Los profesionales de TI están bajo presión de los ejecutivos de nivel superior para abrir las puertas a las últimas plataformas basadas en web, relajando la política de seguridad web, según una nueva encuesta de 1,300 gerentes de TI.

La encuesta, realizada por la firma de investigación independiente Dynamic Markets Ltd., fue encargada por Websense Inc., proveedores de seguridad web, DLP y correo. Dynamic Markets realizó entrevistas a gerentes de TI en Alemania, Australia, Canadá, China, Francia, Alemania, Hong Kong, India, Italia , el Reino Unido y los EE.UU.

Casi todos los encuestados dijeron que permitían el acceso a algunos servicios basados en web, como webmail, mashups y wikis. Pero más empleados están recurriendo a plataformas de colaboración en línea; algunos se dirigen a Google Apps, que se integran con la plataforma de Google Gmail, y otros se dirigen a sitios populares de redes sociales, como Twitter y Facebook. Algunos usuarios están evadiendo las políticas de seguridad web para acceder a estos servicios, de acuerdo al 47% de los encuestados.

La presión para relajar la política de seguridad web es cada vez mayor. La encuesta encontró que 86% de los gerentes de TI informó sentir presión para permitir un mayor acceso a los sitios web de redes sociales, herramientas de colaboración en línea y otras tecnologías basadas en la nube. La presión proviene de múltiples fuentes, incluyendo la alta gerencia y los departamentos de mercadeo y ventas.

A pesar de las presiones, el 80% confía en sus prácticas de seguridad web en las organizaciones. Sin embargo, la encuesta reveló que muchas organizaciones carecen de firewalls de aplicaciones web y otras herramientas para la defensa contra ataques basados en web.

Sesenta y ocho por ciento dijo que carecía de la capacidad de realizar análisis en tiempo real de contenido Web para evitar fugas de datos. Casi el 60% carecía de la capacidad para prevenir re-direccionamiento de URL y más de la mitad no tiene herramientas para detectar código maligno en sitios web de confianza.

Los ataques basados en la web han ido en aumento, impulsados por herramientas de hacking automatizadas y fáciles de utilizar, que hackers principiantes pueden comprar en el mercado negro. Las últimas herramientas aprovechan fallos en los sitios web, inyectando código malicioso en ellas para atacar a los visitantes con navegadores Web y aplicaciones vulnerables. Los ataques de descargas pasajeras fueron resaltados esta semana por el Equipo de Respuesta ante Emergencias Informáticas de los EEUU (US-CERT, por sus siglas en inglés). La organización dijo que los ataques pasajeros se han visto en sitios web legítimos, y a veces atacan silenciosamente el equipo de la víctima con malware que monitorea el tráfico de la red y roba información sensible.

Chenxi Wang, principal analista de Forrester Research Inc., dijo que el uso de los servicios basados en la nube (Cloud-based Services) a menudo complica la seguridad de los datos y la privacidad. Wang considera como un servicio basado en la nube cualquier servicio Web que aloje datos fuera de la empresa.

La organización puede perder la visibilidad y el control cuando los datos se encuentran en otra red, dijo. Un reciente estudio de Forrester encontró que el 40% del personal está utilizando algún tipo de servicio de nube externo, ya sea con o sin consentimiento de seguridad de IT.

“Las empresas a menudo no saben, cuando pasan una funcionalidad en la nube, el impacto que tiene en las prácticas internas de seguridad y privacidad,” Wang dijo. “Muchas de estas aplicaciones Web 2.0 son aplicaciones de nube, y realmente no lo entienden completamente.”

Al igual que un campo de batalla, nuestras infraestructuras de tecnología son una compleja formación de elementos que en conjunto albergan uno de los activos más valiosos para las empresas: los datos. Podemos visualizar esta infraestructura como una serie de capas donde los datos ocupan el último nivel, precedidos de contenedores como lo son las localidades físicas, el perímetro, la red, los servidores y las aplicaciones.

De esta forma, cada capa de nuestra infraestructura representa una barrera para el atacante en su camino hacia el objetivo final de acceder a los datos confidenciales, de manera que si falla cualquiera de los controles en una capa haya defensas adicionales que contengan la amenaza y minimicen las probabilidades de una brecha (ver gráfico).

En adición, analizar nuestro ambiente de tecnología de esta forma para fines de integrar seguridad permite dividir el problema en partes más pequeñas y manejables, contribuyendo así a mejorar la calidad de su implementación.

A continuación algunas consideraciones importantes sobre las principales defensas de este modelo:

• Políticas, procedimientos, concientización: Establecen el tono en toda la organización con relación a la protección de los activos de información, definen los objetivos y actividades de control y proveen un criterio de auditoría para el programa de seguridad. Para ser efectivas, las políticas deben ser debidamente comunicadas a todo el personal de la empresa. La concientización es clave debido a que es el personal quien maneja a diario los sistemas y las informaciones, por lo que sin su compromiso no es posible mantener la seguridad.
• Firewall: La primera línea de defensa a nivel de la red la constituye por lo general el firewall, el cual analiza las conexiones entre redes y restringe el acceso de acuerdo a una política de seguridad. Aunque el rol del firewall ha ido cambiando y su función se ha combinado con otras anteriormente dispersas, el mismo sigue siendo un componente importante de nuestro arsenal de defensas siempre que sea correctamente gestionado. Esto incluye, entre otras acciones, mantenerlos actualizados, administrar las reglas de forma que implementen correctamente las políticas y auditar los eventos.
• Sistemas de Detección / Prevención de Intrusos: Estos sistemas monitorean el tráfico de la red y alertan y/o previenen cualquier actividad sospechosa en tiempo real. El reto con estos sistemas es disminuir la cantidad de falsos positivos (actividad legítima que se detecta como maliciosa), así como monitorear los eventos de forma activa e implantar procesos adecuados de intervención.
• NAC: Aunque una tecnología todavía emergente y de relativa poca adopción, el Control de Admisiones a Redes (NAC por sus siglas en inglés) permite inspeccionar los equipos que se conectan a las redes para determinar si los mismos cumplen con las políticas y estándares de seguridad, como por ejemplo contar con software antivirus y parches de seguridad requeridos. A partir de este resultado se puede permitir, restringir o negar el acceso del equipo así como generar alertas e incluso llevar a cabo la remediación correspondiente.
• Antimalware: Las tecnologías antimalware (las cuales protegen de amenazas como los virus, troyanos, gusanos, botnets, spyware y otras formas de código malicioso) continúan su evolución hacia sistemas más inteligentes, capaces de detectar las amenazas más sofisticadas y complejas sin depender principalmente de firmas estáticas. Estas por igual requieren ser gestionadas correctamente. Asegurar su correcta actualización y monitoreo son aspectos clave para mantener su efectividad.
• Encriptación: Puede ser considerada la última línea de defensa bajo este modelo. Encriptar o cifrar los datos protege la confidencialidad de los mismos durante su almacenamiento o transmisión por las redes. De esta forma, aunque los demás controles sean comprometidos, los datos permanecen seguros pues no podrán ser leídos a menos que sean descifrados. La seguridad de este mecanismo depende del manejo adecuado de las llaves utilizadas para descifrar los datos, por lo que se debe prestar especial atención a este aspecto.
• Seguridad Física: Aún tengamos las más estrictas medidas de seguridad lógica, esto no nos protegerá de un intruso que intente sabotear o causar algún daño físico a nuestros sistemas. Por esta razón debemos mantener controles de seguridad física adecuados, tales como CCTV, control de acceso físico, alarmas y vigilancia; particularmente en áreas sensibles como el centro de cómputos.

Finalmente, el involucramiento y compromiso de las distintas áreas de la empresa con los objetivos y actividades de seguridad es esencial para que se mantengan y mejoren a través del tiempo. Para tales fines es necesario promover los beneficios en términos de reducción de riesgos, protección de la imagen, continuidad comercial, cumplimiento regulatorio, entre otros.