|
|
|
El coste de una buena gestión de seguridad siempre es menor que el valor de
los datos internos de la empresa
La seguridad en Internet
es posible
Rodolfo Lomáscolo
Director General IPS
En el caso de las grandes corporaciones y organizaciones empresariales la
preocupación por la seguridad en Internet es fácil de entender: las
organizaciones necesitan proteger la confidencialidad de la información
reservada. Por otra parte, los usuarios de a pie también deberían vigilar de
cerca todo lo referente a la protección de sus datos y a la identidad de las
fuentes y destinatarios de los mismos.
Evidentemente la seguridad en Internet afecta sobremanera a las empresas que
operan con banca electrónica, ya que las cuentas bancarias en Internet no son más
que bases de datos y, como tales, están expuestas. En definitiva, la seguridad
afecta a todos: a las grandes compañías por ser una tentación y por las
consecuencias de una posible filtración, y a los usuarios individuales por su
vulnerabilidad.
En España, al igual que en le resto del mundo, la seguridad informática sigue
considerándose por parte de la dirección de las empresas como importante o muy
importante. Un reciente estudio de la consultora Ernst & Young apunta que
para el 82% de los encuestados este aspecto es fundamental. Sin embargo, esta
importancia que se otorga a la seguridad informática no siempre va unida a la
implantación de medidas concretas de seguridad.
| La
seguridad afecta a todos: a las grandes compañías por ser una tentación
y por las consecuencias de una filtración, y a los usuarios
individuales por su vulnerabilidad |
Según el mismo informe, más de la mitad de las
empresas reconocen que no analizan los posibles accesos a su sistema informático.
Si tenemos en cuenta que en la actualidad las empresas dependen en gran medida
de su sistema informático, porque a través del mismo producen su trabajo
diario, generan sus datos y, en definitiva, realizan su negocio, este dato
resulta preocupante. El hecho de no investigar posibles indicios de acceso
implica que más tarde o más temprano alguien puede acceder a sus sistema
informáticos y, por ende, el negocio puede estar en manos de un intruso.
Las caras del
problema
Así pues, el principal problema no es de índole técnico, sino de toma de
conciencia de los peligros potenciales en la transmisión de información
confidencial (nuestros datos personales, bancarios, códigos de acceso a cuentas
y transacciones, etc.) a través del ciberespacio.
La seguridad en Internet consiste en implementar mecanismos para que cuando se
reciba un mensaje o se realice una transacción por medios electrónicos, se
asegure la integridad del contenido y la identidad del remitente y del receptor.
Las contraseñas y palabras clave ya no son un mecanismo suficientemente fiable
y seguro, ya que éstas pueden ser interceptadas durante su transmisión, de lo
que desgraciadamente nos damos cuenta muy tarde o cuando la prensa se hace eco
de un caso de estafa electrónica.
Se trata de un problema de mentalización y sentido común. ¿De qué vale
disponer de un canal de alta tecnología si ello redunda en posibles pérdidas y
falta de seguridad? Pero existen soluciones seguras. En el plano técnico, ya
hay en el mercado mecanismos que pueden asegurar los contenidos y la identidad
de las partes que se comunican y realizan transacciones en Internet.
|
Las
contraseñas y palabras clave ya no son un mecanismo suficientemente
fiable y seguro, ya que éstas pueden ser interceptadas durante su
transmisión
|
La técnica puede garantizar una seguridad casi
total. La mentalidad puede ser la adecuada. Pero el tema es todavía más
complejo. Hace pocos días se hizo pública una noticia en la que se hablaba de
que en Noruega, la entrada no autorizada en ordenadores ajenos, no resulta ser
una actividad ilegal ya que en resumidas cuentas "todo aquel que desee
estar conectado a una red abierta como Internet, debe estar preparado para
proteger sus datos y el objetivo de la red mundial resulta ser distribuir
información", casi como la vida misma.
Resulta cuando menos interesante comprobar como los sistemas abiertos de
comunicaciones tienden a emular la organización, estructura y comportamiento de
la sociedad.
No existe sistema informático que no pretenda ser seguro, de una forma u otra,
con mayor o menor éxito, con mayor o menor notoriedad, al mismo tiempo que se
abre hacia Internet u otras redes para dar mayores y mejores servicios a sus
usuarios, internos o externos. Como mínimo parece ser algo paradójico.
El miedo a que lo
sepan
Plantear temas de seguridad en público resulta cuando menos incómodo. Por muy
delicado que se pretenda ser al tratar estos temas se corre siempre el riesgo de
herir demasiadas sensibilidades.
Dejando de lado los problemas de seguridad causados por virus informáticos, un
tema con el que podríamos llenar páginas y páginas y que en la actualidad ha
crecido desmesuradamente, la tendencia a utilizar contenidos activos en las páginas
web (applets Java, Active-X...), ha convertido en peligrosa la mera visualización
de ciertas páginas (recordemos que el contenido de la página ha de ser
previamente cargado en nuestro navegador, que es lo mismo que decir en nuestro
ordenador). La protección que a estos efectos proporcionan los navegadores se
está demostrando insuficiente, como nos demuestra la continua aparición de
fallos.
|
La
tendencia a utilizar contenidos activos en las páginas web, ha
convertido en peligrosa la mera visualización de ciertas páginas
|
De todo esto se puede extraer una serie de
conclusiones relativas a la seguridad de los datos en sistemas informáticos
que, como primer paso, indican que para conectarse a este tipo de redes se debe
estar preparado y se debe disponer de una buena información y formación.
Formas de seguridad
Podemos decir que la seguridad se puede dividir en interna y externa. La
seguridad interna es aquélla que intenta mantener privados y accesibles sólo
para los usuarios autorizados, aquellos datos internos o sensibles de la
organización en cuestión. La práctica de la seguridad interna se basa en la
utilización de políticas de contraseñas, encriptado de material sensible y
control de acceso a los contenedores de información.
De la seguridad interna se habla muy poco, ya que no se denuncian o, lo que es
peor, no se llegan a descubrir la mayoría de los incidentes. Todos conocemos
casos de personas que venden información de su empresa o que al abandonarla se
llevan consigo todo aquello que pueden copiar. Es notorio el caso de una
consultora que hace unos años perdió, de un viernes a un lunes, gran parte de
su personal, contratado por la competencia, junto con los datos de todos los
proyectos que contenían sus ordenadores portátiles.
| Es
recomendable contar con empresas especializadas en seguridad, para el análisis
de necesidades y el mantenimiento y control de los niveles de seguridad |
La seguridad externa puede parecer más compleja
de controlar, aunque en realidad no lo es tanto, ya que los usuarios externos no
utilizan el sistema interno de la empresa, en principio no deberían disponer de
ninguna clave de acceso, aunque sea a nivel de visitante, por lo que con
dedicación y conocimiento se pueden crear sistemas altamente seguros.
Los firewall permiten aislar la red interna de la externa, con control del tipo
de protocolo que circula y su origen y destino. Los sistemas de correo basados
en cualquiera de los programas que utilizamos habitualmente pueden
complementarse con mecanismos de encriptación de datos y firma electrónica, ya
sea utilizando protocolo S/MIME o PGP.
Las transacciones comerciales pueden estar protegidas por sistemas de encritación
tales como el SSL 3.0, el más habitual, o el SET. Los usuarios que acceden
desde el exterior y que requieren acceso a los servicios internos de la red de
la organización pueden utilizar canales de comunicación, dentro del propio
Internet, encriptados, las llamadas redes privadas virtuales.
Hoy no se puede decir que la conexión a Internet o a cualquier otra red abierta
no se pueda realizar de forma segura, existen las herramientas y la mayoría de
ellas seguro que se encuentran incorporadas en el sistema operativo de sus
servidores y estaciones de trabajo.
Las consecuencias de un mal diseño de red y de seguridad, de la no utilización
de herramientas adecuadas y el desconocimiento de lo que le puede estar pasando
a nuestra red, son los peores enemigos de cualquier sistema.
Es muy recomendable e incluso imprescindible contar con empresas especializadas
en seguridad, para el análisis de necesidades y el mantenimiento y control de
los niveles de seguridad. Al ser un tema tan amplio y que evoluciona muy rápidamente,
solo las personas que se especializan en estos temas conocen y siguen el día a
día de su evolución.
Primera solución:
Certificados de usuario y de servidor seguros
Estos sistemas proporcionan un mecanismo de firma simple y seguro que está
basado en los estándares de los navegadores de Internet, Navigator y Explorer
(S/MIME). Son procesos optimizados de autenticación de documentos, en los que
los mensajes encriptados con la clave publica del destinatario sólo pueden ser
desencriptados (descifrados) usando la clave privada de éste.
Los mecanismos basados en estas fórmulas públicas sólo se pueden utilizar en
una única dirección irreversible, sin posibilidad de violar la
confidencialidad de los datos que viajan por Internet. La clave privada nunca
abandona la máquina del usuario y no se transmite por Internet. Sólo el
usuario (es decir, su ordenador) dispone de dicha clave privada. Ésta no podría
ser interceptada, y menos aún se podrá descifrar por observadores indeseados.
Gracias a estos sistemas de seguridad las empresas pueden poner en marcha
servicios de transacciones electrónicas, para los cuales sus clientes deben
asegurar su identificación mediante certificados digitales. Todas las
transacciones que se realicen, ya sea usando un servidor web o mediante e-mail,
y que incluyan el envío de datos, pueden llevar incorporadas la firma electrónica
y la encriptación del usuario para asegurar el origen e integridad de los
datos.
|
La
clave privada nunca abandona la máquina del usuario y no se transmite
por Internet
|
Los certificados de servidor y usuario son
emitidos por autoridades certificadoras como IPS Seguridad. Una autoridad
certificadora no es más que una entidad que proporciona el certificado después
de haber realizado una serie de comprobaciones sobre le identidad del
peticionario. Las autoridades certificadoras pueden ser comerciales (aquellas
que emiten el certificado después que el usuario ha pagado), utilizadas para el
acceso seguro del público o de los navegantes a sedes web, y autoridades de
tipo interno corporativo que aseguran el acceso de los empleados a los
servidores de la organización.
Este mecanismo automático y transparente no sólo puede certificar la seguridad
de un usuario, sino también la del servidor. Los navegadores disponen de un
mecanismo de petición de certificados que se activa automáticamente al
conectarse a una página web habilitada especialmente, donde se recogen los
datos de identificación del usuario. A continuación se generan un par de
claves: una privada (que queda residente en la máquina desde la que se hizo la
petición) y otra pública (que se envía automáticamente a la autoridad
certificadora). Por último, se verifican los datos y se genera el certificado.
Al igual que en cualquier transacción inmobiliaria acudimos al despacho de un
notario para que certifique la autenticidad de los documentos presentados, los
sistemas avanzados de autentificación electrónica constituyen una Notaría
Digital que, como una tercera persona, puede verificar, autenticar y certificar
la identidad de los usuarios. Este sistema permite resguardar la
confidencialidad e integridad de la información en los nuevos medios abiertos,
como Internet, que ofrecen grandes posibilidades para el ocio y el comercio, con
las debidas condiciones de seguridad.
Segunda solución
Auditorías de seguridad
Las empresas conocen, o han de conocer todos estos problemas. Y cuando deciden
darles una solución global, buscando los puntos débiles de su seguridad para
atajarlos de una vez, pueden decidirse por una Auditoría de Seguridad. Las
auditorías son actividades muy comunes en estos entornos empresariales,
especialmente las realizadas por personal externo, y permiten conocer el nivel
de seguridad y las acciones a emprender para corregir los posibles fallos.
El hecho de que en general las auditorías las realicen personas externas,
permite mantener un nivel de objetividad que muchas veces no se dá entre el
personal propio, por razones obvias.
Una auditoría puede durar, en función del tamaño del sistema, desde unos
pocos días, hasta varias semanas. En general siguen normas estrictas y
protocolos extensos y requieren fuertes compromisos de apoyo de los recursos
internos de la organización en cuestión. Pueden, sin embargo, ser más
flexibles. IPS Seguridad ha puesto en marcha recientemente un nuevo servicio de
Análisis de Seguridad para Pymes. Este nuevo tipo de auditoría permitirá a
las empresas que no cuenten con los recursos económicos o técnicos que exige
una auditoría a mayor escala realizar un análisis exhaustivo y suficiente de
su seguridad. Es evidente que el peligro no acecha sólo a las grandes
corporaciones y que no sólo este tipo de negocios son los negocios importantes,
menos aún para los propietarios de los negocios amenazados, por pequeños que
sean.
|
El
coste de una buena gestión de seguridad siempre es menor que el valor
que pueden tener los datos internos de la empresa
|
La auditoria de seguridad es uno de los servicios
llamados a un mayor desarrollo en los próximos años. El desarrollo de Internet
es espectacular y las posibilidades del comercio electrónico son ilimitadas.
Lamentablemente, los chicos malos también se multiplican y la libertad de la
red se convierte en el paraíso de los traviesos o de los peligrosos que
disfrutan rompiendo, robando o haciendo daño.
El proceso comienza con un análisis de las amenazas potenciales que enfrentan a
una organización. Examina sistemas, políticas y prácticas de la organización
para identificar sus vulnerabilidades. El análisis continúa con una valoración
de riesgo y concluye con un informe de valoración y una serie de
recomendaciones.
Con respecto a los costes de la seguridad se puede pensar que son elevados, y en
muchos casos los son, especialmente cuando se trata de una auditoría
convencional, aunque evidentemente existen diferencias entre las necesidades de
cada caso, que se relacionan de forma directa con el coste.
Las políticas de seguridad, tal y como la palabra lo dice, se asemejan a los
seguros de la vida cotidiana, muchas veces no se toma una decisión al respecto
hasta que no se conoce un caso cercano a quien la adversidad le coge por
sorpresa. La seguridad representa un gasto que muchas veces parece inútil y que
se podría evitar, aunque el coste de una buena gestión de seguridad siempre es
menor que el valor que pueden tener los datos internos de la empresa.
De una forma o de otra, es evidente que el comercio electrónico es el futuro
para gran parte de la actividad económica, y que éste es imposible si no se
resuelven los problemas de seguridad en la red. Para eso están empresas como
IPS Seguridad, para garantizar que la seguridad en Internet sea posible.
|