News

La seguridad de la información de las empresas vive bajo un constante desafío, a medida que la tecnología evoluciona, y los cibercriminales se vuelven más sofisticados. Durante dos días, un salón profesional en Madrid permitirá que grandes expertos del sector expliquen qué soluciones pueden adoptarse para conseguir la mejor protección.

Los días 11 y 12 de junio, el Palacio de Congresos de Madrid acogerá la edición de 2008 de Infosecurity Iberia, un evento en el que empresas con diversos perfiles de la multimillonaria industria de la seguridad de las TI presentan sus productos, negocian acuerdos y, en general, establecen relaciones.

La mayoría de las compañías presentes se dedican al área de seguridad perimetral, que es aquella tecnología diseñada para situarla en el perímetro de una red corporativa, y mantener así alejados a los cibercriminales, y amenazas como los virus, el spam y el spyware.

Prevención de fuga de datos

Sin embargo, durante los dos últimos años, algunos de los principales actores del mercado, como Symantec o McAfee, han adquirido compañías que ofrecen tecnología para prevenir la fuga de datos (DLP, en sus siglas en inglés). Esto marca un nuevo rumbo en la seguridad perimetral: también se coloca en el perímetro de una red, pero su objetivo es mantener dentro aquello que se quiere preservar, como la información sensible o la propiedad intelectual.

Se trata de un reducido número de compañías, pero que, sin embargo, constituyen una fuerte minoría, que se dedica a la seguridad interna, que es la tecnología que se coloca dentro del perímetro y controla a los que, entre los usuarios autorizados, pueden acceder a las bases de datos y programas de software, conocidos como aplicaciones.

Gestión de identidad y acceso

La tecnología de Gestión de Identidad y Acceso (I&AM, en sus siglas en inglés) está destinada a convertirse en un área tan importante como la seguridad perimetral, ya que las compañías deben hacer frente a una ola creciente de leyes y reglamentos, que deben cumplir para seguir en el negocio.

Este artículo cubre todas estas áreas, además de tratar algunos de los aspectos más  en el desarrollo actual de la seguridad en las TI.

Por ejemplo, en el caso de los ordenadores portátiles -destinados a superar a los PC de sobremesa en el volumen total de ventas en los próximos años-, la cuestión de cómo proteger los datos que se encuentran en ellos está cobrando cada vez más importancia para las empresas.

VoIP y redes sociales

Y a causa de la adopción de la telefonía de voz sobre el Protocolo Internet (VoIP, en sus siglas en inglés) por parte de un número creciente de compañías para sustituir los circuitos de voz tradicionales, también nos ocupamos de la creciente necesidad de seguridad cuando el tráfico de voz se convierte simplemente en un flujo más de bits y bytes a través de una red de datos susceptible de ser atacada por hackers.

En este preciso momento estamos asistiendo en España al auge de las redes sociales, una tendencia importada desde Reino Unido y Estados Unidos y adoptada con entusiasmo por las personas entre 20 y 40 años de edad. Páginas web enormemente populares como Facebook, MySpace y YouTube han atraído la atención de los medios, y han contribuido a lanzar las carreras de varios músicos en ciernes, pero también representan un desafío para las empresas.

En primer lugar, suponen un riesgo por la enorme capacidad que tienen para hacer perder el tiempo a los empleados. Pero, además, suponen una amenaza para la seguridad, ya que hackers y escritores de malware (programas maliciosos) pueden infectarlos, usándolos como una ruta hacia la red de una empresa.

Control de acceso a la web

Actualmente las compañías se enfrentan a tomar una decisión sobre si deben bloquear o no el acceso a los sitios de redes sociales, teniendo en cuenta cómo afectan a la productividad de los empleados y a la seguridad de la información.

Examinando ambas opciones, Germán Díaz, jefe de Producto en Servidores de Colaboración de Microsoft, argumenta que una prohibición taxativa, aunque incrementaría la seguridad, también enviaría un mensaje negativo a los empleados, impondría limitaciones a aquellos que necesitan acceso a Internet, e ignoraría el “derecho” de los empleados a hacer lo que deseen en su tiempo libre en el trabajo.

La segunda opción, el acceso libre, es obviamente peligrosa, y ningún administrador de sistemas querría que los empleados visitaran y descargaran material desde sitios conocidos por contener virus. Además, la descarga sin control de material o widgets desde Facebook puede suponer una amenaza para la seguridad.

“La tercera opción es probablemente la mejor e implica encontrar un equilibrio”, concluye Díaz. “Las compañías pueden instalar software que controle qué sitios están siendo visitados, y permita a los administradores bloquear aquellos que no están permitidos, como sitios pornográficos o de apuestas. Al mismo tiempo, los administradores también pueden bloquear el acceso a ciertos sitios, como Facebook, durante todo el día, excepto durante la hora de la comida, o al acabar la jornada laboral". Las compañías también pueden prevenir o bloquear descargas desde estos sitios implementando políticas para determinados tipos de archivos.

“Existen argumentos a favor de cada opción y puede que para muchas compañías la solución no sea tan sencilla como escoger una u otra”, continúa el mismo responsable de Microsoft. "No obstante, no hay duda de que las redes sociales están comenzando a causar problemas a los administradores de TI y se necesita una solución que ofrezca un equilibrio: proporcionar acceso sin comprometer la seguridad de la red corporativa”.

Creciente legislación

Finalmente, no hay que olvidar el gran número de leyes y reglamentos que las compañías deben cumplir y que, además, no para de crecer. También hay que analizar cómo este hecho lleva a las compañías a implantar productos que garanticen la seguridad de la información, y cómo éstos pueden ayudar a las compañías a cumplir los requisitos legislativos. 

Desde la Ley Orgánica de Protección de Datos (LOPD) hasta las innumerables directivas comunitarias, pasando por la Ley Sarbanes Oxley en Estados Unidos, las empresas afrontan el desafío de cumplir múltiples normas y disposiciones, así que necesitan algo que pueda ayudarles a demostrar que están esforzándose por hacerlo.

El momento ideal

El presidente de ISSA, Fernando Bahamonde, ha asegurado que el salón Infosecurity Iberia de este año tiene lugar en un momento especialmente oportuno para la industria española. “El mercado de la seguridad nunca ha estado más activo. El conjunto del sector público, así como partes del sector comercial, se encuentra en medio de lo que podríamos denominar como una “tormenta perfecta”.

Y, a continuación, enumera los componentes de dicha tormenta: “El conjunto del campo de la gestión de la seguridad y el riesgo se encuentra sometido a un examen que no cesa de crecer".

Cabe añadir las grandes tendencias hacia la adopción de VoIP, dispositivos inalámbricos, movilidad, además del giro hacia servicios compartidos (por ejemplo, la subcontratación parcial de las funciones que no se encuentran en el corazón del negocio), “el valor de los servicios de consultoría para dar soporte a estos cambios y transformaciones en las empresas es cada vez más patente, tanto para clientes como ciudadanos".

Una cultura de la seguridad

Más allá de esto, Gianluca D’Antonio, Presidente de ISMS Forum Spain, identifica la necesidad, no sólo de instalar productos de infoseguridad, sino también de inculcar una cultura real de la seguridad en las organizaciones. “Lo que parece evidente a raíz de los sucesos del último año es que las soluciones técnicas, por sí solas, no son suficiente. Debe existir una conciencia a todos los niveles y en toda la organización. Se debe implantar una ‘cultura’ de la seguridad".

Y D’Antonio detalla lo que él entiende como una cultura de la seguridad. “Parte de ello es la conciencia del personal y la formación inicial que siempre comentamos, pero más allá de esto, deben existir discusiones intrínsecas sobre la seguridad dentro de los proyectos y desarrollos, se deben tratar de comprender los resultados de los test de penetración, en lugar de repararlos a ciegas, como si fuera una mera ‘lista de errores’. Deben establecerse las causas de raíz de los fallos de seguridad y actuar sobre ellas. Debe perseguirse activamente el objetivo de realizar negocios de forma segura, con el objetivo de que la gente confíe en que sus datos personales e identidades se encuentran en buenas manos”.

Para conseguir su pase gratuito al salón, y recibir más información sobre Infosecurity Iberia 2008, por favor visite la página web www.infosecurity.com.es, y pre-regístrese antes del 10 de junio.