A Brave. Quién es responsable de la seguridad en Internet? Un artículo de opinión de Trend Micro. Febrero de 2011

Transcripción

1 A Brave Quién es responsable de la seguridad en Internet? Un artículo de opinión de Trend Micro Febrero de 2011 Escrito por Dave Asprey, Vicepresidente de seguridad de Internet

2 I. QUIÉN ES RESPONSABLE DE LA SEGURIDAD La informática integrada en Internet o computación en nube es lo último en tecnología del momento. La posibilidad de distribuir programas informáticos y servicios para infraestructura bajo petición a través de Internet supone para los equipos de TI una enorme serie de beneficios en términos de eficiencia, ahorro de costes y escalabilidad. Sin embargo, estos beneficios tan cambiantes también conllevan muchos problemas que convierten en obsoletos los enfoques tradicionales de seguridad. La paradoja básica de este nuevo paradigma informático reside en que, por una parte, Internet hace realidad el sueño de una informática simplificada de pago por servicio mediante una estructura de subcontratación de las tareas más laboriosas pero, por otra parte, plantea nuevos dolores de cabeza en cuanto a reglamentación se refiere, además de generar áreas de alto riesgo para la seguridad de los datos. Ya sea por iniciativa propia o arrastrados por la inercia empresarial, los directores de TI se cuestionan las opciones disponibles en este entorno informático del siglo XXI. Necesitan conocer los riesgos existentes y saber con certeza en quién recae la responsabilidad de la seguridad. En este artículo se intentan abordar estos temas en el contexto de la Infraestructura como Servicio (IaaS), una infraestructura que permite a los directores de TI alquilar componentes de redes, almacenamiento y otros elementos operativos. Las empresas, por su parte, gozan de una mayor autonomía para implementar controles de seguridad más exhaustivos que los de otros modelos, como SaaS. II. POR QUÉ LA INFORMÁTICA INTEGRADA Cuando se trata de la vertiente pública de la informática en Internet, todo se reduce a las posibilidades de adaptación y de utilizar un enfoque opex (gastos operativos) en lugar de uno capex (gastos de capital). Los clientes de la informática en Internet evitan los gastos de capital en concepto de hardware, software y otros servicios de infraestructura mediante el pago a un proveedor por los servicios utilizados, según un modelo de utilidad. La distribución de recursos a petición también permite a las empresas adaptarse dinámicamente a sus necesidades informáticas en tiempo real, lo cual mejora drásticamente su agilidad empresarial. En la vertiente privada, lo que importa es el aumento de la flexibilidad y la capacidad de respuesta ante las necesidades de los clientes internos. Ante estos beneficios, no debe sorprendernos el interés que suscita el nuevo paradigma informático. El estudio realizado por Cisco en diciembre, por ejemplo, daba a conocer que un 52 por ciento de los profesionales informáticos de todo el mundo ya utilizan la informática en Internet o tienen previsto utilizarla en los próximos tres años. Una encuesta similar de la Agencia de protección de datos ISACA (marzo de 2010) reveló que una tercera parte de las organizaciones europeas ya emplean sistemas informáticos en Internet y Accenture, la empresa global de consultoría, publicó (julio de 2010) que la mitad de sus clientes utilizan aplicaciones básicas en la red. 1 Artículo de opinión de Trend Micro Quién es responsable de la seguridad en Internet

3 III. EL PERÍMETRO DE SEGURIDAD SIGUE VIVO: DOS ENFOQUES PARA LA SEGURIDAD EN INTERNET Se ha debatido mucho el hecho de que, cuando se trata del modelo público de la informática en Internet, el perímetro de seguridad empresarial tradicional simplemente ya no existe. Se argumenta que los cortafuegos, los sistemas de prevención de intrusiones y otras funciones de seguridad estándares no se pueden aplicar a la informática en Internet y que las empresas se ven obligadas a confiar en el escaso nivel de protección de perímetro que les ofrece su proveedor de servicios en la red. No obstante, desde otra perspectiva, el modelo de seguridad basado en el perímetro sigue vivo en cierto modo, ya que se ha convertido en una parte útil de una arquitectura de seguridad activa, aunque no es la única. Si nos centramos en la seguridad de Internet, las empresas todavía conservan la idea de un perímetro. La elección que deben realizar las empresas es si desean ampliar dicho perímetro a Internet, incluir Internet dentro de ese perímetro o ambas opciones. En cualquier caso, es necesario aplicar capas de seguridad adicionales, como ocurre en los entornos de seguridad empresariales internos. No obstante, ambos escenarios presentan los mismos inconvenientes en cuanto a una posible falta de visibilidad y control originada por el hecho de externalizar servicios en Internet. Los directores de seguridad de la información deben extremar la vigilancia, realizar auditorías y ser conscientes de los riesgos relacionados. 1) En el primero de los casos, en el que se amplía el perímetro a Internet, es necesario configurar un túnel VPN IPSec con los servidores del proveedor de servicios en la red pública, además de aplicar una seguridad de tipo empresarial para el servidor de Internet público, lo que suele hacerse mediante software de seguridad y appliances virtuales. Las ventajas de esta configuración residen en que ya no es necesario tener que volver a configurar Active Directory y en que la mayoría de las herramientas de gestión existentes deberían funcionar con su configuración para la computación en nube, puesto que sus servidores de Internet se hallan efectivamente dentro del perímetro. Sin embargo, en la lista de desventajas, que varía según la protección de seguridad de que disponga su servidor de Internet, seguramente figurarán los riesgos relacionados con la red que pueden afectar su arquitectura [se describen más abajo]. Para intentar contrarrestar estas desventajas, es importante controlar el enlace entre Internet y los servidores internos en busca de tráfico sospechoso, así como todos los enlaces a servidores críticos, tanto si están en Internet como si no lo están. Otra opción pasa por añadir una DMZ adicional y un cortafuegos, a pesar de que esto supone otro perímetro que debe controlarse. Son muchas las empresas que se olvidan de este paso en su carrera por hacerse un hueco en Internet, o que desconocen su existencia. Especialmente, las pequeñas empresas que carecen de tiempo y recursos informáticos para crear las infraestructuras necesarias para estas barreras de seguridad. Igual de imprescindible resulta aplicar un nivel de seguridad suficiente en los servidores de Internet a fin de garantizar su fiabilidad: IDS/IPS, cortafuegos bidireccional, etc. 2 Artículo de opinión de Trend Micro Quién es responsable de la seguridad en Internet

4 RIESGOS QUIÉN ES RESPONSABLE DE LA SEGURIDAD Los directores de información deben saber que sus servidores por Internet van a estar expuestos a amenazas distintas de las que suelen combatir internamente. Una de las preocupaciones principales reside en la reticencia que manifiestan las empresas en proporcionar acceso físico o de administración a los registros de acceso a sus proveedores de servicios en la red. Ante esta situación, es prácticamente imposible que sepan si un usuario administrador de TI que trabaje para el proveedor de servicios en la red pública ha accedido a sus datos, por ejemplo. La amenaza proveniente de dentro puede contenerse internamente hasta cierto punto si se mantienen los registros de acceso, pero si se impone esta falta de visibilidad en Internet, serán muchos los que abogarán por adoptar el cifrado de datos como estándar. [En el mes de diciembre salió a la luz pública que algunos datos corporativos de clientes de la solución BPOS, una suite empresarial alojada de Microsoft, quedaron a merced de otros usuarios del software, quienes los descargaron, tras un error de configuración. Aunque el problema se solucionó rápidamente, es un botón de muestra de lo que puede ir mal y de la importancia de la visibilidad en los sistemas de su proveedor de servicios en la red para garantizar el cumplimiento tanto de sus estándares como de los de los reguladores.] El almacenamiento compartido también es un área de riesgo para las empresas preocupadas por la seguridad de sus datos cuando estos se ubican junto a los de una empresa de la competencia en un mismo disco de Internet. Algunos proveedores de servicios en la red pública no son, por decirlo claramente, expertos en seguridad ni tan transparentes en su gestión como deberían serlo. Para empezar, cuando se guardan datos fundamentales en Internet, lo esencial es comprobar un cumplimiento estricto de las prácticas de seguridad, como ISO y SAS70 II, además de examinar rigurosamente el contrato SLA y la política de seguridad de su proveedor. Relacionado con el punto anterior está el hecho de que la mayoría de los proveedores de servicios en la red tienen como política reembolsar solamente un importe equivalente al coste del servicio que ofrecen en caso de fallos, incluso si el fallo es culpa suya. Una filtración de datos que acarrea unos daños imposibles de cuantificar a la imagen de la empresa, multas y pérdidas financieras que pueden ascender a millones, por ejemplo, tiene que ser asumida al final por el cliente. 2) En el segundo de los casos, el hecho de ampliar la informática por Internet hasta la empresa permite ampliar los servicios en red realmente hasta el interior del perímetro, lo que supone aceptar que un proveedor de servicios en la red pública IaaS o un MSSP basado en Internet instale un nodo nube en sus instalaciones. 3 Artículo de opinión de Trend Micro Quién es responsable de la seguridad en Internet

5 Las ventajas de esta configuración, que va ganando adeptos entre las empresas más grandes, es que se trata de un modelo relativamente bien entendido. Akamai, por ejemplo, lleva haciendo algo similar desde hace más de diez años: gestionar un servidor ubicado dentro del perímetro de seguridad del cliente. Por su parte, Integralis, un MSSP, ofrece servicios de gestión para cortafuegos remotos "desde Internet" desde hace años. Otro ejemplo sería Trend Micro Smart Protection Network, que enlaza los servidores de seguridad ubicados dentro de una red empresarial con una red de seguridad de miles de servidores en Internet. Sin embargo, a pesar de la simplicidad que supone tener estos buzones en su centro de datos o sucursal y que los gestione o actualice centralmente el proveedor de servicios en la red, los principales inconvenientes son que se trata todavía de un servicio de informática por Internet básicamente, lo que para el director de TI puede presentar muchos de los riesgos de la primera configuración. Los riesgos que desencadenan la falta de visibilidad de los registros de acceso físicos y/o de administración siguen estando presentes. La responsabilidad en caso de actos de negligencia que derivan en pérdida de datos fundamentales para la actividad se limita por el momento al reembolso del coste del servicio. A pesar de que se puede activar y desactivar, cuando está en Internet, el proveedor de servicios en la red tendrá acceso a los datos de su red y sus aplicaciones, lo que implica una necesidad de confianza. Si el proveedor otorga importancia a la seguridad y la transparencia en sus contratos SLA, seguramente no tendrá nada por lo que preocuparse. Sin embargo, y como ya se ha indicado, los proveedores de servicios en la red más generalistas no incluyen la seguridad en el eje central de su propuesta de valor. Todo se reduce a diferenciar entre una seguridad "bastante buena" y una seguridad "óptima". Con toda seguridad, un servicio de correo electrónico basado en Internet configurado en su perímetro por un proveedor de servicios gestionados, por ejemplo, ofrecerá una mayor fiabilidad que uno proporcionado por el típico proveedor de servicios en la red. 4 Artículo de opinión de Trend Micro Quién es responsable de la seguridad en Internet

6 IV. EN DEFINITIVA... QUIÉN ES RESPONSABLE DE LA SEGURIDAD EN INTERNET Y DÓNDE ESTÁN LAS FRONTERAS? La dolorosa verdad es que, si pretende recibir ayuda del proveedor de servicios en la red, seguramente quedará decepcionado. De hecho, incluso puede experimentar mayores dificultades en su trabajo debidas a la falta de visibilidad de los registros de acceso o a una redacción confusa de las políticas de seguridad. Debería proteger sus servidores de Internet del mismo modo que los servidores internos. Esto incluye; IDS/IPS, herramientas DLP, cortafuegos bidireccional y cifrado. Podría experimentar problemas en el frente de seguridad de la red en el entorno de Internet, ya que son muy pocos los proveedores de servicios en la red dispuestos a dejarle supervisar el tráfico de la red con el detalle que a usted le gustaría. En su propia red, toda la configuración de enrutadores/conmutadores y los registros son libres, por lo que puede fisgar todo el tráfico que desee. En la red, en cambio, nada de esto recae en usted. Este hecho puede hacerle descartar Internet desde un punto de vista de cumplimiento de políticas. Por eso es tan importante que conozca la libertad de supervisión y acceso que ofrece cada proveedor. El cifrado de los datos parados y en tránsito reviste una importancia crucial ante la falta de visibilidad del tráfico de la red y de los registros de acceso de administración de su proveedor. Muchos proveedores de servicios en la red también ofrecen una preocupante falta de controles de acceso basados en funciones para administradores. Con Amazon EC2, por ejemplo, una cuenta es la propietaria de todos los buzones, por lo que un miembro de la organización con acceso a la cuenta podría hacerse con las llaves del reino, con posibilidad de añadir o eliminar buzones a su antojo. En la red privada, se está cuestionando la propiedad de la seguridad, que recae en el departamento informático, gracias a la velocidad con la que se pueden crear servidores. La velocidad del proceso está haciendo que se pierda el equilibrio natural entre la capacidad del departamento informático por ofrecer servidores y la necesidad que tienen las empresas de disponer de los mismos. Las necesidades empresariales actuales se reducen a saber si es posible cubrir el coste de una licencia. Por lo que al entorno de la red privada se refiere, una unidad de negocio podría tener un servidor preparado y listo en 1-2 días, en lugar de en 6 semanas. En cambio, es imprescindible gestionar correctamente todas y cada una de las solicitudes de servidores nuevos, dado que los riesgos de seguridad aumentan conforme crece el número de buzones que deben gestionarse. Es importante que los directores de TI apliquen un proceso de autorización centralizado que garantice que todas las solicitudes de la empresa pasen primero por el departamento de TI. 5 Artículo de opinión de Trend Micro Quién es responsable de la seguridad en Internet

7 V. CÓMO PROVOCAR LA ACCIÓN Empresas Es importante cifrar los datos almacenados y en tránsito y extremar la precaución para guardar las claves de cifrado en una ubicación distinta de la de los datos; es decir, donde el proveedor de servicios en la red no pueda acceder fácilmente. Es necesario implementar las herramientas de seguridad que se instalen en los servidores físicos también en Internet porque todos los proveedores de servicios en la red proporcionan un sistema operativo "desnudo", sin la seguridad adecuada. Proveedores de servicios en la red Es importante ser más abierto y transparente sobre las políticas de seguridad y los procedimientos relacionados con los controles de acceso y el tráfico de red. Los clientes necesitan saber quién ha hecho qué y cuándo, así como consultar los registros. Es importante aclarar el contrato SLA con los clientes para definir con precisión las funciones de seguridad que se ofrecen y lo que necesitan hacer los clientes por su parte para garantizar la protección de sus datos según sus estándares y los de sus reguladores. Entornos de Internet privados Es importante crear un proceso de autorización centralizado, si no existe ya uno, para todas las solicitudes nuevas de servidores por Internet provenientes de empresas. Es necesario saber por qué se necesita el servidor, para qué se ejecuciones se va a destinar, por cuánto tiempo se necesita, el volumen de tráfico que gestionará e ir revisando estos requisitos. Es importante estar preparado... el departamento de informática se ve obligado a pisar el acelerador. Por el bien de las empresas y los negocios, es necesario estar preparado para hacer frente a estos requisitos de manera rápida y sin poner en peligro la seguridad. 6 Artículo de opinión de Trend Micro Quién es responsable de la seguridad en Internet