Vivimos en la llamada Era del Conocimiento, sin embargo la importante evolución intelectual que esto conlleva no implica que hayamos podido construir un hábitat más seguro y funcional. La competencia por el conocimiento en todos los ámbitos, sobre todo en el empresario, genera día a día relaciones más complejas e impredecibles.

La tecnología expandió hasta límites impensados nuestras posibilidades. Nos encerramos más y más en espacios reducidos, saturados de cerrojos, alarmas, rejas y cámaras, intentando por esos medios espantar al miedo y combatir la inseguridad.

¿Y qué ocurre en el mundo virtual, ese universo que sólo percibimos cuando estamos conectados a la Red?

Actualmente, se descubre un promedio de veinte nuevas vulnerabilidades por mes. A menudo, el software es puesto en producción cuando apenas supera una calidad de versión alpha. Las vulnerabilidades son ampliamente difundidas en sitios, más allá del tiempo que les lleve a los proveedores de software liberar los parches/arreglos. Adicionalmente, los crackers se han agrupado a lo largo del mundo para compartir información y coordinar ataques.

Conocer los riesgos de la inseguridad en la red es un paso importante, pero ser conscientes de nuestras vulnerabilidades y limitaciones es vital.

La inseguridad genera pérdidas concretas y directas -como en el caso del robo de ideas-, impactando negativamente en la productividad y generando graves consecuencias con la caída de sistemas, alimentando la desconfianza por parte de los clientes. Más grave aún, en ocasiones involucra a la empresa en problemas de orden legal.

Parte del problema reside en que el verdadero impacto de un ataque o una intrusión deliberada, no se vislumbra en forma inmediata, provocando que no se le adjudique al hecho la gravedad que realmente tiene.

Muchas veces, la responsabilidad sobre el problema de la seguridad en Internet es asumido por personal de la empresa, con las limitaciones que ello implica: falta de directivas, tecnología inapropiada,  escasa información, mínimos recursos y en muchos casos sin autorización.

En otros casos, el control de la seguridad descansa sólo en un firewall, creyendo que su presencia es suficiente para resolver esta compleja y cambiante problemática. Pero, por su configuración de defensa estática, es un componente tecnológico que no aporta invulnerabilidad al sistema; es más, forma parte del problema ya que suele dejar pasar a los intrusos que atacan los servidores con presencia en Internet sin dejar rastros.

¿Por qué pensar en la tercerización de la gestión de la seguridad?

A medida que crecen la importancia estratégica de las aplicaciones y acceso a Internet, lo hace también el riesgo de exposición de la seguridad. Las aplicaciones e información que ayudan a desarrollar el negocio son muy importantes para dejarlas vulnerables a las amenazas externas las 24 horas del día. El daño potencial es de gran magnitud:

Más sistemas y aplicaciones en las redes públicas: Las presiones económicas y la globalización llevan a que las compañías traten de introducir Internet en más áreas de sus modelos de negocios, como ser servicio al cliente, e-commerce e intranets.

Más vulnerabilidades: Cada vez con mayor frecuencia, se reportan nuevos ataques de crackers, espías y vándalos que continuamente desarrollan nuevos modos de quebrar e introducirse en las redes y servidores. La información que posee la empresa puede ser adulterada de manera irreversible. Dichas adulteraciones, al menos en el corto plazo, no siempre serán detectadas por la empresa.

Robo de información: Aún más difícil de descubrir. Alguien puede invadir el sistema, copiar información crítica y descubrir secretos de la empresa.

Pérdida de datos: Significa que la empresa puede perder información irreversiblemente, pudiendo enterarse o no.

Downtime no planeado: competidores y crakers pueden derribar los sistemas provocando el cese de las operaciones, sobre todo en procesos importantes o en fechas de mayor procesamiento.

Pérdida financiera/reputación: El tiempo y energía que demanda la detección de las fallas de los sistemas puede significar gastos no planeados, disminución de la productividad e impacto en la moral de los empleados, y muchas veces pérdidas de dinero, tiempo, productos, reputación y hasta en algunos casos vidas.

Sólo una visión integral y holística puede minimizar el riesgo de la seguridad, para eso necesitamos concebirla como un proceso continuo y no como un producto.

En el próximo Newsletter:  El Modelo de los Managed Security Service Providers (MSSPs)