Seguridad: un enfoque centrado en los datos

Al orientarse hacia los datos, la seguridad comienza a extenderse a la totalidad del negocio, entendiéndose hoy más como un proceso que como un producto.

Y a en octubre de 2006, IDC reveló como una de las principales conclusiones de un estudio global realizado entre más de 4.000 profesionales de TI en más de 100 países que para preservar la seguridad de una organización, las personas y los procesos son más importantes que la tecnología. Y es que el factor humano tiene gran relevancia por dos razones. Por un lado, es parte del problema, dado que la mayoría de las incidencias de seguridad en los últimos años han tenido un componente de error humano. Por otro, es parte de la solución: la estrategia y procesos de seguridad no pueden circunscribirse a los departamentos de TIC, sino que deben de extenderse a toda la organización. Una vez que las personas y los procesos están alineados con la estrategia de seguridad, es cuando adquiere relevancia la tecnología, que asume el rol de facilitador para la implementación de las estrategias de seguridad.

Pero ¿por qué tiene tanta importancia el factor humano frente a la tecnología? Porque la mayor fuente de riesgo se encuentra en la interacción entre la persona y los datos. Y los departamentos TIC se están dando cuenta de que lo que hay que proteger son los datos, y por tanto es en torno a ellos donde tiene que centrarse la seguridad, en vez de en las redes o los sistemas.

Los objetivos de disponibilidad, confidencialidad, integridad seguirán teniendo la misma relevancia que han tenido en el pasado. No obstante, aparecen nuevos retos ligados a la dinámica de los datos:

• El elevado ritmo de crecimiento. IDC estima que el volumen de datos almacenados por las grandes empresas se incrementará a un ritmo del 30% durante 2008 y 2009. Las políticas de almacenamiento y seguridad tienen que adaptarse a este crecimiento, una tendencia que irá a más con el tiempo.

• La complejidad creciente. Tienen una gran variedad de formatos, son cada vez más voluminosos (los ficheros multimedia ocupan mucho espacio) y son heterogéneos (estructurados, semiestructurados y no estructurados).

• La dispersión. La disponibilidad de dispositivos de almacenamiento al alcance de cualquier empleado hace muy difícil realizar un seguimiento de dónde reside la información. De acuerdo con varios estudios recientes de IDC, menos de la mitad de los responsables de centros de datos conoce la cantidad de datos almacenados fuera del datacenter.

Estos retos ponen de manifiesto que todavía existe un escaso control sobre los datos en las organizaciones. En este contexto nos encontramos frente a nuevas amenazas:

• La información está cada vez más expuesta. El número de personas o sistemas con acceso potencial, autorizado o no, crece a una gran velocidad.

• Las amenazas de ataques han evolucionado. Los objetivos de los atacantes han cambiado, así como sus patrones de comportamiento. En el pasado, buscaban principalmente notoriedad, y tenían cierto componente lúdico. Actualmente, tienen ambiciones económicas y cuentan con avanzadas herramientas tecnológicas. También ha cambiado la naturaleza de la información que persiguen los atacantes. Antes, la información que se buscaba era puntual, relacionada con información privilegiada. Hoy, la información deseada es de carácter masivo, y más relacionada con datos de identidad.

• Las amenazas relacionadas con las interrupciones de negocio y caídas de sistemas tienen cada vez mayor impacto económico. En consecuencia, se consolida una mayoría de empresas que tienen en marcha sistemas de backup y planes de continuidad. No obstante, la efectividad de estas medidas no se percibe como garantizada. Muchas empresas no confían en sus sistemas si tuvieran que afrontar una situación grave de falta de disponibilidad. Es aquí donde aparece la oportunidad de externalizar los planes de continuidad, lo que libera a la empresa de la complejidad de su gestión.

• Amenazas relacionadas con los empleados. Se podrían clasificar en dos niveles: el ya mencionado error humano y la brecha entre las necesidades de conocimiento en seguridad y las capacidades del personal TIC de las empresas.

• Web 2.0. El riesgo más importante de las aplicaciones web 2.0 es el uso malicioso de widgets para hacerse con información personal. Por ello, es previsible un gran crecimiento de la demanda de seguridad web.

Redefinición de la seguridad

Si la seguridad se orienta hacia los datos, se extiende hacia todas las áreas de negocio, y ya no se define como un producto, sino como un proceso cuya gestión requiere un conjunto de capacidades tanto tecnológicas como de negocio. Esta gestión de la seguridad se apoya, en primer lugar, en la detección de los riesgos, y después en el establecimiento de políticas adecuadas para controlarlos

Hay una amplia variedad de áreas en la que pueden identificarse riesgos. Entre ellas se encuentran:

• Criticidad de los datos. Para proporcionar seguridad a los datos, un primer paso es saber qué datos son críticos y necesitan un alto nivel de protección. Sin embargo, en la actualidad es muy pequeña la proporción de empresas que utilizan herra