Seguridad en las empresas de hoy

Cuando nos mencionan el tema de seguridad viene a nuestras mentes las imágenes de candados, firewall, policías, cajas fuertes, etc. Obviamente que los vendedores de soluciones de seguridad han acudido a estas imágenes tan simples para hablarnos de sus productos.
Pero la seguridad en nuestras áreas de TI es mucho más compleja y requiere de nuestra comprensión para poder tomar acción.

Nuestras infraestructuras de cómputo actuales se han vuelto realmente muy complejas y eso impacta en la administración de su seguridad. Si imaginamos a nuestra infraestructura como una casa, podemos decir que últimamente hemos abierto muchas puertas, a las cuales debimos poner complejos sistemas de alarmas y cerraduras para evitar que entren intrusos.

Las grandes consultoras señalan que la inversión en seguridad aumentará en el orden del 25% anual durante los próximos 3 años. Los empleos en el sector de seguridad han aumentado y existe una gran demanda de puestos gerenciales en estas áreas.

Para permitir que nuestras empresas puedan contar con páginas web, VPNs, intercambio de datos con otras empresas, etc, hubo que abrir esas "puertas" y agregar firewalls para asegurar el perímetro.
Si la cantidad de accesos y firewalls es importante generaremos una gran cantidad de logs, para lo cual necesitaremos un IPS con correlación de eventos, para que analice comportamientos sospechosos y descarte eventos inocuos.

La mayoría de las consultoras internacionales señalan que los ataques suelen venir desde dentro (estiman que en un 60% a 70% de los casos), por lo que adquirimos productos de monitoreo de aplicaciones (BPM y BAM) para asegurar los flujos de trabajo y productos de monitoreo y auditoría de bases de datos (DAM) para evitar que alguien altere la información en su beneficio.

Esto plantea 3 grandes dilemas:

1) Que sucede si se comete un fraude usando el sistema de forma adecuada, dentro de los horarios establecidos de trabajo, en equipos que tienen permitido hacerlo, pero valiéndose de errores en las políticas o en las aplicaciones?

2) Que sucede cuando el volumen de información es tan grande que un humano no puede analizarlo?

3) Que sucede cuando la falla de seguridad es la suma de eventos en diferentes niveles. Ejemplo: Si una persona se conecta desde una determinada terminal con un usuario específico, dentro de un horario permitido y ejecuta una acción.

He hecho pruebas simples en diversas aplicaciones publicadas en la web y puedo decirles que es alarmante el que se puedan ver datos de clientes sin tener que esforzarse demasiado.
Los buscadores como Google son también herramientas de búsqueda de errores en aplicaciones y de huecos de seguridad en nuestra infraestructura.

Recordemos que normalmente la seguridad se basa en el desconocimiento, desconocimiento de claves, desconocimiento de mecanismos, desconocimiento de direcciones, etc.

Pero este desconocimiento cuenta para gente externa a la organización, o no? Que sucede en la época del outsourcing y el desarrollo en empresas en otros continentes? Que ocurre con los ex-empleados? Y las aplicaciones que tenemos corriendo en  esquema de cloud computing?
Las preguntas son muchas y los desafíos aumentan cada año.

Pero no todo es malas noticias, si hay forma de resolver estos problemas, y se llama correlación de eventos y control de accesos. Existen productos que permiten consolidar los logs de los servidores, firewalls, herramientas de seguridad, etc. y rearmar la historia de lo ocurrido.
Podemos configurar estos productos para que nos envíen alertas, generen reportes y respalden la información para futuras consultas.
También existen productos que permiten revisar y auditar el código de los programas para ayudarnos a encontrar posibles fallas de seguridad.

La clave en todo esto es nuestro conocimento del negocio, nuestro enfoque en la seguridad, y el ser realmente concientes del riesgo que significa el no estar preparados.