Fernando Amdan

Que ningún sistema es completamente seguro es tal vez la mayor coincidencia en la percepción de CIOs, proveedores y expertos en seguridad. Cuando se coloca sobre el tapete a las soluciones, servicios y redes basadas en IP, la premisa se conversa, aunque también admite sus matices. Las opciones de VoIP, por caso, son señaladas como vulnerables y, mientras se enfatizan sus beneficios, también se las señala como no aptas para el segmento corporativo. Diego Maradei, gerente de Sistemas de la cadena de hoteles Hilton, se enrola entre quienes confían en esta tecnología: “No conozco nada que sea invulnerable, pero creo que las telecomunicaciones tradicionales son más vulnerables que las plataformas IP”, sostiene.
 “No se podría hablar sobre confiabilidad absoluta pero, en sí, las soluciones IP son confiables. Depende no de la IP de un sistema informático como tal, sino de otros factores como configuraciones, políticas, medidas y procedimientos”, describe Dmitry Bestuzhev, consultor Técnico y analista de Virus de Kaspersky Lab para América latina. Los expertos recomiendan una detallada planificación previa de la arquitectura de comunicaciones, procedimientos internos claros, especificar las medidas necesarias en los contratos con los operadores de servicios y dedicar recursos del área IT a la protección de los sistemas.
En otra vereda, los proveedores de los servicios y redes se muestran confiados sobre la evolución de la oferta IP y sus contramedidas de seguridad. “Hace tres años, entre las empresas top 500 de la Argentina prácticamente no había departamentos de seguridad informática y el 60 por ciento de los clientes no tenía ni una sola persona responsable de seguridad informática, así como también había una adopción de telefonía IP del 5 por ciento”, repasa Fabián Domínguez, gerente de Desarrollo de Negocios de Tecnologías Avanzadas de Cisco Systems Sudamérica Sur. En contraste, afirma, actualmente más del 70 por ciento de esas empresas ya tiene alguien a cargo de la seguridad y la adopción de telefonía IP supera el 40 por ciento.
Daniel Savastano, Channel Sales Manager Southern Cone de 3Com, sostiene que “la IP se transformó en el protocolo estándar del mercado, tanto para la red interna como para el backbone de los proveedores de Internet. La utilización en forma masiva de IP nos generó una baja importante en costos, una estandarización de aplicaciones y protocolos que nos permiten interactuar entre empresas y entre otras redes”.

Recetario
En Farmacity tienen contratada una solución de telefonía IP con Globant, montada sobre una central Asterix y una red MPLS para datos, contratada a Telmex, Impsat, Telecom y Telefónica, con enlaces desde los 256 Kbps. “Tuvimos toda serie de dudas”, remarca Gustavo Sagasti, el CIO de la cadena de farmacias. “Al principio quisimos poner telefonía dentro de nuestro firewall, pero por una cuestión de practicidad tuvimos que pasarla a la red pública e instalar aparte un firewall en la central telefónica.”
Roberto Ares, director de Desarrollo, Marketing y Seguridad de IPlan, entiende que se debe segmentar el mercado. En primer lugar, dice, se encuentran las empresas pequeñas, con pocas líneas y aplicativos, y que por contratar servicios “enlatados” no están expuestas. Al otro extremo, las grandes corporaciones, que cuentan con un área dedicada a la IT, también presentan bajos niveles de inseguridad, “porque saben qué recaudos tomar”, indica. “El problema está en la franja intermedia —continúa el especialista—, donde quieren incorporar soluciones IP, pero no tienen quién considere los aspectos de seguridad, por lo que toman riesgos sin expertos.”
De acuerdo con una encuesta realizada por Cisco, los profesionales de IT afirmaron que la seguridad continúa siendo un factor por resolver dentro de las empresas argentinas. Sólo el 19 por ciento de los encuestados opinó que los ataques a la seguridad de la red de sus empresas han disminuido en el último año, en tanto el 40 por ciento sostuvo que aumentaron. Consultados sobre las diferentes medidas de contención que forman parte de su infraestructura de red actual, las tecnologías más mencionadas fueron la protección de la red por medio de firewalls (84 por ciento), VPNs (redes privadas virtuales, 75 por ciento, antivirus basado en el servidor (70 por ciento) y protección de la red por medio de detección de intrusos (43 por ciento).
“Tenemos un montón de políticas de seguridad, desde la práctica de los usuarios, medidas para la extracción de información, hasta la instalación de firewalls. Esto evoluciona todos los días y hoy, por suerte, no está de moda voltear centrales IP”, explica Sagasti, de Farmacity. Por su parte, en  el Hilton —cuya principal solución IP es una VPN provista a nivel mundial por Baker Technology— Maradei pautó la implementación de firewall, antivirus, un back up a cinta y antispyware, y “ahora estamos en plena implementación de medidas Sarbanes-Oxley”, comenta. De todos modos, aclara, “consideramos que la protección de datos requiere, más que medidas tecnológicas, el establecimiento de procedimientos internos más seguros”.
Según Bestuzhev, de Kaspersky Lab, hay cinco recaudos que deben tenerse en cuenta para la seguridad en términos generales:
• Actualización del software de un sistema (parches de seguridad).
• Protección adecuada por un sistema antivirus combinado con otros motores de seguridad (por ejemplo: firewall, IDS/IPS, y otros).
• Políticas de manejo de cuentas de acceso de usuarios (derechos de usuarios; contraseñas seguras).
• Garantizar la conectividad segura (cifrado de conexiones; alta disponibilidad y balanceo de carga a nivel de capa de red y datos).
• Garantizar el almacenamiento seguro de los datos.
“La única defensa viable a los ataques modernos de seguridad, debido a su complejidad y rapidez de expansión, es mitigar estos riesgos en la propia red”, sostiene Domínguez, de Cisco. “No se puede depender sólo de dispositivos puntuales como antivirus, sino que debe defenderse la red en sí misma”, agrega.

Ecuación de riesgo
Ya con algunos años en el mercado, los CIOs no ponen en cuestión la madurez de las plataformas IP. “Creo que son soluciones muy serias, y que han avanzado bastante con las alternativas de seguridad aplicada”, sostiene Maradei. Sin embargo, este tipo de plataformas reclaman considerables inversiones. Tanto Ares, de Iplan, como Carlos García, gerente senior de Sistemas en Core, coinciden en este punto. “El gasto en seguridad varía en función de las características de la empresa, el nivel de conciencia y los riesgos que estén dispuestos a tomar, pero a grandes rasgos oscilan entre el 20 y el 30 por ciento en proporción a la inversión en tecnología”, señala García.
En 3Com sostienen que los presupuestos dedicados a la seguridad varían todos los años: “Hay empresas que destinan de un 2 a un 8 por ciento del presupuesto en seguridad y otras que usan bastante más, depende de cuán crítico es el negocio”, indica Savastano. A contramano, en Hilton no creen en ecuaciones rígidas: “En general, no se resignan los progresos por los costos en seguridad, y me parece lo más lógico”, dice Maradei.
Para García, las preocupaciones de los CIOs argentinos transitan senderos bien definidos: concientizar a la organización de los potenciales riesgos y de las posibles pérdidas, que realmente son cuantificables; prevenir la incorporación de tecnologías riesgosas; realizar un balance entre seguridad de la información y protección integral, abarcando seguridad física, aplicaciones y comunicaciones, notebooks y acceso remoto; y moderar los hábitos del “top management”, como, por ejemplo, el uso de PDAs, smartphones, webmail, entre otros. En ese sentido, el experto recomienda la incorporación de un CSO (Chief Security Officer), “con su propio equipo de análisis, control y administración de riesgos”.

Garantías por escrito
Desde Cisco señalan la necesidad de tomar consideraciones especiales en materia de seguridad a la hora de planificar la convergencia de soluciones IP. “Se debe tener en cuenta que no sólo se están uniendo mundos que antes estaban separados en una misma red, sino que se va a tener que trabajar con proveedores y empleados de distintos grupos, que antes quizás estaban aislados”, indica Domínguez.
Por su parte, García, de Core, sostiene que la convergencia IP “acarrea escenarios variados y menos controlados”. “La VoIP es un claro ejemplo, con accesos inalámbricos con protocolos de autenticación débiles y vulnerables”, advierte. Pero Ares, de IPlan, cree que la convergencia no implica diferencias en materia de protección de información. “Cada servicio tiene sus propios agujeros. Tener todos en el mismo caño no aporta ni quita nada”, opina. Y dice que las mayores consultas de los CIOs se centran en las prestaciones de correo electrónico y los modos de proteger esa información, en tanto que los riesgos en telefonía suscitan menos preguntas. “En transmisión de datos, más que hablar de seguridad, habría que hablar de privacidad, con software de encriptación. Pero no es algo que ofrecemos los proveedores de telecomunicaciones, sino que debe ser una implementación del propio usuario”, agrega.
No obstante, en las firmas especializadas en seguridad recomiendan especificar en la contratación de servicios de telecomunicaciones algunos aspectos de seguridad. En el contrato de nivel de servicio (SLA, por su sigla en inglés), por ejemplo, se puede contemplar el tiempo de “up-time” que garantice el proveedor de los servicios de comunicaciones, explica Bestuzhev.
Ares discrepa: “Normalmente, en los SLA los proveedores de telcos no se hacen responsables de la seguridad (por las cláusulas de privacidad no pueden ver la información; sólo brindan conectividad). Es un terreno complejo y la prestación más fácil es que sea transparente, que no se vea la información”. Frente a ello, afirma, los recaudos actuales han demostrado ser suficientes, aun ante casos extremos: “La propia SIDE a veces pretende pinchar las líneas IP de algunos lugares y a veces es imposible por estas medidas de seguridad”.