Skip to main content

La mejor seguridad es sentirse siempre inseguro

(Tiempo estimado: 5 - 10 minutos)

Un grupo de expertos en Seguridad se reúne en la Casa Blanca con el presidente de los Estados Unidos para hablar del preocupante incremento de los ciberataques. El propio presidente dice a los presentes: “Estas agresiones ponen de manifiesto cómo una simple vulnerabilidad en la red puede generar grandes riesgos. No deberíamos salir de esta reunión con una inmensa sensación de inseguridad. Estamos todos aquí y vamos a determinar qué es lo que vamos a hacer”.

Si alguien piensa que se trata de la respuesta de Obama a los desafíos que plantea el cloud computing o Wikileaks está equivocado. Esto sucedió en el año 2000 y el presidente era Bill Clinton. Algunos dirán que las cosas no han cambiado mucho en diez años porque los ordenadores siguen siendo vulnerables a los hackers y las organizaciones todavía cometen fallos en la implementación de medidas de seguridad y sigue habiendo gente dispuesta a robar información. Sin embargo, sí ha ocurrido algo importante durante la década: la red ha crecido exponencialmente y se ha convertido en un sitio en el que las personas y las empresas se sienten cómodas para relacionarse y hacer transacciones. En pocas palabras, Internet se ha convertido en un territorio cada vez más abierto para los negocios.

En ese contexto, las empresas y las organizaciones en general se están enfrentando a una incertidumbre creciente generada por un sinfín de desafíos y amenazas que a muchos pueden llegar a parecer insuperables. Para complicarlo aún más, al mismo tiempo que luchan encarnizadamente para sobrevivir, tienen que tomar decisiones transcendentales en el largo plazo que tienen un impacto directo en la sostenibilidad del negocio. Un gran número de empresas se están replanteando su estrategia para centrarse en sus competencias principales y dejar a un lado aquello que no esté alineado con la misión de la empresa. Desafortunadamente, algunas no contemplan la seguridad de la información como un elemento crítico. 

Sin embargo, la seguridad es más importante que nunca para la supervivencia de una organización. Los gobiernos y empresas realizan grandes inversiones para construir sus actividades y negocios, y necesitan protegerlos de amenazas internas y externas para poder llegar incluso a reconstruirlos si fuera necesario. Los riesgos reales y emergentes pueden tener un profundo impacto hasta el punto de socavar la estrategia más sólida. 

La seguridad es la fuerza protectora que garantiza que los planes corporativos se puedan cumplir y que las empresas puedan resurgir con éxito a medida que la economía se normaliza. Pero hay que entender que el concepto mismo de seguridad ha cambiado y que se hace necesaria una visión holística. Quiero decir con esto que, para poder desarrollar una estrategia eficaz, no basta con plantear una defensa ante lo que pueda provenir del exterior, sino que hay que considerar también posibles amenazas que pueden provenir del interior de la propia empresa y que no tienen que ser necesariamente ataques intencionados. No siempre la intención es delictiva. Existen razones como el simple desconocimiento de las políticas de seguridad o errores que van de la protección inadecuada de datos y sistemas hasta las distracciones, como enviar un e-mail con datos críticos a alguien que no debería recibirlo. Una sólida política de seguridad que incluya la formación de los usuarios, controles de acceso a la red, control de la gestión de los sistemas o la encriptación de datos críticos pueden ser algunas medidas preventivas. 

Siguiendo la misma estela de prevención, existen hoy en el mercado herramientas que permiten analizar continuamente en la red todos los intentos de ataque fallidos que interceptan los sistemas de detección de la empresa y que son capaces de prevenir futuras amenazas. En muchas ocasiones, empresas pequeñas y grandes se han visto gravemente afectadas por pequeños problemas que pasaron inadvertidos: “gusanos” que infectan ordenadores, instalación de programas no autorizados, discos llenos que se saturan, escaneados de las conexiones de Internet de personal ajeno a la organización, etc. Mediante la monitorización activa de la seguridad se reducen los problemas y se mejora la seguridad de la información. 

El debilitamiento producido por los recortes y las restricciones financieras podrían hacer sucumbir a una empresa ante un ataque bien organizado. Ahora que las empresas empiezan a desarrollar los planes estratégicos que les van a permitir alcanzar el éxito en el largo plazo, tienen que considerar aquellas actividades que van requerir medidas de seguridad en línea con las necesidades de su negocio.

Es interesante destacar que no se trata de determinar cuánto se va a gastar en seguridad, sino de la aplicación de prácticas efectivas e innovadoras que sean complementarias y den soporte a los procesos de negocio. La realidad es que estas prácticas han tenido un gran desarrollo en la última década y muchas empresas han ganado un significativo valor gracias a la implementación de programas exhaustivos tales como sistemas de gestión de seguridad de la información,  plataformas de control y en algunos casos, la inclusión de métricas y otras técnicas de reporte.  Con todo y a pesar de este positivo avance hacia la seguridad en la empresa, en la mayoría de los casos faltaba una característica indispensable para mantener la seguridad en momentos de dificultad económica: la adaptabilidad.

Y en este contexto, la seguridad en la red juega un rol esencial. Si aún queda algún escéptico acerca de que vivimos en un mundo interconectado en el que la red ha pasado a ser un elemento fundamental para individuos y empresas, es hora de que rectifique y se enfrente a la realidad. Según los datos hechos públicos recientemente por la revista digital Good, cada segundo se envían en el mundo 2,9 millones de correos electrónicos y Google procesa, cada día, la friolera de una media de 24 Petabytes de datos. 

Según una encuesta realizada por la consultora Gartner, este año el cloud computing está siendo, junto con  la virtualización y los entornos web 2.0, una de las prioridades tecnológicas para los directores de sistemas de información de las empresas más importantes del mundo. Y es perfectamente comprensible porque los beneficios de optar por trabajar con un modelo cloud son numerosos, entre ellos, la disminución de los costes fijos para la empresa, un retorno más rápido de las inversiones en tecnología, una mayor agilidad en la operatividad del negocio y una mejora en la movilidad de las fuerzas de trabajo. 

Ya he tenido ocasión de compartir anteriormente con ustedes, los lectores de Executive Excellence, nociones sobre el modelo cloud desde esta misma tribuna, por lo que no reiteraré conceptos. Pero sí creo de vital importancia hacer hincapié en que cuando trabajamos en un entorno cloud, en el que la red es la protagonista, es fundamental tomar todas las medidas que estén a nuestro alcance para garantizar su seguridad.

El año de la nube 

En un modelo cloud, la continua disponibilidad de los datos en la red puede considerarse como uno de los mayores problemas para la seguridad de esos datos. El servicio más sofisticado y capaz de ofrecer el mayor valor no tendrá ningún interés si no garantiza la disponibilidad de los datos con la máxima seguridad. Es por eso que existen en este campo áreas de especial interés: ¿cómo impacta la arquitectura cloud en los niveles de disponibilidad durante un servicio?; ¿en qué medida puede el cloud ayudar o dificultar esa disponibilidad cuando una organización necesita ampliar o disminuir rápidamente la cantidad de datos a los que aplicar estos servicios?, ¿qué impacto tiene el cloud en la estrategia de continuidad de negocio de una compañía?...

La realidad es que, para la inmensa mayoría de las empresas, la no disponibilidad de los datos y/o servicios que presta cuesta mucho dinero dado su enorme impacto en las ventas y la productividad, así como en la posible pérdida de clientes. Pero más allá de la repercusión económica, una empresa se juega algo mucho más importante si esto ocurre: su reputación en el mercado. Estas cuestiones son, básicamente, las que más preocupan a las compañías a la hora de abrazar el modelo cloud computing. Y para comprenderlas y superar los posibles miedos es muy importante dejarlas en manos de los especialistas en tecnología, aunque las respuestas deben de llegar de ambas partes. 

Los proveedores de cloud computing y sus potenciales clientes corporativos necesitan, pues, dar un paso adelante conjuntamente, testear los servicios y desarrollar nuevas políticas y prácticas de seguridad. Solventar las cuestiones de seguridad en la red está en el interés de todos y el modelo cloud cada vez da más posibilidades. Por eso, podemos afirmar que 2010 ha sido el año en que la “nube” se ha extendido realmente en el mundo de los negocios.

Dada la flexibilidad de un modelo cloud computing, es crítico que se extremen las precauciones en cuanto a qué medidas de seguridad se aplican en un modelo de “servicios en la nube” y quién las aplica. Muy especialmente cuando es una “nube” para entornos corporativos o entornos gubernamentales, en los que la seguridad es crucial. 

En estos casos, un servicio de seguridad en la “nube“ ha de ser, necesariamente, capaz de tratar individualmente a un gran número de usuarios de múltiples organizaciones desde una única plataforma. Dado que la política de cada organización está ligada a la “nube”, cualquier usuario puede conectarse a cualquier centro de datos a través de ella y es crucial proteger, en primer lugar, la navegación web y los correos electrónicos, más expuestos a virus, robos de datos o suplantación de personalidad, para pasar, después, a prácticamente todas las herramientas corporativas.  

En un modelo cloud el proveedor del servicio gestionado ha de garantizar que su estrategia en cuanto a seguridad combina una buena política de protección corporativa y la tecnología efectiva para llevarla a cabo. Por eso, mi recomendación es que cada compañía ha de asegurarse de que contrata al proveedor de servicios gestionados que use la tecnología apropiada y que ésta se adhiere a los rigurosos estándares de calidad del mercado al respecto.

También es importante saber que detectar y contrarrestar un posible ataque a nuestros sistemas es una cosa; rastrear y crear una defensa contra el atacante, otra. Un buen sistema de seguridad en la red ha de ser capaz de rastrear el ataque y recopilar una cadena de pruebas de que el ataque ha existido y con las cuales poder plantear una acusación concreta. Tanto los departamentos de tecnología de una empresa, o de los proveedores del servicio gestionado en el caso de un modelo cloud, y sus departamentos jurídicos han de estar involucrados en la lucha contra el cibercrimen.

Las amenazas para compañías y gobiernos son muchas. Son reales y existen, no podemos negarlo. Pero no son insorteables. Cuanto antes nos centremos en que podemos resolverlas, en lugar de en que no podemos, será mejor para todos. Debemos tener en cuenta factores como educación, lealtad de los empleados y sentido común, ya que la red puede facilitar la exportación o distribución malintencionada de información confidencial de la compañía por parte de algunos empleados; pero no podemos sacar a la tecnología del debate ya que ésta es un elemento clave para garantizar la seguridad. Especialmente en los entornos cloud computing. Estaremos en las nubes, sí… y cada vez más. Pero siempre seguros.


Ana Lledó Tarradell, directora de Productos y Diseño de Soluciones BT España.

Artículo de opinión publicado en Executive Excellence nº76 dic10


Últimos artículos

Herminia Ibarra
Personajes con talento
21 de Noviembre de 2024