- La seguridad del ERP
Con todas las informaciones procesadas por los sistemas de gestión empresarial, el riesgo de pérdida de los datos por invasiones, virus y otras violaciones es real.
La convergencia de medios digitales (voz, datos e imágenes) y la creciente integración de redes fijas e inalámbricas vienen generando grandes retos de seguridad para el universo corporativo. Aunque protección y disminución de riesgo sean las principales preocupaciones en todas las redes, el mayor reto se relaciona a infraestructuras que engloban nuevas tecnologías y formas de comunicación. Como forman parte de un escenario tecnológico poco conocido y exigen acceso a múltiples fuentes de información, los nuevos aplicativos convergentes – tales como sistemas de mensaje unificados, telefonía IP y acceso a la Web por aparatos de telefonía móvil - son más vulnerables a fraudes, desconexión y a ataques de hackers.
La Asociación de Control de Fraudes en Comunicaciones, con sede en los Estados Unidos, calcula que la quiebra de la seguridad en sistemas y redes de computadoras empresariales representa un perjuicio mundial de aproximadamente USD 35.000 millones al año, según estudio divulgado en 2003. Solamente en 2002, en Brasil, los hackers causaron perjuicios de aproximadamente R$ 2.000 millones para el segmento corporativo. Y los números tienden a aumentar.
Una de las razones es la creciente utilización de sistemas de PABX IP y de la tecnología de Voz sobre IP (VoIP) en empresas con ambientes convergentes, lo que viene atrayendo nuevamente el interés de hackers para las redes de telefonía. Hasta entonces preocupados únicamente en derrumbar sistemas de datos, los hackers comenzaron a promover ataques de negación de servicio (DoS) para controlar - e inclusive desconectar - sistemas corporativos de PABX y de mensaje de voz. Como los nuevos sistemas de telefonía convergentes operan en servidores de plataformas abiertas tradicionales y protocolos de conectividad a Internet, los riesgos de seguridad y fraude crecen, facilitando la vida de los hackers.
Pero lo que está llamando la atención de los hackers es la integración entre redes de telefonía fija y la infraestructura inalámbrica, incluyendo celulares y redes locales inalámbricas (WLANs o Wi-Fi), porque las infraestructuras móviles inalámbricas con estándar 802.11 (hotspots o puntos de conexión) aún se consideran extremamente vulnerables.
Para garantizar la confiabilidad de sus redes convergentes de voz y datos, las empresas necesitan establecer políticas de seguridad, implementar un buen sistema de defensa de infraestructura, adoptar planes de contingencia y, sobre todo, administrar sus recursos tecnológicos de manera eficaz - asegurando la integridad del sistema y el acceso seguro a las aplicaciones.
| Política de seguridad | |
El primer paso para evitar la acción de hackers en redes convergentes de voz y de datos es implementar una política de seguridad que contemple la protección de privacidad de los usuarios, la garantía de confidencialidad de las informaciones y, principalmente, el control del acceso a los recursos esenciales de infraestructura. En las empresas, las invasiones por simulación criminosa de códigos y contraseñas realizadas por hackers, empleados descontentos y otros intrusos, se pueden evitar - o por lo menos minimizar - si las medidas de seguridad estipuladas se obedecieran.
Entre las medidas está la introducción de rutinas constantes de cambio de contraseñas y la restricción del número de tentativas de acceso desautorizado - si en la tercera tentativa el usuario no consigue hacer el login en la red, la entrada al sistema estará bloqueada. Otras medidas de protección aconsejadas son la eliminación de casillas de correo de voz inactivas, la substitución de códigos de prueba utilizados por el equipo que instaló el sistema por nuevas contraseñas y la instalación de programas antivirus.
Para los consultores del Robert Frances Group, lo más importante en cualquier programa de seguridad es informar a los empleados sobre los costos y peligros de los fraudes, además de mostrarle cómo pueden trabajar en la prevención.
Todos los miembros de la corporación deben conocer los procedimientos operativos básicos para atenuar los fraudes y las violaciones en el sistema: los empleados deben ser concienciados de que necesitan desconectarse de la red al final del día, los administradores deben asegurarse que las políticas de seguridad están siendo seguidas y el acceso remoto de empleados a la red se debe realizar por medio de códigos de identificación o tecnologías de tarjeta inteligente (smart card). Generalmente, el simple conocimiento del plan de seguridad es el mayor aliado contra fraudes en el sistema de telefonía y uso indebido por parte de los empleados.
| Implementación de sistemas de defensa | |
La implementación de un eficiente sistema de defensa se debe iniciar por la evaluación de los riesgos de seguridad y de los costos que eventuales invasiones puedan causar. Las pruebas emulan la amenaza presentada por hackers e intentan levantar los comprometimientos de los servicios de la red convergente con el fin de destacar sus vulnerabilidades. Luego, se deben calcular los perjuicios en potencia que la empresa puede sufrir. El segundo paso es el desarrollo de una arquitectura de seguridad que minimice las pérdidas físicas y materiales apuntadas. Y, para su implementación, será necesario un modelo de administración de seguridad efectivo.
Las empresas deben determinar los aspectos de protección que serán centralizados, la implementación de aspectos regionales o departamentales de seguridad, los métodos para obtener el financiamiento y la manera como las unidades de negocios se responsabilizarán por el proyecto. El desarrollo de esa etapa involucra administración de riesgo, cuestiones reglamentarias, protección de propiedad intelectual y confidencialidad y seguridad de las aplicaciones de negocios.
La infraestructura de seguridad de una corporación está constituida por herramientas, tecnologías y tácticas que se utilizan para proteger el perímetro de la red y sus recursos internos. Infelizmente, para los administradores de seguridad de red, cada ola de nuevas tecnologías hace que la arquitectura de seguridad actual se torne obsoleta. Las aplicaciones distribuidas en redes locales y la inclusión de redes externas en la topología de las empresas hicieron que la seguridad corporativa se deba rehacer. Aplicativos móviles y conexiones inalámbricas contornaron los firewalls y permitieron que informaciones importantes fuesen accedidas por aparatos colgados en la cintura de los empleados.
Las infraestructuras de seguridad tradicionales intentaron proteger el perímetro, pero los recursos internos ahora están cada vez más expuestos al acceso externo por medio de nuevas aplicaciones. En ese escenario de cambios rápidos, las empresas necesitan un modelo de seguridad modular que contemple un núcleo fijo con etapas variables, y una infraestructura que incluya firewalls, detección de invasión y prevención, protección antivirus y filtro de contenido, seguridad móvil e inalámbrica, encriptación y administración de seguridad de TI.
Las empresas no pueden obtener retornos satisfactorios de sus inversiones en planificación de seguridad y desarrollo de políticas específicas sin ejecutar e implementar efectivamente el proyecto. Una administración de seguridad eficaz se concentra en tecnologías operativas y mejores prácticas que mantengan un acceso seguro a aplicaciones y recursos, y que aseguren la integridad de la configuración y la definición del sistema. Las preocupaciones del gerente de seguridad incluyen: evaluación de vulnerabilidad, administración de identidad y acceso, configuración de seguridad y administración de camino (path), e infraestructura de servicios web.
| Planes de contingencia | |
Con los constantes ataques de hackers, también es de extrema importancia un plan de contingencia que defina los procedimientos y las tecnologías que asegurarán el funcionamiento de todos los procesos de negocios durante situaciones críticas. Sin embargo, hasta fines del 2003, las empresas brasileñas no se mostraban dispuestas a arcar con esos gastos. Una investigación realizada por Gartner Group mostraba que solamente el 28% de las empresas consultadas poseían una política de continuidad de los negocios para ataques físicos, lo que resalta la vulnerabilidad a la que estaban sujetas.
Para asegurar la integridad de la infraestructura de comunicación, las empresas deben realizar inversiones significativas en seguridad, desde la adquisición de antivirus y firewalls, la protección de equipos de red (cableado, enrutadores, concentradores, conmutadores, etc.) hasta la metodología de los planes de contingencia. Esa inversión incluye también una evaluación que prevea el riesgo que las redes pueden sufrir con ataques y el costo de creación de un plan de contingencia.
De manera general, las situaciones de riesgo exigen empleados de soporte bien entrenados para ejecutar tareas de emergencia, simulación de situaciones e inversión en medios de comunicación alternativos en el caso de caída de la red telefónica. Cambios recientes en el ambiente reglamentario, corporativo y de TI están impulsando la búsqueda de planes de contingencia que no sólo protejan el sistema de intrusiones, sino que prevengan esos ataques.
|
| |
La convergencia de redes fijas e inalámbricas, además del creciente uso de dispositivos wireless (inalámbricos), viene presentándose como un verdadero reto de seguridad para las corporaciones. Eso sucede porque la tecnología inalámbrica sufre los mismos tipos de amenaza que los sistemas conectados por cable, pero en mayor cantidad. Además, las amenazas a los dominios inalámbricos están evolucionando casi a la misma velocidad que los nuevos aplicativos y tecnologías wireless (inalámbricas) surgen en el mercado. Debido a su sofisticación, capacidad y flexibilidad, las tecnologías inalámbricas están siendo adoptadas con más entusiasmo por parte de las corporaciones, principalmente las redes locales inalámbricas (WLANs o Wi-Fi). Sin embargo, esa infraestructura utiliza el estándar de comunicación 802.11 (hotspots), considerado vulnerable.
Para proteger grupos de puntos de acceso de las redes locales inalámbricas, las empresas están adoptando gateways (puertas de enlace) de seguridad inalámbricos que suministran firewall, soportan autenticación y criptografía.
Otras alternativas administran el ancho de banda inalámbrica, pero imponen restricciones de calidad de servicio sobre el uso de ancho de banda o de los tipos de aplicación. Los gateways complementan los recursos de seguridad existentes, tales como las redes privadas virtuales (VPNs) y los directorios utilizados para autenticar usuarios Ethernet LANs y aplicaciones empresariales.
De acuerdo con los consultores del Robert Frances Group, las redes locales inalámbricas (WLAN) están casi aptas para ofrecer seguridad razonable para muchas aplicaciones empresariales. Sin embargo, los requisitos de protección para esas aplicaciones deben ser identificados y atendidos. Además, las empresas necesitan ser capaces de monitorear siempre sus redes WLAN, con el fin de detectar brechas de seguridad y opciones de configuración de seguridad impropias. Todos los requerimientos de seguridad de la red deben ser atendidos, incluso la administración, la configuración y el monitoreo.