Automatización y gestión de la seguridad
El gran reto del nuevo centro de datos
De todos los retos que plantea el nuevo concepto de centro de datos, quizá el de la automatización y gestión de la seguridad sea el mayor de todos. Por suerte, las tecnologías de seguridad han evolucionado durante los últimos años hacia ese objetivo, ofreciendo ya procesos automatizados de tareas como gestión de parches, gestión de las configuraciones, y asignación y eliminación de derechos de acceso. Pero, como parece obvio, una seguridad totalmente automatizada no existe y es muy difícil, si no imposible, que exista algún día. Se avanza, eso sí, en la integración de inteligencia en los sistemas de gestión y seguridad –cada más estrechamente unidos– a fin de automatizar procesos en un entorno dinámico. En esta tendencia, la disponibilidad de estándares juega un rol crucial.
En cierto modo, la automatización es consustancial a cualquier proceso de seguridad, pero sólo en cierto modo. O lo es que es lo mismo, sólo en lo que respecta a cierta automatización. Los cortafuegos, los sistemas de detección de intrusiones (IDS) y el software antivirus escanean y “olfatean” ordenadores y tráfico de red para detectar ataques, virus y gusanos. Los sistemas de gestión de vulnerabilidades localizan y parchean agujeros a fin de que no sean explotados por terceros. Los gestores de acceso remoto escanean y limpian los puntos extremos antes de permitir el acceso a la red. Y los administradores de seguridad pueden ver todo ello desde una estación de monitorización central. Hasta aquí perfecto. Pero lo más probable es que dicha estación central sea más una colección de estaciones de monitorización específicas que una verdadera consola central de monitorización integrada: la imposibilidad de que diferentes productos de securización compartan la información de seguridad y de red limita la automatización en este campo. A este problema se añade la dificultad que implica establecer políticas de seguridad estrechamente alineadas con las características peculiares del negocio.
En cualquier caso, resulta obvio que, si bien la seguridad cada vez estará más automatizada, nunca remplazará del todo a la intervención, intuición y percepción humanas. Como señala Gartner, “los modelos de seguridad automatizada permiten detectar problemas, establecer acciones correctoras y alertar a un profesional de TI, que, en consecuencia, creará un filtro o tomará una medida para protegerse de dicho problema; es decir, siempre habrá una relación simbiótica entre humanos y ordenadores”.
Alineación con el negocio
La realidad es que no todos los tipos de soluciones de seguridad se encuentran igualmente preparados para asumir la automatización de las tareas. La detección de intrusiones, los antivirus, los cortafuegos y el antispam están ya lo suficientemente maduros en este sentido, y requieren una mínima intervención humana, si bien siempre necesaria aunque sólo sea para ciertas actualizaciones manuales. Pero, por lo general, realizan automáticamente tareas como la actualización de ficheros de firmas y el bloqueo de gusanos y virus, escaneando y analizando las corrientes de datos, e inspeccionando a fondo los paquetes para detectar los comportamientos sospechosos. Se trata de unos logros que, como recuerda la consultora Gartner, ha llevado diez años conseguir. Por el contrario, otros tipos de soluciones, como la agregación de la información de seguridad y la gestión de identidades, todavía no han conseguido ese grado de madurez, ni se espera que lo alcancen hasta al menos 2010.
Un aspecto clave en esta evolución es que no sólo los productos comerciales han de tender hacia la automatización, sino que también las propias organizaciones han de buscar la manera de que la seguridad se alinee con las “best practices” y puedan así ser automatizadas de modo que se conviertan en operaciones normales de negocio. Hoy, por ejemplo, los cortafuegos se han convertido en una rutina embebida en las infraestructuras de red, y la actualización de parches ha pasado de ser una tarea de gestión de excepción a una operación convencional. Y cuando la seguridad automatizada se convierte en una rutina, los profesionales ganan el tiempo y la libertad para centrarse en otras tareas de mayor nivel, como el tratamiento de nuevos riesgos y la definición de políticas para áreas clave, como las arquitecturas orientadas a servicios, gestión de derechos digitales o gestión de identidades. Éstas y otras cuestiones emergentes precisan conseguir sus best practices para que, a partir de ahí, puedan ser automatizadas.
Gestión de eventos
Pieza clave de la automatización de la seguridad es la automatización de la gestión de eventos de seguridad, que implica reducir la información a niveles “razonablemente” gestionables y, por tanto y en buena medida, la intervención humana. De lo que se trata, como afirma Meta Group, es de desechar de toda esa información bruta el 99% que apenas tiene trascendencia para centrarse en el 1% que sí preocupa. Para ello, hay que evaluar las fuentes de información y gestionarlas de modo que se reduzcan a una corriente de datos realmente útiles que analizar y correlacionar de una forma automatizada.
Aún así, el análisis y correlación que pueden ofrecer las herramientas de SIM (Security Information Management) siempre tendrán un alcance limitado, pues sólo los responsables de una empresa conocen los datos de naturaleza verdaderamente crítica para el negocio, en función de las peculiaridades de la empresa. Teniendo esto claro y especificando las reglas de correlación adecuadas, las herramientas de análisis ofrecerán las respuestas precisas.
Con todo, todavía queda camino por recorrer en este sentido. Aunque las herramientas SIM hacen su trabajo en la parcela específica de la seguridad –su propósito primario–, no están preparadas para explotar todo el potencial de la información relativa a la red, a menos que dicha información provenga de un sistema desarrollado o soportado por su mismo fabricante. Este problema aparece tanto en los espacios inalámbricos como en los cableados. Es la batalla por una consola de gestión de la seguridad integrada y abierta, basada en estándares, capaz de tratar la información de los dispositivos de seguridad, y, además, de sacar partido de la información relativa a los dispositivos de red –también fundamental para la buena salud de las infraestructuras del negocio–, con independencia de fabricantes.
En el objetivo convergen varias tendencias: el esfuerzo de la industria por dotarse de estándares; la integración en productos polivalentes, ya sean de hardware o de software, de las distintas funciones de securización; la integración de tales funciones en los equipos de red (como routers y conmutadores); y, finalmente, la integración de las funciones de gestión de red y de gestión de la seguridad para lograr una visión automatizada y coherente del entorno a proteger.
Estándares para todos
Una meta básica en la evolución de la automatización y gestión de la seguridad es lograr una visión común del problema que pueda ser compartida por la industria y por los usuarios. Junto a los esfuerzos del sector por especificar normas comunes en campos específicos como la gestión de identidades o la gestión de contenidos digitales, a nivel más general existen diversas iniciativas por desarrollar un idioma común con el que enfrentarse al problema de la seguridad, como la Open Security Exchange (OSE) y la Open Security Foundation (OSF).
Durante los dos últimos años, Computer Associattes (CA) y otras siete compañías han estado trabajando en OSE a fin de desarrollar un modo común de identificar y compartir información de eventos de seguridad a través de dispositivos de múltiples tipos y marcas. También es de destacar The Open Source Vulnerability Database, iniciativa hoy gestionada por la OSF que, desde agosto de 2002, contribuye a la compartición de definiciones comunes de vulnerabilidades entre sistemas de gestión de la seguridad.
Y no se puede olvidar al venerable SNMP del IETF, utilizado d
