|
Xavier Caballé, responsable de proyectos
y Consultor Senior en la Unidad de Negocio de Seguridad
de Selesta, destaca
en este artículo, la importancia que tiene para
la seguridad de los centros de información, el
disponer de un sistema de centralización de todas
las señales que producen los diferentes elementos
que controlan la seguridad de cada uno de sus componentes.
La aplicación de medidas de seguridad en las
redes supone desplegar diversos productos: sistemas
de detección de intrusos, controles de autenticación
y autorización, cortafuegos y otros servicios.
Habitualmente este despliegue se realiza utilizando
productos y tecnologías de diferentes fabricantes.
Cuando se habla de aspectos de seguridad, las empresas
suelen seleccionar los productos con “pedigrí”:
en cada categoría se selecciona siempre el producto
con mayor renombre y mejor prensa. Y esta es una tendencia
que no parece vaya a cambiar a corto o medio plazo.
Esta disparidad de fabricantes origina diversos problemas,
como la problemática de gestión de los
dispositivos (cada elemento de seguridad dispone de
su propia aplicación de gestión), las
dificultades para la interoperatibilidad (los productos
de seguridad tienen una mentalidad de funcionamiento
aislado) y la centralización de la información
generada.
Este último aspecto es posiblemente uno de los
principales talones de Aquiles en virtualmente cualquier
red con un mínimo nivel de complejidad. A medida
que van aumentando los sistemas de seguridad, se reduce
proporcionalmente la capacidad de poder disponer de
una visión global del estado de la seguridad
corporativa.
|
La centralización de la información generada, talón de Aquiles de cualquier red de complejidad media
|
|
Ahora bien, en la red, esta visión global del
estado de la seguridad no lo proporcionan
únicamente los dispositivos tradicionales de seguridad,
como son los cortafuegos y los sistemas de detección
de intrusos. También otros muchos sistemas están
generando una información vital para poder construir
esta imagen: sistemas operativos, bases de datos, detectores
de virus, servidores de archivos, sistemas ERP...
Ignorar estos datos sólo nos hará tener
una visión distorsionada del estado de la seguridad.
De hecho, son más importantes aquellas informaciones
que nos puedan transmitir los otros elementos, que son
clave para el funcionamiento de la empresa.
Y existe otro factor, de una importancia notable: esta
visión debe ser generada en tiempo real. No importa
cuantos dispositivos tengamos, ni su dispersión
geográfica o los diferentes métodos que
tengan para representar las alertas. La visión
del estado de la seguridad estará totalmente
distorsionada sino se genera en tiempo real.
|
Descubrir un incidente
solo unos minutos después de que
suceda, ya es demasiado tarde
|
|
Una vez disponemos de las informaciones de seguridad
centralizadas, podemos aplicar reglas de correlación.
De esta forma podemos identificar tendencias y similitudes
en los posibles ataques que reciba la red. Con la información
que se obtiene de la correlación, los equipos
de seguridad pueden responder rápidamente ante
un incidente, ajustando sus sistemas para ofrecer la
respuesta adecuada ante el ataque (desactivar una determinada
dirección, reforzando las medidas de seguridad
de los sistemas más expuestos a ataques...).
Otra ventaja de disponer de toda la información
relativa a seguridad centralizada es la facilidad en
la generación de informes, que nos presenten
los diferentes ataques que sufre nuestra infraestructura,
el status de las diferentes líneas de negocio,
el tiempo de respuesta ante los incidentes, etc. Esta
información será básica para evaluar
la idoneidad de las medidas de seguridad existentes
y en la justificación de las inversiones necesarias.
Febrero 2003
|
