Blindaje de puertas abiertas Seguridad al alcance de todos los presupuestos
Los responsables de sistemas y, cada vez más, la alta dirección de empresas, organizaciones e instituciones públicas, se preguntan:
¿existe una tecnología que proteja totalmente los sistemas de información?
¿Hasta dónde debe invertir una empresa en seguridad?
¿Qué sistema/s proporcionan confianza a los clientes?
Y quizás, la pregunta que resuma las anteriores: ¿qué sistema de seguridad requiere nuestra empresa?
Se escribe mucho sobre seguridad y todavía se sigue sin prestar atención a cuatro de las premisas fundamentales que no se circunscriben al área de seguridad en Internet, sino que son la piedra angular de la seguridad en general:
· la seguridad ha de ser proporcional al valor de lo que se quiera proteger · el nivel de seguridad de un sistema se mide siempre por su flanco más débil · a mayor conectividad, mayor seguridad, considerando ésta última no como una barrera a la conectividad, sino como un facilitador de la misma que no merma el rendimiento global. · la seguridad no ha de implicar un menor rendimiento ¿Cuánto debe invertir una empresa en seguridad?No hay una respuesta única, ni siquiera un mínimo o un máximo, la inversión depende siempre del valor de lo que se esté asegurando y del compromiso que la empresa haya adquirido con sus clientes. Está claro que una pyme que utiliza Internet para comunicarse con sus clientes y proveedores e, incluso, para hacer o recibir pedidos, no puede implementar un sistema similar al de un banco online, pero esto mismo sucede en el mundo off line. ¾Al día de hoy¾ la seguridad de las tecnologías de información es un área en el que la política general ha de venir marcada por la alta dirección, al igual que sucede con el servicio de seguridad física. Al igual que es la dirección general quien decide si se subcontrata la vigilancia física, lo mismo ha de suceder con la seguridad en Internet. La Red es el canal por el que pasa el núcleo de la mayoría de los negocios y la seguridad no sólo le aporta confidencialidad, también es control, integridad, autenticidad, disponibilidad, rendimiento y, en definitiva, un factor crítico que debe estar presente en la estrategia de marketing de cualquier negocio.
Transformar la inversión en un coste fijo reducido Asistimos a un "Internet Everywhere" que, indiscutiblemente, debe tener asociado un "Security Everywhere". Sí, es ponerle puertas al campo pero, el romanticismo de Internet ha muerto y, ahora, lo que tenemos allí dentro es demasiado valioso como para dejarlo "abierto". Antivirus, detección de intrusos, gestión de ancho de banda, filtrado de URL, PKI, autenticación fuerte, ... son algunas de las técnicas de protección de información que complementan a la "Puerta Blindada". Y hablando de puertas blindadas, en la vida "real" para instalar un sistema de seguridad en nuestra casa o empresa tenemos dos opciones: comprar todos los artilugios (alarmas, sensores, cámaras, ...) y gestionarlos nosotros o, simplemente, alquilar el servicio integral a una empresa.
Pues en la vida "virtual" también existen las dos opciones: cada vez más compañías especializadas ofrecen servicios de seguridad gestionada que harán posible que empresas, medias y pequeñas, que no pueden acceder a la alta tecnología por sus costes puedan, sin embargo, acceder a ella en forma de servicio integral.
Accesos móviles: puerta falsa que necesita llaveLas redes privadas virtuales (VPNs) han transformado los procesos diarios de negocio con mayor rapidez que otros sistemas. Sus aplicaciones al ámbito empresarial son tan variadas como efectivas, hecho que contribuye a que sea uno de los segmentos del área de la seguridad electrónica que mayor crecimiento experimentará en los próximos dos años.
Los puestos clientes remotos y/o trabajadores móviles constituyen los flancos débiles de muchas arquitecturas de redes. Para preservar la seguridad de todo el sistema, se requiere la implementación de software VPN específico que disponga de una sólida capacidad de autenticación que verifique la identidad de los usuarios, que sea capaz de integrar la administración de las distintas conexiones y que sea fácilmente escalable. A pesar del atractivo que ejercen este tipo de arquitecturas, la mayor parte de soluciones existentes en el mercado continúan siendo inaccesibles debido a su coste. Incluso, para aquellas soluciones empaquetadas básicas, se requiere personal especializado que proceda a su configuración, instalación y gestión. No obstante, el mercado también dispone de nuevas soluciones que extienden la protección de redes de elevado rendimiento a los trabajadores móviles y remotos, incorporando corta-fuegos personales que protegen a los usuarios individualmente, y permiten a los administradores gestionar y controlar estos accesos. Por tanto, ¿qué implica una seguridad end-to-end? Según reportan los clientes: política de seguridad granular acorde con las reglas definidas por el administrador, mejores herramientas de diagnóstico que especifiquen la política instalada y en qué punto se han producido los posibles fallos, automatización de las actualizaciones, así como "conectividad universal". En este sentido, el mercado ya ha avanzado. Las líneas de Próxima Generación (NG) permiten tener más de un proveedor de Internet sin que repercuta en la seguridad. Construyendo una red VPN por encima, el sistema de seguridad se encarga de leer cada uno de los certificados de conexión y otorgar una dirección IP, independientemente del proveedor de acceso. Además, las nuevas soluciones han incorporado gateways con direcciones IP dinámicas más seguras, que se utilizan como si fueran fijas.
Entrega de llaves: seguridad como facilitador de la conectividad La seguridad es un facilitador de la conectividad que abre puertas, no las cierra. Las VPNs son la opción más rentable y flexible para realizar conexiones sólidas ¾trabajadores en remoto, socios de negocio y clientes en largas distancias¾ que, además, permite a los administradores aprovechar las nuevas tecnologías de acceso, como el cable o las redes ADSL. Con soluciones VPN que integren seguridad, control del tráfico y gestión centralizada, las organizaciones disponen de unas comunicaciones protegidas, económicas, fáciles de usar y administrar; en definitiva, una infraestructura de redes lo suficientemente flexible como para responder a los retos del presente y del futuro.
Al comprar una casa nueva, ¿qué expresión utilizamos normalmente para definir el acto de toma de posesión de la nueva propiedad? "Entrega de llaves"
Y esto, ¿qué quiere decir? Sin entrar en procedimientos administrativos y legales, lo que significa esta frase es que la casa está construida, tiene PUERTA y, además, LLAVE.
Seguridad de ADSL en España Cuando los técnicos de la operadora que vende el servicio ADSL completan la instalación del splitter, cableado, modem o router ADSL, y verifican el estado de la conexión, no hacen más que entregar una casa construida. Pero ... ¿tiene PUERTA esa casa? Y, si la tiene, ¿tiene LLAVE? Y si la tiene, ¿quién tiene COPIAS? Pues hay de todo: desde las instalaciones que tienen PUERTA (router), pero no tienen LLAVE (filtros del router desactivados) y, si la tienen (filtros activos), tiene copia todo el mundo, hasta las que no tienen ni siquiera PUERTA (modem interno). Lo que ocurre es que, normalmente, se entrega una conectividad continua y de alta velocidad a Internet, sin ningún tipo de seguridad asociada.
Los norteamericanos ya pasaron por esto. De ahí, el célebre término "Always ON, always on DISPLAY" y los hechos constatan que, una vez conseguida la conectividad, lo siguiente es preocuparse de la seguridad, al igual que primero se hacen las carreteras y después se colocan las señales.
Y ¿qué medidas concretas han de tomar los usuarios de ADSL en materia de seguridad? En principio, hay dos categorías básicas con necesidades bien distintas. Para ADSL Residencial, es decir, aquél que contrata el servicio para poder acceder a Internet desde uno o varios equipos PC, con mayor velocidad, en principio, con un cortafuegos personal debería tener suficiente. Si tiene más de un PC es aconsejable tener un router, con las listas activadas, en lugar de un modem interno. La única "necesidad profesional" que le puede surgir es acceder a una red privada virtual, pudiéndolo realizar, sin problemas, con la utilización de un cliente IpSec. Sin embargo, para ADSL Profesional, es decir, aquellos que contratan ADSL para algo más que acceder a Internet, como para tener su propia infraestructura web, para acceder por Internet a la instalación local, utilizar ADSL para implantar una VPN, disponer de una Extranet, ... la cosa cambia y, si bien la utilización de un simple firewall "de los de todo a 100", nos puede solucionar el problema, esta decisión puede ser pan para hoy y hambre para mañana. En general, en este tipo de instalaciones, tenemos que comenzar a pensar un poco en la arquitectura y definir claramente quien hace qué. La seguridad ha de estar separada de la conectividad e incorporar un firewall entre el router y la LAN: por un lado, el router, que enrute y haga todo el trabajo de conectividad WAN y, por otro, el firewall que proteja, sirva DHCP, sirva NAT, ... y, en definitiva, asegure la instalación interna. De esta forma, se crea un "Centro de Seguridad" que, a la postre, puede ofrecer un completo abanico de servicios para toda la LAN interna, como listas de control de acceso en entrada y en salida, creación de DMZ para poder "colgar" nuestra infraestructura web (http, correo, ...) de una forma segura y asilada, nodo de VPN que soporte conexiones seguras desde el exterior y sirva de pasarela a las interiores y autenticación de usuarios, tanto para entrada como para salida y que soporte certificados digitales. Con una arquitectura de este tipo no sólo tendrá garantizada la seguridad de la instalación sino que, además, no quedará ligado a ningún proveedor de ADSL pudiendo, incluso, tener más de uno.
De todas formas, la seguridad no debe asustar a nadie. Están surgiendo soluciones a un coste tangible ¾incluso para el mercado residencial y la pequeña empresa¾ que cumplen los requisitos mencionados. Por otro lado, contamos, cada día más, con el modelo de seguridad gestionada: operadores y proveedores de servicios que, de forma remota, gestionan para las empresas toda esta complejidad.
José Manuel Cea VieiraDirector General de Check Point para España y Portugal
