Tribuna
disponer de un especialista certificado, que no logra entender la esencia del actual proceso de seguridad debido a una falta de conocimientos teóricos, pero que puede –usando un manual– instalar aplicaciones para las tareas necesarias. Ahora bien, si aparece un problema más complejo, como la reconfiguración de las aplicaciones ya instaladas para asegurar la estabilidad, seguridad, etc., entonces se aferran al clásico principio «no toques lo que funciona». Es más, cuando afrontan la necesidad de una nueva solución, estos especialistas, de forma típica, acuden al Cuadrante Mágico de Gartner (o una variable comparable o similar a este informe) para escoger la perfecta lista de soluciones. La gran cuestión es si estos especialistas, que adolecen de amplia experiencia bajo sus certificados académicos, están abrazando o buscando la verdadera innovación tecnológica. Los líderes de la industria –como evidencian los informes de los especialistas y los análisis editoriales- pueden cambiar frecuente y drásticamente sus posiciones, incluso cuando no se están produciendo cambios dramáticos ni en las funcionalidades ni en los parámetros técnicos de la solución. Si comparamos los recientes informes IPS de Gartner y NSS Labs, observamos que los líderes cambian sus posturas entre trabajo y trabajo. Mientras Gartner fue capaz de demostrar qué proveedores estaban copando cuota de mercado, el test llevado a cabo por NSS Labs puso de manifiesto que algunos de estos líderes ofrecían muy poca protección contra los ataques, máxime cuando gran parte de los proveedores fueron sometidos a otra ronda de test llevados a cabo por ICSA Labs (un laboratorio independiente de testeo) y prácticamente ninguno los superó con éxito. La seguridad de redes es una función tan única dentro del conjunto de la estrategia de seguridad de una compañía que es difícil analizar la efectivi-
Figura 2.
dad de una solución basándonos tan sólo en un informe. Estos exámenes pueden arrojar luz en el proceso de selección del especialista, pero únicamente pueden hacer eso, esto es, actuar como guía. La habilidad para juzgar cuál solución cuadra mejor con los requerimientos únicos de la red depende por completo de lo amplio y extenso que sea el conocimiento del especialista. En conclusión, la mentalidad y el acercamiento con el que abordemos la selección de una solución se convierte en un factor fundamental en la seguridad de la red de una empresa. VULNERABILIDADES Y PARCHES A pesar de las constantes actualizaciones de las aplicaciones y de los OSs, los hackers pueden penetrar en los sistemas de información. Para el objetivo de este artículo, nos centraremos en cómo y por qué se producen las intrusiones externas. Normalmente se dan dos razones: una errónea configuración de los recursos y de las aplicaciones de seguridad, y vulnerabilidades abiertas que forman parte del sistema de seguridad, como OS y aplicaciones.
En realidad, se supone que todos los proveedores hacen lo posible para asegurarse de que sus parches son rápidamente lanzados y que cualquier vulnerabilidad, como norma, es cubierta cuando se revela en Internet. Para los principiantes, tomemos en consideración algunas cifras entresacadas del informe oficial IBM X Force Vulnerability Threats para el primer trimestre de 2010 (http://www.scribd. com/doc/36404495/IBV-X-Force-Vulnerability-Ghreats-1H2010). Este trabajo de ninguna manera ofrece una imagen completa del presente; sin embargo, refleja las tendencias. Aún omitiendo las tradicionales historias de terror sobre el número creciente de vulnerabilidades, muestra sorprendentes estadísticas acerca de amenazas para las que no existen parches a lo largo del primer trimestre de 2010. Y por tanto, queda claro que cuanto más tiempo los OS o aplicaciones permanezcan sin parchear, más vulnerables serán frente a los ataques. En la Figura 1 se muestra el número de vulnerabilidades sin parches por parte de los diez principales proveedores. Lo que es más, no existe protección INSTALSEC 65