La seguridad entra en el consejo de administración

No hay vuelta atrás. Debido al cariz que en los últimos meses están tomando los acontecimientos en materia de seguridad, toda monitorización que establezcamos para reforzar nuestra red es poca.

En efecto, los ataques a redes crecen día tras día y su principal meta no es otra que lograr una fuga de información sensible o un acceso no autorizado. Lo que es más: no sólo se está registrando un aumento del número de amenazas, sino del grado de complejidad de los ataques, pues los cíber piratas están recurriendo a distintos frentes simultáneos para franquear las defensas de los sistemas. De este modo, su objeto no son ya únicamente los usuarios –de los que intentan obtener o recopilar información de su máquina destino o instalar un malware- sino también los servidores, muchas veces desactualizados.

Por tanto, y en medio de este desolador panorama, no queda otra que hacer acopio de fuerzas y recursos, evaluar las necesidades y establecer unas herramientas de seguridad o defensa que simplifiquen el trabajo y permitan centralizar la gestión, así como llevar a cabo una aproximación estructurada que defina distintos niveles de seguridad.

Y es que fenómenos como Wikileaks, Stuxnet, las ya famosas Técnicas de Evasión Avanzadas, o la brecha de seguridad en el sistema criptográfico RSA han cambiado el panorama de la seguridad permanentemente y están actuando como verdaderos revulsivos en el ámbito estratégico. En realidad, han derribado los axiomas básicos del pensamiento de seguridad y están actuando como despertadores en el ámbito directivo.

Sin ir más lejos, los escándalos destapados por Wikileaks han llevado a empresas de todo el mundo a considerar si a día de hoy pueden permitirse el lujo de mantener información y hábitos en sus negocios que, en caso de llegar al gran público, dañarían para siempre sus respectivas reputaciones o, en el peor de los casos, llevarían irremediablemente a la quiebra de sus compañías.

Además, el hecho de que poderosos sistemas de seguridad, como el de RSA, hayan caído en manos de los piratas –que han logrado la creación de duplicados de sus claves electrónicas “SecurID”, precisamente diseñadas en sus inicios para frustrar estos ataques- está dando que pensar a altos directivos de organizaciones de todo el mundo.

Por otro lado, las AETs o Técnicas de Evasión Avanzadas, descubiertas en su día por StoneSoft, no han hecho más que demostrar que el concepto de ataque ha cambiado; por tanto, debemos variar por completo nuestra concepción de defensa. En este sentido, las distintas técnicas logran combinarse a partir de muy diversos criterios, de tal modo que sortean todos los dispositivos de seguridad conocidos y actúan como “llaves maestras”. Así, acceden a lugares altamente protegidos y facilitan que cualquier carga útil pueda ser entregada en los objetivos.

Hasta la fecha, los consejos de administración de las grandes empresas consideraban que la seguridad era una más de las numerosas tareas que asumían los departamentos TI. De hecho, los altos directivos solían reflejar su “total tranquilidad” en cuanto al ámbito de la seguridad pues, efectivamente, casi todas las organizaciones punteras se distinguían porque sus sistemas de seguridad de redes operaban bajo los máximos niveles de seguridad e integridad.

Las compañías dedicaban equipos humanos con gran experiencia y conocimientos, así como grandes centros de control para gestionar y proteger sus redes contra múltiples incidentes y escenarios. Y, sin embargo, en las últimas semanas de este mismo año 2011 el escenario de amenaza ha cambiado y todos los principios de diseño empleados para proteger activos digitales han sido puestos en tela de juicio. Citibank, el Fondo Monetario Internacional, Sony, la firma de seguridad RSA o el Nasdaq, cuyas redes han sido violadas recientemente, saben muy bien a qué nos estamos refiriendo.

Afortunadamente, y aunque en España existe una gran diferencia entre la gran empresa y la pyme en términos de concienciación, inversiones y, evidentemente, recursos, en la mayoría de los entornos la seguridad es tratada, cada vez más, como una necesidad estratégica habilitadora del negocio.

Lenta, pero inexorablemente, ya estamos detectando en numerosos casos una mejora continua en los procesos de planificación y en el estudio de necesidades, que redundan en diseños más coherentes y adecuados a las actuales necesidades. Aún así, todavía estamos lejos de otros países, en los que son comunes diversas prácticas muy positivas, como la existencia de un CSO (Chief Security Officer) en el seno de la empresa, por ejemplo.

En suma, amenazas como las anteriormente mencionadas no deberían ser afrontadas desde una perspectiva unidireccional, limitada a un departamento concreto de la empresa. Por el contrario, todos y cada uno de los empleados deberían ser conscientes de que el peligro reside en cualquier parte, máxime si analizamos la popularidad que han cobrado los dispositivos móviles como teléfonos, smartphones o tabletas y los desafíos que plantean. Ya no existen redes demasiado difíciles de hackear ni sistemas inviolables; todo es posible si encuentras la organización criminal precisa y ofreces la recompensa adecuada.