Por: Martín Hoz (Fortinet) - Diciembre de 2007
Introducción – Un día normal en la vida de un gerente de sistemas…
Es una tarde lluviosa en la ciudad mientras el Ingeniero Enrique Villalpando conduce de regreso a su casa después de un día de campo con su familia. Casi llega a su destino, cuando de pronto un insistente sonido y un movimiento vibratorio en su cinturón le indican que ha recibido un mensaje en su teléfono móvil. Despreocupado, piensa que es uno mas de los mensajes que regularmente recibe alertándolo sobre posibles problemas de seguridad en la red de la cual es responsable. Mensajes que con frecuencia, son inocuos. Enrique, Director de Tecnología e Informática de una importante empresa, esta acostumbrado-quizá un poco más de lo debido- a recibir estos mensajes cotidianamente.
Desafortunadamente para Enrique, este último mensaje que ha recibido se refería efectivamente a una intrusión que en ese momento estaba ocurriendo en su red cuando un gusano informático aprovechó una vulnerabilidad desatendida en uno de sus equipos y se coló. Se percató de esto cuando 10 minutos más tarde después de haber recibido el primer mensaje, recibió una llamada telefónica de uno de los operadores del centro de monitoreo responsables de vigilar que los parámetros de operación de la red, tales como porcentaje de utilización, cantidad de usuarios registrados, tiempos de respuesta o actividad de las aplicaciones, estuvieran siempre dentro de los rangos normales.. Desafortunadamente al tiempo de recibir la llamada era un poco tarde, pues los diferentes indicadores mostraban que había una utilización excesiva en dos de los servidores aplicativos colocados en la granja de servidores donde se alojaba los sistemas con los cuales se atiende regularmente los pedidos electrónicos colocados por los clientes mas importantes de la empresa, la red estaba al 100% de utilización, los servidores al 100% de carga en CPU, y en definitiva algo no estaba bien para una tarde tranquila de fin de semana.
En ese momento Enrique comenta a su esposa que tiene que ir de emergencia a la oficina pues un problema “de esos que no pueden esperar”, se había presentado. “¿Qué pasó?” pensaba Enrique mientras su familia descendía del vehiculo y él emprendía el camino a la oficina. “Hemos invertido en Firewalls, IDPs, antivirus, y cuanto mecanismo de seguridad en red nuestros consultores nos han ofrecido. La gente que nos asesora tiene las más altas certificaciones. Tenemos procedimientos y métricas que nos ayudan a determinar riesgos y minimizarlos. Estamos alineados con estándares. ¿Qué hicimos mal? O mejor dicho ¿Qué estamos haciendo mal? Esta es la tercera vez que pasa algo similar en lo que va del año…”
Tecnología y negocios: La pareja incomprendida…
Por desgracia de las organizaciones que confían en la tecnología para llevar a cabo de una manera más eficiente, efectiva en costos y flexible sus procesos de negocio, el escenario anterior puede ser algo relativamente común. En algunos casos más frecuentemente, en otros menos , pero todo mundo ha escuchado de alguien cercano –si es que no lo ha vivido en carne propia- los indeseables casos en los que de pronto, en el momento menos esperado, los sistemas de información y las redes que los interconectan se niegan a trabajar como se espera, producto del fallo de algún componente de la infraestructura , o –en el peor de los casos – de un ataque de seguridad , el cual no siempre tiene como autor a algún malévolo individuo que se fijo como blanco de sus ataques a la organización presa del problema, sino que inclusive ataques genéricos automáticos liberados por genios con creatividad mal enfocada, liberan para simplemente probar que es posible hacerse, o buscar fama o inclusive algún tipo de provecho.
Mas y mas la conciencia de que los activos informáticos son importantes para las organizaciones, se hace evidente cuando una interrupción no planeada de la operación, afecta el ciclo de negocio que descansa precisamente sobre la tecnología. Hecho que en sí mismo es malo, pues habla de que la Seguridad Informática –que puede entenderse como el lograr que los sistemas se comporten como el usuario espera que lo haga – se contempla como una medida reactiva cuando los problemas ya están tocando la puerta . Lo ideal sería que esos problemas que pudieron evitarse hubiesen suido contemplados con antelación en las etapas de planeación y diseño de la infraestructura. ¿Qué se puede hacer entonces proactivamente para evitar caer en una situación como la del pobre Enrique?. Veamos…
La seguridad como un asunto de negocios
Al estar la seguridad informática empapada de términos rimbombantes como Spyware (programas espías), Adware (programas de publicidad no deseados), phishing (fraudes en páginas web impostoras), SPAM (correo electrónico no deseado) que se han escuchado con mas frecuencia en últimas fechas, y siempre asociados a las computadoras, la Internet y en general a la tecnología, se suele pensar que esto es relevante solo al mundo tecnológico.
Debido a lo anterior, uno de los errores que las organizaciones con frecuencia comenten, es el de considerar a la seguridad informática como un problema tecnológico, en lugar de contemplarlo y como lo que es: un problema de negocios. Cuando los inversionistas, los directores de finanzas, los CEOs y los CFOs hacen un análisis de negocio, siempre contemplan el potencial riesgo que existe intrínseco a la operación a realizar. Cuando se trata de tecnología es responsabilidad del director de informática o CTO de evaluar los potenciales riesgos intrínsecos a la infraestructura tecnológica. Pero dado que las disciplinas tecnológicas pocas veces incluían en su formación conocimiento de negocios y las disciplinas de negocios no incluían en su formación conocimientos sobre tecnología, no ha sido hasta recientes fechas – quizá pudiéramos hablar de la ultima década – que sea generalizado en organizaciones de todos los tamaños, que los responsables de áreas de tecnología comiencen a hablar términos de negocio como retorno de inversión, costo total de propiedad , gasto de capital; que los responsables de área de negocio podían entender, y con esto ganar conocimiento estos últimos sobre la importancia y el impacto que la tecnología tiene sobre el negocio en sí.
Y es que los gastos en seguridad en computo dejan de verse como tales en el momento en que se explica que una pieza tecnológica como un Web Content Filter (mecanismo para evitar que usuarios vean categorías de páginas web indebidas, como pornografía, música o juegos) puede evitar la perdida de productividad en la que incurren los empleados al utilizar recursos y tiempos de la empresa para navegar en paginas que no tienen nada que ver con su función. Y esto puede traducirse en dinero si se multiplica el costo salarial por hora hombre por la cantidad de horas perdidas en promedio por empleado (así sea solo una hora) por la cantidad de empleados por organización. Un antivirus (detector y limpiador de códigos maliciosos) puede ser justificado a través del costo que tendría la organización en caso de que sus equipos fueran infectados por virus, y tuvieran que detener la operación para realizar la desinfección. En caso de infección de virus, cuesta la productividad perdida de los empleados, cuestan los clientes insatisfechos que dejan cierta ganancia a la organización por hora, cuestan los ingenieros que deben hacer la desinfección y cuestan las horas necesarias para recuperarse a un estado de integridad de la información que se tenía antes del problema. Similarmente un Firewall (control de acceso a recursos) y un IPS (protectores contra ataques) puede justificarse por la cantidad de horas (y dinero) que ahorran por detener ataques y mantener a los atacantes fuera de la organización. Un AntiSpam (filtro contra correo no deseado) puede justificarse puede justificarse por la productividad ganada de nuevo por no tener que leer correo basura. Y podríamos continuar con un listado de los como justificar los diferentes mecanismos de de seguridad, pero creo que la idea general se entiende: Cuando no es posible asignar un valor directo sobre los activos que se pueden perder a causa de un problema de seguridad, siempre será posible medir el esfuerzo en horas hombre que toma cierta actividad. Y una vez mas, tiempo es dinero.
Ahora, tener los valores que justifican una inversión en seguridad no significa que tenemos la vida resuelta. En realidad, esto es solo el principio la parte mas difícil, en realidad aun esta por venir , pues muchas organizaciones a pesar de cuantiosas inversiones en seguridad siguen teniendo problemas. ¿Qué hacer entonces para minimizar el riesgo?. Lo primero es reconocer que no existe 100% de seguridad y que por tanto tenemos que vivir con cierto riesgo. El riesgo en informática, al igual que en otras disciplinas, puede asumirse (sabiendo que el costo de que el riesgo ocurra es menor al costo de las posibles contramedidas para mitigarlo) se puede mitigar(a sabiendas que el costo de las salvaguardas es menor al costo de que el riesgo se presente) o se transfiere, como ocurre cuando se adquieren seguros contra robo, desastres físicos y similares. En todos estos casos, el valor de la información que esta bajo análisis debe conocerse de forma cualitativa o cuantitativa para poder tomar las decisiones adecuadas.
¿Dónde enfocar la inversión?
La seguridad, al igual que la calidad, es un ciclo. De hecho, de cierto modo puede verse a la seguridad como una extensión de los esfuerzos de calidad en la organización, y del mismo modo requiere cierto esfuerzo y cierta asignación de recursos en áreas estratégicas para poder llevarse a cabo con efectividad. Cuando se ha decidido minimizar el riesgo (versus aceptarlo o transferirlo), existen tres grandes áreas para las cuales debiera existir presupuesto cuando se habla de seguridad en computo: Gente, Tecnología y Procesos.
Gente. Sin lugar a dudas el eslabón mas débil en la cadena de la seguridad. Hay poco que puede hacerse cuando una persona esta determinada a cometer algún tipo de ilícito contra la organización , especialmente si se trata de una individuo que cuenta conocimientos sobre la operación, y aun mas si esa persona ha recibido la confianza de la organización y es un usuario valido de los recursos de la misma; como puede ser el caso de un empleado, un cliente, un contratista o un socio de negocios.
Por ejemplo, cuando un empleado esta determinado a sacar ilegalmente información de la organización, de poco sirve tecnologías de control de acceso o monitoreo en la red o en las estaciones de trabajo de los usuarios: puede ser suficiente con que vía una memoria USB se extraiga información sin que nadie lo note, o aun mas creativo: que se utilice la cámara fotográfica del teléfono celular para sustraer los datos que se quieren sin que ningún sistema de monitoreo lo detecte.
Por todo ello es de suma importancia realizar acciones como la revisión del historial de las personas a quienes se les confía la custodia y el manejo de información sensible e importante para el negocio: Un historial de deudas puede hacer más proclive a una persona a aceptar sobornos, por ejemplo. Es importante también establecer controles administrativos, procedurales y en su caso legales, tales como la rotación de personal, el evitar el acceso dispositivos que podrían permitir sacar información (Desde una memoria USB hasta un teléfono celular) o los contratos de confidencialidad para el personal.
Especial relevancia recibe la capacitación que pueda darse a los oficiales de seguridad, ingenieros y demás personal que atiende directamente los mecanismos de seguridad. De nada sirve tener la mejor tecnología, si el personal encargado de operarla no obtiene el máximo beneficio posible, o bien su falta de entrenamiento facilita una mala operación, lo cual hace vulnerable el ambiente a ataques.
Adicional a lo anterior, cualquier esfuerzo orientado a proveer educación continua para los miembros de la organización, con la finalidad de incrementar el nivel de conciencia sobre la importancia de la seguridad en las labores cotidianas, será siempre recompensado. Con el simple hecho de hacer al personal menos vulnerables a ataques de ingeniería social (desde el engaño de los correos cadena hasta la entrega voluntaria de contraseñas por impostores que se hacen pasar por personal de sistemas) o bien incrementar el nivel de participación en campañas de seguridad (“Haga mas seguro su password sin ponerlo en un post-it en su PC”) harán a la larga que la organización sea mas resistente en este eslabón.
Tecnología. Cuando la seguridad se volvió un asunto del cual mucha gente comenzó a hablar, surgieron de la noche a la mañana empresas “Especialistas y con amplia experiencia” en todos los niveles, desde fabricantes hasta integradores y consultores .Esto dio como resultado, por un lado , que la conciencia sobre la necesidad de seguridad se incrementara; lo cual es extremadamente positivo. Por otro lado, las organizaciones que confiaron en aquellos que se decían expertos (oportunistas que aprovecharon el boom), pero que en realidad no lo eran tanto, se toparon con la desagradable sorpresa de que la calidad de los productos, soluciones o metodologías propuestas no era el prometido originalmente, dejando un mal sabor de boca.
En cuanto a fabricantes, mas allá de platicar de los mecanismos tecnológicos que deben adquirirse para proteger una infraestructura, quisiera referir algunos criterios de evaluación que ayudaran a determinar la seriedad de algún oferente tecnológico:
Foco: Debe ser una empresa para la cual la seguridad sea el único o el más importante fuente de ingresos. Esto garantiza que los recursos de la empresa serán invertidos en investigación y desarrollo, soporte, y otros rubros que soporten el aumento en el ingreso de capital a la empresa. Además garantiza un mayor conocimiento sobre un área. Es la misma razón por la que se elige a un médico especialista sobre un médico brujo.
Innovación. Cualquier empresa que no innove constantemente, está condenada al atraso en un mercado donde la evolución es constante. Así pues, compañías de seguridad que hayan mantenido una línea de productos con características bastante constantes, sin evolución, deben ser observadas con mucha cautela. Hoy nadie usa celulares que solo sirvan para ser teléfonos, ni Walkmans con cassettes.
Relación costo/beneficio: En el mercado de la tecnología, como en otros mercados, ocurre que pasado el tiempo de introducción al mercado, tiende a hacerse commodity cierto tipo de funcionalidad o dispositivo. Entonces, surgen otros participantes que emulan la funcionalidad o el dispositivo y ante una mayor oferta, los precios tienden a disminuir. Hay que buscar compañías que nos ofrezcan una buena relación de prestaciones (beneficios) por el precio que se paga por su producto. Especial mención deben recibir aquellos fabricantes que han logrado simplificar los complejos modelos de licenciamiento para reducirlos a simplemente una cuota por todas las prestaciones de seguridad que se reciben, ya sea por medio de arrendamiento o adquisición.
Liderazgo. Esto puede medirse en cuanto a participación de mercado de la empresa, pero también puede medirse en base a la capacidad de crear mercado, lo cual de algún modo va ligado a la innovación,
Convergencia. Al día de hoy, al igual que muchas otras ramas de la tecnología, la seguridad va muy enfocada a la convergencia: la unificación de varias funciones en la menor cantidad de dispositivos posibles. La integración de la red con la seguridad, además de la intergración de las funciones en sí mismas (lo que se conoce como Gerencia Unificada de Amenazas o Unified Threat Management) es una tendencia de mercado que debe contemplarse al momento de echar un vistazo al tipo de empresa que debe ser proveedor de la tecnología.
Procesos. La última parte donde tiene que invertirse como parte de la Triada básica para tener buena seguridad, es la parte de los procesos. Dado que todos los procesos de tecnología son relevantes a procesos de negocio, deben ser revisados como tales y hacer evaluaciones del impacto que puede tener cualquier adicion en seguridad sobre las tareas cotidianas realizadas en la organización.
La parte de procesos es un área muy sensible, pues con frecuencia toca no solo la parte operativa “fría”, sino que también tiene que lidiarse con la resistencia al cambio de las personas que tenían la “costumbre” de realizar las cosas de tal o cual forma. Sin embargo, así como en calidad los procesos forman parte activa para llegar a las metas establecidas por el programa, en seguridad ocurre lo mismo. Esperanzadoramente hay estándares como el ISO 17799, ITIL, COBIT y otros, que pueden ayudarnos a alinear los procesos (desde la adquisición de bienes hasta la entrega de servicio a clientes, desde la operación regular hasta la planeación para operación en caso de desastre) de los diferentes departamentos que puedan esta involucrados con tecnología, ya sea como custodios o usuarios, para asegurarnos que se están cubriendo los requisitos mínimos necesarios para llegar a nuestras metas.
Procesos y políticas van de la mano, y por tanto, es necesario ver que los procesos que se hayan modificado o establecido, reciban el respaldo adecuado de políticas, normas y procedimientos que los regulen y permitan una medición de éxito o fracaso, muestren avance con respecto al tiempo, y en general permitan controles que faciliten auditarlos.
Este tema, como cada uno de los anteriores, podría servir como fuente de material para todo un artículo, pero dado que este en particular es mas dependiente a la naturaleza de la organización que esté haciendo la implantación, lo dejaré en las generalidades ya mencionadas, con la conciencia que es un área igual de importante que la tecnología o la gente, y como tal merece atención y asignación de recursos.
Conclusiones
La seguridad en cómputo o seguridad informática, debe considerarse hoy desde las etapas tempranas de cualquier proyecto que involucre tecnología, y debe ser abordado como un problema de negocios que puede darnos en algunos casos ventajas competitivas (como puede ser el caso de la posibilidad de ofrecer nuevos productos o servicios) o bien simplemente a ayudarnos a mantenernos dentro de un mercado donde la eficiencia operativa pueda marcar diferencias.
En tiempos donde la tecnología está inmiscuida en cada rincón de la organización soportando procesos críticos de negocio en algunos casos, vale la pena detenernos un poco para revisar cómo es que estamos parados, y si estamos realizando las acciones adecuadas en los puntos adecuados para garantizar que la organización opere como haya sido diseñada. No hay que esperar a saber que un ataque informático o una mala operación de un componente en la infraestructura nos ha tomado por sorpresa, pues en ese momento puede ser ya demasiado tarde…
