Como gestionar la seguridad informática en una empresa

Cuando se habla de seguridad en entornos informáticos, la gente tiende a pensar automáticamente en dos tipos de soluciones: Cortafuegos (Firewalls) y antivirus. Si hablamos con algún experto en seguridad informática seguramente nos hablará de troyanos, "malware", "spyware", detección de intrusos, limpieza "antispam", phishing, etc.

Los "firewalls" recuerdan mucho a las murallas medievales, lo malo es que las puertas (los puertos) no pueden estar cerradas cuando ataca el enemigo, primero porque no vale con poner un vigí­a a vigilar la inminencia de un ataque y segundo porque el negocio debe estar disponible 24 horas al dí­a 365 dí­as al año.

Pero, incluso suponiendo que los firewalls sean infalibles, deberí­amos hacernos algunas de estas preguntas: ¿Es suficiente con proteger el perí­metro? ¿El enemigo está siempre fuera? ¿Cuales son los activos que tenemos proteger? ¿Quién tiene acceso para poder manipular dichos activos? ¿Es la información un activo en mi empresa? ¿Puedo asegurar que mis empleados pueden acceder a la información que necesitan para realizar su trabajo pero solamente a la que necesitan? ¿Puedo asegurar que cuando un empleado abandona mi compañí­a, pierde toda oportunidad de acceder a datos de la misma?.

Volviendo al sí­mil de la muralla, hace no demasiado tiempo, simplemente con no dejar pasar a un ex empleado a los edificios de la compañí­a, ya tení­amos asegurado que no podrí­a acceder a información confidencial. Hoy, gracias a las redes virtuales privadas (VPN) y otras tecnologí­as, muchos empleados podemos acceder a los sistemas internos de nuestra compañí­a desde cualquier punto del planeta con nuestro portátil o desde un caber café, por lo que se hace absolutamente necesario el borrado de todas las cuentas de usuario y permisos que tení­a un ex empleado. Continuando con las preguntas, hemos hablado de personas y de información. ¿Debemos cumplir alguna legislación al respecto? ¿Nos afecta la LOPD? ¿y Sabarnes-Oxley (SOX o Sarbox)? ¿Existen estándares que nos ayuden a proteger la información? ¿Qué dice al respecto la ISO17799 o la ISO 27.000? ¿Existen en mi compañí­a normas especí­ficas relativas al uso de la información? ¿Sé si se están cumpliendo? ¿Se cuando alguien está intentando acceder a información confidencial sin tener derecho; o incluso teniéndolo pero desde ubicaciones distintas de las habituales o en horarios sospechosos?Existen muchas mas preguntas que podemos hacernos, podemos analizar estadí­sticamente cuantos delitos se producen por personas externas a la organización, cuantos por empleados o ex-empleados y cuántos por personas externas con datos proporcionados por empleados o ex-empleados. Pero si pasamos de un análisis cuantitativo a uno cualitativo, no es difí­cil darse cuenta que con datos de empleados o ex-empleados el daño causado puede ser mucho mayor y no me resisto a poner en negrita una frase que vi un dí­a en una presentación: Los ataques externos pueden causar problemas; los atraques internos pueden destruir tu negocio. Para dar respuesta a las preguntas formuladas con anterioridad y mitigar los riesgos descritos existe la gestión de identidades, una disciplina ligada en sus comienzos a la seguridad informática, pero con entidad suficiente como para ser independiente y relacionada además con otras disciplinas existentes como la gestión de procesos de negocio o la gestión de cambios. La gestión de identidades, denominada también gestión de accesos en ITIL v.3 trata de dar respuesta a cuatro sencillas preguntas:

• ¿Quienes son mis usuarios?
• ¿A qué tienen acceso?
• ¿Quién les dio este acceso?
• ¿Qué hacen con dicho acceso?

También es descrita habitualmente como las 4 Aes:

• Autenticación.
• Autorización.
• Auditorí­a.
• Administración.

Como cualquier otra disciplina, teniendo en cuenta el nivel de madurez de la empresa dónde se va a implantar, el tipo de usuarios y lo que realmente "aprieta el zapato" al responsable de su despliegue, existen diversos caminos para llegar a tener cubiertas las necesidades básicas en cuanto a la Gestión de Identidades. Así­ podemos tener:

• Gestión y aprovisionamiento de usuarios, que nos permitirá la automatización de los procesos de creación borrado y modificación de usuarios, mediante la utilización de un interfaz único para todos los sistemas de información, la utilización de perfiles para la definición rápida de derechos de acceso y la modificación de los mismos en caso de un cambio de departamento, por ejemplo. También podrí­amos implementar administración delegada, autoservicio y un workflow de peticiones y aprobaciones para conseguir una automatización máxima de los procesos sin comprometer la seguridad, re-certificaciones periódicas de los usuarios, etc.
• Gestión de contraseñas, para facilitar el cambio de las mismas por parte del usuario final, de una forma sencilla, que nos permita además fortalecer la polí­tica tanto en número y tipo de caracteres, como en el tiempo máximo en el que deba cambiarse, como tamaño del histórico de contraseñas no reutilizables, etc.
• Gestión de accesos, dónde pueden incluirse los Single Sign On (SSO), tanto de propósito general como Web, la protección de recursos Web e incluso la Federación de Identidades.
• Auditoria y cumplimiento de polí­ticas y regulaciones, que nos permitirá saber si se están cumpliendo o no las polí­ticas definidas por la compañí­a como por ejemplo la separación de tareas, la forma de asignación de permisos, la caducidad de empleados temporales, etc. a la vez que observamos dónde, cuándo y cómo acceden los empleados a las distintas fuentes de información de la empresa.

Cambiando de tercio, una breve reflexión sobre los antivirus. Es sabido que un antivirus sin actualizar no sirve para nada. Pero no todo el mundo es consciente de la necesidad de tener actualizados los ordenadores empresariales con los últimos parches de seguridad existentes. Habitualmente los virus explotan las vulnerabilidades de los sistemas operativos. Muchas veces estas vulnerabilidades son conocidas, publicadas y corregidas mediante un parche de seguridad, antes incluso de que exista un virus que las ataque, el problema de que a pesar de todo muchos virus consigan su objetivo destructor, es la lentitud de las compañí­as en "parchear" sus redes internas de ordenadores ya que no disponen de herramientas de gestión de parches o utilizan herramientas poco adecuadas y con las que además es imposible saber de forma certera cuál es el nivel de parches de seguridad que tienen los ordenadores y qué porcentaje de ellos están al nivel adecuado.

La situación se complica además por el hecho de que es necesario probar que las aplicaciones de uso corporativo en las que se sustenta el negocio de la compañí­a, no van a ser afectadas por la instalación de un determinado parche o una determinada versión de un componente de software.Como resumen mi recomendación para las compañí­as en general y para los responsables de seguridad en particular serí­a dedicar algo de tiempo a evaluar sus necesidades de gestión de identidades y gestión de parches de s.

Agustí­n Sciessere es Seales Team Leader of Latin America South, Andeab & Caribbean de BMC Software