redes de valor

Seguridad en la red

• Pasos para proteger una red
• Riesgos, amenazas y mitos
• Canal: cómo vender seguridad

Dada la importancia e impacto de este tema en las redes de las organizaciones, eSemanal buscó la opinión de algunos directivos y consultores de seguridad para conocer los aspectos generales de este mercado, la forma de proteger una red, así como las herramientas, riesgos, amenazas y mitos más comunes. Por último, mostramos algunos consejos al canal sobre cómo vender este tipo de soluciones.

El mercado de la seguridad

La seguridad de la información se empieza a reconocer como un factor importante para la eficiencia operativa y de TI, además de ser considerada como un elemento importante para el cumplimiento de los objetivos de negocio.

Estos son algunos resultados de la décima Encuesta Global de Seguridad de la Información de la firma de análisis Ernst & Young, que fue aplicada en más de 1,300 compañías a nivel global de 23 sectores de la industria en más de 50 países, de los cuales México obtuvo el tercer lugar en número de participantes.

Otras conclusiones de este estudio son los aspectos que representan mayor preocupación para la seguridad de la información: medios removibles, cómputo móvil y aplicaciones Web; redes inalámbricas y convergencia entre la seguridad lógica y física.

Administración de las actividades de seguridad

Cómo asegurar una red

“Hoy en día, limitarse a hablar de antivirus es delicado, pues ahora, en vez de los gusanos destructivos que existían hace cuatro o cinco años, lo que realmente hacen es robar información”, afirmó Andrés Velázquez, experto en seguridad y director general de Mattica.

El también instructor de la Interpol y otros organismos de seguridad a nivel internacional, explicó que la protección de una red se divide en tres elementos: seguridad perimetral (firewall, por ejemplo), detección de intrusiones y sistemas antivirus, sin omitir los procedimientos y las políticas.

“En nuestro laboratorio de análisis forense hacemos investigaciones de delitos cibernéticos y observamos que 82% de los ataques provienen directamente de la gente que trabaja dentro de las empresas, por lo que las vulnerabilidades están en la misma organización”.

Desde la óptica de Gilberto Vicente, gerente de Desarrollo de Negocios en Seguridad para Cisco México, basta seguir seis recomendaciones para proteger una red:

 

1) Tomar conciencia de lo que es una red actualmente, pues más allá de ser un mecanismo de transporte en el que se montan dispositivos, aplicaciones y servicios, hoy en día todos estos componentes forman parte de la red y tienen dependencia de ésta.

2) Dejar de ver la seguridad en la red como actividad secundaria; es decir, exigir que cada implementación de servicios de TI contemple arquitecturas en las que le red sea parte fundamental.

3) Si de inicio no fue posible que la organización implementara una arquitectura con la seguridad integrada y teniendo conciencia de que la red es todo, el siguiente paso es identificar cada componente de la red, efectuar un inventario de los activos, no sólo ruteadores y switches, sino de todos los que proveen aplicaciones y servicios a la organización.

4) Clasificar los activos de acuerdo con su importancia en la empresa y asignar un valor cuantitativo o cualitativo

5) Realizar un análisis de vulnerabilidades y conocer el nivel de riesgo de la empresa para eliminar tales vulnerabilidades o aplicar prácticas de remediación

6) Implementar controles de riesgo (firewalls, soluciones de detección de intrusos o de control de acceso a la red, antivirus); sin embargo, no sólo se trata de detener ataques sino garantizar la continuidad de la operación del negocio

 

“Muchas soluciones de seguridad están diseñadas para detener ataques pero no conocen los paquetes de red, por lo que de nada sirve una aplicación de detección y prevención de intrusos, pero que bloquea paquetes de voz IP vitales para la organización, lo cual es muy común”, puntualizó Vicente.

Otro escenario es el que planteó Gabriela Valdés, gerente regional de (Internet Security System (ISS) y Business Continuity Security & Privacy (BCRS), quien explicó que los puntos más importantes para asegurar una red son:

 

 

• Encontrar las brechas de seguridad

• Diseñar un plan para cerrar esas brechas

• Proteger la infraestructura de red, anticipándose a las amenazas

• Crear un plan de continuidad del negocio

• Educar a los empleados

 

Asimismo, indicó que los elementos de una red que se deben cuidar son:

 

• Vigilar los tres elementos de la seguridad: confidencialidad, integridad y disponibilidad

• Proteger los datos y la confidencialidad de la información personal

• Proteger la información sensible y/o crítica de la organización

• Diseñar una política de seguridad, en colaboración con clientes y proveedores, correctamente alineada con las necesidades del negocio

 

De acuerdo con Daniel Ortiz, consultor de seguridad, un punto fundamental que casi siempre se omite es establecer políticas de seguridad. “El primer paso es saber qué elementos tiene mi red y con qué presupuesto cuento, ya que a veces no existe un match entre éstos”.

Para crear las políticas se deben tomar en cuenta el hardware (computadoras), el software (sistemas operativos, discos de instalación, aplicaciones) y la información.

Agregó que existen tres elementos básicos en la seguridad de una red: Confidencialidad (niveles de acceso a la información), integridad (se compromete la disponibilidad) y disponibilidad (se obtiene con respaldos periódicos de la información).

Herramientas de seguridad

En opinión de Gilberto Vicente éstas juegan un papel importante, pero son el último paso, ya que la seguridad debe estar integrada en las arquitecturas; es decir, forman parte natural del ambiente de TI de la empresa.

“Las organizaciones añaden soluciones de CRM o ERP y VoIP para ser competitivos y finalmente piensan en la seguridad: ¿qué le pongo encima para que no me ataquen?, cuando el planteamiento debe ser adquirir aplicaciones con seguridad integrada”, afirmó.

Si la empresa se ve en la necesidad de agregar soluciones puntuales, la recomendación es llevar a cabo un análisis de riesgos que indique dónde están las vulnerabilidades y seleccionar soluciones de proveedores confiables.

Subrayó que no sólo los corporativos, sino la PyME debe demandar que su proveedor integre seguridad en su oferta.

Para la directiva de ISS, las soluciones que no deben faltar en una organización son:

• Firewall

• Sistema de prevención de intrusos perimetral

• Sistema de prevención de intrusos host

• Protección de correo electrónico

• Detector de anomalías de red

• Análisis de vulnerabilidades

“No necesariamente se trata de hardware ni de software; no son ni firewalls ni antivirus. De hecho, estas herramientas no sirven de nada si no se personalizan, porque dejar la configuración por default sólo da una falsa seguridad”, precisó Ortiz.

La herramienta indispensable es el establecimiento y revisión constante de las políticas de seguridad, explicó. “Las medidas de seguridad pueden ser eficientes para hoy pero no para mañana”.

Agregó que los ataques de códigos maliciosos han evolucionado, antes atentaban la integridad de la información; es decir, la borraban.

En este sentido, Valdés destacó que dentro de las principales políticas de seguridad para una empresa se deben considerar los siguientes puntos:

• Asegurar la privacidad y la integridad de los recursos de tecnologías de la información

• Crear políticas para proteger los accesos no autorizados

• Garantizar la seguridad física de los recursos

• Establecer consecuencias en la violación de una política

Riesgos y amenazas comunes

Desde la óptica de Velázquez, de Mattica, entre los principales ataques que se detectan en América Latina están el robo de secretos industriales, las amenazas, la difamación y las intrusiones a sistemas de información.

“Estamos viendo gusanos que por medio de ingeniería social y utilizando el correo buscan penetrar en una organización y, a través de un usuario, ejecutar un código que pueda afectar a toda la empresa, robando su información”, apuntó.

Explicó que las medidas a tomar son, primero, generar consciencia en los usuarios para evitar caer en fraudes y que los administradores de las redes tengan los conocimientos necesarios para capacitar y proteger a estos usuarios.

Por otra parte, acotó que pocas empresas están volteando a ver el tema del cumplimiento legal desde el punto de vista tecnológico; se trata de información digital que muchas veces no está contenida en un convenio de confidencialidad.

Desmitificando la seguridad

Vicente sostiene que es importante desmitificar la seguridad, porque no existen soluciones mágicas que ofrezcan protección para todo. “Lo bueno, bonito y barato en seguridad tampoco existe porque una cajita barata sin soporte no brinda la protección que una empresa requiere”.

Otro mito, dijo, son las aplicaciones gratuitas, pues a veces son medios de ataque, son herramientas de espionaje o robo de información.

Valdés, por su parte, mencionó como mitos más comunes que los problemas de seguridad generalmente son técnicos, que la seguridad es un producto y que las certificaciones son benéficas porque garantizan inmunidad.

Tendencias

Además de ver a la seguridad como parte integrada a la red, el directivo de Cisco señaló que una de las tendencias es el Network Admission Control (control de acceso a la red), que se está consolidando a nivel mundial, así como el filtrado de contenidos y la evolución en las tecnologías de detección y prevención de intrusos.

En tanto, Gabriela Valdés puntualizó que es necesario prestar atención a la seguridad en las tecnologías emergentes (como VoIP), las que están en evolución (navegadores) y las ya establecidas (Web 2.0).

“Los atacantes siguen aumentando en cantidad, nivel de ataque e inteligencia pero ahora motivados por dinero, no por fama como lo hacían anteriormente. El factor humano es una parte importante en la seguridad y requiere educación continua, además de que es necesario crear defensas en capas", manifestó.

Mensaje al canal

Para finalizar, Vicente expresó que hoy la oferta son arquitecturas que integran seguridad y ello se debe a la demanda de los clientes. No obstante, apuntó que no es lo mismo seguridad en el retail que en los sectores financiero, gubernamental o educativo, “ya que tienen drivers de negocio distintos, preocupaciones y regulaciones diferentes, por lo que el canal no puede vender seguridad indistintamente, pues no todos lo ataques afectan de igual manera”.

Advirtió que se debe entender la naturaleza del negocio y en función de esto entregar soluciones a la medida. Además, sentenció que no todo es descuento ni certificación de la noche a la mañana, aunque ese sea el modelo de canales de algunos fabricantes.

Aconsejó a los distribuidores no limitarse a preguntar al proveedor sobre el volumen de productos que debe vender, sino cuestionarle qué pueden hacer en conjunto para atacar el mercado.

 

Publicaciones relacionadas

Mira también
Cerrar
Botón volver arriba
Share via
Copy link
Powered by Social Snap