El coste de una buena gestión de seguridad siempre es menor que el valor de los datos internos de la empresa

La seguridad en Internet es posible

Rodolfo Lomáscolo
Director General IPS

En el caso de las grandes corporaciones y organizaciones empresariales la preocupación por la seguridad en Internet es fácil de entender: las organizaciones necesitan proteger la confidencialidad de la información reservada. Por otra parte, los usuarios de a pie también deberían vigilar de cerca todo lo referente a la protección de sus datos y a la identidad de las fuentes y destinatarios de los mismos.

Evidentemente la seguridad en Internet afecta sobremanera a las empresas que operan con banca electrónica, ya que las cuentas bancarias en Internet no son más que bases de datos y, como tales, están expuestas. En definitiva, la seguridad afecta a todos: a las grandes compañías por ser una tentación y por las consecuencias de una posible filtración, y a los usuarios individuales por su vulnerabilidad.

En España, al igual que en le resto del mundo, la seguridad informática sigue considerándose por parte de la dirección de las empresas como importante o muy importante. Un reciente estudio de la consultora Ernst & Young apunta que para el 82% de los encuestados este aspecto es fundamental. Sin embargo, esta importancia que se otorga a la seguridad informática no siempre va unida a la implantación de medidas concretas de seguridad.

Según el mismo informe, más de la mitad de las empresas reconocen que no analizan los posibles accesos a su sistema informático. Si tenemos en cuenta que en la actualidad las empresas dependen en gran medida de su sistema informático, porque a través del mismo producen su trabajo diario, generan sus datos y, en definitiva, realizan su negocio, este dato resulta preocupante. El hecho de no investigar posibles indicios de acceso implica que más tarde o más temprano alguien puede acceder a sus sistema informáticos y, por ende, el negocio puede estar en manos de un intruso.


Las caras del problema

Así pues, el principal problema no es de índole técnico, sino de toma de conciencia de los peligros potenciales en la transmisión de información confidencial (nuestros datos personales, bancarios, códigos de acceso a cuentas y transacciones, etc.) a través del ciberespacio.

La seguridad en Internet consiste en implementar mecanismos para que cuando se reciba un mensaje o se realice una transacción por medios electrónicos, se asegure la integridad del contenido y la identidad del remitente y del receptor. Las contraseñas y palabras clave ya no son un mecanismo suficientemente fiable y seguro, ya que éstas pueden ser interceptadas durante su transmisión, de lo que desgraciadamente nos damos cuenta muy tarde o cuando la prensa se hace eco de un caso de estafa electrónica.

Se trata de un problema de mentalización y sentido común. ¿De qué vale disponer de un canal de alta tecnología si ello redunda en posibles pérdidas y falta de seguridad? Pero existen soluciones seguras. En el plano técnico, ya hay en el mercado mecanismos que pueden asegurar los contenidos y la identidad de las partes que se comunican y realizan transacciones en Internet.

La técnica puede garantizar una seguridad casi total. La mentalidad puede ser la adecuada. Pero el tema es todavía más complejo. Hace pocos días se hizo pública una noticia en la que se hablaba de que en Noruega, la entrada no autorizada en ordenadores ajenos, no resulta ser una actividad ilegal ya que en resumidas cuentas "todo aquel que desee estar conectado a una red abierta como Internet, debe estar preparado para proteger sus datos y el objetivo de la red mundial resulta ser distribuir información", casi como la vida misma.

Resulta cuando menos interesante comprobar como los sistemas abiertos de comunicaciones tienden a emular la organización, estructura y comportamiento de la sociedad.

No existe sistema informático que no pretenda ser seguro, de una forma u otra, con mayor o menor éxito, con mayor o menor notoriedad, al mismo tiempo que se abre hacia Internet u otras redes para dar mayores y mejores servicios a sus usuarios, internos o externos. Como mínimo parece ser algo paradójico.


El miedo a que lo sepan

Plantear temas de seguridad en público resulta cuando menos incómodo. Por muy delicado que se pretenda ser al tratar estos temas se corre siempre el riesgo de herir demasiadas sensibilidades.

Dejando de lado los problemas de seguridad causados por virus informáticos, un tema con el que podríamos llenar páginas y páginas y que en la actualidad ha crecido desmesuradamente, la tendencia a utilizar contenidos activos en las páginas web (applets Java, Active-X...), ha convertido en peligrosa la mera visualización de ciertas páginas (recordemos que el contenido de la página ha de ser previamente cargado en nuestro navegador, que es lo mismo que decir en nuestro ordenador). La protección que a estos efectos proporcionan los navegadores se está demostrando insuficiente, como nos demuestra la continua aparición de fallos.

De todo esto se puede extraer una serie de conclusiones relativas a la seguridad de los datos en sistemas informáticos que, como primer paso, indican que para conectarse a este tipo de redes se debe estar preparado y se debe disponer de una buena información y formación.


Formas de seguridad

Podemos decir que la seguridad se puede dividir en interna y externa. La seguridad interna es aquélla que intenta mantener privados y accesibles sólo para los usuarios autorizados, aquellos datos internos o sensibles de la organización en cuestión. La práctica de la seguridad interna se basa en la utilización de políticas de contraseñas, encriptado de material sensible y control de acceso a los contenedores de información.

De la seguridad interna se habla muy poco, ya que no se denuncian o, lo que es peor, no se llegan a descubrir la mayoría de los incidentes. Todos conocemos casos de personas que venden información de su empresa o que al abandonarla se llevan consigo todo aquello que pueden copiar. Es notorio el caso de una consultora que hace unos años perdió, de un viernes a un lunes, gran parte de su personal, contratado por la competencia, junto con los datos de todos los proyectos que contenían sus ordenadores portátiles.

La seguridad externa puede parecer más compleja de controlar, aunque en realidad no lo es tanto, ya que los usuarios externos no utilizan el sistema interno de la empresa, en principio no deberían disponer de ninguna clave de acceso, aunque sea a nivel de visitante, por lo que con dedicación y conocimiento se pueden crear sistemas altamente seguros.

Los firewall permiten aislar la red interna de la externa, con control del tipo de protocolo que circula y su origen y destino. Los sistemas de correo basados en cualquiera de los programas que utilizamos habitualmente pueden complementarse con mecanismos de encriptación de datos y firma electrónica, ya sea utilizando protocolo S/MIME o PGP.

Las transacciones comerciales pueden estar protegidas por sistemas de encritación tales como el SSL 3.0, el más habitual, o el SET. Los usuarios que acceden desde el exterior y que requieren acceso a los servicios internos de la red de la organización pueden utilizar canales de comunicación, dentro del propio Internet, encriptados, las llamadas redes privadas virtuales.

Hoy no se puede decir que la conexión a Internet o a cualquier otra red abierta no se pueda realizar de forma segura, existen las herramientas y la mayoría de ellas seguro que se encuentran incorporadas en el sistema operativo de sus servidores y estaciones de trabajo.

Las consecuencias de un mal diseño de red y de seguridad, de la no utilización de herramientas adecuadas y el desconocimiento de lo que le puede estar pasando a nuestra red, son los peores enemigos de cualquier sistema.

Es muy recomendable e incluso imprescindible contar con empresas especializadas en seguridad, para el análisis de necesidades y el mantenimiento y control de los niveles de seguridad. Al ser un tema tan amplio y que evoluciona muy rápidamente, solo las personas que se especializan en estos temas conocen y siguen el día a día de su evolución.

Primera solución:
Certificados de usuario y de servidor seguros

Estos sistemas proporcionan un mecanismo de firma simple y seguro que está basado en los estándares de los navegadores de Internet, Navigator y Explorer (S/MIME). Son procesos optimizados de autenticación de documentos, en los que los mensajes encriptados con la clave publica del destinatario sólo pueden ser desencriptados (descifrados) usando la clave privada de éste.

Los mecanismos basados en estas fórmulas públicas sólo se pueden utilizar en una única dirección irreversible, sin posibilidad de violar la confidencialidad de los datos que viajan por Internet. La clave privada nunca abandona la máquina del usuario y no se transmite por Internet. Sólo el usuario (es decir, su ordenador) dispone de dicha clave privada. Ésta no podría ser interceptada, y menos aún se podrá descifrar por observadores indeseados.

Gracias a estos sistemas de seguridad las empresas pueden poner en marcha servicios de transacciones electrónicas, para los cuales sus clientes deben asegurar su identificación mediante certificados digitales. Todas las transacciones que se realicen, ya sea usando un servidor web o mediante e-mail, y que incluyan el envío de datos, pueden llevar incorporadas la firma electrónica y la encriptación del usuario para asegurar el origen e integridad de los datos.

Los certificados de servidor y usuario son emitidos por autoridades certificadoras como IPS Seguridad. Una autoridad certificadora no es más que una entidad que proporciona el certificado después de haber realizado una serie de comprobaciones sobre le identidad del peticionario. Las autoridades certificadoras pueden ser comerciales (aquellas que emiten el certificado después que el usuario ha pagado), utilizadas para el acceso seguro del público o de los navegantes a sedes web, y autoridades de tipo interno corporativo que aseguran el acceso de los empleados a los servidores de la organización.

Este mecanismo automático y transparente no sólo puede certificar la seguridad de un usuario, sino también la del servidor. Los navegadores disponen de un mecanismo de petición de certificados que se activa automáticamente al conectarse a una página web habilitada especialmente, donde se recogen los datos de identificación del usuario. A continuación se generan un par de claves: una privada (que queda residente en la máquina desde la que se hizo la petición) y otra pública (que se envía automáticamente a la autoridad certificadora). Por último, se verifican los datos y se genera el certificado.
Al igual que en cualquier transacción inmobiliaria acudimos al despacho de un notario para que certifique la autenticidad de los documentos presentados, los sistemas avanzados de autentificación electrónica constituyen una Notaría Digital que, como una tercera persona, puede verificar, autenticar y certificar la identidad de los usuarios. Este sistema permite resguardar la confidencialidad e integridad de la información en los nuevos medios abiertos, como Internet, que ofrecen grandes posibilidades para el ocio y el comercio, con las debidas condiciones de seguridad.


Segunda solución
Auditorías de seguridad

Las empresas conocen, o han de conocer todos estos problemas. Y cuando deciden darles una solución global, buscando los puntos débiles de su seguridad para atajarlos de una vez, pueden decidirse por una Auditoría de Seguridad. Las auditorías son actividades muy comunes en estos entornos empresariales, especialmente las realizadas por personal externo, y permiten conocer el nivel de seguridad y las acciones a emprender para corregir los posibles fallos.

El hecho de que en general las auditorías las realicen personas externas, permite mantener un nivel de objetividad que muchas veces no se dá entre el personal propio, por razones obvias.

Una auditoría puede durar, en función del tamaño del sistema, desde unos pocos días, hasta varias semanas. En general siguen normas estrictas y protocolos extensos y requieren fuertes compromisos de apoyo de los recursos internos de la organización en cuestión. Pueden, sin embargo, ser más flexibles. IPS Seguridad ha puesto en marcha recientemente un nuevo servicio de Análisis de Seguridad para Pymes. Este nuevo tipo de auditoría permitirá a las empresas que no cuenten con los recursos económicos o técnicos que exige una auditoría a mayor escala realizar un análisis exhaustivo y suficiente de su seguridad. Es evidente que el peligro no acecha sólo a las grandes corporaciones y que no sólo este tipo de negocios son los negocios importantes, menos aún para los propietarios de los negocios amenazados, por pequeños que sean.

La auditoria de seguridad es uno de los servicios llamados a un mayor desarrollo en los próximos años. El desarrollo de Internet es espectacular y las posibilidades del comercio electrónico son ilimitadas. Lamentablemente, los chicos malos también se multiplican y la libertad de la red se convierte en el paraíso de los traviesos o de los peligrosos que disfrutan rompiendo, robando o haciendo daño.

El proceso comienza con un análisis de las amenazas potenciales que enfrentan a una organización. Examina sistemas, políticas y prácticas de la organización para identificar sus vulnerabilidades. El análisis continúa con una valoración de riesgo y concluye con un informe de valoración y una serie de recomendaciones.

Con respecto a los costes de la seguridad se puede pensar que son elevados, y en muchos casos los son, especialmente cuando se trata de una auditoría convencional, aunque evidentemente existen diferencias entre las necesidades de cada caso, que se relacionan de forma directa con el coste.

Las políticas de seguridad, tal y como la palabra lo dice, se asemejan a los seguros de la vida cotidiana, muchas veces no se toma una decisión al respecto hasta que no se conoce un caso cercano a quien la adversidad le coge por sorpresa. La seguridad representa un gasto que muchas veces parece inútil y que se podría evitar, aunque el coste de una buena gestión de seguridad siempre es menor que el valor que pueden tener los datos internos de la empresa.

De una forma o de otra, es evidente que el comercio electrónico es el futuro para gran parte de la actividad económica, y que éste es imposible si no se resuelven los problemas de seguridad en la red. Para eso están empresas como IPS Seguridad, para garantizar que la seguridad en Internet sea posible.