Hay exactamente dos claves que tener en cuenta en el área de la Seguridad de la Información: primero, configure el sistema y la red correctamente y manténgalo así. Como es imposible hacerlo perfectamente, la segunda clave es conocer el tráfico que entra y sale de la red. De esta forma, si algo terrible sucede podrá detectarlo. Por tanto, todas las tareas que hay que hacer en cuando a la seguridad de red se engloban en estas tres:

1. Protección: configurar nuestros sistemas y redes lo más correctamente posible.
2. Detección: identificar si la configuración ha cambiado o si el tráfico de red indica que existe un problema.
3. Reacción: después de identificarlo rápidamente, responderemos a cualquier problema y volveremos al estado “seguro” lo más rápidamente posible.

Defensa a fondo
Como no podemos alcanzar la seguridad total, tenemos que aceptar un cierto nivel de riesgo. El riesgo se define como la probabilidad de que una amenaza se convierta en vulnerabilidad. Es difícil calcular el riesgo, pero conseguiremos hacernos una idea si evaluamos nuestra superficie de ataque, la exposición y las vulnerabilidades que tenemos y que pueden ser aprovechadas por otros. Un escáner o test de vulnerabilidades nos ayuda a medir o definir nuestra superficie de ataque. Una cosa que podemos hacer para reducir nuestro riesgo y mejorar nuestras posibilidades de supervivencia es utilizar múltiples defensas. Hay cinco arquitecturas básicas para desarrollar las defensas en profundidad:

1. El método uniforme de protección a fondo para la defensa implica generalmente que un firewall separe la zona interna de confianza del resto de Internet. La mayoría de implementación tienen un antivirus en el almacén de correo y más en los servidores y equipos de sobremesa. Generalmente significa que todos los hosts internos reciben el mismo nivel de protección contra ataques por parte de la infraestructura de red. Es la arquitectura más habitual y más fácil de implementar; y también la menos eficiente en cuanto al grado de seguridad de la información, a menos que todos los activos informativos de la organización tengan exactamente el mismo nivel de importancia.

2. Protección de enclaves: simplemente consiste en subdividir la red interna para que no haya una única gran zona sin protecciones internas. Esto se puede hacer mediante cortafuegos, VPNs, VLANs y Network Access Control. 

3. Centrado en la información: Grace Hopper, una famosa investigadora informática, decía “algún día en el balance de resultados corporativos habrá una línea para la información, porque en la mayoría de los casos la información es más valiosa que el hardware que la procesa”. Es importante comprender y ser capaces de ayudar a que los demás comprendan el valor de la información. Además de información considerada valiosa como propiedad intelectual (patentes, marcas, derechos de autor, etc.) también hay que tener en cuenta la documentación corporativa, cada vez más importante. Para configurar una arquitectura de defensa centrada en la información debemos localizar nuestra información más crítica y valiosa y asegurarnos de que disponemos de la protección adecuada. Esto antes era costoso, pero ahora muchas empresas disponen de procedimientos para localizar la información y etiquetarla, así que resulta mucho más sencillo.

4. Análisis del vector de amenaza: es similar al centrado en la información. Requiere que identifiquemos los activos que queremos proteger en orden de prioridad, que realicemos un análisis para determinar las rutas que podría utilizar la vulnerabilidad y que imaginemos cómo colocar los controles en los vectores para evitar que la amenaza entre por dicho fallo.

5. Control de acceso basado en roles (RBAC, Role-based access control): es un método de control de acceso que implementan las empresas para asegurar que sólo los usuarios autorizados tienen acceso a los datos. A diferencia de otros métodos de control de acceso, el control basado en roles asigna usuarios a los distintos roles, y se garantizan permisos a estos roles en función de las necesidades del puesto de cada usuario. Se puede asignar un número indeterminado de roles a un usuario para poder realizar las tareas diarias. Por ejemplo, un usuario puede necesitar el rol de desarrollador y el de analista. Cada rol definirá los permisos necesarios para acceder a los distintos objetos. Con el control de acceso a red (NAC, Network Access Control) podemos ampliar esto desde un grupo de sistemas hasta toda la compañía. Requiere más configuración que los enclaves protegidos pero ofrece más protección.

Criptografía
Cuando la defensa a fondo falla, la única protección que les queda a los datos es la criptografía. La criptografía es muy potente: si su empresa utiliza un algoritmo moderno, la información encriptada está tan bien protegida que los datos no pueden ser atacados. No obstante, los procesos que usamos para gestionar las claves de encriptación pueden ser atacados, así que es imprescindible disponer de procesos robustos de gestión de claves.

Por ejemplo, muchas organizaciones han comprado encriptación de disco completo para sus portátiles. No hay forma de invertir esa encriptación sin la clave. Pero investigadores de Princeton demostraron recientemente que hay formas de capturar la clave desde la memoria rompiendo la protección con productos de distintos fabricantes. 

Hay tres tipos de algoritmos de encriptación: de clave secreta, de clave pública y funciones hash. A diferencia de la clave pública y secreta, las funciones hash o algoritmos hash –también llamadas encriptación de una dirección- no tienen clave. En su lugar tienen un valor hash de longitud fija que se halla en función de un texto plano que hace que sea imposible recuperar el contenido ni la longitud de dicho texto. La principal aplicación de los algoritmos hash en criptografía es la integridad de los mensajes. El valor hash proporciona una firma digital a los contenidos de un mensaje, lo cual asegura que el mensaje no ha sido alterado por ningún intruso, virus o cualquier otro método. Los algoritmos hash son efectivos debido a la extremadamente baja probabilidad de que dos mensajes diferentes en texto plano den como resultado el mismo valor hash.

Acceso, autenticación y autorización
A veces llamadas triple A o AAA, éstas son las claves para implementar la seguridad en la organización. El proceso de acceso debe asegurar que sólo las personas adecuadas acceden a los recursos informáticos y de red de su empresa. Como las contraseñas se pueden compartir, muchas organizaciones utilizan testigos físicos o tokens además de la propia password durante el proceso de autenticación. Una vez autenticado, se pueden colocar controles para asegurarse de que esos empleados sólo acceden a aquellos recursos para los que disponen de autorización.

Separación de funciones, separación de servicios 
La separación de funciones es una política habitual en los casos en que los empleados manejan dinero, de forma que para que haya fraude es necesario que colaboren dos o más partes. Esto reduce enormemente la probabilidad de delito. La información debe ser gestionada de la misma manera, ya que también puede ser comprada y vendida con facilidad. Si sus administradores de sistema afirman que sus funciones no pueden ser divididas, es importante que entiendan que las organizaciones bien gestionadas lo hacen.

Hace mucho tiempo los servidores eran tan caros que un solo servidor solía ejecutar múltiples servicios. Una de las lecciones que aprendimos del primer gusano (software malicioso que se expande introduciéndose en los sistemas) fue que si un servidor con múltiples servicios se caía, se perdía toda la capacidad para suministrar todos esos servicios. Durante los siguientes diez años se consideró buena práctica tener un servicio en cada máquina: un servidor de correo, un servidor de archivos, etcétera. Hoy, con las máquinas virtuales y la arquitectura orientada a servicios (SOA) estamos volviendo a tener múltiples servicios, de hecho muchos más que nunca. Eso está bien siempre que tengamos previsto cómo continuar en funcionamiento si ocurre algo malo a esa máquina. Hay campos de estudio llamados continuidad de operaciones, recuperación ante desastres e impacto de negocio que proporcionan detalles sobre estos conceptos.

Seguridad de punto final e informática ubicua 
La conectividad inalámbrica sigue creciendo, ciudades enteras están conectadas con redes inalámbricas metropolitanas y puedes conectarte a Internet en cualquier momento desde un PDA o un teléfono de última generación. Estos dispositivos permiten comunicarse con el equipo de sobremesa o portátil mediante Bluetooth, también. Las empresas tienen que implantar la seguridad en los propios dispositivos, lo que se llama “seguridad de punto final”. Ya no se puede creer en un modelo de seguridad en el que te encuentras relativamente seguro porque estás conectado a la LAN corporativa protegida por un firewall y una solución de prevención de intrusiones. En lugar de eso, debemos pensar en la seguridad como un paradigma ubicuo, siempre conectados a Internet estemos donde estemos.

Web, navegadores web y AJAX
Es bastante probable que su empresa esté gastando mucho dinero en webmasters, programadores web y similares que hace cinco años. Gran parte del desarrollo de aplicaciones software se basa en la web. Esto significa que mucha información que entra y sale de los ordenadores lo hace a través de la web. Sin embargo, los navegadores como Internet Explorer no fueron diseñados como pasarelas de seguridad. Es posible atacar el ordenador de cualquier usuario a través del navegador. Mientra la seguridad no se convierta en la prioridad número uno del software de navegación web seguirá habiendo problemas. Esto es especialmente grave con las nuevas interfaces web 2.0 que usan extensiones AJAX para ofrecer nuevas funcionalidades al coste de un mayor riesgo.

SOA y el futuro
Los programas basados en web son complicados de crear y mantener porque ofrecen potencialmente muchas funcionalidades. Por ejemplo, si tienes una cuenta online de bolsa puedes investigar, comprar y vender, extraer informes financieros e incluso hacer banca online. Para gestionar la complejidad y lograr que los productos lleguen antes al mercado, las empresas están aprendiendo a crear servicio “atómicos”. Esto es conocido como SOA (Arquitectura orientada a servicios) y un día será la principal herramienta para dar soporte a las aplicaciones de misión crítica. Si su organización necesita un servicio, consulta a un directorio llamado UDDI para encontrarlo. Esto es similar a usar un motor de búsqueda como Google, pero los programas lo hacen sin intervención humana, al menos esa es la idea.

SOA ofrece y expone más lógica de negocio que un servidor web normal. Al fin y al cabo cada servicio que ofrezca tiene que estar en el directorio si quiere que los programas cliente lo encuentren. Gran parte del campo de batalla de la seguridad en el futuro estará en torno a SOA, limitando el envío no autorizado de información sensible y creando pasarelas y otras herramientas para proteger los servicios.