Acceso ilimitado con seguridad total

Mayo / Junio 2009 Sun Inner Circle América Latina Notas Del VP Décimo aniversario del programa Sun BluePrints Nuevas innovaciones ecológicas Recursos relacionados Pautas de conversaciones públicas de Sun Soluciones de gestión de identidades Inner Circle Subscriber Center Get the content that meets your interests and needs: » Update your profile. Not a member? » Join now. Página para imprimir Contacto

Mantener la red abierta para los usuarios autorizados y cerrada para los extraños es la dura tarea a la que se enfrenta la mayoría de los responsables de seguridad de la información. En un mundo acostumbrado a un acceso total a las comunidades externas, como las redes sociales, esta cuestión cobra el máximo protagonismo. Leslie Lambert, máxima responsable de seguridad de la información de Sun, ofrece a los lectores de Inner Circle sus consejos para proteger la empresa aplicando políticas sólidas y explicando a los empleados cómo utilizar las nuevas herramientas en lugar de prohibir su uso.

P: ¿Cuál es el papel del máximo responsable de seguridad de la información?

R: Soy responsable de proteger la información en forma digital, que incluye activos de información de la empresa tales como propiedad intelectual, datos de clientes, secretos comerciales, código fuente y cualquier información confidencial de nuestra red, servidores y sistemas de almacenamiento. No me encargo de la seguridad física, que abarca edificios, identificaciones de acceso y personal de seguridad.

P: ¿Cómo se enfrenta a la paradoja de mantener la red abierta a quienes desea que entren en ella y cerrada a quienes desea mantener fuera?

Utilizamos las prácticas estándar de “control de acceso” que existen desde hace años. Comprendemos con claridad quién está autorizado a obtener acceso a la red de área extensa de Sun, ya sean empleados o parte de una amplia familia de colaboradores asociados a Sun, como contratistas, consultores, proveedores, partners, fabricantes externos, resellers, etc. Utilizamos todos los métodos tradicionales de control de acceso, como la gestión de identidades, la gestión de accesos o la gestión de roles, entre otros.

Nuestra cultura corporativa es muy abierta, más similar a la de una universidad que a la de una empresa, porque utilizamos y apoyamos activamente las tecnologías basadas en Internet y las redes sociales. Sun es un proveedor de TI de muchas de estas empresas basadas en Internet, por lo que no nos limitamos a fomentar su crecimiento, sino que también las apoyamos con nuestras acciones.

P: ¿Cuáles son hoy en día las grandes amenazas de intrusión?

R: Las principales amenazas siguen siendo las distintas formas de software malicioso. La creación de virus, gusanos y botnets solía limitarse a individuos solitarios que trabajaban en sus garajes. Ahora existen grandes “industrias” en algunos países del mundo, probablemente financiadas por grupos del crimen organizado, que obtienen grandes beneficios de los estragos que causan. Si los intrusos logran utilizar una lista de números de tarjetas de crédito y su porcentaje de acierto es elevado, habrán conseguido rentabilizar de forma muy importante el tiempo necesario para crear la infección. Los botnets pueden pasearse por una red, infectar varios computadores y aprovechar toda su capacidad de procesamiento colectiva para hacer su peligroso trabajo. Mi consejo es mantener actualizados los programas antivirus y antispam, no sólo en la empresa, sino también en los sistemas individuales.

P: ¿Qué es lo más importante que deben tener en cuenta los ejecutivos para proteger el acceso a sus empresas?

R: Es imprescindible saber quién tiene acceso y quién no. Es la prioridad. Lo segundo en importancia es disponer de mecanismos y procesos eficaces para poder aplicar los controles. Se pueden seguir normas de buenas prácticas de seguridad, como por ejemplo ISO 27001 o 27002. Después, hay que aplicar un nivel de automatización. Dada la magnitud de la tarea y la velocidad de las operaciones, no es posible utilizar un método manual. Los productos de gestión de identidades y de control de acceso son fundamentales para gestionar los servicios de control de acceso.

P: ¿Qué es más arriesgado para las empresas, permitir el acceso de los empleados a las redes sociales o prohibirlo?

R: El acceso de los empleados a las redes sociales es un tema que ha suscitado mucha preocupación. Fue objeto de debate en una reciente reunión de seguridad en la que participé. Compartí el punto de vista de Sun, basado en la apertura y en la conexión a través de redes sociales, sentada junto a un CSO de una empresa industrial que no permite el acceso de sus empleados. Nuestros entornos son muy diferentes. En Sun llevamos muchos años utilizando redes sociales donde la gente se comunica, colabora y comparte. En el pasado, eran herramientas con otros nombres, como grupos de noticias, paneles de intercambio o sesiones de chat. El auge de sitios como Facebook, MySpace o LinkedIn no es más que una extensión de estas herramientas. Nadie publicaría sus secretos corporativos en un panel de intercambio o grupo de noticias. De la misma forma, debemos orientar y asesorar a los empleados para que se comporten igual con las nuevas herramientas, para que no publiquen secretos corporativos, datos de clientes ni propiedad intelectual en redes sociales a las que cualquiera puede obtener acceso.

Prohibir el acceso a estas herramientas, a mi juicio, es una batalla perdida. No hay forma de evitarlo, salvo desconectar la red, cortar la electricidad y retirar todos los computadores. La gente puede obtener acceso a través de sus teléfonos celulares y PDAs y utilizará su creatividad para conseguirlo. Además, Sun contrata a recién graduados y jóvenes “Millennial” que esperan tener acceso a estas herramientas y servicios. Si quiere que su empresa sea atractiva en el mercado de trabajo de la tecnología de la información, deberá ofrecer este acceso.

Mi consejo es que si va a permitir el acceso a estas herramientas, deberá disponer de unas pautas perfectamente claras y documentadas de uso y mal uso. Todos los empleados de Sun conocen las pautas y políticas de la empresa, por lo que pueden utilizar estas herramientas como juzguen necesario en nombre de la compañía. Cada empleado es responsable de conocer y respetar las normas. Las políticas incluyen información sobre las consecuencias que acarrea la infracción de las normas (despido, control de rendimiento, acciones legales, etc.). Creo que suponer que los empleados no visitarán estos sitios es muy peligroso.

P: ¿Cómo deben las empresas trabajar con los partners y comunidades externas que no aplican el mismo rigor en sus prácticas de seguridad?

R: Hay que decidir cuál es el apetito por el riesgo y crear políticas de seguridad en consonancia. Si un partner no tiene el mismo rigor en sus prácticas de seguridad, puede que sea necesario volverlo a evaluar como partner. De hecho, si un partner asume demasiados riesgos, su empresa se verá afectada. Compartimos nuestras prácticas de protección con los partners y les pedimos que consideren utilizarlas. Si colaboramos en un contrato, pedimos a nuestros partners que cumplan ciertas pautas. Hace dos años, este requisito habría parecido demasiado riguroso. Hoy ya no tanto. Los partners saben que tienen que pagar un peaje por trabajar con ciertas empresas.

P: Sé que tiene algunos buenos consejos para elegir una contraseña. ¿Los compartiría con nuestros lectores?

Naturalmente. Intentar adivinar una contraseña es una forma habitual de obtener acceso a los sistemas. Las contraseñas mal elegidas se pueden adivinar en cuestión de minutos. Estos son mis consejos:

• No utilice información personal. No utilice partes de su nombre, dirección, cumpleaños, nombres de mascotas, nombres de familiares, números de identificación personal u otra información que pueda obtenerse fácilmente.
• Nunca utilice palabras que puedan encontrarse en un diccionario, sea cual sea el idioma. No combine palabras del diccionario, no utilice repeticiones como aaaaaa ni patrones como qwerty, abcde o 12345.
• No utilice sustitutos numéricos comunes de letras para formar palabras. Los sustitutos comunes, como el número 1 para la letra i, 3 para e o 0 para o, son tan frecuentes que siempre se utilizan en los ataques de adivinación de contraseñas.
• Piense en una frase más que en una palabra. Utilice la inicial de cada palabra de una de sus frases favoritas (el título de un libro, una canción, una cita) para crear una cadena de caracteres que no pueda encontrarse en un diccionario y que le resulte fácil de recordar.
• Use distintos tipos de caracteres. Utilice letras mayúsculas, números o caracteres especiales para crear un prefijo y un sufijo únicos para su contraseña. Agregue caracteres hasta alcanzar una longitud mínima de ocho. La longitud es muy importante.
• Evite preguntas fáciles de responder para recordar su contraseña. La contraseña más compleja se puede robar fácilmente si las preguntas son fáciles de responder.