Al definir una estrategia de seguridad habría que exagerar hasta lo absurdo para cubrir cualquier posible eventualidad. Todo es vulnerable, todo es posible y, lo que no lo es hoy, los avances tecnológicos, el accidente fortuito o un empleado conflictivo lo puede hacer posible en un futuro cercano. Así de realista se muestra Gonzalo Landaluce, director general de Veritas Software Ibérica, a la hora de determinar la primera asunción que todo director de sistemas ha de tener en cuenta.
Una vez superada la afirmación, el siguiente paso sería realizar un análisis de los procesos de negocio para identificar las relaciones de interdependencia entre ellos, contemplando todo tipo de información (estructura y desestructurada). Es lo que Manuel Arrevola, country manager de ISS Iberia, bautiza como un análisis de vulnerabilidades de la compañía, dentro de un plan director de seguridad, en el que los sistemas de información han de adecuarse a normas como la ISO17799 (antiguo BS17799) y los ficheros y bases de datos han de cumplir normativas como la LOPD en España. Precisamente esta ley, puede poner de manifiesto los deslices de seguridad, con permisos inadecuados que permiten a cualquiera acceder a la información .
Mediante estas auditorías, las organizaciones deberían ser capaces de clasificar los distintos riesgos en categorías. De esta manera, habrá procesos o áreas críticas, cuya caída supondría el cese de la actividad; importantes, con detención de algunas operaciones pero no de la actividad total; valiosas, que facilitan el normal funcionamiento pero que no son cruciales para las operaciones; y neutrales, sin que se produzcan efectos en la actividad si la información no está disponible.
Es, por tanto, en la detección de esos riesgos donde reside la clave. Hay compañías que recurren a la externalización de la seguridad, del mismo modo que se hace con la física (ver recuadro). Partiendo de hechos básicos como puede ser el sistema operativo, Arrevola apunta que suele ser habitual no haber instalado los últimos parches de seguridad para corregir vulnerabilidades. Sin embargo y tras la pertinente evaluación de los sistemas, la principal conclusión es que son las redes internas en donde mayores problemas se producen. Tanto es así, que José Manuel Cea, director general de Check Point en España, está convencido de que el gran reto para el año 2004 será la seguridad interna de las compañías . En este capítulo Cea destaca la protección integral del desktop o el laptop; las políticas de prevención, detección, neutralización y cuarentena gusanos, virus y ataques así como malas prácticas en la red y sus sistemas P2P en las empresas; y el cifrado de la información confidencial corporativa, entre otros.
Adicionalmente, Carmen Pastor, responsable de marketing de Stonesoft para el Sur de Europa, asegura que en demasiadas ocasiones las medidas de seguridad implantadas comprometen la velocidad y la disponibilidad de los sistemas y del acceso a Internet, siendo la conexión al ISP y una sobrecarga de la LAN dos de las causas más comunes de las caídas.
El estado de las empresas españolas, en lo que a planes de contingencia se refiere, no se presenta demasiado esperanzador, sobre todo en el plano de las firmas más modestas. Javier Orejón, director de marketing de HDS, afirma que en el caso de la pyme, el grado de sensibilidad ante desastres es igual que en gran cuenta pero el nivel de inversión es menor. Incluso entre las grandes, Pastor explica que en muchos casos ha sido necesario pasar por la experiencia de una intromisión, una caída o un ataque a la información , para contar con ello.
Landaluce corrobora esta impresión apuntando que en nuestro país persiste la creencia de que son sólo las grandes compañías las que deben poner en marcha estos planes, por lo que el nivel de inversión en España es aún bajo. Y ello a pesar de que como indica Orejón, mientras que una gran compañía podría sobrevivir ante un desastre si su negocio se parase durante un periodo de tiempo determinado, una pequeña o mediana empresa podría llegar a la quiebra.
Arrevola incorpora un nuevo enfoque, precisando que en muchas ocasiones los planes de contingencia existen pero las las pruebas del funcionamiento de las recuperaciones de datos no siempre de realizan y, en materia de contingencia para la seguridad lógica, la práctica de la política del avestruz sigue siendo habitual en España.
Alfredo Martín, responsable de producto de Manager de Servicios de Seguridad en Telefónica Data
Si echamos un vistazo al mercado de seguridad en Europa podremos apreciar que durante los últimos dos años el crecimiento ha sido considerable. Los analistas se atreven a aventurar ratios de crecimiento anual compuesto (CAGR) en este mercado cercanos al 17 por ciento hasta el año 2007. La preocupación por la seguridad ha crecido proporcionalmente a la vulnerabilidad de las empresas ante ataques externos y, por tanto, al mismo ritmo que están creciendo la efectividad y peligrosidad de dichos ataques.
Ante este panorama, las compañías están invirtiendo en infraestructuras y tecnologías de seguridad como sondas IDS (NIDS y HIDS), cortafuegos de inspección de estados, o los propios antivirus. Pero, ¿es esto suficiente? La realidad es que no y, en muchos casos, ni siquiera es útil, sino simplemente una manera de ‘acallar nuestras conciencias’. Basta hacerse algunas preguntas: ¿qué tipo de logs guardamos de nuestros firewalls e IDS?, ¿los tenemos activados permanentemente?, ¿cuántas horas guardamos?, ¿cuándo los rotamos o sobrescribimos? y, por supuesto, ¿quién vigila los sistemas?
Cualquier empresa que quiera afrontar su seguridad lógica de una manera seria y eficaz, no puede dejar de plantearse si debe abordar la securización de sus sistemas por sí misma o confiar en un partner especializado. En este contexto, confiar la seguridad de su empresa en una compañía como Telefónica Data presenta unos beneficios que conviene tener en cuenta. Por una parte, reducción de los gastos asociados a la gestión de la seguridad. La complejidad de esta gestión es obvia y los costes de gestionar el riesgo asociado son considerables. Por otro lado, este modelo proporciona un acceso inmediato a la tecnología. Este modelo permite el acceso a la última tecnología bajo la fórmula de pago por uso, por lo que se elimina el riesgo asociado a la obsolescencia tecnológica. Otro beneficio es la reducción de la inversión necesaria, ya que la inversión inicial es inferior a la que se realizaría adquiriendo la infraestructura, transformando costes fijos en variables. Por último, aumenta la capacidad de adaptación, gracias a la flexibilidad y continua mejora de nuestros servicios de seguridad.
