Seguridad: un enfoque centrado en los datos
Al orientarse hacia los datos, la seguridad comienza a extenderse a la totalidad del negocio, entendiéndose hoy más como un proceso que como un producto.
Y a en octubre de 2006, IDC reveló como una de las principales conclusiones de un estudio global realizado entre más de 4.000 profesionales de TI en más de 100 países que para preservar la seguridad de una organización, las personas y los procesos son más importantes que la tecnología. Y es que el factor humano tiene gran relevancia por dos razones. Por un lado, es parte del problema, dado que la mayoría de las incidencias de seguridad en los últimos años han tenido un componente de error humano. Por otro, es parte de la solución: la estrategia y procesos de seguridad no pueden circunscribirse a los departamentos de TIC, sino que deben de extenderse a toda la organización. Una vez que las personas y los procesos están alineados con la estrategia de seguridad, es cuando adquiere relevancia la tecnología, que asume el rol de facilitador para la implementación de las estrategias de seguridad.
Pero ¿por qué tiene tanta importancia el factor humano frente a la tecnología? Porque la mayor fuente de riesgo se encuentra en la interacción entre la persona y los datos. Y los departamentos TIC se están dando cuenta de que lo que hay que proteger son los datos, y por tanto es en torno a ellos donde tiene que centrarse la seguridad, en vez de en las redes o los sistemas.
Los objetivos de disponibilidad, confidencialidad, integridad seguirán teniendo la misma relevancia que han tenido en el pasado. No obstante, aparecen nuevos retos ligados a la dinámica de los datos:
• El elevado ritmo de crecimiento. IDC estima que el volumen de datos almacenados por las grandes empresas se incrementará a un ritmo del 30% durante 2008 y 2009. Las políticas de almacenamiento y seguridad tienen que adaptarse a este crecimiento, una tendencia que irá a más con el tiempo.
• La complejidad creciente. Tienen una gran variedad de formatos, son cada vez más voluminosos (los ficheros multimedia ocupan mucho espacio) y son heterogéneos (estructurados, semiestructurados y no estructurados).
• La dispersión. La disponibilidad de dispositivos de almacenamiento al alcance de cualquier empleado hace muy difícil realizar un seguimiento de dónde reside la información. De acuerdo con varios estudios recientes de IDC, menos de la mitad de los responsables de centros de datos conoce la cantidad de datos almacenados fuera del datacenter.
Estos retos ponen de manifiesto que todavía existe un escaso control sobre los datos en las organizaciones. En este contexto nos encontramos frente a nuevas amenazas:
• La información está cada vez más expuesta. El número de personas o sistemas con acceso potencial, autorizado o no, crece a una gran velocidad.
• Las amenazas de ataques han evolucionado. Los objetivos de los atacantes han cambiado, así como sus patrones de comportamiento. En el pasado, buscaban principalmente notoriedad, y tenían cierto componente lúdico. Actualmente, tienen ambiciones económicas y cuentan con avanzadas herramientas tecnológicas. También ha cambiado la naturaleza de la información que persiguen los atacantes. Antes, la información que se buscaba era puntual, relacionada con información privilegiada. Hoy, la información deseada es de carácter masivo, y más relacionada con datos de identidad.
• Las amenazas relacionadas con las interrupciones de negocio y caídas de sistemas tienen cada vez mayor impacto económico. En consecuencia, se consolida una mayoría de empresas que tienen en marcha sistemas de backup y planes de continuidad. No obstante, la efectividad de estas medidas no se percibe como garantizada. Muchas empresas no confían en sus sistemas si tuvieran que afrontar una situación grave de falta de disponibilidad. Es aquí donde aparece la oportunidad de externalizar los planes de continuidad, lo que libera a la empresa de la complejidad de su gestión.
• Amenazas relacionadas con los empleados. Se podrían clasificar en dos niveles: el ya mencionado error humano y la brecha entre las necesidades de conocimiento en seguridad y las capacidades del personal TIC de las empresas.
• Web 2.0. El riesgo más importante de las aplicaciones web 2.0 es el uso malicioso de widgets para hacerse con información personal. Por ello, es previsible un gran crecimiento de la demanda de seguridad web.
Redefinición de la seguridad
Si la seguridad se orienta hacia los datos, se extiende hacia todas las áreas de negocio, y ya no se define como un producto, sino como un proceso cuya gestión requiere un conjunto de capacidades tanto tecnológicas como de negocio. Esta gestión de la seguridad se apoya, en primer lugar, en la detección de los riesgos, y después en el establecimiento de políticas adecuadas para controlarlos
Hay una amplia variedad de áreas en la que pueden identificarse riesgos. Entre ellas se encuentran:
• Criticidad de los datos. Para proporcionar seguridad a los datos, un primer paso es saber qué datos son críticos y necesitan un alto nivel de protección. Sin embargo, en la actualidad es muy pequeña la proporción de empresas que utilizan herramientas para clasificar sus datos, aunque es previsible que esta situación cambie en el futuro.
• Infraestructura. La propia infraestructura tecnológica de la empresa puede ser una fuente de vulnerabilidades. En la infraestructura de TI, la seguridad abarca desde la seguridad física del edificio, el nivel de optimización del equipamiento del datacenter y la disponibilidad de backup extendido a toda la información crítica de la empresa. En la infraestructura de telecomunicaciones, la seguridad comprende la tecnología de acceso (la fibra, por ejemplo, es más segura que el cobre) y a las redundancias en la red.
• Procesos. Los procesos que rigen el acceso y uso de los datos y recursos tecnológicos, tanto internos como externos.
• Dispositivos. La generalización de dispositivos móviles de empresa supone una fuente de amenazas “por la puerta trasera”. En esta área, la gestión de dispositivos y la seguridad confluyen.
El segundo componente de la gestión de riesgos es el establecimiento de políticas y procesos que permitan implementar la seguridad en la práctica. Estas políticas pueden ser internas, como las de utilización de la información y de los recursos tecnológicos, y externas, como el cumplimiento de las normativas sobre seguridad.
Tendencias del mercado
Este nuevo enfoque de la seguridad va a reforzar el crecimiento del mercado de tecnologías de seguridad, tanto en el segmento de hardware, software y servicios. El cumplimiento de la legislación de seguridad, así como la necesidad de reducción de riesgo, impulsará el segmento de gestión de accesos e identidades, así como el de gestión de vulnerabilidades. El comportamiento del mercado de gestión y securización de contenidos será el más dinámico, con tasas superiores al 15%. Es de destacar el proceso progresivo de vinculación entre el mercado de gestión de amenazas con el de gestión y securización de contenidos. La convergencia en los ataques y los modelos proactivos adoptados por los fabricantes para afrontarlos están empujando esta tendencia.
Asimismo, la creciente complejidad
Y a en octubre de 2006, IDC reveló como una de las principales conclusiones de un estudio global realizado entre más de 4.000 profesionales de TI en más de 100 países que para preservar la seguridad de una organización, las personas y los procesos son más importantes que la tecnología. Y es que el factor humano tiene gran relevancia por dos razones. Por un lado, es parte del problema, dado que la mayoría de las incidencias de seguridad en los últimos años han tenido un componente de error humano. Por otro, es parte de la solución: la estrategia y procesos de seguridad no pueden circunscribirse a los departamentos de TIC, sino que deben de extenderse a toda la organización. Una vez que las personas y los procesos están alineados con la estrategia de seguridad, es cuando adquiere relevancia la tecnología, que asume el rol de facilitador para la implementación de las estrategias de seguridad.
Pero ¿por qué tiene tanta importancia el factor humano frente a la tecnología? Porque la mayor fuente de riesgo se encuentra en la interacción entre la persona y los datos. Y los departamentos TIC se están dando cuenta de que lo que hay que proteger son los datos, y por tanto es en torno a ellos donde tiene que centrarse la seguridad, en vez de en las redes o los sistemas.
Los objetivos de disponibilidad, confidencialidad, integridad seguirán teniendo la misma relevancia que han tenido en el pasado. No obstante, aparecen nuevos retos ligados a la dinámica de los datos:
• El elevado ritmo de crecimiento. IDC estima que el volumen de datos almacenados por las grandes empresas se incrementará a un ritmo del 30% durante 2008 y 2009. Las políticas de almacenamiento y seguridad tienen que adaptarse a este crecimiento, una tendencia que irá a más con el tiempo.
• La complejidad creciente. Tienen una gran variedad de formatos, son cada vez más voluminosos (los ficheros multimedia ocupan mucho espacio) y son heterogéneos (estructurados, semiestructurados y no estructurados).
• La dispersión. La disponibilidad de dispositivos de almacenamiento al alcance de cualquier empleado hace muy difícil realizar un seguimiento de dónde reside la información. De acuerdo con varios estudios recientes de IDC, menos de la mitad de los responsables de centros de datos conoce la cantidad de datos almacenados fuera del datacenter.
Estos retos ponen de manifiesto que todavía existe un escaso control sobre los datos en las organizaciones. En este contexto nos encontramos frente a nuevas amenazas:
• La información está cada vez más expuesta. El número de personas o sistemas con acceso potencial, autorizado o no, crece a una gran velocidad.
• Las amenazas de ataques han evolucionado. Los objetivos de los atacantes han cambiado, así como sus patrones de comportamiento. En el pasado, buscaban principalmente notoriedad, y tenían cierto componente lúdico. Actualmente, tienen ambiciones económicas y cuentan con avanzadas herramientas tecnológicas. También ha cambiado la naturaleza de la información que persiguen los atacantes. Antes, la información que se buscaba era puntual, relacionada con información privilegiada. Hoy, la información deseada es de carácter masivo, y más relacionada con datos de identidad.
• Las amenazas relacionadas con las interrupciones de negocio y caídas de sistemas tienen cada vez mayor impacto económico. En consecuencia, se consolida una mayoría de empresas que tienen en marcha sistemas de backup y planes de continuidad. No obstante, la efectividad de estas medidas no se percibe como garantizada. Muchas empresas no confían en sus sistemas si tuvieran que afrontar una situación grave de falta de disponibilidad. Es aquí donde aparece la oportunidad de externalizar los planes de continuidad, lo que libera a la empresa de la complejidad de su gestión.
• Amenazas relacionadas con los empleados. Se podrían clasificar en dos niveles: el ya mencionado error humano y la brecha entre las necesidades de conocimiento en seguridad y las capacidades del personal TIC de las empresas.
• Web 2.0. El riesgo más importante de las aplicaciones web 2.0 es el uso malicioso de widgets para hacerse con información personal. Por ello, es previsible un gran crecimiento de la demanda de seguridad web.
Redefinición de la seguridad
Si la seguridad se orienta hacia los datos, se extiende hacia todas las áreas de negocio, y ya no se define como un producto, sino como un proceso cuya gestión requiere un conjunto de capacidades tanto tecnológicas como de negocio. Esta gestión de la seguridad se apoya, en primer lugar, en la detección de los riesgos, y después en el establecimiento de políticas adecuadas para controlarlos
Hay una amplia variedad de áreas en la que pueden identificarse riesgos. Entre ellas se encuentran:
• Criticidad de los datos. Para proporcionar seguridad a los datos, un primer paso es saber qué datos son críticos y necesitan un alto nivel de protección. Sin embargo, en la actualidad es muy pequeña la proporción de empresas que utilizan herramientas para clasificar sus datos, aunque es previsible que esta situación cambie en el futuro.
• Infraestructura. La propia infraestructura tecnológica de la empresa puede ser una fuente de vulnerabilidades. En la infraestructura de TI, la seguridad abarca desde la seguridad física del edificio, el nivel de optimización del equipamiento del datacenter y la disponibilidad de backup extendido a toda la información crítica de la empresa. En la infraestructura de telecomunicaciones, la seguridad comprende la tecnología de acceso (la fibra, por ejemplo, es más segura que el cobre) y a las redundancias en la red.
• Procesos. Los procesos que rigen el acceso y uso de los datos y recursos tecnológicos, tanto internos como externos.
• Dispositivos. La generalización de dispositivos móviles de empresa supone una fuente de amenazas “por la puerta trasera”. En esta área, la gestión de dispositivos y la seguridad confluyen.
El segundo componente de la gestión de riesgos es el establecimiento de políticas y procesos que permitan implementar la seguridad en la práctica. Estas políticas pueden ser internas, como las de utilización de la información y de los recursos tecnológicos, y externas, como el cumplimiento de las normativas sobre seguridad.
Tendencias del mercado
Este nuevo enfoque de la seguridad va a reforzar el crecimiento del mercado de tecnologías de seguridad, tanto en el segmento de hardware, software y servicios. El cumplimiento de la legislación de seguridad, así como la necesidad de reducción de riesgo, impulsará el segmento de gestión de accesos e identidades, así como el de gestión de vulnerabilidades. El comportamiento del mercado de gestión y securización de contenidos será el más dinámico, con tasas superiores al 15%. Es de destacar el proceso progresivo de vinculación entre el mercado de gestión de amenazas con el de gestión y securización de contenidos. La convergencia en los ataques y los modelos proactivos adoptados por los fabricantes para afrontarlos están empujando esta tendencia.
Asimismo, la creciente complejidad
