Aumentar el nivel de seguridad
Principal preocupación
Ataques de denegación-de-servicio generalizados, virus de correo electrónico auto-replicantes, seguros para seguridad electrónica, outsourcing... Estos son sólo algunos entre la multitud de problemas a los que se enfrentaron los directores de seguridad de la información durante el año pasado, y se prevé que llegarán aún más en 2001.
La agenda de un director de seguridad está sobrecargada: Cumplir con las nuevas regulaciones de seguridad y privacidad; desarrollar normas más estrictas de información a los usuarios; y resolver más problemas de seguridad, como consecuencia del aumento de los accesos inalámbricos, intercambios business-to-business y proveedores de servicios de aplicación (APSs). Sin embargo, hay un punto de optimismo: casi todos los directores de seguridad consultados coinciden en que el problema más importante de este año - la adopción de estándares de seguridad internacionales - podría simplificar algunas de estas complejidades.
Informar a los empleados
Fueron necesarios los virus auto-replicantes y los ataques de denegación-de-servicio generalizados para que los usuarios finales comenzasen el año pasado a pensar en la seguridad. No obstante, los directores de seguridad tienen aún bastante trabajo por delante. Las amenazas procedentes de empleados internos representan casi un 40% de todas las infracciones a la seguridad, según una encuesta realizada entre 273 empresas y organizaciones publicada recientemente por el Computer Security Institute, de San Francisco, y el FBI. El problema se exacerba aún más por el alto porcentaje de abandono de las empresas por los empleados.
La clave para sobrevivir a estos ataques cada vez más complejos será crear campañas de concienciación sobre seguridad. Estos programas deberán cubrir tres áreas: gestión del control de accesos, acceso root (Unix) y acceso administrativo (Windows NT), así como el manejo de la información tanto por empleados permanentes como temporales. Será necesario mantener simples estas normas, hacer un seguimiento de ellas mediante recordatorios y utilizar la cobertura mediática de los eventos sobre seguridad para mantener el problema en la mente de los usuarios.
Crear una política móvil
Las normas y políticas a seguir por los usuarios cubren también el acceso remoto, especialmente si se considera el pronóstico de la consultora IDC, de que existirán 55,4 millones de empleados móviles en el año 2004.
Los trabajadores móviles y la posibilidad de conectividad inalámbrica con la totalidad de la propia red deja abierto un hueco de seguridad gigantesco. Aproximadamente un 38% de los profesionales de seguridad aseguran haber sido objeto de intentos de intrusión a través de sistemas remotos. Sin embargo, sólo un 15% de esas compañías utilizan una pared cortafuego o firewall de PCs desktop para empleados remotos.
Los aparatos o dispositivos inalámbricos son más problemáticos que cualquier otro tipo de equipo móvil. El año pasado se publicó información sobre un Caballo de Troya y dos amenazas de virus contra Palm Pilots y teléfonos móviles, así como sobre un virus detectado en una red de telefonía celular de Alemania, aunque ninguna resultó ser de gravedad. En Septiembre, Symantec introdujo software antivirus para el sistema operativo Palm, pero la mayoría del software de seguridad inalámbrica se concentra sólo en controles de acceso mediante criptografía ECC (Elliptic-Curve Criptography), que es una forma más pequeña y más portátil de encriptación de datos. Los productos de vendedores que utilizan ECC encriptan los datos sólo mientras éstos viajan desde un dispositivo inalámbrico a un servidor WAP (Wireless Access Protocol). La segunda mitad de la transacción viaja desde el servidor WAP al Web con encriptación de navegador de nivel Secure Sockets. Sin embargo, el servidor WAP procesa todos los datos y credenciales en abierto, sin encriptar, lo que según Palm constituye un “pequeño hueco de aire”.
Pero este hueco es bastante mayor que lo que los vendedores quieren reconocer: los hackers sólo necesitan explotar algunas vulnerabilidades conocidas de los sistemas operativos corrientes para ver los datos y las credenciales.
Autentificación
Al llegar al mercado cada vez más dispositivos de acceso, continuarán diversificándose los mecanismos de autentificación (quién es) y de autorización (qué está autorizado a ver). Las tarjetas inteligentes y los dispositivos de acceso biométrico liderarán la marcha en este sentido. La empresa de consultoría Frost & Sullivan pronostica un mercado de tarjetas inteligentes de 3.000 millones de dólares en 2003. El mercado de dispositivos de acceso biométrico será mucho más pequeño: 594 millones de dólares para el año 2003, según la firma International Biometric Group.
Los directores de seguridad deberán elegir también un sistema de gestión de autentificación. Estos sistemas pueden conectar mecanismos de reglas y normas con directorios que contienen atributos y privilegios de usuario, para restringir el acceso a determinados tipos de datos. Además, son capaces de gestionar una variedad de dispositivos de acceso, incluyendo dispositivos inalámbricos.
Problemas como estos dan lugar a mejoras en las infraestucturas generales de seguridad que, en su mayor parte, son totalmente inadecuadas para soportar los negocios online. Un factor clave para el trabajo de infraestructura será el intento de las compañías de superar las redes anticuadas.
Intercambios Business-to-Business
Los intercambios B2B obligarán también a un trabajo de infraestructura durante este año; la seguridad se convierte en algo muy importante cuando se observa la cadena de eventos que deben tener lugar para una transacción. Cada enlace debe ser totalmente seguro, porque todo el mundo en la cadena es un competidor potencial. Diversas leyes internacionales sobre privacidad y encriptación aumentarán aún más la tarea.
El trabajo del director de seguridad se verá complicado también por los datos de clientes y los datos comerciales procesados en las instalaciones de proveedores de servicio de aplicaciones (ASPs). IDC prevé que el mercado ASP crecerá a una tasa combinada del 93% anual - de 74.4 millones de dólares en 1999 a más de 2.000 millones de dólares en 2004. En realidad, no hay ni siquiera que pensar en trabajar con un ASP que no sea capaz de resolver la seguridad a los niveles de red, plataforma, aplicación, operaciones y relaciones de servicios finales.
Determinar el riesgo
El director de seguridad tendrá que distinguir entre riesgos y amenazas. Los directores TI deberán aprender cómo comportarse bajo una orientación basada en riesgos, y no basada en amenazas a la seguridad. He aquí cómo hacerlo: Hay que comenzar con una lista de las cosas vulnerables más importantes. A continuación, analizar las aplicaciones críticas y determinar qué niveles de riesgo puede asumir la compañía para resolver esos procesos. La cuestión básica está en llegar a los propios desarrolladoras y a los clientes dentro de la empresa y establecer las prioridades de los requerimientos comerciales y técnicos.
La clave fundamental de todas estas cuestiones son los estándares. Para avanzar en el comercio electrónico, hay que disp
La agenda de un director de seguridad está sobrecargada: Cumplir con las nuevas regulaciones de seguridad y privacidad; desarrollar normas más estrictas de información a los usuarios; y resolver más problemas de seguridad, como consecuencia del aumento de los accesos inalámbricos, intercambios business-to-business y proveedores de servicios de aplicación (APSs). Sin embargo, hay un punto de optimismo: casi todos los directores de seguridad consultados coinciden en que el problema más importante de este año - la adopción de estándares de seguridad internacionales - podría simplificar algunas de estas complejidades.
Informar a los empleados
Fueron necesarios los virus auto-replicantes y los ataques de denegación-de-servicio generalizados para que los usuarios finales comenzasen el año pasado a pensar en la seguridad. No obstante, los directores de seguridad tienen aún bastante trabajo por delante. Las amenazas procedentes de empleados internos representan casi un 40% de todas las infracciones a la seguridad, según una encuesta realizada entre 273 empresas y organizaciones publicada recientemente por el Computer Security Institute, de San Francisco, y el FBI. El problema se exacerba aún más por el alto porcentaje de abandono de las empresas por los empleados.
La clave para sobrevivir a estos ataques cada vez más complejos será crear campañas de concienciación sobre seguridad. Estos programas deberán cubrir tres áreas: gestión del control de accesos, acceso root (Unix) y acceso administrativo (Windows NT), así como el manejo de la información tanto por empleados permanentes como temporales. Será necesario mantener simples estas normas, hacer un seguimiento de ellas mediante recordatorios y utilizar la cobertura mediática de los eventos sobre seguridad para mantener el problema en la mente de los usuarios.
Crear una política móvil
Las normas y políticas a seguir por los usuarios cubren también el acceso remoto, especialmente si se considera el pronóstico de la consultora IDC, de que existirán 55,4 millones de empleados móviles en el año 2004.
Los trabajadores móviles y la posibilidad de conectividad inalámbrica con la totalidad de la propia red deja abierto un hueco de seguridad gigantesco. Aproximadamente un 38% de los profesionales de seguridad aseguran haber sido objeto de intentos de intrusión a través de sistemas remotos. Sin embargo, sólo un 15% de esas compañías utilizan una pared cortafuego o firewall de PCs desktop para empleados remotos.
Los aparatos o dispositivos inalámbricos son más problemáticos que cualquier otro tipo de equipo móvil. El año pasado se publicó información sobre un Caballo de Troya y dos amenazas de virus contra Palm Pilots y teléfonos móviles, así como sobre un virus detectado en una red de telefonía celular de Alemania, aunque ninguna resultó ser de gravedad. En Septiembre, Symantec introdujo software antivirus para el sistema operativo Palm, pero la mayoría del software de seguridad inalámbrica se concentra sólo en controles de acceso mediante criptografía ECC (Elliptic-Curve Criptography), que es una forma más pequeña y más portátil de encriptación de datos. Los productos de vendedores que utilizan ECC encriptan los datos sólo mientras éstos viajan desde un dispositivo inalámbrico a un servidor WAP (Wireless Access Protocol). La segunda mitad de la transacción viaja desde el servidor WAP al Web con encriptación de navegador de nivel Secure Sockets. Sin embargo, el servidor WAP procesa todos los datos y credenciales en abierto, sin encriptar, lo que según Palm constituye un “pequeño hueco de aire”.
Pero este hueco es bastante mayor que lo que los vendedores quieren reconocer: los hackers sólo necesitan explotar algunas vulnerabilidades conocidas de los sistemas operativos corrientes para ver los datos y las credenciales.
Autentificación
Al llegar al mercado cada vez más dispositivos de acceso, continuarán diversificándose los mecanismos de autentificación (quién es) y de autorización (qué está autorizado a ver). Las tarjetas inteligentes y los dispositivos de acceso biométrico liderarán la marcha en este sentido. La empresa de consultoría Frost & Sullivan pronostica un mercado de tarjetas inteligentes de 3.000 millones de dólares en 2003. El mercado de dispositivos de acceso biométrico será mucho más pequeño: 594 millones de dólares para el año 2003, según la firma International Biometric Group.
Los directores de seguridad deberán elegir también un sistema de gestión de autentificación. Estos sistemas pueden conectar mecanismos de reglas y normas con directorios que contienen atributos y privilegios de usuario, para restringir el acceso a determinados tipos de datos. Además, son capaces de gestionar una variedad de dispositivos de acceso, incluyendo dispositivos inalámbricos.
Problemas como estos dan lugar a mejoras en las infraestucturas generales de seguridad que, en su mayor parte, son totalmente inadecuadas para soportar los negocios online. Un factor clave para el trabajo de infraestructura será el intento de las compañías de superar las redes anticuadas.
Intercambios Business-to-Business
Los intercambios B2B obligarán también a un trabajo de infraestructura durante este año; la seguridad se convierte en algo muy importante cuando se observa la cadena de eventos que deben tener lugar para una transacción. Cada enlace debe ser totalmente seguro, porque todo el mundo en la cadena es un competidor potencial. Diversas leyes internacionales sobre privacidad y encriptación aumentarán aún más la tarea.
El trabajo del director de seguridad se verá complicado también por los datos de clientes y los datos comerciales procesados en las instalaciones de proveedores de servicio de aplicaciones (ASPs). IDC prevé que el mercado ASP crecerá a una tasa combinada del 93% anual - de 74.4 millones de dólares en 1999 a más de 2.000 millones de dólares en 2004. En realidad, no hay ni siquiera que pensar en trabajar con un ASP que no sea capaz de resolver la seguridad a los niveles de red, plataforma, aplicación, operaciones y relaciones de servicios finales.
Determinar el riesgo
El director de seguridad tendrá que distinguir entre riesgos y amenazas. Los directores TI deberán aprender cómo comportarse bajo una orientación basada en riesgos, y no basada en amenazas a la seguridad. He aquí cómo hacerlo: Hay que comenzar con una lista de las cosas vulnerables más importantes. A continuación, analizar las aplicaciones críticas y determinar qué niveles de riesgo puede asumir la compañía para resolver esos procesos. La cuestión básica está en llegar a los propios desarrolladoras y a los clientes dentro de la empresa y establecer las prioridades de los requerimientos comerciales y técnicos.
La clave fundamental de todas estas cuestiones son los estándares. Para avanzar en el comercio electrónico, hay que disp
