|
¿Se siente a gusto el personal de seguridad con la idea de delegar la responsabilidad en las máquinas?
No, a muchos profesionales de la seguridad no les gusta mucho la idea de la automatización. Instintivamente se sienten más a gusto con el viejo concepto de la división de tareas, pero cuando los presupuestos bajan y las organizaciones quieren moverse con mayor rapidez, la seguridad es asumida cada vez más por el centro de operaciones de red. Esto significa que, por fin, el personal de seguridad puede comenzar a prepararse para lo que se avecina, en lugar de ir mirando constantemente por encima del hombro e intentando poner remedio a lo que ya se ha hecho mal.
O sea, que según usted sólo es posible llegar hasta cierto punto en la automatización de la seguridad?
Hay dos tipos de automatización, uno en las máquinas que nos ayuda a hacer algunas cosas, y otro que entra en acción cuando las cosas van realmente mal. Supongamos que se tiene un suceso de día cero, en el cual la amenaza es tan nueva que todavía no existe ningún remedio real, y se produce hacia finales de mes. En ese caso, podríamos optar por parchear o ajustar automáticamente la configuración en tantas máquinas como sea posible, salvo en una máquina crucial que se encarga de procesar las nóminas. Si el suceso no va a producir una caída grave del servicio, preferiremos no tocar nada. El otro tipo de automatización pretende garantizar que existan procesos a punto que separen instantáneamente esa máquina de la red, pero permitiendo que siga llevando a cabo el importante proceso que tiene encomendado.
¿Dónde situar el límite?
Enfrentado a un riesgo claro y concreto para su sistema, usted tiene a su vez que tomar decisiones
arriesgadas. No obstante, tendría que poder tomarlas a partir de algunos criterios fundamentales, y hacerlo con rapidez. Perder tiempo equivale a agravar la situación, así que siempre le aconsejamos que se asegure de tener a punto gente que pueda intervenir. A menos que esté muy claro lo que ocurre, no se puede dejar a cargo de un sistema automatizado, salvo que sea para desactivar automaticamente el servicio y darnos algo de tiempo para estudiar las consecuencias de cambiar una máquina o una red. Hay muchas veces en que uno prefiere no actualizar un servidor porque no tiene ni idea de lo que el parche le hará al equipo.
¿Por dónde conviene comenzar a automatizar la seguridad?
En materia de seguridad de TI, sólo seremos tan buenos cómo nuestra capacidad para tratar el
eslabón más débil. Lo que debemos preguntarnos es lo bueno que es nuestro inventario de activos.
¿Sabemos de verdad lo que está pasando? ¿Podemos asegurar que somos capaces de actualizar todos y cada uno de los equipos de la red? En las empresas que visito, los departamentos tienden a comprar las cosas por fuerza. Naturalmente, basta con que haya por ahí una sola máquina descontrolada que alguien guardó bajo el suelo o en un cuartito. ¡La gente hace cosas así! Por lo tanto, aunque el responsable del centro de datos haya hecho todo lo posible por su centro de datos, ese equipo podría tumbar toda la red. Si decidimos introducir un proceso que le permita actualizar automáticamente las cosas, será mejor asegurarnos de que seamos capaces de abarcarlo todo de una sola vez.
¿Automatiza y ponte a rezar?
No. Entiende dónde puedes automatizar y dónde no. Si has planificado bien tus activos, arquitectura y configuración, la automatización es una magnífica herramienta. Por ejemplo, el Software Patch Management de HP ofrece una gestión continuada de parches, packs de servicio y correcciones a lo largo de todo el ciclo de vida y abarcando el conjunto de la empresa. También mantiene una base de datos de gestión de configuraciones, o CMDB, que indica lo que hay exactamente en nuestra red, qué equipos, qué dispositivos de red, quiénes son sus propietarios y cómo están configurados. De esta
forma las herramientas de HP pueden configurar, actualizar o volver a cambiar automáticamente el equipo si alguien lo ha modificado sin autorización. Incluso puede establecer prioridades entre los equipos a parchear, porque antes se ha dedicado a buscar automáticamente los problemas. Asimismo si se han implantado otras tecnologías como la gestión de sucesos de seguridad, que se alimentan de la detección de intrusiones y la gestión de vulnerabilidades, se puede forzar el envío de parches y la los mismos en los equipos vulnerables. Y en caso de instalación de producirse alguna anomalía, el software de HP le ayudará a descubrir por qué el equipo está siendo afectado y a resolver el problema.
¿Y si ocurre algún imprevisto?
Eso no debería suceder. Siempre deberían existir procesos que ayuden al responsable de TI a tomar una decisión.
¿Entonces, que debería hacer?
Sentarse a pensar en ello. No existe otro modo. Es sabido que los humanos tenemos aversión al riesgo. A menos que dispongamos de los datos y el proceso necesarios para salvaguardar lo que vamos a hacer, no lo haremos. Por eso en los entornos militares se aplican unos procesos muy rígidos y estrictos: si ocurre tal cosa, pulse este botón, haga eso o aquello. En los centros de datos se necesitan procesos que nos indiquen cuál es el riesgo de hacer tal cosa y el de no hacer tal otra.
Después, corresponde al responsable del centro de datos tomar la decisión.
|
Versión para imprimir
