El único sistema seguro es el off-line
El e-business aumenta el riesgo de los ataques
El único sistema informático seguro es el que está totalmente desconectado, algo imposible hoy por hoy bajo la aldea global en la que vivimos. Ineludiblemente la Red ejerce una provocación irresistible en los intrusos, una máxima que gana más cuerpo a medida que las redes corporativas se vuelven más complejas, los negocios se apuntan a la corriente e-business y la brecha para posibles ataques y violaciones se agranda.
Para que una organización tenga éxito en los tiempos que corren, debe estar conectada a Internet y ello inevitablemente supone mayores riesgos para los responsables de sistemas. Hasta que el término de moda, e-business se apoderara de todas las estrategias de las empresas del siglo XXI, las preocupaciones del departamento de tecnologías en el área de la seguridad quedaban reducidos a la contaminación de los sistemas por los temidos virus o gusanos. Una inadecuada utilización de los disquetes que corrían de equipo en equipo por dentro y por fuera de la organización eran los encargados de infectar las instalaciones. En un nivel superior, las compañías con mayores recursos elaboraban una política de accesos para tener controlada la información que residía en los sistemas, evitar el robo de información y la manipulación sobre la misma.
Con Internet los puntos de entrada al corazón de los sistemas se multiplican, con la certeza de las empresas nunca podrán obtener el 100%, aunque el producto o servicio tecnológico que adopten sea el más avanzado. “Las redes cambian tan rápidamente que las últimas tecnologías de seguridad tardan en adaptarse a ellos. Aparecerán novedades que lograrán tapar los baches de seguridad, pero también aparecerán técnicas maliciosas de manera igualmente rápida. La apertura hacia Internet da pie a la entrada de hackers y virus. A más conexiones más apertura, pero también mayor posibilidad de ataques y habrá que buscar el equilibrio entre ambos”, afirman desde Symantec, compañía orientada a la protección antivirus, contenidos de Internet y filtrado de e-mail. Aunque la protección absoluta es una utopía, es conveniente saber que una gestión continuada del riesgo minimiza las amenazas de la red.
Una correcta política de seguridad contemplará cuatro etapas: evaluación, plan, implementación y monitorización. Tras la evaluación de los activos de una compañía y los posibles riesgos a los que se enfrentan, habrá que proceder al diseño de un plan que los proteja. Posteriormente se pondrá en marcha y deberá ser monitorizado para asegurar que se estén protegiendo los activos en función de las valoraciones iniciales. Este proceso que parece tan sencillo, varía según las empresas en las que quiera implantar una política de este tipo y se complica tanto como los requisitos de las instalaciones y el negocio requieran.
Hacia la generación de confianza
“Las empresas están empezando a entrar en la segunda ola conde lo relevante es generar el clima de confianza en la red que ya imperaba en los negocios tradicionales. En la primera ola se asentaron las barreras de entrada en los sistemas, como consecuencia de la apertura hacia Internet: cortafuegos, antivirus y detección de intrusiones han los recursos más empleados”, afirma Rafael Gómez, Product manager de seguridad corporativa de daVinci Consulting Tecnológico, del Grupo ADD Distribuciones Informáticas.
En la segunda ola, los activos críticos de información se están protegiendo a través de la creación de Redes Privadas Virtuales y los sistemas de infraestructura de claves públicas (PKI). “El PKI proporciona un ambiente altamente confiable para crear y manejar identidades electrónicas confiables, que son utilizadas por los servidores, las aplicaciones y otros recursos de la red para proporcionar servicios y efectuar transacciones de manera segura”, asegura Rafael Gómez. “Estas identidades electrónicas –continúa Gómez- y sus claves de cifrado relacionadas proporcionan una base firme para proteger la privacidad de las comunicaciones, especificando destinatarios de comunicaciones, estampando firmas a las transacciones digitalmente, verificando la integridad de los datos almacenados o transmitidos, y asegurando la aplicabilidad de contratos electrónicos”.
Para cerrar tratos en el mundo del e-negocio, debe perseguirse la autenticación de las partes en la transacción, la protección del secreto de las comunicaciones, y la integridad de los datos, previniendo la denegación de comunicaciones y de transacciones. Tal como apunta el responsable de daVinci, “nunca antes la necesidad de la autentificación eficaz del usuario ha sido más urgente. Con todo, las contraseñas de las que se depende no proporcionan ni suficiente seguridad del acceso, ni responsabilidad neta del usuario cuando necesite encontrar las responsabilidades ante una abertura en la contraseña”.
Son múltiples los estándares que se han establecido para ayudar a las organizaciones a lidiar los asuntos de seguridad inherentes a los negocios electrónicos, como S/MIME, SSL e IPSec, y todos ofrecen importantes capacidades que se basan en el cifrado para proteger el secreto de las comunicaciones privadas mientras están en tránsito a través de Internet, el verdadero objetivo de todo sistema de protección.
Recomendaciones sobre seguridad en entornos e-business*
-------------------------------------------------------------------------------------
Las empresas españolas que quieran alinear sus políticas de seguridad del entorno e-business, con sus objetivos y procesos de negocios, podrán encontrarán en este decálogo los pasos a seguir.
1.- Nombrar un ejecutivo de alto nivel (Chief Information Security Officer) que tendrá total responsabilidad para desarrollar y reforzar las políticas de seguridad en toda la organización.
2.- Asegurar que las políticas de seguridad estén bien definidas y reforzadas en el entorno e-business. Lo que abarcaría desde la seguridad en las aplicaciones de las redes, hasta los servidores y ordenadores portátiles. Definir y poner en práctica las políticas de seguridad individualmente en cada uno de los niveles aunque suponga incrementar los costes significativamente y la complejidad, ya que los procesos de negocio electrónicos deben ser seguros en su totalidad y en cada uno de los niveles que conforman el sistema.
3.- Asegurar que todas las líneas de negocio se encuentran protegidas por la estrategia de seguridad e-business y las inversiones. Desde cada línea de negocio los ejecutivos toman la mayoría de las decisiones que respaldan el entorno e-business, modificando a su antojo las aplicaciones de seguridad que le afectan, sin tener en cuenta las inversiones corporativas, con las consiguientes pérdidas de productividad.
4.- ¡Pensar en el futuro! Hay que tener en cuenta que son necesarios al menos seis meses para construir un entorno de seguridad e-business fiable con las herramientas adecuadas. No hay que crear una infraestructura de seguridad compleja que además podría quedarse obsoleta en menos de seis meses.
5.- Comprender la relación entre seguridad y satisfacción del cliente. En los entornos de comercio electrónico, la intimidad y satisfacción del cliente son la clave del éxito, y una infraestructura de seguridad compleja, a pesar de sus beneficios puede afectar a ese nivel d
Para que una organización tenga éxito en los tiempos que corren, debe estar conectada a Internet y ello inevitablemente supone mayores riesgos para los responsables de sistemas. Hasta que el término de moda, e-business se apoderara de todas las estrategias de las empresas del siglo XXI, las preocupaciones del departamento de tecnologías en el área de la seguridad quedaban reducidos a la contaminación de los sistemas por los temidos virus o gusanos. Una inadecuada utilización de los disquetes que corrían de equipo en equipo por dentro y por fuera de la organización eran los encargados de infectar las instalaciones. En un nivel superior, las compañías con mayores recursos elaboraban una política de accesos para tener controlada la información que residía en los sistemas, evitar el robo de información y la manipulación sobre la misma.
Con Internet los puntos de entrada al corazón de los sistemas se multiplican, con la certeza de las empresas nunca podrán obtener el 100%, aunque el producto o servicio tecnológico que adopten sea el más avanzado. “Las redes cambian tan rápidamente que las últimas tecnologías de seguridad tardan en adaptarse a ellos. Aparecerán novedades que lograrán tapar los baches de seguridad, pero también aparecerán técnicas maliciosas de manera igualmente rápida. La apertura hacia Internet da pie a la entrada de hackers y virus. A más conexiones más apertura, pero también mayor posibilidad de ataques y habrá que buscar el equilibrio entre ambos”, afirman desde Symantec, compañía orientada a la protección antivirus, contenidos de Internet y filtrado de e-mail. Aunque la protección absoluta es una utopía, es conveniente saber que una gestión continuada del riesgo minimiza las amenazas de la red.
Una correcta política de seguridad contemplará cuatro etapas: evaluación, plan, implementación y monitorización. Tras la evaluación de los activos de una compañía y los posibles riesgos a los que se enfrentan, habrá que proceder al diseño de un plan que los proteja. Posteriormente se pondrá en marcha y deberá ser monitorizado para asegurar que se estén protegiendo los activos en función de las valoraciones iniciales. Este proceso que parece tan sencillo, varía según las empresas en las que quiera implantar una política de este tipo y se complica tanto como los requisitos de las instalaciones y el negocio requieran.
Hacia la generación de confianza
“Las empresas están empezando a entrar en la segunda ola conde lo relevante es generar el clima de confianza en la red que ya imperaba en los negocios tradicionales. En la primera ola se asentaron las barreras de entrada en los sistemas, como consecuencia de la apertura hacia Internet: cortafuegos, antivirus y detección de intrusiones han los recursos más empleados”, afirma Rafael Gómez, Product manager de seguridad corporativa de daVinci Consulting Tecnológico, del Grupo ADD Distribuciones Informáticas.
En la segunda ola, los activos críticos de información se están protegiendo a través de la creación de Redes Privadas Virtuales y los sistemas de infraestructura de claves públicas (PKI). “El PKI proporciona un ambiente altamente confiable para crear y manejar identidades electrónicas confiables, que son utilizadas por los servidores, las aplicaciones y otros recursos de la red para proporcionar servicios y efectuar transacciones de manera segura”, asegura Rafael Gómez. “Estas identidades electrónicas –continúa Gómez- y sus claves de cifrado relacionadas proporcionan una base firme para proteger la privacidad de las comunicaciones, especificando destinatarios de comunicaciones, estampando firmas a las transacciones digitalmente, verificando la integridad de los datos almacenados o transmitidos, y asegurando la aplicabilidad de contratos electrónicos”.
Para cerrar tratos en el mundo del e-negocio, debe perseguirse la autenticación de las partes en la transacción, la protección del secreto de las comunicaciones, y la integridad de los datos, previniendo la denegación de comunicaciones y de transacciones. Tal como apunta el responsable de daVinci, “nunca antes la necesidad de la autentificación eficaz del usuario ha sido más urgente. Con todo, las contraseñas de las que se depende no proporcionan ni suficiente seguridad del acceso, ni responsabilidad neta del usuario cuando necesite encontrar las responsabilidades ante una abertura en la contraseña”.
Son múltiples los estándares que se han establecido para ayudar a las organizaciones a lidiar los asuntos de seguridad inherentes a los negocios electrónicos, como S/MIME, SSL e IPSec, y todos ofrecen importantes capacidades que se basan en el cifrado para proteger el secreto de las comunicaciones privadas mientras están en tránsito a través de Internet, el verdadero objetivo de todo sistema de protección.
Recomendaciones sobre seguridad en entornos e-business*
-------------------------------------------------------------------------------------
Las empresas españolas que quieran alinear sus políticas de seguridad del entorno e-business, con sus objetivos y procesos de negocios, podrán encontrarán en este decálogo los pasos a seguir.
1.- Nombrar un ejecutivo de alto nivel (Chief Information Security Officer) que tendrá total responsabilidad para desarrollar y reforzar las políticas de seguridad en toda la organización.
2.- Asegurar que las políticas de seguridad estén bien definidas y reforzadas en el entorno e-business. Lo que abarcaría desde la seguridad en las aplicaciones de las redes, hasta los servidores y ordenadores portátiles. Definir y poner en práctica las políticas de seguridad individualmente en cada uno de los niveles aunque suponga incrementar los costes significativamente y la complejidad, ya que los procesos de negocio electrónicos deben ser seguros en su totalidad y en cada uno de los niveles que conforman el sistema.
3.- Asegurar que todas las líneas de negocio se encuentran protegidas por la estrategia de seguridad e-business y las inversiones. Desde cada línea de negocio los ejecutivos toman la mayoría de las decisiones que respaldan el entorno e-business, modificando a su antojo las aplicaciones de seguridad que le afectan, sin tener en cuenta las inversiones corporativas, con las consiguientes pérdidas de productividad.
4.- ¡Pensar en el futuro! Hay que tener en cuenta que son necesarios al menos seis meses para construir un entorno de seguridad e-business fiable con las herramientas adecuadas. No hay que crear una infraestructura de seguridad compleja que además podría quedarse obsoleta en menos de seis meses.
5.- Comprender la relación entre seguridad y satisfacción del cliente. En los entornos de comercio electrónico, la intimidad y satisfacción del cliente son la clave del éxito, y una infraestructura de seguridad compleja, a pesar de sus beneficios puede afectar a ese nivel d
