Mundo profesional | Artículos | 01 SEP 2008

Los riesgos de la innovación

Virtualización, NAC, cloud computing, DLP. Pocos discuten ya las ventajas de adoptar estas cuatro grandes tendencias innovadoras, pero su implantación también añade riesgos de seguridad a los que habrá que hacer frente.

Virtualización
Contra el descontrol
Es una de las grandes tendencias actuales. La virtualización y la consolidación de servidores subyacente ahorran costes y aportan altos niveles de flexibilidad. Pero pasar de los servidores tradicionales a una combinación orquestada de máquinas virtuales también supone serios inconvenientes que se pueden traducir en nuevas brechas de seguridad.
La facilidad de despliegue de servidores que implica la virtualización fomenta su adopción de una forma poco planificada. Y esto lleva a un crecimiento descontrolado del número de máquinas virtuales. Una medida básica para impedirlo es no autorizar la instalación de tales máquinas sin el conocimiento del departamento de TI. También las herramientas de inventario y gestión basados en políticas pueden ayudar al personal TI a controlar el número de servidores y evitar que el fenómeno conocido como “virtual sprawl” (o “proliferación virtual”) impida el éxito del proyecto de virtualización. Por “server sprawl” hay que entender el fenómeno por el que múltiples servidores infrautilizados ocupan más espacio y consumen más recursos de los que requiere su carga de trabajo.
Los expertos sugieren adoptar además un proceso de gestión del ciclo de vida del servidor que haga un seguimiento, desde su creación a su eliminación, de su estado y propósito, ya sea físico o virtual. Fallar y relajarse en este punto puede complicar otros retos de la gestión de máquinas virtuales, como la de parches: si no se sabe con cuántas máquinas contamos y cuáles están sin actualizar, no hay modo de parchearlas.
Por otra parte, por lo general, la seguridad de las máquinas virtuales se trata a posteriori. Como las redes tradicionales, ya esté basado en VMware, XenSource o Microsoft, el entorno virtualizado exige las mejores prácticas de seguridad definidas en los estándares internacionales, y es opinión común que el software hoy disponible no es suficiente para conserguirlo. Un problema adicional es la gestión de parches, una tarea ya de por sí compleja y que la proliferación de imágenes de sistemas operativos complica áun más. Si estas se dejan sin parchear o tienen problemas de seguridad ocultos, el servidor virtual puede actuar como trampolín para nuevos ataques o convertirse en zoombie.

DLP
¿Qué es sensible y qué no?
Invertir en DLP se está convirtiendo en una necesidad corporativa, pero implantar un producto contra la filtración de datos (DLP–Data-Loss Prevention) puede ser una tarea laboriosa. Obliga a crear las políticas necesarias, determinar dónde residen los datos sensibles y decidir qué canales de comunicaciones deben monitorizarse en busca de violaciones. Y además, para que tengan un alto nivel de éxito es necesario un poco de trabajo adicional.
Por un lado, la definición de políticas DLP debe basarse en las necesidades de cumplimiento normativo de la organización, ya que estas herramientas sólo reforzaran las reglas que hayan sido establecidas de antemano. Por ejemplo, como muchas normativas obligan a encriptar cualquier dato personal que sea identificable, la herramienta debería configurarse para cifrar información del tipo de los números de la seguridad social o las tarjetas de crédito.
Pero además, como DLP es tanto tecnología como comprensión de la empresa, para que la herramienta sea efectiva las unidades de TI y de negocio deben colaborar en el desarrollo de políticas que protejan a la compañía, pero que también sean lo suficientemente flexibles como para permitir a los empleados hacer su trabajo. Y una vez creadas, el equipo TI ha de implicar a la parte de negocio también en su actualización y perfección de forma regular, utilizando el feedback de los usuarios. Una forma de hacerlo es permitir que los usuarios expliquen por qué determinadas acciones que van contra las reglas deberían estar permitidas; muchas herramientas ofrecen una caja de diálogo para ello. Si la herramienta en cuestión no automatiza tales procesos, se ha de ofrecer a los usuarios otros canales para que se expresen. De este modo, se consigue refinar las políticas en un proceso abierto hasta conseguir que reflejen lo más fielmente posible las operaciones de la compañía.
Asimismo, aunque las herramientas DLP captan errores, puede que no detecten brechas intencionadas. Afortunadamente, la mayoría de los incidentes de fuga de datos proceden de fallos y no de conductas malintencionadas. Si un empleado descontento está decidido a pasar a la competencia los planes previstos para un determinado producto, será muy difícil impedirlo, pero los usuarios que se envían datos críticos a su propio correo personal para trabajar en casa aprenderán de estas herramientas que este tipo de acciones comprometen la seguridad.
Pero antes de activar las funciones de bloqueo de la herramienta, hay que considerar el riesgo de los falsos positivos. Esta cuestión no está relacionada necesariamente con la calidad de la herramienta, sino con la falta de una definición exacta de lo que se considera datos confidenciales. Muchas empresas optan por utilizar inicialmente estas herramientas sólo en modo monitorización, para exclusivamente ver lo que se envía fuera de la compañía mientras definen las políticas a aplicar. Clasificar los datos corporativos es la primera tarea. Si desde el principio se traza la barrera entre información confidencial e intrascendente, se ahorrará mucho trabajo posterior.
Finalmente, hay que tener en cuenta una cuestión delicada que acabará complicando el trabajo de los responsables de TI. ¿Dónde se protegen los datos? ¿Protege la información almacenada en la red (servidores, redes SAN...)? Vinculado a la forma en que un producto identifica los datos confidenciales, se encuentra el lugar donde realiza el escaneo. Si se elige una herramienta que bloquea la información delicada en los canales de comunicación salientes, como el correo electrónico y la mensajería instantánea, pero no se conoce cuando un empleado copia datos de las finanzas corporativas a una memoria USB, puede que se esté abriendo de par en par la puerta de atrás de la empresa. Además, esta categoría de productos se pone en marcha observando datos en movimiento, como el email o la mensajería instantánea. Sin embargo, cada vez más, las herramientas también incorporan funciones de prote

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios