| Artículos | 01 NOV 1996

Seguridad en La Red

Tags: Histórico
Carlos Sanchez-Palazón.

La incorporación de las tecnologías de la información al mundo actual ha revolucionado por completo el mundo laboral y la forma de realizar los negocios. Que oficina no dispone ya de ordenadores, impresora, fotocopiadora, teléfono y, más recientemente, de avanzados sistemas informáticos, donde conviven estrechamente componentes de hardware, software y comunicaciones como, por ejemplo, correo electrónico, Internet, agentes móviles, etc. Toda esta tecnología de la información ha promovido un mayor acceso y flujo de información. Pero esta democratización del acceso a los datos aumenta la vulnerabilidad de los mismos dado que existen millones de usuarios.

A menudo nos sorprendemos cuando escuchamos que alguien con algo -llámese sistema inteligente, aunque no tiene porque serlo- ha conseguido burlar el sistema de seguridad de algún organismo público, entidad financiera o compañía, con el propósito de lucrarse personalmente, para acceder a bancos de datos privados y manipularlos, o para, sencillamente, demostrar la vulnerabilidad de los sistemas de seguridad. La mayoría de estos casos, realizados al margen de la ley, suelen provocar un sentimiento de complicidad para con el delincuente. En las hemerotecas hay infinidad de casos de delincuentes informáticos que han vulnerado los sistemas de seguridad para comprar billetes de avión, acceder a los planes de defensa de El Pentágono, o para informar al servicio secreto español que tiene un agujero en su sistema. También hay casos de hackers que introducen virus en los sistemas informáticos, provocando daños cuantiosos, cuando no produciendo su total aniquilación. También hay gente que ha convertido un teléfono casero en un terminal bancario con el cual ha conseguido pingües beneficios, o que ha trucado los teléfonos analógicos y digitales para fines oscuros.

Todas estas actividades fraudulentas no hacen más que cuestionar la seguridad de las redes de comunicación, ya sean redes de telecomunicaciones, redes informáticas públicas o privadas. Pese a estas evidencias, la mayoría de los responsables de estos sistemas se esfuerzan por demostrar y afirmar que estos casos son sucesos aislados que no reflejan una globalidad.

Las conclusiones de una encuesta realizada por Forrester Research (ver gráfico 1) a los directores de Tecnologías de la Información de las 50 primeras compañías del ranking 1.000 Fortune, acerca de cómo ven ellos los asuntos de seguridad, refleja que las compañías no deben tener en cuenta los temores de seguridad a la hora de implementar nuevas tecnologías, que existe una relación directa entre tecnología y seguridad, y que el aumento del volumen de negocios requiere un nuevo modelo de seguridad basado en accesos abiertos.

Por este orden, el incremento del número de puntos de acceso, los ataques externos, la inmadurez de la tecnología, la malicia interna y los accidentes internos, son los principales temores que acechan a los directores de informática. A pesar de estos miedos, las dos terceras partes de los encuestados afirma que su compañía está adoptando nuevas tecnologías, mientras que el resto confiesa que los problemas de seguridad son un factor que retrasa la incorporación de nuevas tecnologías (entornos cliente/servidor de misión crítica, acceso remoto y móvil, y conexiones a Internet).

Para solventar o reducir los problemas de seguridad, la mayoría de las empresas establecen diferentes sistemas de seguridad: aplicaciones o claves de acceso, programas que detectan usuarios no autorizados, auditorías, controles de acceso y de autorización, autenticación y, por último, cursos sobre seguridad. Pero hay que tener en cuenta que, dado que los sistemas distribuidos están muy extendidos, resulta caro administrar soluciones en cada punto de acceso de la red.

De la encuesta de Forrester Research también se desprende que las empresas infravaloran la gestión de sistemas de seguridad. A menudo, se piensa que las tecnologías de la información proporcionan información sin los medios y soportes necesarios. El 80% de los encuestados afirma que el responsable de la seguridad es alguien perteneciente al departamento de gestión de la información, que se pasa la mayoría del tiempo resolviendo problemas relacionados con virus. Y, en algunos casos, la cadena de seguridad no es clara o se rompe con frecuencia.

Sistemas distribuidos igual a seguridad cara

En su mayoría, los directores del departamento de tecnologías de la información reconocen que las soluciones de seguridad para cada punto del sistema tienen una alta incidencia en los costes administrativos, y que la gestión de seguridad es una actividad aislada y poco valorada.

Con la implantación de los sistemas distribuidos y la decadencia de los entornos mainframe, la seguridad ha pasado de ser un aspecto controlado a ser un verdadero quebradero de cabeza dentro de la empresa. En los entornos centralizados los niveles de seguridad se reducían a "acceso denegado" y "acceso apto", donde el usuario tenía que demostrar que realmente necesitaba la información que requería para su trabajo. Además, los datos estaban seguros ya que las estructuras ocultas de los ficheros eran indescifrables para la mayoría de los humanos. A pesar de todo esto, este tipo de seguridad era poco efectiva, puesto que eran vulnerables.

En cualquier caso, la seguridad ha sido aplicada con exceso tradicionalmente. Pero si antes los sistemas eran imperfectos o poco efectivos, ahora son inabordables. ¿Por qué? Pues por tres simples razones: por el vertiginoso cambio de los negocios, por el cambio de la tecnología y por el flujo de información ubicua.

El rápido cambio experimentado en la forma de hacer los negocios, ha provocado que los trabajadores tengan la necesidad imperiosa de acceder continuamente a la información, pero ésta se halla dispersa en diferentes plataformas y aplicaciones. Por lo tanto, hay que controlar infinidad de puntos de acceso para asegurar la integridad del sistema. Conviene recordar que la "sed de información" fue una de las principales razones que motivó el paso a cliente/servidor.

Con respecto al cambio de tecnología, la mayoría de los ordenadores generan y manipulan cantidades elevadas de datos, y asegurar todos los puestos de trabajo empleando el viejo modelo de seguridad, supondría un desastre, administrativamente hablando. Por último, el flujo de datos ubicuos (documentos, hojas de cálculo, correo electrónico, etc.) a través de los departamentos de la empresa contienen elementos críticos en un formato fácil de usar.

Parece paradójico, pero las empresas se han gastado miles de millones de pesetas en nuevas tecnologías para construir una infraestructura de información ubicua, y resulta que el antiguo modelo de seguridad necesitaría grandes inversiones para poder controlar el nuevo sistema de negocios.

El futuro

Los nuevos sistemas de seguridad están compuestos por dos elementos: política/estrategia y tecnología. Mientras que en el pasado el director de informática era el responsable de ambos elementos, ahora la gestión de la política de seguridad debe estar en manos de otra persona, alguien no relacionado con las tecnologías de la información. Según Forrester Research, esto debe ser así porque estas personas están mentalizadas para que la empresa esté en sintonía con la tecnología, dándose cuenta de la pérdida de oportunidades que esto puede acarrear si no se hace. También saben que la seguridad es sinónimo de altos costes. Actualmente, la información tiene que ser accesible y estar en manos de quien realiza los negocios para alcanzar los objetivos fijados de antemano.

En cualquier caso, parece que estamos abocados a dejar los asuntos de seguridad en la manos de los especialistas de esta materia, quizás el responsable de operaciones, que tendría que informar de sus actividades al director financiero. El res

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información