¿Qué hay que saber para elegir soluciones de seguridad?Por Marcio Lebrao, Vicepresidente de Seguridad de CA Technologies para Latinoamérica.
En un mundo de negocios cada vez más dinámico, disponer de soluciones de seguridad adecuadas es clave. Elegirlas representa un desafío donde son varios los factores a considerar para encontrar la opción más óptima.
En el contexto actual del mundo corporativo, en el que las tecnologías avanzan y se renuevan con una velocidad sin precedentes, contar con soluciones de seguridad adecuadas es indispensable. Pero además, las soluciones diseñadas para resguardar la seguridad de la información y los procesos informáticos pueden no solamente prevenir amenazas, sino que algunas son también útiles para maximizar la eficiencia de los procedimientos.
Existe variedad entre las soluciones y hay cualidades que no pueden dejar de tenerse en cuenta a la hora de evaluar la adecuada para cada empresa. Es necesario analizar el nuevo panorama tecnológico, marcado por la movilidad, la virtualización de servidores, y los servicios en la nube, que hacen que las soluciones de seguridad adecuadas tal vez no sean las mismas que antes. ¿Qué características deben considerarse actualmente al momento de elegir?
La clave es prevenir
Un sistema de seguridad útil no es aquel que avisa de una falla en la seguridad cuando ya ha ocurrido, sino aquel que la previene proactivamente. Esto parece básico, pero es fundamental asegurarse, por ejemplo, de que la información sensible no se filtre fuera de la compañía, porque una vez que este tipo de filtración ha ocurrido es muy difícil volver atrás y restaurar la desventaja competitiva o daño reputacional que esto puede causar.
Un buen servicio de seguridad debe controlar el acceso a la información basándose en la identidad de los individuos y, ante cualquier movimiento sospechoso, debe evitar o alertar cuando se pretenda enviar archivos confidenciales, cuando esto no sea parte de las actividades asociadas al rol o el cargo de la persona que realiza la acción. Al mismo tiempo, la seguridad debe ser eficiente y lo suficientemente diferenciada para que no termine impidiendo que los empleados realicen su trabajo obstaculizando el acceso a quienes realmente lo necesitan. Por eso los controles de seguridad deben ser muy específicos y, sobre todo, inteligentes.
Seguridad centralizada basada en la identidad
Un aspecto que también debe considerarse es que, si todo tiende a centralizarse, es lógico que las soluciones de seguridad también lo hagan. No se trata de conseguir más seguridad, sino de buscar la de mejor calidad y menor complejidad en el gobierno de la seguridad corporativa.
El escenario de hoy, en el que los servidores tienden a ser virtuales y la información es accesible desde cualquier lugar, y no solo desde donde está almacenada, no se trata de poner barreras que cerquen el perímetro -cada vez más difuso- de la infraestructura en la que se encuentra la información, sino de tener soluciones eficaces que garanticen el acceso solo a quien está autorizado, trabajando en una configuración por roles que incluso evite que los usuarios del área de TI cuenten con privilegios irrestrictos para acceder a todo tipo de datos solo por ser administradores de los sistemas.
Otros métodos de autenticación
Es indispensable asegurarse de que cada persona tiene acceso a los recursos que corresponden a sus actividades y estos son estrictamente suficientes y necesarios para cumplir con su trabajo. Este punto es clave para evitar fraudes, y en ese sentido la primera capa a cubrir es la autenticación, que me ayuda a verificar que una persona es quien dice ser mediante factores múltiples de atención, es decir, no solo algo que sabe (contraseña) sino también algo que tiene (token), y también análisis de patrones de contexto (por ejemplo, se considera una advertencia que se ingrese a horarios poco habituales o desde ubicaciones diferentes en el mismo día para sospechar de que alguien más está accediendo a una cuenta) y patrones de contexto basándose en métodos como identificación de dispositivos desde los cuales se genera la conexión y su ubicación geográfica (geolocalización).
La seguridad debe ser uno de los ejes a la hora de tomar decisiones y emprender nuevos proyectos. Comprender que las tecnologías necesitan ir de la mano con procedimientos que garanticen su seguridad y rendimiento, es clave para el crecimiento de cualquier tipo de negocio.
