| 5/27/2005 12:00:00 AM

Estrategias sin fin

Los ataques en el ciberespacio no cesan y cada vez se hacen más complejos e inteligentes. Por su parte, los expertos en seguridad informática buscan la mejor forma de adelantarse y bloquear el siguiente paso de sus enemigos en una guerra que no ha acabado cuando vuelve a empezar.

Hace poco menos de un año, en junio de 2004, se registraron oleadas de ataques informáticos con los 'gusanos' Bagle, Netsky y Mydoom. En 2005, los ataques se hicieron mucho más frecuentes. En el primer trimestre de este año, la analista de seguridad informática PandaLabs registró un aumento del 278% en el número de nuevos códigos maliciosos frente al tercer trimestre de 2004.

Aún no se han registrado epidemias de alcance global, pero la posibilidad de que un equipo se vea afectado por una enfermedad cibernética es más alta, pues los ataques ahora incluyen paquetes con variantes de un mismo virus.

El máximo exponente de este tipo de estrategia destructora lo representa el 'gusano' Mytob, que apareció en febrero y que hoy tiene 74 variantes. Otros ejemplos son los 'gusanos' Kelvir (25 variantes) y Bropia (36 variantes). Incluso hay códigos aparecidos hace meses que han sido reutilizados para seguir esta misma estrategia, como Bagle o Mydoom, cuyas familias se han incrementado desde enero de 2005 en 35 y 32 ejemplares, respectivamente.

Este, que es apenas un ejemplo del "ingenio creativo" de los productores de estas dañinas armas, pone de manifiesto la necesidad de que las empresas implanten estrategias de seguridad informática no solo como una respuesta coyuntural, sino como un tema prioritario de su negocio.

En Colombia, una encuesta de la Asociación Colombiana de Ingenieros de Sistemas, ACIS, demuestra que el 93% de las empresas que presentan informes a Segurinfo fue víctima de algún ataque informático en 2004, pero solo el 5% puso al descubierto su situación.

Muchos administradores financieros todavía consideran que contar con una estrategia de seguridad informática es demasiado costoso. Sin embargo, los verdaderos costos de no tenerla solo se hacen evidentes una vez pasa el desastre.

"Pérdidas directas por robo, ya sea de información sensible o dinero; pérdidas indirectas, por no ventas o por falta de información; impacto comercial negativo en el mercado; pérdidas de productividad. estos costos solo se pueden calcular cuando se deben asumir. La seguridad informática debe ser vista no como un gasto, sino como una inversión que ayuda a la continuidad de la productividad y operación del negocio", comenta Jorge Arango, gerente de soluciones de seguridad de Getronics Colombia.

"Es difícil cuantificar la inversión en seguridad, pues se quiere medir en términos de 'cuánto me dejan de robar con la solución o cuánto voy a ganar'. Tampoco es posible cuantificar monetariamente el cubrimiento contra próximos ataques. Es más un asunto de probabilidad y hay que asociarlo a menores riesgos, reducción de llamadas a centros de atención, o menos daños parciales de información -aunque no se sepa exactamente con un número-, además de reducciones en personal de seguridad local y reparación de daños de información", explica a su vez Miguel Caldentey, gerente general de Novell para la Región Andina y el Caribe.

Pero en aspectos de seguridad informática, además de entender que la inversión está en reducir los costos ocultos de la desprotección, tener claro dónde y cómo se es vulnerable es clave para comprender la importancia de implementar una estrategia verdadera, más allá de un antivirus, algunos cortafuegos (firewalls) y restricciones de navegación y configuración en sus equipos al personal de la compañía.



Pensar seguro

Hace una década, cuando internet apenas iniciaba su conquista del mundo, el tema de seguridad informática tenía un perfil "ocasional y exclusivo", refiriéndose a que solo en algunos lugares muy específicos (grandes centros de cómputo) y ante circunstancias muy especiales (pérdidas grandes del sistema) se pensaba en seguridad.

Con la masificación de internet y el consecuente crecimiento de fallas en los sistemas y la aparición de los ataques en su primera forma -los virus-, las medidas de seguridad se basaron en reacciones posteriores, es decir, en estrategias reactivas, que se componían de antivirus y algunas políticas restrictivas sobre uso y manipulación de formatos -físicos o virtuales- de intercambio de información y descargas (downloads).

En los últimos cinco años, la agresividad y recurrencia, además de la multiplicidad de formas, con que se han presentado los ataques, pasando de ser virus simples a formas más autónomas e inteligentes de ataques (con gusanos y troyanos), además del surgimiento de una rama de estudio alrededor de esta industria destructiva, permitió pasar de la reacción a la prevención. Cuando se conocieron las formas de configuración y acción de los atacantes, y se entendió su funcionamiento dentro de los sistemas y sus rutas habituales de acceso, se pudo imponer la estrategia preventiva. Entonces entraron en escena los cortafuegos, los sistemas de detección de intrusos (IDS) en los dispositivos de comunicación de redes (routers), la encriptación de datos y los filtros para intercambio de información.

Pero hoy los ataques se esconden en los propios antivirus, los cortafuegos son leídos y "aprendidos" por los intrusos que luego los vulneran, los IDS son robados y la suplantación está en el orden del día, y la encriptación es cada vez menos compleja para los bandidos cibernéticos.



Proactivo y predictivo

Ante la diversidad y sofisticación de las formas de ataque, se necesita que las estrategias de seguridad informática puedan contemplar aspectos inherentes a la tecnología en muchos de sus campos, como la proactividad, es decir, la capacidad de proponer al sistema acciones defensivas ante posibles ataques; y la predictibilidad, que se refiere a que basados en historiales de información sobre ataques, puedan establecer modelos operativos para identificar la vulnerabilidad en los sistemas antes que los atacantes e, incluso, los administradores del sistema.

Como antesala a este nivel de seguridad, se consiguió que el concepto migrara de la idea de que lo único que se debe proteger son los datos, a entender que el personal, la forma en que se usan los dispositivos, los lugares de trabajo y las formas de transporte de la información, también son claves en una estrategia de seguridad informática.

"La seguridad informática ha evolucionado a la integración, es decir, no solo que maneje los datos sino también los procesos, ya que también están abiertos para la operación externa. Ya no solo hay procesos de intercambio continuo con clientes vía intranet sino también por medio de internet. La seguridad es cada vez más importante por esto", expone Delio Cardona, gerente de base de datos Oracle para América Latina.

Mitología

Las nuevas formas de amenaza y ataques que han surgido este año llevan a pensar que algunas ideas del pasado se transformaron en mitos hoy.

En primer lugar está el mito sobre el origen de los ataques. Normalmente se cree que las amenazas provienen de agentes externos al sistema, incluso se toma como obvio que son hackers o intrusos remotos los que atacarán. Pero el FBI y CERT (Computer Emergency Response Team) dicen que entre el 70% y el 80% de los ataques proviene del interior de las empresas. El segundo mito se relaciona con las herramientas adecuadas para contrarrestar la acción de los bandidos cibernéticos. Se cree que instalar antivirus, muros cortafuegos y encriptar información es suficiente. Los más recientes informes de amenazas de Symantec echan esta creencia al piso, pues hablan de ataques que se hacen a pesar de -e, incluso, mediante- estas medidas de protección.

Se ha avanzado en el tema de crear políticas de seguridad, dentro de la organización para que los usuarios del sistema las sigan, pero eso es otro mito. No es suficiente con esforzarse en tareas que solo cubren el ámbito interno de la empresa, cuando a la vez se están construyendo canales con proveedores y otros asociados. Ellos deben construir sus propias políticas y se debe trabajar para que converjan con las de su empresa. Hay que asegurar toda la cadena de valor.

Otro mito que se ha configurado es que la seguridad es protegerse ante ataques. Resulta que muchos de los daños al sistema y de fallas en la continuidad de la operación se producen por errores de almacenamiento y manejo básico de la información. En la mayoría de las empresas está dispersa y en distintos dispositivos, lo cual crea múltiples formas de vulnerabilidad tecnológica, provocando problemas incluso legales, además de los operativos, frente a los clientes.



Soluciones

Para construir una buena estrategia, es importante partir de un concepto global de seguridad informática, en el que se reconoce la necesidad de un conjunto de procedimientos y actuaciones encaminados a conseguir la eficiencia de funcionamiento del sistema de información garantizando:



- Disponibilidad

Los usuarios deben tener disponibles todos los componentes del sistema cuando lo deseen.



- Confidencialidad

Los componentes del sistema serán accesibles solo por usuarios autorizados.



- Integridad

Los componentes del sistema solo pueden ser creados y modificados por los usuarios autorizados.



"Es clave pensar que el fin último de cualquier medida es garantizar la continuidad del negocio. Se debe conseguir que la operación de la empresa no se detenga por un hecho anormal que afecte sus finanzas o imagen, atacando también a largo plazo el funcionamiento", asegura John Galindo, gerente general de Digiware.

Las diferentes partes del sistema -hardware y software- deben ser protegidas para lograr el objetivo global.



El hardware comprende:

- Servidores: El acceso virtual y físico de personal y datos debe estar controlado y auditado. La alimentación eléctrica se debe garantizar con sistemas ininterrumpidos para responder a pequeños cortes de corriente y con medios alternativos ante grandes cortes. Los medios de almacenamiento deben garantizar la recuperación de la información ante problemas de discos.

- clientes (entendidos como aquellos equipos remotos que interactúan entre sí o con los servidores): Es imprescindible administrar la identidad de sus usuarios; además del control centralizado de las tareas que se realizan en estas unidades.

- líneas de comunicaciones: Una adecuada segmentación de la red, además de mejorar su funcionamiento, ayudará enormemente a su seguridad. La eliminación de los cuellos de botella y el estudio de su ocurrencia evitan las quiebras de seguridad del sistema. La cifra de canales y la información que circula a través de ellos permiten garantizar la confidencialidad y su integridad.



El software comprende:

- Sistemas operativos de información: Se debe determinar una política de salvaguardas que permita, ante cualquier falla crítica, restablecer una situación lo más cercana posible a cuando surgió el problema.

- Bases de datos: Los puntos anteriores, pero con mayor atención al control de acceso pues aquí se tendrán usuarios distintos con diferentes intereses y necesidades, por lo cual se requiere una política complementaria a la anterior. En este punto es indispensable pensar en la administración de identidades. Se debe cuidar quién entra, a qué y por qué. No todos necesitan toda la información todo el tiempo. "La seguridad centralizada de identidades es el control eficiente de usuarios y cuentas e, incluso, de quién las crea. El manejo de cuentas se concentra para acceso al sistema y el control de los administradores de las bases no se dispersa. En un solo punto de 'megaadministración' se sincronizan passwords y se automatizan la creación, mantenimiento y eliminación de cuentas, para incrementar la seguridad del sistema, con lo cual se blinda el acceso", explica Miguel Caldentey, de Novell.

Las bases de datos no consisten solo en almacenar en cualquier parte y de cualquier forma. "Se trata de ir estructurando el almacenamiento de la información pensando en cómo guardar, transportar y compartir datos, cómo y por qué dar acceso a lugares claves, y cómo y a través de qué se hace intercambio con redes externas", expone Delio Cardona, de Oracle.

"En la industria, las políticas de seguridad se han venido adoptando de afuera -desde donde supuestamente venían todas las amenazas- hacia adentro. Oracle propone que desde el manejo de la base de datos se creen políticas, de adentro hacia afuera de la empresa", afirma Cardona.

Las aplicaciones deben ser controladas y suministradas por los mismos administradores del sistema y no pueden ser tomadas como una rueda suelta, a pesar de la diversidad y especificidad de sus tareas.



La cosa política

La política de seguridad informática debe plasmarse en un documento escrito que contemple la asignación de responsabilidades y refrendado al más alto nivel de dirección posible, lo que facilitará que sea de cumplimiento obligatorio para toda la estructura. Se debe hacer un control riguroso de su implementación y difusión para tener la certeza de que todos los afectados conocen su contenido. Para su implementación es necesaria una adecuada generación de medios humanos y materiales específicos. También es fundamental concientizar al personal afectado por las medidas a adoptar.

"Es vital que defina y divulgue sus políticas continuamente. La seguridad no es un proyecto, es un proceso. Busque compañías que tengan experiencia global para asesorarse en la estructuración de la estrategia. Igualmente, busque soluciones integrales, no solo respuestas a problemas puntuales", recomienda Jorge Arango, de Getronics.

Finalmente, por tratarse de sistemas de información importantes, debe haber un responsable de seguridad, con dedicación exclusiva al tema. Para poder ejercer su labor, debe contar con un equipo de seguridad que desarrolle la política determinada por escrito.
¿Tiene algo que decir? Comente

Para comentar este artículo usted debe ser un usuario registrado.

EDICIÓN 531

PORTADA

La Bolsa de Valores necesita acciones urgentes

Con menos emisores, bajas rentabilidades y desbandada de personas naturales, la Bolsa busca recuperar su atractivo. Finca raíz, su nueva apuesta. ¿Será suficiente?