¿Cómo está vertebrada en Wanadoo la seguridad de
la información?
Tenemos un foco central de seguridad que se encarga de coordinar
todas las tareas del ciclo de vida de la seguridad y que cuenta con una
serie de enlaces definidos con el resto de departamentos de Wanadoo, en
puntos estratégicos como son, sobre todo, la parte de producción
ISP, los sistemas internos de gestión que dan soporte al negocio,
ofimática, etc.; asimismo tenemos enlaces con recursos humanos
y jurídicos, además de con marketing y usuarios, es decir,
con los puntos estratégicos en los que la seguridad interviene
decisivamente.
Dentro de lo que es el foco central, diferenciamos dos partes: una más
ligada a lo que son las tecnologías y a los controles tecnológicos,
y otra a lo que son los análisis de riesgos y las políticas.
Por supuesto, están los consabidos enlaces entre ambas.
¿Dónde se encuadra el departamento de seguridad informática?
Dentro de la Dirección de Sistemas de Información,
que en Wanadoo denominamos Dirección de Redes y Sistemas. Tiene
capacidad para reportar al DSI y de ahí elevarlo hasta la siguiente
capa, que es Presidencia. Puede decirse que hay decisión ejecutiva
a partir del Director de sistemas de información. Nuestro enlace
es directo y el apoyo es considerable.
¿Cómo configuran la seguridad?
Cuando hablamos de nuestro trabajo, preferimos llamarlo gestión
de riesgos de seguridad de la información. La parte fundamental,
aparte de lo que son los controles técnicos, que van por su lado,
es el asentamiento de este modelo. Nosotros hemos definido un modelo de
gestión basándonos en el ciclo de vida de la seguridad:
análisis de riesgo, determinación de necesidades, políticas
y controles, su implementación; luego la evaluación de estas
políticas y controles, y finalmente, la concienciación y
la formación, todo en un ciclo y todo a la vez. En cuanto al propio
análisis de riesgo, una de las tareas fundamentales es asentar
en sí la metodología, que ha de ser realista, porque el
análisis puede ser muy complejo pero ha de ser práctico.
En el análisis nos estamos basando en diversas fuentes de información,
parte de la cual es una metodología formal, además de en
Magerit, la BS, las normas de ISO... Nuestro objetivo para este año
y probablemente el siguiente es asentar el modelo de gestión de
riesgos e insertarnos más en lo que son los procesos estratégicos
de la empresa.
A día de hoy, Wanadoo España es el sumando histórico
de varias empresas ...
Provenimos históricamente de dos compañías;
una situada en Alicante, llamada CTV, y otra en Vitoria, que era Jet.
Incorporamos sus plantillas y al hacerlo pudimos disponer de un personal
muy cualificado dada su especialización. Esto toca muy de cerca
precisamente a la seguridad, ya que buena parte del personal más
técnico del área quien precisamente se encarga de
tareas como el análisis de vulnerabilidades, etc. procede
de tales orígenes. En cuanto a seguridad, esta desvertebración
nos proporciona ventajas evidentes, una de las cuales es la de poder disponer
de varios centros de proceso de datos, lo cual nos sirve idealmente para
nuestro plan de contingencia. Así, contamos con un CPD en Madrid
y otro en Alicante, y, en función de la importancia de los servicios
(ancho de banda, etc.), así articulamos y equilibramos nuestro
plan de contigencias.
¿Cómo se distribuye geográficamente el
personal?
En Wanadoo seremos unos quinientos empleados, de los cuales unos
doscientos están en Madrid. En Alicante se concentra la parte de
Producción de Sistemas y Desarrollo, en tanto que en Madrid recaen
la áreas de Dirección y Marketing. En lo que respecta a
Seguridad Informática, se reparte en ambas localizaciones.
¿Qué pata de la seguridad prima en una
compañía de las características de Wanadoo?
En lo que a nosotros concierne, la seguridad tiene dos áreas
en donde ha de actuar: en nuestros sistemas internos para salvaguardarlos,
y de cara a nuestros usuarios, protegiéndolos y ofreciéndoles
servicios de valor añadido, precisamente de seguridad. Bajo esta
premisa genérica y de que lo importante es el negocio, la pata
fundamental es la de la disponibilidad, lo cual no es nada nuevo porque
siempre se ha tenido en cuenta. No obstante, el alza de la
seguridad en los últimos años no ha venido por esa pata
sino por el incremento de las dos restantes: la confidencialidad y la
integridad.
La mayoría de los controles asociados al departamento tienen que
ver mucho con la confidencialidad y la integridad porque la disponibilidad,
aunque intervinimos en la definición de requisitos, etc, es tarea
más propia de los departamentos de producción de las empresas,
cuyo objetivo, además del de la eficiencia, es precisamente ese:
la disponibilidad permanente. En cualquier caso, y en mi opinión,
está fuera de toda duda que la disponibilidad es fundamental y
como se delega su gestión en los departamentos de producción,
resta entonces ocuparse de las otras dos patas.
En nuestro caso, pues, lo que más nos importa es la confidencialidad
y la integridad. En tanto compañía, la confidencialidad
es muy importante ya que internamente tenemos información muy valiosa,
y como ISP, además tenemos añadido una función de
proveer confidencialidad a nuestros servicios.
|
¿Qué parte de responsabilidad cabe atribuir a la seguridad
por ustedes ofertada para contribuir a la consolidación del comercio
electrónico?
Desde luego la falta de confianza del usuario ha sido determinante
para que el comercio electrónico no acabara de despegar. Necesita
tener la percepción de seguridad y ahora mismo no es así,
ya no sólo por razones de los propios protocolos utilizados en
el comercio-e, sino tambien por una percepción general de todo
lo que hace en Internet.
En ese sentido, en tanto ISP, tenemos la obligación de proporcionar
unos servicios seguros. Fuera del ámbito del comercio-e, por ejemplo,
sigue habiendo mucha desconfianza: están los virus informáticos
o, con la entrada masiva del ADSL y las conexiones permanentes, una sensación
continua de desprotección. Para que cuaje es fundamental poder
disponer de unos estándares adecuados, que todas las organizaciones
y agentes implicados puedan estar de acuerdo y hablen el mismo idioma.
Casos como el no triunfo del SET son los que han estado propiciando que
no despegue.
¿Qué opina de las cajitas todo-en-uno
con funciones antivirus-cortafuegos integradas?
Con los servicios de ADSL el objetivo es proporcionar servicios
de valor añadido de seguridad y, por supuesto, empieza por ahí.
Tenemos una conexión permanente y el router o equiparable tiene
características de cortafuegos. No es una utopía, es la
solución que estamos pensando y de hecho la vamos a ofrecer.
Sin embargo, el problema de los cortafuegos para clientes es el de su
gestión. Gestionar un parque de cortafuegos en nombre del cliente
a veces resulta muy costoso y en parte ineficaz, porque no se le puede
dejar funcionar sin más, requiere configuraciones contínuas.
Para usuarios residenciales, que es nuestro mercado natural, sí
veo en un futuro próximo los sistemas de ADSL protegidos por cortafuegos
en configuración básica pero no gestionados por el ISP;
en un futuro lejano, tal vez. En el mundo de la pyme la cosa varía
y la seguridad gestionada empieza a tener un poco más de sentido.
¿Cómo mima Wanadoo los datos personales de sus
usuarios?
En esta casa tenemos articulados los mecanismos necesarios para
estar adecuados a la legislación vigente y cumplir la normativa
española. Disponemos del documento de seguridad y hemos desarrollado
las medidas y adaptación de los sistemas que exige el reglamento.
Nadie cree en las intrusiones, pero ¿haberlas, haylas?
La seguridad absoluta no existe pero el riesgo sí. No tiene
sentido que alguien diga que tiene riesgo pero que directamente niegue
que pueda tener intrusiones; muchas de ellas ni siquiera se detectan porque
no estamos preparados para detectarlas, y muchas de ellas ni siquiera
son maliciosas.
También depende mucho de cuán goloso seas como objetivo.
Como ISP sí que hemos tenido incidentes de seguridad y ataques
continuos, entendiendo por ello escaneos de puertos, análisis un
poco superficiales, etc. O sea, los incidentes existen, las intrusiones
son menos, y los ataques, continuos: por abusos de recursos, etc. La tecnología
aún está bastante indefensa frente a ciertos tipos de ataques
como los de denegación de servicio.
Para velar por la información, se utiliza tecnología.
¿Qué opina en tanto ayuda para cumplir ciertos propósitos?
Partiendo de que la seguridad de la información no se cubre
solamente con tecnologías, las herramientas sólo son importantes
y útiles si se saben usar y se usan bien, adecuadamente. La industria
ha hecho grandes esfuerzos y ahora mismo hay en el mercado muy buenas
herramientas y bastante competencia. Pero son productos que requieren
saber utilizarlos por equipos profesionales, para extraer unos resultados
e inferir de ellos información útil sobre lo que son capaces
de proporcionar; por ejemplo, en la detección de intrusiones.
Se precisa tener un equipo adecuado y muy bien gestionado porque si no,
la herramienta en sí misma no sirve de nada. Se tiende mucho a
implantar sistemas, que de por sí son buenos, pero creyendo erróneamente
que van a funcionar solos. La mayoría de estas herramientas requieren
mucho esfuerzo de gestión y realmente merece más la pena
casi no ponerlas si no se gestionan, porque a la larga tener una falsa
sensación de seguridad te puede llevar a problemas muy gordos.
|
Recientemente Wanadoo ha acometido la implantación de una solución
muy innovadora en materia de cortafuegos y alta disponibilidad...
Así es, la arquitectura del cortafuegos se terminó
de implantar en enero. En los últimos meses hemos hecho reconstrucción
y mejoras de nuestra arquitectura y, para ello optamos por StoneGate de
Stonesoft. Si bien seguimos teniendo mucha plataforma Firewall1 de Check
Point, StoneGate nos pareció muy interesante porque nos proprocionaba
la alta disponibilidad que demandábamos, la versión que tenían
ya proporciona el rendimiento que nosotros requerimos en tanto ISP. En cualquier
caso, desearía precisar que resulta útil e interesante, incluso
por cuestiones de seguridad, el disponer de varias plataformas de cortafuegos
de distintos fabricantes
¿Los virus son una molestia o una pesadilla?
A nivel corporativo nuestra infraestructura de protección
es bastante eficiente. Tenemos implantado McAfee y los tiempos de respuesta
frente a nuevos virus por parte del fabricante son aceptables. Si se tiene
una infraestructura razonablemente adecuada con unas prestaciones correctas,
no procede llegar a niveles paranoicos.
¿Qué entiende por un intruso?
No cabe discusión: un intruso es quien entra en un sistema
ajeno. Eso es ilegal y contra eso hay que luchar. Comprendo que hoy en día,
la mayoría de las intrusiones no tienen carácter malicioso;
son más bien por ánimo de juego o de superación, pero
no me gustaría nada que alguien entrara en mi casa para echar un
vistazo. No tengo ningún reparo en condenarlos.
De los meros actos de voyeurismo se puede llegar a intrusiones
premeditadamente peligrosas...
No dudo que existen intrusos de los de verdad. Aunque
se esté razonablemnete protegido, no es menos cierto que si alguien
es capaz de detectar una vulnerabilidad, también puede suceder que
otro que pudiera tener intereses en contra de los demás o con ánimo
de apropiarse o destruir algo ajeno, se sirva de dicha vulnerabilidad para
oscuros propósitos. Si a ello se suma la ingente cantidad de información
disponible en la Red sobre estos temas, se puede llegar a hacer mucho daño.
¿Qué opina de la tecnología y propósitos
de los sistemas de detección y defensa frente a intrusiones?
Para una compañía como la nuestra, en tanto ISP, estas
herramientas IDS son fundamentales. En nuestro caso, utilizamos tecnología
híbrida y estamos en fase de implantación de mejoras. Para
ello contemplamos herramientas de ISS y Snort. Pero con todo, aunque sean
útiles y válidas, estas herramientas no son la panacea pues
con vistas a su implantación son muy complejas de configurar y, sobre
todo, de gestionar. El fin último es que nos ofrezcan información
actualizada y útil, y eso es complicado.
¿Cuál es lo próximo en seguridad en su organización?
Este año estamos realizando el estudio de viabilidad para
abordar un proyecto de utilización de una infraestructura de clave
pública como arquitectura de seguridad general para toda la compañía.
Queremos tener nuestra propia infraestructura y usar la tecnología
de certificados digitales para lo que es la autenticación de todos
nuestros sistemas, con un posible salto posterior a ofrecer servicio a nuestros
clientes, y para la confidencialidad de los datos en correo electrónico,
integrándolo todo. También nos planteamos la gestión
centralizada de usuarios con workflow de autorizaciones y sistemas de sincronización
de bases de datos de autenticación.
De todas formas los entornos son complejos; algunos ya están capacitados
para asimilar rápidamente esta tecnología pero en otros costaría
mucho implantarla. En cualquier caso tendremos que valorar cómo se
adecuan estas opciones a las proporciones de nuestra compañía
y cúan maduro está el mercado a fin de que el balance final
entre inversión y beneficios nos satisfaga. |