Llegamos a ustedes gracias a:



Reportajes y análisis

Su infraestructura de seguridad TI

Rebooteada para el 2015

Seguridad TI

[24/02/2015] Piense en las tendencias TI de los años recientes: El surgimiento de la computación en la nube y el modelo "como servicio, el crecimiento de los medios sociales como herramienta de marketing corporativa y colaboración, y el incremento en el uso de tecnología móvil, toda la cual ha ayudado a que surja una fuerza de trabajo cada vez más distribuida .

Como los cambios que se están produciendo en el panorama TI en donde las amenazas contra los diversos y dispersos sistemas y datos son cada vez más sofisticados, muchas organizaciones deben considerar reparar -o al menos mejorar- sus estrategias de seguridad de la información.

"Las organizaciones deberían evaluar continuamente su infraestructura de seguridad. Los atacantes continuamente están aprendiendo y cambiando de tácticas, y así debe hacerlo todo programa de seguridad si quiere tener éxito, señala Tyler Shields, analista de seguridad y administración del riesgo de Forrester Research.

"Creo que ha habido un nivel mayor de escrutinio recientemente en ciertos sectores, debido a las muy publicitadas fallas de seguridad, añade Shields. "El retail y los servicios financieros han sido muy golpeados últimamente y están mostrando mayores niveles de vigilancia para reducir las dificultades.

Proteger los datos, no los sistemas

Una de las tendencias más predominantes en la seguridad en la actualidad, parece ser poner más énfasis en proteger los datos más que los sistemas y las aplicaciones. Las muy conocidas fallas de seguridad en los retailers como Target y Home Depot han dejado a las compañías más preocupadas en torno a la protección de los datos de los clientes, y están dedicando más recursos al esfuerzo.

Wayfair, retailer en línea que vende una amplia gama de bienes, ha creado un equipo dedicado para encarar el ambiente de seguridad general y recientemente se ha dedicado a importantes iniciativas y tecnologías -como la mitigación, tokenización de los datos confidenciales y autenticación multifactor- para ayudar a ampliar y proteger los datos de los clientes.

"Para la comunidad retail, las tecnologías y los servicios dirigidos a salvaguardar los datos de los clientes están de moda, y la autenticación simple ya pasó de moda, señala Jack Wood, CIO de Wayfair. "En lugar de la autenticación simple, más compañías en línea tienen varias formas de autenticación de dos factores. Los clientes usualmente ven esto preguntas de seguridad o imágenes especiales, luego del login.

Las tecnologías como los firewalls están evolucionando para convertirse en tecnologías más útiles en el ambiente actual, de acuerdo a Wood. "Los firewalls de siguiente generación y la autenticación de dos factores son herramientas invalorables en nuestro arsenal, señala. "Nos están permitiendo medir la necesidad de una mayor capacidad y ajustar las ACL (access control lists) 'al vuelo' con poco o ningún impacto sobre el negocio.

Una gran parte de salvaguardar los datos tiene que ver con educar a los usuarios. "La preocupación por la seguridad y la capacitación ha sido un buen cambio, sostiene Wood. "Es sorprendente cuánta comunicación ocurre en la lista de mailing de seguridad. Estamos encontrando que los empleados desean indagar sobre adjuntos de correo electrónico sospechosos o plug ins extraños.

Al evaluar constantemente los datos de la industria y sus propios datos, Wayfair "puede proporcionar una buena evaluación del riesgo de los potenciales vectores de amenaza, sostiene Woods. "Luego damos prioridad en base a muchos factores, como el impacto potencial, costo y probabilidad de los ataques.

Sea más proactivo

Algunas organizaciones están apuntando a ser más proactivas cuando se trata de detectar y evitar los ataques a la seguridad.

"Nuestra estrategia es cambiar de una mentalidad de bloqueo a una de detección y respuesta rápida, señala Michele Norin, CIO de la Universidad de Arizona. "Nuestra capacidad de ser proactivos en cuanto a las intrusiones en nuestras redes -e identificar, contener y eliminar rápidamente las amenazas- es una de las mejores cosas que podemos hacer.

Ese enfoque se alinea con el nuevo marco de seguridad que acaba de ser publicado por el National Institute of Standards and Technology (NIST).

Norin afirma que ser proactivo significa tener un mayor entendimiento acerca de las actividades que se llevan a cabo en la red del campus de la universidad y observar las anomalías de comportamiento. También significa evaluar la infraestructura de seguridad para encontrar dónde se pueden realizar mejores.

"Evaluamos continuamente nuestro ambiente de seguridad para evaluar las vulnerabilidades, las áreas de riesgo, fortalezas y, en último término, las mejoras necesarias por hacer, sostiene. "Al ser una gran institución, nos imaginamos a nosotros mismos como una pequeña ciudad en la que las complejidades con las que tenemos que tratar involucran a una comunidad conformada por estudiantes, profesores, trabajadores, padres, exalumnos y público en general.

La universidad tradicionalmente tiene un enfoque multidimensional para proteger los activos de información de un grupo tan diverso mediante campañas de concientización, capas de tecnologías de protección, programas de actualización de contraseñas, herramientas de software, políticas y pautas, así como la adopción de mejores prácticas de la industria. Pero recientemente, el equipo de TI de la universidad ha estado sintiendo una sensación de urgencia mayor cuando se trata de la seguridad.

"Los métodos utilizados por los hackers en la actualidad para filtrar nuestros sistemas han crecido a un nuevo nivel de sofisticación e intensidad, lo que nos ha hecho acelerar nuestros esfuerzos de mejora, sostiene Norin.

El cambio más grande en el programa de seguridad de la universidad es un esfuerzo para mejorar la visión del tráfico de su red, los patrones de uso y las anomalías en el desempeño. "Recolectar más datos involucra ampliar la característica de logging proporcionada por la mayoría de herramientas de hardware y software, sostiene Norin. "Tener más datos con los cuales trabajar nos está permitiendo detectar y resolver problemas mucho más rápido y de una mejor manera. Por ello, en muchos casos, podemos decir si una cuenta individual se encuentra comprometida.

Por ejemplo, al evaluar los patrones de uso de una VPN, los gerentes pueden entender cuál tráfico de red es legítimo y cuál no lo es.

Aunque todavía hay lugar para tecnologías como los firewalls y las contraseñas, sostiene Norin, "necesitamos un enfoque fresco sobre la forma en que autenticamos y protegemos. Por ejemplo, explica, "estamos comenzando a desplegar un nuevo programa de autenticación de dos factores que añade un paso adicional a nuestra actual administración de la identidad y mecanismos de contraseñas. Ella declinó identificar las tecnologías de seguridad específicas que la universidad está utilizando.

El nuevo framework NIST "es el contexto para la forma en que estamos dando una nueva forma a nuestro programa, sostiene Norin, anotando que el enfoque de NIST gira en torno a la idea de que las organizaciones deberían asumir que ya han sido violentadas y que, por tanto, necesitan enfocarse en la detección y mitigación rápida.

Piense en dónde y cómo almacenar los datos

Las compañías también están cambiando el lugar en donde están almacenando los datos de negocio críticos debido a las preocupaciones en cuanto a la seguridad.

Por ejemplo, Hargrove Inc., compañía de eventos y espectáculos, está sacando los datos confidenciales de los servidores principales y más usados, y los está aislando en sistemas menos usados, de tal forma que menos usuarios tendrán acceso a ellos.

A pesar que la mayoría de empleados no tendrían acceso a esos datos en primer lugar, "es mejor retirarlos de esos servidores, sostiene Barr Snyderwine, CIO de Hargrove. "Estamos añadiendo almacenamiento adicional y redefiniendo el acceso a los archivos que creamos para los proyectos. Estamos tomando un enfoque más detallado para permitir el acceso a los archivos, así como a los datos relacionados con los proyectos.

Hargrove está trabajando en un proyecto para actualizar la tecnología que crea su sistema de archivos, para asegurar que proporciona el nivel correcto de acceso a cada tipo de empleado. También está explorando el uso de software de prevención de pérdida de datos (data loss prevention), el cual se encuentra diseñado para detectar las potenciales filtraciones de datos y evitar que impacten en la organizaciones monitoreando y bloqueando los datos confidenciales mientras se están usando, se están moviendo por una red o se está accediendo a ellos o están siendo almacenados en sistemas de almacenamiento de datos.

El programa de seguridad 2015 de Hargrove también está considerando el uso de autenticación de tres factores y sistemas biométricos como las tecnologías de escaneo de huellas digitales.

"Desde mi perspectiva, todas las viejas medidas de seguridad -como los firewalls y las contraseñas- aún se están usando pero no son suficientes, señala Snyderwine. "Necesitamos añadir nuevas tecnologías y revisa críticamente quién tiene acceso a qué.

La compañía no se encuentra preocupada solo por el lugar donde se debería almacenar los datos y quién debería tener acceso a ellos; también evalúa si ciertos tipos de información deberían ser almacenados, y si este es el caso, cuánto tiempo deberían mantenerse.

Contratar -o adquirir- habilidades de seguridad

En industrias como las finanzas y cuidados de la salud, proteger los datos de los clientes es especialmente importante, y hacerlo puede ser un desafío.

"Mucho del foco -en cuidados de la salud- está puesto en la forma en que las organizaciones pueden hacer más cosas y mejores cosas -para los pacientes- con menos, señala Orlando Agrippa, CEO de Draper & Dash, proveedor londinense de servicios de analítica de negocio para la industria de cuidados de la salud. También es exCIO y director de informática de Barts Health NHS Trust.

"La experiencia del paciente, en muchos países, ha hecho que muchos hospitales proporcionen más datos al público, una práctica que tiene varios requerimientos de seguridad adjuntos, explica.

A pesar de ello, muchas organizaciones de cuidados de la salud no tienen profesionales de seguridad de la información a mano con la experiencia para hacer frente incluso a los hackers juniors, afirma Agrippa. Las organizaciones de cuidados de la salud necesitan tener "hubs de innovación internos en donde puedan encontrar startups o individuos tecnológicos de primera clase que les ayuden a instalar una seguridad de nivel 'estado del arte'.

"Hay que tener talento joven que nos ayude a informar y dar forma a la seguridad de la información, sugiere Agrippa. "Muchos de estos jóvenes pueden hackear cualquier cosa y pueden estar en capacidad de ayudarnos a encontrar las fallas en nuestros enfoques.

Para salvaguardar aún más sus datos, Hargrove está contratando a una firma de seguridad para revisar sus medidas de seguridad y respuestas a los incidentes. Esa decisión fue decidida por "el incremento de los ataques en general y las potenciales amenazas a la compañía y su reputación, sostiene Snyderwine.

"Estaremos usando la firma de seguridad para evaluar nuestras medidas de seguridad, políticas y procedimientos en general, explica. "Tengo algunas cosas específicas para que las revisen, como el acceso, los sistemas de detección y los procedimientos de respuesta. Buscamos mejorar y formalizar las políticas en torno al acceso y la penetración de los datos.

El factor móvil

Entre los mayores desafíos que las compañías enfrentan en la actualidad se encuentra asegurar los ambientes TI que son cada vez más móviles, tanto en términos de salvaguarda de los propios dispositivos como en términos de asegurar los medios mediante los cuales acceden a la información corporativa y las redes.

"La movilidad está empujando el acceso y los datos fuera de los tradicionales controles de seguridad y las redes, señala Shields de Forrester. "TI debe adaptarse al nuevo paradigma y determinar nuevas formas en las que podemos asegurar los datos cuando son muy errantes y se encuentran localizados en dispositivos personales y redes hostiles.

En Wayfair, la tecnología móvil "es una de nuestras mayores áreas de preocupación, ya que la movilidad representa un incremente significativo en los puntos de ingreso de los ataques, sostiene Wood. "También introduce más sistemas operativos, navegadores y software que se tienen que mantener. Esto seguirá siendo una preocupación ya que la movilidad se está convirtiendo en un canal cada vez más popular.

Los equipos de TI y seguridad de Wayfair están aprovechando el big data para buscar tendencias de uso y los patrones de los clientes para refinar la estrategia de seguridad móvil de la compañía. "Ahora que vemos una mayor adopción de una plataforma en particular, podemos cambiar los esfuerzos, acelerar las valoraciones de seguridad y administrar proactivamente las vulnerabilidades, sostiene Woods. "La analítica y el big data nos permitirán saber cuáles son los dispositivos más populares de nuestros clientes.

Por ejemplo, si los usuarios de Android representan el segmento de más rápido crecimiento de clientes, Wayfair dedicará más recursos de ingeniería a las características para dispositivos Android.

"Uno de los desafíos con la movilidad, indica Norin, "es recordar a las personas utilizar sus dispositivos de mano de la misma forma en que usan sus computadoras; es decir, usando contraseñas, manteniendo actualizado el software, usando las herramientas como 'find me' si se encuentran disponibles y cuidándose de las trampas de phishing.

Ella señala que el ambiente móvil de la Universidad de Arizona es muy diverso, dado que la mayor parte de la comunidad es errante por naturaleza. "Los estudiantes vienen al campus con una variedad de dispositivos y usualmente tres diferentes dispositivos por individuo, sostiene Norin. "Los profesores y el personal en ocasiones usan los dispositivos móviles dados por el departamento, o pueden usar los suyos.

Dado el crecimiento expansivo en el uso de dispositivos móviles, y la inherente complejidad de la tecnología móvil en general, la universidad está reevaluando sus políticas para determinar qué necesita cambiar, sostiene Norin.

La movilidad es una preocupación para Hargrove también. "Tenemos que ser móviles debido a nuestro negocio y necesitamos asegurarnos que entendemos el caso de uso y el envío de los datos al dispositivo móvil, señala Snyderwine.

Para fortalecer la seguridad móvil, la compañía se basa en políticas de uso y Microsoft Exchange Server para administrar el uso móvil de sus datos y aplicaciones, como el correo electrónico.

Hargrove estará evaluando otros productos para mejorar aún más la seguridad de los datos en los dispositivos móviles. Snyderwine afirma que espera adoptar tecnologías que den a TI la capacidad de cifrar datos y destruir solo los datos de la compañía en los dispositivos de los usuarios. La compañía también busca evaluar software de administración de dispositivos móviles este año.

El incremento en la movilidad es solo uno de los muchos desafíos a la seguridad que enfrentan las organizaciones en la actualidad. Al igual que con otros aspectos de TI, la única constante con la seguridad es el cambio, y aquellas organizaciones que se mantengan con el ritmo de los cambios tendrán las mayores probabilidades de éxito en la protección de sus valiosos datos.

Bob Violino, Computerworld (EE.UU.)