No existe una frmula mgica; pero como se apunta desde S21sec, hay que ser consciente de que los elementos que componen un sistema informtico, en cuanto a seguridad, se asemejan a una cadena; la seguridad total del sistema es igual a la del eslabn ms dbil de la cadena, es decir a la del elemento ms inseguro.
Las palabras del presidente de Strategy Consultors, Marcos Urarte, condensan los diversos puntos comentados anteriormente. La primera medida que debe adoptar una empresa es concienciarse del peligro que existe al estar conectados a Internet y de la responsabilidad adquirida por los privilegios que se le hayan asignado de acceso a los sistemas informticos. Seguido a esto, contar con unas polticas de seguridad y de respuesta a incidentes adecuadas y actualizadas a los requerimientos de la empresa para poder defenderse de la criminalidad en el exterior. Tambin, se debe contar con la infraestructura tcnica y humana en seguridad lo suficientemente capacitada y actualizada para enfrentar estos retos.
De todo lo mencionado anteriorme podemos concluir que la seguridad ha de ser proporcional al valor de lo que se quiera proteger, por lo tanto, no hay una respuesta nica, ni siquiera un mnimo o un mximo, la inversin depende siempre del valor de lo que se est asegurando y del compromiso que la empresa haya adquirido con sus clientes, en palabras de Pepe Cea, director general de Check Point para Espaa y Portugal.