Entre la espada y la pared
Seguridad en Internet
La economía está penetrando en una nueva era, en la que se incorporarán las tecnologías Internet a la mayoría de las transacciones financieras, si no a todas, y las empresas se están esforzando frenéticamente por añadir tecnologías Web a aplicaciones ya existentes y por integrar la red pública en sus infraestructuras de redes corporativas . La mayoría de las grandes corporaciones están ofreciendo ya acceso a la Internet desde el ordenador desktop . De acuerdo con un estudio realizado entre casi 200 miembros del Technology Managers Forum, más de un 80% de los usuarios corporativos tienen actualmente capacidad para acceder al World Wide Web . Como consecuencia de esta rápida proliferación de los accesos a la Internet, podría pensarse que el obstáculo más importante al comercio electrónico es la anchura de banda . Pero no lo es . El problema número uno es la seguridad .
En realidad, pocos profesionales se enfrentan actualmente a desafíos más importantes que los de los directores de TI que están desarrollando normas y políticas de seguridad Internet para unas infraestructuras de red en rápido cambio . Por ejemplo, ¿ cómo podrán establecer un equilibrio entre la necesidad de seguridad Internet y los accesos a Internet ? ¿ Son adecuados sus presupuestos para seguridad Internet ? ¿ Qué impacto ejercerá el desarrollo de aplicaciones intranet, extranet y Web sobre las arquitecturas de seguridad ? ¿ Cómo podrán establecer unas prácticas óptimas para desarrollar una política de seguridad Internet ? En este artículo se explorarán algunas de estas cuestiones en torno a la seguridad Internet y se intentará ayudar a estos directores de TI que se encuentran bajo presión para obtener respuestas a algunas de ellas .
Problemas en Internet
Parte del problema está en que Internet ha sido desarrollada para ofrecer interoperabilidad, no impenetrabilidad . El principal protocolo Internet, TCP/IP ( Transfer Control Protocol/Internet Protocol ) fue desarrollado por científicos como un subproducto del complejo militar/industrial, con el fin de intercambiar información sobre investigaciones patrocinadas por el gobierno de Estados Unidos . Hoy, 40 años más tarde, esta misma tecnología se está utilizando para el intercambio de información entre entidades comerciales que se conocen unas a otras sólo a través de medios de identificación electrónica .
Por otra parte, es poco lo que se puede conseguir con estos protocolos para hacer que Internet esté a prueba de manipulaciones . Internet fracciona porciones de información en paquetes, que pueden ser dirigidos entonces a cualquier parte utilizando cualquier proveedor de servicios Internet o ISP ( Internet Service Provider ) , para ser reagrupados posteriormente en su lugar de destino .
El lenguaje HTML securizado, que consiste en un conjunto de instrucciones integrado en servidores Web con el fin de encriptar paquetes para que no puedan ser fácilmente leídos, aumenta la seguridad pero hace más lenta la transferencia de información . Y lo mismo puede afirmarse del estándar SET ( Secure Electronic Transactions ) , que se utiliza para encriptar transacciones de tarjetas de crédito realizadas a través de Internet . Aunque estas transacciones más lentas podrían no ser detectables por un usuario casual, podrían continuar siendo vulnerables a ataques al nivel ISP .
Si alguien desease atacar una transacción, podría obtener al nivel ISP todo lo necesario, sin necesidad de descifrar una contraseña encriptada . Todo lo que tendría que hacer sería interceptar la contraseña . Como la información viaja a través de muchos ISPs diferentes en la red pública, la seguridad de la información sólo es tan fuerte como el ISP más débil, que puede ser el proveedor del comprador o el proveedor del vendedor . En el pasado, los ISPs han sido vulnerables a esos ataques .
Problemas en intranets
Las intranets -es decir, las aplicaciones internas de las compañías, en las que se utilizan tecnologías y protocolos Internet para transferir información detrás de la pared cortafuegos o " firewall " - están adquiriendo rápidamente una popularidad cada vez mayor . Según los resultados de una reciente encuesta, un 53% de las empresas y organizaciones de Estados Unidos han desplegado ya intranets, y otro 23% están desarrollando o implementando una intranet . Si a esto se añade el 16% que tienen previsto desarrollar una intranet en los próximos 12 meses se obtiene la cifra extraordinaria de un 92% de compañías que tendrán instalada una intranet a muy corto plazo . Sin embargo, las intranets difícilmente pueden ser consideradas como aplicaciones a prueba de fugas, y tienen sus propias limitaciones tecnológicas . Además, en los casos en los que las aplicaciones corporativas utilizan la red Internet pública, son vulnerables en el nivel ISP, lo cual explica fácilmente por qué la seguridad Internet es el problema número uno para los directores de tecnología en las empresas . Por ejemplo, si tiene lugar una infracción a la seguridad en un área pequeña, puede difundirse a todo el sistema . Cuando todo está más o menos conectado, es difícil envenenar sólo una parte del pozo . Cuando la mayoría de las personas piensan en amenazas a la seguridad, están pensando generalmente en defenderse frente a ataques externos, en virus que podrían infectar a la empresa desde fuera, o en hackers que podrían irrumpir en sus bases de datos . Sin embargo, lo cierto es que nueve de cada diez intrusiones proceden de dentro de la empresa, un hecho que dejan de tener en cuenta la mayoría de las compañías al diseñar soluciones de seguridad intranet . Este es el motivo de que sea importante crear niveles de seguridad separados para aplicaciones Internet, extranet y Web y permitir a los usuarios acceder a aplicaciones sólo sobre la base de sus necesidades comerciales .
Aunque es fácil decir que las aplicaciones de intranets, de extranets y de Websites deben estar en zonas de seguridad, ponerlo en práctica resulta más difícil . Las aplicaciones tienen comunidades de usuarios, y al expandirse las redes mediante tecnologías Internet, la información viaja a través de límites y fronteras físicas . Proteger esta información y hacer al mismo tiempo que las aplicaciones sean fáciles de utilizar es una tarea difícil .
Dentro de este esquema de seguridad de “zona de acceso”, la máxima protección la obtendría la información corporativa, es decir, la información que viaja a través de intranets . Esta información quedaría incluida en lo que puede designarse como la Zona 1 .
Las aplicaciones extranet que conectan a los usuarios corporativos con sus proveedores, o con sus firmas colaboradoras designadas, quedarían incluidas en la Zona 2 . Por lo tanto, la información intercambiada a través de extranets tendría que cruzar dos zonas de seguridad para que se completase una transacción .
El perímetro final, el Website, estaría en la Zona 3 . En esta delimitación, la información que viaja a y desde el centro de proceso de datos corporativo estaría cruzando tres zonas de seguridad, y tendría que cumplir con los requerimientos de acceso en cada límite o frontera .
Los productos de seguridad Internet deben ser implementados a múltiples niveles dentro de una empresa y las empresas deben desarrollar una política de seguridad que incluya una monitorización continua en cada una de las fronteras en las que la información puede pasar de una zona de seguridad a la siguiente .
El cielo no se hunde
Incluso las empresas que no han implementado aún una estrategia de seguridad de amplio alcance tienen instaladas tecnologías de firewalls, protección anti-virus y autentificación de usuarios . En el futuro, el crecimiento más importante será el de las tecnologías de autentificación, como la auten
