Totalmente abiertas pero a prueba de fugas

Como consecuencia de la expansión de la economía digital, la seguridad se ha convertido en una cuestión importante y difícil de resolver. Por una parte, los requerimientos comerciales están dando lugar a una mayor conectividad de red entre entidades tanto internas como externas. Y por otra, los activos de información y la propiedad intelectual se han convertido en bienes que son más preciosos que nunca, y es absolutamente necesario protegerlos frente a un posible mal uso o destrucción.Cómo puede la organización de Tecnologías de la Información y los directores de red de una empresa crear un entorno de proceso que esté abierto a los clientes, proveedores y otras firmas colaboradoras, y al mismo tiempo cerrado frente a espías, hackers y empleados descontentos? La respuesta más breve a esta cuestión es que probablemente no es posible, al menos sin ayuda. No obstante, mediante una combinación de las tecnologías adecuadas, de las normas y políticas apropiadas, y de un apoyo fuerte por parte de la Dirección superior, las compañías pueden participar plenamente en el mercado electrónico con la confianza de que las operaciones no se vean comprometidas por el delito cibernético.Sin margen para el riesgoUn ejemplo clásico de cómo las comunicaciones abiertas en Internet provocan la necesidad de medidas especiales de seguridad, abriendo al mismo tiempo un nuevo conjunto de posibilidades comerciales, es el de la firma Team America Corp, una compañía que actúa como proveedor de recursos humanos, manteniendo en su propia nómina los equipos de los clientes, y asumiendo la responsabilidad por los seguros, pensiones y otros recursos de personal. Con el fin de apoyar su rápida expansión a nivel nacional, el vicepresidente de sistemas de información de esta firma decidió utilizar Internet para las comunicaciones remotas de la compañía. Sin embargo, Burkey no estaba dispuesto a correr riesgos. En consecuencia, Team America buscó una solución de red privada virtual o VPN (Virtual Private Network) que pudiera implementar como parte de su arquitectura de red básica. En lugar de tener que instalar un router para cada oficina de la compañía, se ofreció la posibilidad de darse de alta en algún proveedor de servicios Internet local. El software desktop les permite entonces convertirse en parte de la red VPN corporativa.Naturalmente, al adquirir mayor popularidad las redes VPN -y al utilizarlas las compañías con el fin de garantizar unas comunicaciones seguras- es posible que las soluciones VPN específicas de cada vendedor no cumplan siempre con los requisitos, ya que por lo general las diferentes compañías tienen proveedores de hardware diferentes. Por este motivo, es posible que algunos estándares de seguridad como IPsec ejerzan un impacto considerable en el panorama de las comunicaciones. "Con IPsec, se pueden negociar los controles de seguridad paquete por paquete. Así, se puede utilizar IPsec para crear túneles seguros propios, o utilizarlo para establecer un túnel para otro protocolo, como L2TP.A largo plazo, disponer de redes VPN efectivas dependerá de algo más que un simple esquema de encriptación específico para que puedan ofrecer todo el valor que las empresas requerirán de sus conexiones tanto internas como con otras organizaciones. Además, será necesario implementar controles de calidad-de-servicio y tener instaladas buenas herramientas de gestión. Esto es lo que hará que las redes VPN sean realmente versátiles para intranets extendidas y para extranets.De dentro afueraAl evolucionar las redes de área extendida corporativas (WANs) para convertirse en una infraestructura compartida por todos los usuarios y aplicaciones, los controles de acceso adquieren una importancia cada vez más crítica. Para algunos directores de sistemas, esto significa unas contraseñas sencillas que son ya insuficientes. Las contraseñas no se cambian con suficiente frecuencia, y generalmente son demasiado fáciles de adivinar. Además, hay demasiados ‘crackers’ y herramientas de ‘craking’ por ahí, para que uno pueda sentirse muy seguro con esto como única protección.¿Amigo o enemigo?Al proliferar el número de aplicaciones y de usuarios en la red, administrar con precisión quién puede acceder a qué información se convierte en una operación más complicada y difícil. También aquí, los directores de red se enfrenta a un doble dilema: Tienen que verificar que todos los que necesitan acceder a un sistema puedan hacerlo, manteniendo fuera al mismo tiempo a todos los demás.En realidad, estos son casos en los que no se trata simplemente de permitir o denegar el acceso, y los administradores necesitan con frecuencia controlar varios niveles de acceso distintos dentro de una determinada aplicación.La mayor parte del software de auditoría permite conocer intentos fallidos de acceder a áreas restringidas. Sin embargo, si alguien accede realmente a algo sensitivo, se requiere realizar un seguimiento exacto de lo que han obtenido y lo que han tocado. Aunque la organización informática no se inclina generalmente por apoyar acciones legales, esto deberá formar parte al final de la solución de seguridad aplicada.En realidad, la mayoría de las compañías no han llegado a determinar en realidad cuál es su verdadero riesgo. Y esto, aparte de las posibles limitaciones inherentes a la tecnología o a los procedimientos, está obstaculizando los esfuerzos de seguridad a nivel corporativo. La dirección superior en las empresas continúa en gran medida sin conocer los riesgos a que están expuestas, y ese es el motivo de que haya compañías invirtiendo sólo unos miles de pesetas en proteger activos intelectuales cuyo valor potencial será de millones en el curso de los próximos veinte años.“Las redes serán menos seguras en el futuro”Lee Doyle, Vicepresidente de Investigación de IDC----------------------------------------------------------------------En su calidad de vicepresidente de investigación sobre comunicaciones de datos en la firma International Data Corp. (IDC), Lee Doyle es responsable mundial de investigaciones sobre los principales vendedores y tecnologías que impactan sobre el mercado global de comunicaciones de datos. Recientemente, le consultamos sobre las perspectivas futuras respecto a varios aspectos de la seguridad de red, incluyendo cuáles considera que son los desafíos presentes y futuros de la seguridad para los directores de redes.Con la reciente explosión en el número de usuarios y el rápido desarrollo actual de intranets y extranets, ¿en qué medida considera que es segura una red típica de empresa actual?- Está más o menos en el término medio, dependiendo de lo que se defina como seguridad. La red de empresa media es probablemente segura, a menos que algún hacker desee destruirla, en cuyo caso probablemente no lo será. También depende de en qué medida los datos son sensitivos. Si un hacker penetra en IDC y consigue acceder a nuestros datos, afectaría a nuestro negocio, pero no en la medida en que lo haría sobre un gran sistema financiero o sobre el Departamento de Defensa, donde los datos son mucho más sensitivos.Las redes antiguas, centradas en la arquitectura SNA de IBM, ¿eran inherentemente más seguras que las redes actuales?- Definitivamente si. En ese caso se trataría más de una red privada que de una red pública.Y las redes en el próximo futuro, ¿serán más seguras o menos?Probablemente menos seguras. La gente va a utilizar más redes privadas virtuales, y van a utilizar más las conexiones Internet. Además va a haber más usuarios remotos, más proveedores remotos y más clientes accediendo a la red cada día. Por lo tanto, si alguien desea causar problemas en una red, probablemente lo conseguirá.¿En qué medida la amenaza de virus en una empresa es real, y en qué medida es percibida como tal?- Mi opinión es que los virus son más una molestia que una amenaza a la seguridad. Es posible que circule algún documento infectado y haya que recurrir al escaneado de virus, pero prob