Edición N° 35 - Lima, Martes 11 de Noviembre de 2003    
Quienes
Somos
Contactenos
Suscripcion
Publicidad
  Principal
 
 
 
  • Local
    •
  • Internacional
    •
         
         
         
  • Local
    •
  • Internacional
    •
         
         
       
         
     
     
    		 


    SEGURIDAD EN LA RED: EL PRECIO YA NO ES UNA LIMITACIÓN

    Por: Manuel Diaz
    mdiaz@bitacoradigital.com

    Ante la creciente amenaza de ataques de seguridad a las redes que enfrentan los negocios hoy en día, Cisco Systems presentó hace unos días, su modelo de seguridad completa e integrada diseñado para proteger todos los puntos de acceso a la red, y, para conversar sobre este tema, nos reunimos con Pedro Calle, Systems Engineer de Cisco Perú, quien en las siguientes líneas nos hablara sobre la estrategia de Cisco sobre el tema de Seguridad…

    Estimado Pedro… ¿Por qué es importante la seguridad para las empresas actualmente?

    En realidad, la seguridad no es un tema nuevo. Las empresas siempre han dependido de los mecanismos de seguridad. La diferencia es que antes, estos mecanismos consistían, por ejemplo, de guardias en las puertas inspeccionando todo lo que ingresaba o salía de las instalaciones.

    Con el desarrollo de las computadoras y la explosión de Internet se ha abierto a las empresas grandes posibilidades de emprender nuevas formas de hacer negocios, ser más productivas, tener mayores ganancias, ser más rentables y eficientes.

    Pero al mismo tiempo, al conectarse las empresas a un medio público como Internet y dar acceso a su información a terceros, las ha hecho de cierta manera más vulnerables.

    Por esa razón, la seguridad de la información se ha vuelto más crítica. Las empresas y organizaciones necesitan de Internet, y no van a dejarla, por lo tanto requieren de mecanismos de seguridad complementarios que las protejan.

    Bajo esta óptica, ¿Cuál es la propuesta de Cisco?

    El tema de la seguridad no se reduce a poner dentro de la red, dispositivos para que la protejan, filtren información, protejan de ataques de intrusos o que probablemente cuiden de infiltraciones de virus.

    En realidad, el tema de seguridad tiene que partir de una estrategia general, que se traduzca en una serie de políticas de seguridad, las mismas que pueden incluir evidentemente el uso de herramientas como firewalls, detectores de intrusos, funcionalidades de seguridad dentro del sistema operativo en los switches y routers, etc. A la larga, estas son herramientas que facilitan la implementación de esa estrategia de seguridad en la red, pero de todas maneras no hay que olvidar otros puntos complementarios, como por ejemplo, tomar medidas de control de acceso de los usuarios a la información. Al final la información es el principal recurso de una organización.
    En resumen, este control de acceso tiene que responder a esas políticas que fueron establecidas como consecuencia de una estrategia de seguridad planteada previamente.

    La propuesta de Cisco está enfocada en proveer las herramientas, los dispositivos y la asesoría necesarios para permitir que las organizaciones puedan en principio diseñar esa estrategia de Seguridad y luego implementar las políticas que resulten. Para ello, se ofrece todo una gama de tecnologías y dispositivos de seguridad, que cubren temas como Seguridad de Perímetro, conectividad cifrada segura, protección contra intrusos, autentificación y servicios de identidad de usuarios, así como herramientas que permitan administrar fácilmente la solución completa.

    ¿ Tú crees que todas las compañías tienen políticas de seguridad? ¿Las hacen? ¿Las cumplen?

    En muchos casos no, yo no creo que todas las compañías las tengan. Y en muchos de los casos, cuando las tienen, no las actualizan en forma proactiva. La seguridad de red es un proceso contínuo, nunca termina. Las estrategias son susceptibles de ser rediseñadas y las políticas redefinidas.

    Entonces… ¿Es un tema de cultura?

    Exacto, es un tema de cultura. La seguridad tiene que pasar primero por un tema de cultura, o mejor aún de crear conciencia y modificar modos de vida y de trabajo.

    ¿ El IT Manager es quien define las políticas de seguridad de su organización?

    Es lo más usual. La mayoría de las veces está bajo la responsabilidad del IT Manager definir e implementar las políticas. Lo más probable es que esta responsabilidad se haya delegado a alguien de la misma área que esté enfocado y especializado en este tema. Aunque una vez hemos encontrado que la seguridad estaba a cargo del área de Seguridad Industrial, la misma que se encargaba de la vigilancia de las puertas y acceso a los locales de la compañía y de mantener las normas y estándares de seguridad contra accidentes industriales y laborales. En realidad ambas responsabilidades se pueden y deben complementar, pero resulta evidente que la seguridad de la información debe ser manejada por el área que maneja la información.

    ¿ Y cual es el papel que juegan los Gerentes Financieros?

    Normalmente los gerentes financieros evalúan los costos de implementar los mecanismos de seguridad y por lo tanto la factibilidad de un supuesto proyecto de Seguridad, con lo cual me refiero, no sólo al costo de los equipos de seguridad, si no también al costo de implementar las políticas de seguridad, incluyendo la capacitación del personal, y otros aspectos relacionados.

    ¿ El costo beneficio?

    Exacto. Para lo cual es evidente que hay que tener claro cual es el impacto económico de no tener seguridad.

    Considera, por ejemplo, el caso en que información vital para la compañía se filtre hacia un competidor o el impacto de tener ciertos servicios críticos para la compañía fuera de línea como consecuencia de un ataque. Esto se puede medir de diferentes formas cuantitativas o cualitativas, como por ejemplo, disminución en el índice de satisfacción de los clientes, o número de operaciones o transacciones que se dejan de realizar por hora, porque uno o varios sistemas están fuera de servicio.

    ¿ Podrías ilustrarnos con un ejemplo de lo que seria un antes y un después de implantado un sistema de seguridad en una empresa?

    Podemos poner como ejemplo a una institución bancaria promedio. Imagina que un banco tenga una agencia en una determinada zona de la ciudad y que a través de esa agencia se realicen una determinada cantidad de operaciones. El banco tiene claro cuantas operaciones realiza o cuanto dinero mueve por día en esa agencia, por lo tanto, sabe cuanto pierde por tener la agencia “cerrada” por una o varias horas, o inclusive días.

    Ahora considera que ese mismo banco tiene la infraestructura necesaria para permitir a sus clientes hacer operaciones por Internet, desde su oficina o desde su casa, realizar una serie de pagos o una serie de operaciones o transacciones.

    ¿ Cuánto le costaría al banco tener ese sistema fuera de línea como consecuencia de un ataque?

    En este caso, es evidente el beneficio de tener un adecuado sistema de seguridad, evitar que esa “agencia virtual” quede fuere de servicio y por lo tanto evitar que una determinada cantidad de operaciones financieras o transacciones dejen de realizarse a través de esa misma.

    El otro enfoque consiste en evaluar las nuevas oportunidades de negocios que se le presentan a la organización por estar “conectado” a Internet usando formas seguras.

    Eso es lo que generalmente un gerente financiero evalúa para determinar la factibilidad de implementar esas políticas de seguridad definidas por el área de IT o por el área de seguridad de la empresa, contrastando los costos con las pérdidas de no tenerlas o con los beneficios de tenerlas.
           
      Pág. 1 - 2  
     


    BITACORA DIGITAL
    Bitácora digital no se hace responsable de las informaciones facilitadas por empresas ni de las opiniones de sus colaboradores
    Bitácora virtual digital NO autoriza la reproducción, total o parcial, de los contenidos de sus publicaciones, sin el consentimiento expreso
    Copyright © 2003 - bitacoradigital.com - Todos los derechos reservados