Quiero comenzar haciendo una breve reflexión de porqué recientemente se habla tanto de la importancia de la seguridad en cómputo. ¿Por qué tanto insistir en que se protejan contra virus, ataques y generar un cultura de seguridad? Este tema lleva una carga de preocupación y otro tanto de paranoia o ¿qué sucede? Déjenme mencionar que en el futuro cercano, o sea para el 2005, se estima que haya más de 35 millones de usuarios que se conecten a redes corporativas de forma remota y tan sólo cinco años más tarde, para el 2010, se calcula que 14 mil millones de dispositivos estén conectados a Internet en todo el mundo enviando y recibiendo información. Se imaginan ustedes toda la cantidad de datos que va a estar circulando por esta súper carretera de la información y en la que, desde luego, habrán muchos hackers queriendo causar daño o creando virus para buscar sus cinco minutos de fama. Es por ello que el tema resulta serio, sobre todo si tomamos en cuenta que el tiempo en el que los hackers crean un virus se ha reducido enormemente, de forma que aparecen virus y variantes en lapsos de tiempo muy cortos (semanas), tomando sobre todo Internet y el correo electrónico como las principales vías de propagación. Según datos del 2003 FBI/CSI Survey, Internet es un lugar inseguro, ya que 92% de los sitios tienen violaciones, 82% sufren de ataques o tienen virus, pero 95% de las vulnerabilidades pueden ser evitadas mediante la instauración de controles de seguridad. Entonces, ¿resulta o no importante la seguridad? Desde luego que sí, más porque los ataques afectan a empresas y personas, y cada vez son más ingeniosas las formas de propagación, que pueden provenir de un correo electrónico, al visitar páginas Web y realizar descargas de archivos o consultas de información, entre muchos otros. Pero, ¿qué necesitan las empresas o los individuos para tener una infraestructura de cómputo segura? La estrategia de seguridad implica, por principio de cuentas, comenzar a involucrarse en este tema. Evidente, los mayores estragos los reciben las empresas, ya que pueden perder información valiosa, ser víctimas de robo de archivos o datos, detener sus procesos de trabajo, inhabilitar sus comunicaciones, cometer actos fraudulentos, por citar algunos. Invertir en un proceso de administración de riesgos, proporciona un marco de trabajo sólido para definir roles y responsabilidades, preparando a una organización para articular prioridades de seguridad y dirigir los ataques que se reciben hacia áreas controlables por la gente de sistemas. La administración de riesgos es un proceso interactivo de seis fases: 1) Establecer objetivos claros de seguridad en TI, identificando niveles de riesgo. 2) Realizar un inventario de posibles vulnerabilidades e implementar formas de control. 3) Evaluar riesgos, analizando posibles huecos en una red. 4) Ejecutar decisiones de soporte a problemas, que evalúen un análisis costo/beneficio para seleccionar los controles apropiados. 5) Implementar controles de seguridad, organizando a las personas, los procesos y la tecnología para mitigar el riesgo, justificados bajo un análisis costo/beneficio. 6) Establecer resultados medibles, monitoreando, auditando, midiendo y controlando los ambientes clave para determinar la efectividad de las políticas de seguridad. Queda claro que el riesgo de la seguridad nunca podrá ser completamente eliminado, pero aquello que una organización puede y debe hacer es implementar esos controles que reduzcan la probabilidad de éxito de un ataque. Por desgracia, muchas veces no se implementan sistemas de seguridad sino hasta que un riesgo o ataque llegó a niveles inaceptables de control, causando un hoyo a la seguridad o daños a la integridad de la información o de un equipo, es entonces cuando los dueños de los negocios o los usuarios se deciden a implementar una solución de seguridad. ¡Ahogado el niño a tapar el pozo! Así, la administración de riesgos es un paso importante para entender los problemas de seguridad y priorizar la reducción de riesgos dentro de fuentes aceptables. Finalmente, quiero cerrar comentando que hay que reforzar la importancia del proceso de seguridad promoviendo, por principio de cuentas, que se establezca una estrategia de seguridad en caso de no existir, que se realice una defensa a profundidad en caso de ataque, valorar y elaborar un análisis de posibles riesgos, hacer un “hardening” (endurecimiento o refuerzo de la seguridad) de sus servidores y establecer políticas de seguridad. Eduardo Pierdant es gerente de Seguridad de TI de Microsoft México, y es responsable de desarrollar e implementar la estrategia de seguridad para los cliente