La seguridad, como debería ser
Actualmente, la seguridad se consigue por lo general mediante defensas añadidas como medio de reacción frente a los ataques, y estas defensas son consideradas por muchos como inhibidoras de la actividad comercial. Para que ocupen un lugar adecuado en el desarrollo de esa actividad, los sistemas de seguridad deben ofrecer defensas distribuidas y flexibles en tiempo real contra los ataques.
Lo ideal sería que los directores en las empresas descubrieran una forma de proteger las actividades de e-commerce frente a todo tipo de delitos, como fraudes de tarjetas de crédito online, ataques de denegación de servicio, destrucción de páginas Web y robo de datos.
Para conseguir todo esto no se requiere una solución mágica. Lo que se requiere es cambiar la forma en que la empresa considera la seguridad, de manera que dejen de existir las líneas divisorias entre seguridad y procesos comerciales. También se requiere una reestructuración gradual de la infraestructura de seguridad, con el fin de conseguir una seguridad proactiva, escalable y flexible, que pueda dar cabida fácilmente a nuevas aplicaciones, fusiones de empresas y cambios en la red.
Claves
¿Qué necesitan los profesionales de la seguridad de la información, dentro de ese modelo de seguridad reestructurado, que haga posible un desarrollo apropiado de la actividad comercial? Lo que necesitan es lo siguiente:
- Revisión y análisis de las aplicaciones a nivel de codificación, tanto las aplicaciones de creación propia como las desarrolladas por empresas vendedoras, para garantizar que están libres de los puntos vulnerables corrientes.
- “Firewalls” o “cortafuegos” distribuidos, para ofrecer seguridad especializada donde sea necesaria, no sólo en el front-end.
- Niveles de autorización más detallados o “granulares”, para atender a las diversas necesidades de acceso por parte de las firmas colaboradoras, los usuarios corporativos y los clientes.
- Una detección de intrusiones que dependa menos de buscar rastros o indicios de los ataques después de que tienen lugar, y más de una monitorización en tiempo real de las violaciones de las reglas.
- Porciones o “kernels” de sistema operativo encapsuladas, para que no haya aplicaciones funcionando en la potente posición de raíz (Unix) o de administrador (Windows NT).
- Consolas de gestión centralizadas que combinen las tareas de seguridad y de tráfico de red, de forma similar a cuando se establece un equilibrio de las cargas de trabajo.
Seguridad desde el principio
Por ejemplo, para reducir al mínimo la confusión, se podría hacer referencia al concepto conocido como “seguridad desde el principio”, que se podría entender como seguridad global. Algo que puesto en la práctica significa mostrar a los profesionales de la seguridad, cualquiera que sea el área de seguridad en la que estén especializados, el valor de la información existente en sus redes. Sin olvidar que la seguridad total requiere tanto ingeniería de red como desarrollo de aplicaciones. Por ejemplo, si los directores de red observan las tendencias o esquemas de tráfico en lo relativo a la carga de trabajo, ¿por qué no hacerlo también para detectar accesos no autorizados? Y, en lo que se refiere a la programación, ¿por qué no enseñar a los desarrolladores de aplicaciones cómo escribir codificación que esté libre de puntos vulnerables corrientes, y por qué no enseñar a los profesionales de seguridad cómo analizar esta codificación en busca de problemas de seguridad?
Sin embargo, estos análisis o revisiones de la codificación son considerados generalmente como inhibidores de los procesos comerciales, según distintos especialistas, ya que la mayoría de ellos se realizan después que la aplicación ha sido desarrollada, dando lugar a retrasos de hasta seis meses en promedio, dice. Por el contrario, el equipo responsable de la seguridad deberá participar en todo el ciclo de vida de las nuevas aplicaciones. El equipo deberá asistir a las reuniones de planificación de desarrollo y calcular el impacto de una determinada aplicación sobre la seguridad antes de que el programador escriba ninguna codificación. Entonces, mientras se desarrolla la aplicación –y no después– el equipo responsable de la seguridad y el equipo de programación deberán analizar y revisar juntos la codificación, mitigando así los múltiples riesgos sin hacer más lento el desarrollo de las aplicaciones. El análisis de la codificación podría ayudar en el ámbito de las aplicaciones de creación propia. No obstante, ¿cómo saber qué riesgos de seguridad podrían existir en estado durmiente en aplicaciones desarrolladas por empresas vendedoras de software? Según algunos observadores, no hay forma de saberlo.
¿Sublevación de los usuarios?
Aparte de utilizar productos open-source o de libre acceso, como el Apache Web Server o el sistema operativo Linux, la única solución que apuntan los analistas de Gartner Group es una rebelión de los usuarios. Si una cantidad lo suficientemente grande de compradores dicen que no comprarán una determinada herramienta si no tiene lugar una revisión independiente de la codificación, los vendedores podrían encontrar una forma de incluir la revisión de la codificación en los ciclos de desarrollo. Pero eso sólo sucederá si los clientes están dispuestos a esperar durante más tiempo las nuevas versiones de los productos, cosa que nunca sucederá, matiza Gartner Group
Salvaguardias
Para las compañías cuya única línea de defensa es una pared cortafuegos perimetral, ese cortafuegos se convierte en el punto de fallo único. Y lo que es más, el cortafuegos front-end (o “conjunto cortafuego”) también hace más lento el tráfico, aumentando la mala reputación de la seguridad como factor de inhibición de la actividad comercial. Para resolver estos problemas, la mayoría de los profesionales de la seguridad de la información desean repartir los cortafuegos en toda la empresa.
Algunos están prescindiendo totalmente de sus cortafuegos front-end, optando por manejar el tráfico front-end a través de routers debidamente configurados, conmutadores y un sistema operativo reforzado en el servidor Web propiamente dicho. Bajo este modelo, los routers deniegan todo el tráfico excepto el que debe pasar, y rechazan todos los packets que no saben cómo dirigir. En este sentido, en el servidor Web no se mezcla tráfico Internet con tráfico interno, sino que utiliza tarjetas de interface de red para dirigir a las firmas colaboradoras a la derecha, el tráfico Web a la izquierda y los empleados remotos directamente por el centro. Y las paredes cortafuego mismas se están trasladando ya a otros puntos críticos en la red. De ahí surge el nuevo término de cortafuegos distribuidos, en referencia a cortafuegos que son “independientes de la topología.
Pescatore clasifica los cortafuegos en tres categorías.
- 1) La primera categoría es el gran cortafuegos front-end, o “cluster de cortafuegos”.
- 2) La segunda es el “accesorio de cortafuego” –un tipo de producto que muchas compañías están adquiriendo para proteger sus oficinas de sucursal–.
- 3) Y el tercero es el cortafuego integrado, que se instala en los PC y
Lo ideal sería que los directores en las empresas descubrieran una forma de proteger las actividades de e-commerce frente a todo tipo de delitos, como fraudes de tarjetas de crédito online, ataques de denegación de servicio, destrucción de páginas Web y robo de datos.
Para conseguir todo esto no se requiere una solución mágica. Lo que se requiere es cambiar la forma en que la empresa considera la seguridad, de manera que dejen de existir las líneas divisorias entre seguridad y procesos comerciales. También se requiere una reestructuración gradual de la infraestructura de seguridad, con el fin de conseguir una seguridad proactiva, escalable y flexible, que pueda dar cabida fácilmente a nuevas aplicaciones, fusiones de empresas y cambios en la red.
Claves
¿Qué necesitan los profesionales de la seguridad de la información, dentro de ese modelo de seguridad reestructurado, que haga posible un desarrollo apropiado de la actividad comercial? Lo que necesitan es lo siguiente:
- Revisión y análisis de las aplicaciones a nivel de codificación, tanto las aplicaciones de creación propia como las desarrolladas por empresas vendedoras, para garantizar que están libres de los puntos vulnerables corrientes.
- “Firewalls” o “cortafuegos” distribuidos, para ofrecer seguridad especializada donde sea necesaria, no sólo en el front-end.
- Niveles de autorización más detallados o “granulares”, para atender a las diversas necesidades de acceso por parte de las firmas colaboradoras, los usuarios corporativos y los clientes.
- Una detección de intrusiones que dependa menos de buscar rastros o indicios de los ataques después de que tienen lugar, y más de una monitorización en tiempo real de las violaciones de las reglas.
- Porciones o “kernels” de sistema operativo encapsuladas, para que no haya aplicaciones funcionando en la potente posición de raíz (Unix) o de administrador (Windows NT).
- Consolas de gestión centralizadas que combinen las tareas de seguridad y de tráfico de red, de forma similar a cuando se establece un equilibrio de las cargas de trabajo.
Seguridad desde el principio
Por ejemplo, para reducir al mínimo la confusión, se podría hacer referencia al concepto conocido como “seguridad desde el principio”, que se podría entender como seguridad global. Algo que puesto en la práctica significa mostrar a los profesionales de la seguridad, cualquiera que sea el área de seguridad en la que estén especializados, el valor de la información existente en sus redes. Sin olvidar que la seguridad total requiere tanto ingeniería de red como desarrollo de aplicaciones. Por ejemplo, si los directores de red observan las tendencias o esquemas de tráfico en lo relativo a la carga de trabajo, ¿por qué no hacerlo también para detectar accesos no autorizados? Y, en lo que se refiere a la programación, ¿por qué no enseñar a los desarrolladores de aplicaciones cómo escribir codificación que esté libre de puntos vulnerables corrientes, y por qué no enseñar a los profesionales de seguridad cómo analizar esta codificación en busca de problemas de seguridad?
Sin embargo, estos análisis o revisiones de la codificación son considerados generalmente como inhibidores de los procesos comerciales, según distintos especialistas, ya que la mayoría de ellos se realizan después que la aplicación ha sido desarrollada, dando lugar a retrasos de hasta seis meses en promedio, dice. Por el contrario, el equipo responsable de la seguridad deberá participar en todo el ciclo de vida de las nuevas aplicaciones. El equipo deberá asistir a las reuniones de planificación de desarrollo y calcular el impacto de una determinada aplicación sobre la seguridad antes de que el programador escriba ninguna codificación. Entonces, mientras se desarrolla la aplicación –y no después– el equipo responsable de la seguridad y el equipo de programación deberán analizar y revisar juntos la codificación, mitigando así los múltiples riesgos sin hacer más lento el desarrollo de las aplicaciones. El análisis de la codificación podría ayudar en el ámbito de las aplicaciones de creación propia. No obstante, ¿cómo saber qué riesgos de seguridad podrían existir en estado durmiente en aplicaciones desarrolladas por empresas vendedoras de software? Según algunos observadores, no hay forma de saberlo.
¿Sublevación de los usuarios?
Aparte de utilizar productos open-source o de libre acceso, como el Apache Web Server o el sistema operativo Linux, la única solución que apuntan los analistas de Gartner Group es una rebelión de los usuarios. Si una cantidad lo suficientemente grande de compradores dicen que no comprarán una determinada herramienta si no tiene lugar una revisión independiente de la codificación, los vendedores podrían encontrar una forma de incluir la revisión de la codificación en los ciclos de desarrollo. Pero eso sólo sucederá si los clientes están dispuestos a esperar durante más tiempo las nuevas versiones de los productos, cosa que nunca sucederá, matiza Gartner Group
Salvaguardias
Para las compañías cuya única línea de defensa es una pared cortafuegos perimetral, ese cortafuegos se convierte en el punto de fallo único. Y lo que es más, el cortafuegos front-end (o “conjunto cortafuego”) también hace más lento el tráfico, aumentando la mala reputación de la seguridad como factor de inhibición de la actividad comercial. Para resolver estos problemas, la mayoría de los profesionales de la seguridad de la información desean repartir los cortafuegos en toda la empresa.
Algunos están prescindiendo totalmente de sus cortafuegos front-end, optando por manejar el tráfico front-end a través de routers debidamente configurados, conmutadores y un sistema operativo reforzado en el servidor Web propiamente dicho. Bajo este modelo, los routers deniegan todo el tráfico excepto el que debe pasar, y rechazan todos los packets que no saben cómo dirigir. En este sentido, en el servidor Web no se mezcla tráfico Internet con tráfico interno, sino que utiliza tarjetas de interface de red para dirigir a las firmas colaboradoras a la derecha, el tráfico Web a la izquierda y los empleados remotos directamente por el centro. Y las paredes cortafuego mismas se están trasladando ya a otros puntos críticos en la red. De ahí surge el nuevo término de cortafuegos distribuidos, en referencia a cortafuegos que son “independientes de la topología.
Pescatore clasifica los cortafuegos en tres categorías.
- 1) La primera categoría es el gran cortafuegos front-end, o “cluster de cortafuegos”.
- 2) La segunda es el “accesorio de cortafuego” –un tipo de producto que muchas compañías están adquiriendo para proteger sus oficinas de sucursal–.
- 3) Y el tercero es el cortafuego integrado, que se instala en los PC y
