Seguritecnia 346

Artículo Técnico 45 SEGURITECNIA Noviembre 2008 rentes objetivos, ya sea ahorro de costes o facilidad en su despliegue. La adopción de una nueva tecnología siem- pre tiene sus beneficios, pero muy pocos de sus usuarios se ha planteado lo que conlleva, en términos de seguridad el uso de máquinas virtuales; detalles de cómo se controla el tráfico entre máquinas virtuales dentro de una misma máquina real o cómo se gestiona el acceso a la red de és- tas aunque tenga desplegada una solución de NAC (por no hablar de los problemas de seguridad en el hypervisor o el aislamiento eficaz entre máquinas virtuales) pueden pre- sentar futuros quebraderos de cabeza a los responsables de seguridad de las organizaciones. Sin llegar a ejemplos tan concretos como el de la segu- ridad en la virtualización, al final el objetivo principal es proteger la información como tal, sin descuidar su famosa triada sobre la que se sustentan la mayoría de capas de protección existentes: confidencialidad, integridad y dis- ponibilidad, valores que seguramente en el pasado se con- trolaban dentro de una organización, pero que ahora son necesarios aplicar fuera de ella, puesto que la informa- ción referente a la misma se encuentra dispersa en mul- titud de fuentes. Qué se comenta sobre la organización o ciertos directivos en ciertos blogs , qué ficheros con infor- mación confidencial están en las redes P2P o quiénes es- tán usando una marca o copyright sin autorización son, entre otras, preguntas que hay que formular para conocer de forma más global las amenazas. Éstas ya no sólo afec- tan a los activos de una organización, sino que afectan a activos más intangibles que muchas veces puede olvidarse de su existencia. Mayores esfuerzos En definitiva, es imposible negar que los esfuerzos que se realizaban a finales de la década de los 90 en el área de la Seguridad de la Información no se parezcan mucho a los de hoy en día, ya que ni siquiera los esfuerzos realizados du- rante 2007 se parecerán a los de 2008. La sensación está en que en vez de cambiar unas actividades por otras, cada año se añaden nuevas capas pero no se quitan las anteriores, ob- teniendo como resultado la necesidad de un mayor presu- puesto, recursos, procedimientos o formación. Igual que si fuera un efecto de “bola de nieve”, que rueda ladera abajo. No todo está perdido, ya que al igual que las amenazas crecen y evolucionan, la capacitación y las herramientas que tenemos disponibles para hacer frente a estas ame- nazas, crecen y evolucionan. Tan sólo es necesario reca- bar todas las opiniones, dejarse aconsejar, y aunar esfuer- zos para aproximarse cada vez más a un estado de seguri- dad controlada: evitando todos los riesgos que sea capaz, y protegiéndose contra los que asume. nes de Seguridad (SOC) de S21sec se detectaron y reme- diaron más de 1.600 casos de fraude afectando a nuestros clientes; casi un 100% más que en el año anterior; este dato es tan sólo la punta del iceberg, puesto que realmente la cantidad de amenazas con las que nos enfrentamos crece de forma exponencial. ¿Cuántos intentos de intrusión se reciben todos los años? ¿Cuántas fugas de información no se detectan? ¿Cuántas páginas que se visitan intentan in- fectarnos? ¿Cuántas veces las redes inalámbricas son ata- cadas? ¿Cuántos dispositivos externos no fiables se conec- tan a computadoras corporativas o se conectan a redes públicas (aeropuertos, congresos, etcétera) o de no con- fianza? ¿Las computadoras corporativas tienen el disco duro cifrado en caso de pérdida o robo? ¿Y los backups de las computadoras? Todas estas preguntas son simplemente un ejemplo de todos los riesgos que se sufren día a día y que forman parte del escenario. La seguridad al 100% no existe; sin embargo, todas las acciones que ponemos en práctica, por pequeñas que sean, permiten minimizar el riesgo frente a todas las amenazas. Es vital disponer de un asesoramiento experto en todas las áreas que pudieran ser afectadas por estos riesgos. Si no es posible, se debe contar con profesio- nales capacitados acostumbrados a no perder este rápido tren de evolución continua, o bien delegar a empresas es- pecializadas en seguridad la gestión del ciclo de vida com- pleto de la Seguridad de la Información: desde servicios de seguridad gestionada (MSS), controlando y monitorizando qué está pasando en una organización, hasta la ayuda para el cumplimiento de todas las normativas y estándares ne- cesarios para el correcto y seguro funcionamiento de to- das las áreas de negocio. Virtualización Actualmente los esfuerzos no sólo se están centrando en controlar quién se conecta a una red corporativa y cómo (muchos fabricantes tienen soluciones de control de ac- ceso a la red como NAC o NAP). También se está exten- diendo el uso de tecnologías de virtualización con dife-