La seguridad gestionada desde la perspectiva del ISP

7min

El concepto de seguridad gestionada suena en el mercado como una nueva tendencia que se está consolidando en los últimos tiempos. Sin embargo, los ISP llevan gestionando la seguridad de sus clientes desde el principio y ésta es un requisito irrenunciable para la oferta de los servicios del ISP.

La seguridad de los sistemas de información es uno de los aspectos más complejos para las pymes que constituyen la gran mayoría del tejido empresarial español. Para éstas resulta mucho más sencillo y eficiente contratar con un ISP los sistemas necesarios para la prestación de sus servicios online. De esta forma, tiene asegurado que sus sistemas contarán con los niveles de disponibilidad, integridad y confidencialidad que requieren.

Por otra parte, para que el ISP pueda ofrecer unos precios atractivos a sus clientes necesita desplegar unas infraestructuras de seguridad compartidas por un amplio número de clientes, que son muy complejas de operar y gestionar, llegando a disponer de sistemas que dan servicios de seguridad a varios miles de servidores. Desde este escenario, el ISP se convierte en un proveedor de servicios de seguridad gestionada para sus clientes. Al mismo tiempo, requiere de los servicios de empresas especializadas en la materia que le ayuden a sobrellevar el peso de la gestión de sus sistemas de seguridad.

Encontrar un equilibrio entre los servicios de seguridad gestionados por el propio ISP y los subcontratados a empresas especializadas del sector es un factor clave de éxito a la hora de ofrecer niveles de seguridad, servicio y precio atractivos para el cliente final.

Seguridad e ISP

Índice

Introducción

El desarrollo de la Sociedad de la Información ha llevado a muchas organizaciones a incorporar servicios como páginas web profesionales, comercio electrónico, correo electrónico, factura electrónica, etc.

La tendencia inicial de las organizaciones es instalar este tipo de servicios en sistemas ubicados en sus propias instalaciones. Sin embargo, en cuanto los requerimientos de seguridad son relevantes, se llega a la conclusión de que la inversión necesaria para lograr esos niveles de seguridad es elevada.

Cuando se analiza la inversión necesaria es importante entender la seguridad en sus tres vertientes de confidencialidad, integridad y disponibilidad.

Una opción que la organizaciones llevan años utilizando es la contratación con un proveedor de servicios de Internet (en adelante por sus siglas en ingles ISP) que aporte estas medidas de seguridad y reparta el coste entre un número importante de organizaciones.

El entorno del ISP

La necesidad, en términos de seguridad gestionada de un cliente final, está muy clara y es fácilmente dimensionable. Normalmente, quedan establecidas en un Acuerdo de Nivel de Servicio. Por el contrario, las necesidades de seguridad gestionada de un ISP son muy complejas y abarcan ámbitos de actuación muy diferentes.

Para entender lo complejo que pueden resultar estas necesidades, es suficiente con analizar unos cuantos datos de alto nivel:

  • Más de 2.500 servidores en producción
  • 150.000 clientes
  • 750.000 páginas web
  • 1.000.000 de cuentas de correo
  • 500.000 dominios

En lo referente a datos de explotación, se pueden resaltar los siguientes:

  • 25.000.000 de correos electrónicos diarios
  • 1,2 Gbits/seg de tráfico medio en horario laboral, con picos de 1,75 Gbits/seg
  • 6.500 ataques serios al día
  • 9 Terabytes de logs semanales

Con estos números, es muy complicado dimensionar un servicio de seguridad gestionada con un proveedor externo que pueda cubrir todas las necesidades de seguridad del ISP. Sin embargo, existen necesidades concretas que son susceptibles de cubrir con proveedores externos.

Requerimientos de seguridad gestionada del cliente final

El primer aspecto de la seguridad que debe tener cubierto una organización que necesita de servicios basados en Internet es la disponibilidad de los mismos. Para ello, necesita salas dedicadas, canales de comunicaciones robustos, sistemas de alimentación ininterrumpida, grupos electrógenos, climatización, equipamiento fiable tanto de servidores como de redes, etc.

Una vez que la organización tiene claro que sus servicios estarán disponibles, el siguiente paso es asegurar la confidencialidad. Para ello, requiere que quien le preste el servicio garantice una configuración adecuada de sus servidores, seguridad perimetral, detección y prevención de intrusiones, etc.

También necesita que se garantice la integridad de su información, a lo que contribuye la adecuada configuración de los servidores, la realización de copias de seguridad y la protección frente a código malicioso, entre otros.

La última necesidad de seguridad gestionada que tiene el cliente es la monitorización durante las 24 horas del día de todos los sistemas involucrados en su servicio. Por tanto, es imprescindible contar con personal que esté atendiendo los sistemas durante 24 horas al día, los 365 días del año.

Las grandes organizaciones con un número relevante de sistemas críticos pueden plantearse hacer todo esto con recursos propios. Si no, es más sensato optar por una solución de seguridad gestionada y proporcionada por un ISP.

Requerimientos de seguridad gestionada del ISP

Por su parte, el ISP tiene unos requerimientos de seguridad muy elevados. En la mayoría de las ocasiones, es más que sensato apoyarse en la experiencia de organizaciones expertas en seguridad que, a su vez, gestionen la seguridad de otras organizaciones con necesidades similares.

Esta experiencia enriquece de forma significativa la cultura de seguridad de los equipos técnicos y aporta una visión más amplia tanto de los problemas como de las soluciones.

En este sentido, están especialmente indicadas la colaboración de un proveedor de servicios de seguridad gestionada, con soporte especializado de soluciones de seguridad, auditoría continua y apoyo en la respuesta ante incidencias.

De forma mas concreta, son de interés las colaboraciones en los siguientes campos.

Actualización y parcheo de sistemas

Los ISP gestionan un número muy relevante de sistemas y, con el ritmo actual de descubrimiento de nuevas vulnerabilidades (21 nuevas vulnerabilidades diarias de media durante 2007, según www.cert.org), se hace tremendamente complicado mantener todos los sistemas al día.

La experiencia de un proveedor externo en lo referente a la relevancia de las vulnerabilidades, así como la posibilidad de que sean explotadas en el entorno real del ISP, resultan de gran ayuda para los equipos técnicos a la hora de poder priorizar los trabajos de actualización y parcheo.

Redes y seguridad perimetral

Un porcentaje muy importante de los servicios de seguridad gestionada se centran en la gestión de los dispositivos de seguridad de red, fundamentalmente firewalls e IDS/IPS. Sin embargo, es vital para el ISP que su personal tenga la cualificación y experiencia necesaria para asumir completamente el mantenimiento y control de estos equipos.

La colaboración de un proveedor de seguridad gestionada alcanza especial relevancia en la optimización y el “fine tunning” de estos dispositivos.

Infraestructuras y seguridad física

Existe una especie de abismo entre el mundo de la seguridad física y el mundo de la seguridad de los sistemas de información. No tiene sentido hablar de seguridad de sistemas si no está garantizada la seguridad física y el suministro de servicios básicos.

La gestión externalizada de la seguridad física es una práctica habitual, aunque se haga de forma aislada con respecto a la gestión de la seguridad de sistemas. Igualmente, la gestión de las infraestructuras de suministro eléctrico, climatización, detección y extinción de incendios, etc. suele externalizarse.

Las organizaciones tienen que hacer un esfuerzo para plantear estrategias unificadas de gestión para estas dos “seguridades” (física y de sistemas).

Desarrollo de aplicaciones

La mayoría de los incidentes de seguridad en sistemas siguen produciéndose por código malicioso, pero la siguiente vía de entrada más frecuente son las debilidades en las aplicaciones. Simplificando el argumento, los ataques continúan lanzándose por http sobre el puerto 80.

Resulta fundamental contar con servicios de seguridad gestionada que se centren en la seguridad de las aplicaciones en producción. Aunque durante el ciclo de vida de desarrollo de las aplicaciones se integren los controles y verificaciones de código, las vulnerabilidades, amenazas, tendencias, etc. cambian rápidamente. En ocasiones, las aplicaciones en producción que, tras pasar las verificaciones en preproducción, eran “seguras”, pueden verse afectadas por las nuevas circunstancias.

Servicios de seguridad gestionada en cascada

Más del 95% del tejido empresarial de nuestro país esta constituido por pequeñas y medianas empresas que se van incorporando a la Sociedad de la Información de forma decidida. Para estas empresas, no es rentable abordar la inversión en equipamiento que se requiere para disponer de algo básico, como un servidor web y un servidor de correo electrónico con unos niveles de seguridad (confidencialidad, integridad y disponibilidad) razonables, ni mucho menos incorporar en plantilla personal experto en seguridad.

En este punto, los ISP proporcionan a estas empresas unos servicios que incorporan la gestión de la seguridad:

  • Suministros esenciales
  • Actualización
  • Protección frente a código malicioso
  • Antispam
  • Ampliaciones de sistemas
  • Personalizaciones en redes
  • Monitorización
  • Respuesta ante incidencias

Aunque el ISP cuente con personal experto en las distintas disciplinas (redes, sistemas, desarrollo, seguridad, etc.), el negocio del ISP está en el servicio y la seguridad es un requerimiento del mismo. La velocidad con que cambian las amenazas es muy alta y da mucha tranquilidad contar con buenos compañeros de viaje, que puedan ayudar a los equipos técnicos del ISP y aporten su experiencia en otros entornos similares.

En este punto, los proveedores especializados de seguridad proporcionan al ISP unos servicios que le ayudan a gestionar la seguridad:

  • Monitorización
  • Depuración
  • Fine tunning
  • Mantenimiento
  • Buenas prácticas
  • Tecnología de vanguardia
  • Formación

Conclusiones

  • Las organizaciones necesitan servicios on line seguros
  • La seguridad necesaria tiene un coste elevado para las pymes
  • Los ISP gestionan la seguridad de los sistemas de sus clientes desde hace años
  • Las necesidades de seguridad cambian constantemente
  • Los proveedores especializados aportan a cada cliente la experiencia obtenida en los entornos de todos los clientes que gestionan
  • Se debe encontrar un equilibrio entre el know how interno, y la aportación externa
Sergio Arias

Productos relacionados: