Vivimos en la llamada Era del Conocimiento, sin embargo la importante evolución intelectual que esto significa no implica que hayamos podido construir un hábitat más seguro y funcional. La competencia por el conocimiento en todos los ámbitos, pero sobre todo en el empresario, genera día a día relaciones cada vez más complejas e impredecibles.

La tecnología expandió hasta límites impensados nuestras posibilidades, sin embargo cada día nos encerramos más y más en espacios reducidos, saturados de cerrojos, alarmas, rejas y cámaras, intentando por esos medios espantar al miedo y combatir la inseguridad.

¿Y qué pasa en el mundo virtual, ese universo que sólo percibimos cuando estamos conectados a la red?

Actualmente, se descubre un promedio de veinte nuevas vulnerabilidades por mes. En la mayoría de los casos, el software es puesto en producción cuando apenas supera una calidad de versión alpha. Las vulnerabilidades son ampliamente difundidas en sitios, más allá del tiempo que les lleve a los proveedores de software liberar los parches/arreglos. Adicionalmente, crackers se han agrupado a lo largo del mundo para compartir información y coordinar ataques.

Conocer los riesgos de la inseguridad en la red es un paso importante, pero ser conscientes de nuestras vulnerabilidades y limitaciones es vital.

La inseguridad genera pérdidas concretas y directas -como en el caso del robo de ideas-, impactando negativamente en la productividad y generando graves consecuencias con la caída de sistemas, alimentando la desconfianza por parte de los clientes. Más grave aún, en ocasiones involucra a la empresa en problemas de orden legal.

Parte del problema reside en que el verdadero impacto de un ataque o una intrusión deliberada, no se vislumbra en forma inmediata, provocando que no se le adjudique al hecho la gravedad que realmente tiene.

Muchas veces, la responsabilidad sobre el problema de la seguridad en Internet es asumido por personal de la empresa, con las limitaciones que ello implica: falta de directivas, tecnología inapropiada, escasa información, mínimos recursos y en muchos casos sin autorización.

En otros casos, el control de la seguridad descansa solo en un Firewall, creyendo que su presencia es suficiente para resolver esta compleja y cambiante problemática. Pero, por su configuración de defensa estática, el firewall es un componente tecnológico que no aporta invulnerabilidad al sistema, es más, forma parte del problema ya que suele dejar pasar a los intrusos que atacan los servidores con presencia en Internet sin dejar rastros.

Más sistemas y aplicaciones en las redes públicas: Las presiones económicas y la globalización llevan a que las compañías traten de introducir Internet en más áreas de sus modelos de negocios como ser servicio al cliente, e-commerce e intranets.

• Más vulnerabilidades: Cada vez con mayor frecuencia, se reportan nuevos ataques de crackers, espías y vándalos que continuamente, desarrollan nuevos modos de quebrar e introducirse en las redes y servidores. La información que posee la empresa puede ser adulterada de manera irreversible. Dichas adulteraciones, al menos en el corto plazo, no siempre serán detectadas por la empresa.
• Robo de información: Aún más difícil de descubrir. Alguien puede invadir el sistema, copiar información crítica y descubrir secretos de la empresa.
• Pérdida de datos: Significa que la empresa puede perder información irreversiblemente, pudiendo enterarse o no.
• Downtime no planeado: competidores y crakers pueden derribar los sistemas provocando el cese de las operaciones, sobre todo en procesos importantes o en fechas de mayor procesamiento.
• Pérdida financiera/Reputación: El tiempo y energía que demando la detección de las fallas de los sistemas puede significar gastos no planeados, disminución de la productividad e impacto en la moral de los empleados, y muchas veces pérdidas de dinero, tiempo, productos, reputación y hasta en algunos casos vidas.

Solo una visión integral y holística puede minimizar el riesgo de la seguridad, para eso necesitamos concebirla como un proceso continuo y no como un producto.

El Modelo de los Managed Security Service Providers (MSSPs)
Para minimizar los riesgos de seguridad en Internet es imprescindible un conjunto de servicios profesionales especializados y expertos que transformen la defensa en un proceso contínuo y dinámico. La seguridad de la información no sólo es un problema tecnológico sino que se extiende sobre la capacidad y honorabilidad de las personas y eficiencia de los procesos.

Las empresas han evitado por lo general la tercerización (outsourcing) debido a su complejidad y a un supuesto riesgo implícito de pérdida de control y volatilidad de responsabilidades. Sin embargo, las demandas por bajar costos y mejorar procesos junto con un nuevo modelo de tercerización indican que hay nuevos factores a considerar y una tendencia ascendente al cambio

Los servicios de seguridad comunmente tercerizados bajo el modelo MSSP son:

• Gestión de firewalls, IDSs y VPNs
• Monitoreo de la seguridad perimetral
• Gestión de incidentes, análisis forenses
• Diagnóstico de vulnerabilidades y penetration testing
• Antivirus y content filtering
• Resguardo de información
• On site consulting

El modelo MSSP ofrece nuevas alternativas para satisfacer necesidades concretas. En vez de forzar a las empresas a tomar la decisión de una terecerización total, el MSSP les ofrece una decisión basada en papeles complementarios y responsabilidades compartidas. De esta forma la empresa y el MSSP tienen definidos sus roles, pudiendo la empresa aprovechar el valor real del outsourcing y conservar el control de IT.

El MSSP actúa como un proveedor de información detallada de management y de recomendaciones técnicas. La empresa se transforma en un consumidor de este flujo de información y conserva el control de su propia infraestructura y aplicaciones. Las empresas utilizan las recomendaciones proporcionadas por el MSSP para cambiar y ajustar la infraestructura de IT, con el objetivo de mantener la disponibilidad y los niveles de calidad deseados.

De esta forma la empresa conserva el control de sus propios recursos, mientras usa el expertise del MSSP para asistirla en las operaciones del día a día como así también en operaciones estratégicas de management. La empresa proporciona el acceso a sus datos usando una conexión segura a través de su firewall. Esta última también puede proporcionar espacio físico y acceso de red para la conexión de un sistema o appliance del MSSP.

El mercado y el avance de la tecnología fuerza al MSSP a estar continuamente capacitando sus RRHH y adquiriendo las mejores herramientas de management y control. Bajo este modelo la empresa tiene la ventaja de hacer uso de servicios/soluciones de alto nivel sin haber necesitado desarrollarla en forma interna o haberla comprado a altos costos. De la misma manera, puede liberar personal interno para que pongan foco en actividades estratégicas; con la tercerización, los departamentos de IT se pueden enfocar en las aplicaciones y sistemas que hacen al negocio y agregan valor estratégico a las operaciones de la compañía.

Al mismo tiempo, como los profesionales en seguridad están entre los más buscados de la industria, la mayoría de las organizaciones no tiene expertos in-house en materia de seguridad. Encontrar la persona correcta, definir sus roles, gestionar con consultoras al igual que con staff interno, y pagarle el salario, es sólo una parte del desafío. La seguridad puede verse comprometida cuando los expertos dejan la compañía. Además, la seguridad en Internet es un trabajo extenuante, haciendo el trabajo del staff mucho más dificultoso: se necesitan expertos monitoreando la red, evaluando amenazas potenciales, y respondiendo a ataques las 24 horas del día, los 7 días de la semana.

Desventajas del modelo MSSP
Como en cualquier tercerización la confianza es un key issue indispensable para la correcta convivencia entre partes. La existencia de contratos, NDAs (Non Disclosure Agreements) y SLAs (Service Level Agreements) deben dar un marco conceptual a la relación, sobre todo teniendo en cuenta que siempre existirán puntos grises o nuevas situaciones que requerirán revisiones e incorporaciones en los mismos como anexos. Tener contratos rígidos o falta de confianza en un ámbito donde lo complejo y los cambios es la constante, no es la mejor alternativa.

Otro de los puntos a tener naturalmente en cuenta es que el MSSP genera cierta dependencia con la empresa al existir procesos o partes de procesos mixados y compartidos, como así también la existencia de infraestructuras compartidas con otros clientes.

Conclusión
El punto clave, para toda empresa, donde la seguridad de la información se vuelve cada día más crítica, será evaluar cuando es realmente necesario la tercerización en un MSSP. La decisión no debería ser compleja, solo basta con responder a dos preguntas para tomar la determinación:

• ¿Es estratégica para mi empresa la función/servicio de seguridad que estoy evaluando tercerizar?
• ¿La función que estoy evaluando es el negocio principal de mi empresa? (core competency).

Si cualquiera de estas preguntas es negativa, la alternativa de outsourcing es altamente viable y en muchos casos recomendable.

El mundo está cambiando, impulsado por los nuevos modelos de negocios basados en Internet, las comunicaciones y la informática. Queda del lado de las Corporaciones y Pymes tomar la decisión de focalizarse en sus negocios estratégicos y tercerizar las funciones operativas que retrasan la adaptación contínua en un mundo que avanza cada vez más rápido.

Federico Seineldin es CEO de Openware