|
PRóXIMO RETO PARA HACER SEGURAS LAS REDES CORPORATIVAS: ‘GREYNETS’ Según un artículo de CIO Today de 5 de julio de 2006, la mensajería instantánea (MI) desplazará al correo electrónico como forma preferida de comunicación en línea. La MI aventaja al e-mail en inmediatez e interactividad.
Según el IDC del año 2005, 28 millones de personas utilizaban la MI y enviaron casi 1.000 millones de mensajes al día. La MI incluso se ha extendido al teléfono móvil.
Igual que el e-mail, la MI tiene sus vulnerabilidades y se necesitan políticas de uso y controles de seguridad.
Figura 1. Aplicaciones de Greynets.
Zane Ryan, director general de Dot Force | La MI es una forma de aplicación de uno a uno (peer-to-peer, P2P). La voz sobre IP (VoIP) es otra forma, como Skype. Según la empresa Skype, la expectativa de número de usuarios de Skype en España crecerá a 3,5 millones antes del fin de año.
Las aplicaciones P2P, como MSN Messenger, Yahoo Messenger y Google Talk, pueden ser instaladas por el propio usuario y no necesitan la intervención del departamento de informática. Esto me lleva a explicar lo que son los Greynets, las redes grises o, mejor dicho, las aplicaciones grises.
Una manera de entender lo que son los Greynets es ver cómo las aplicaciones se despliegan. Las implantaciones de aplicaciones se hacen a tres niveles en la corporación: a nivel corporativo, de departamento y de usuario final.
|
La cuestión, en general, es si las aplicaciones se comportan bien en la red o si esquivan los controles de seguridad y calidad. Vamos a ver cómo proceden algunas aplicaciones.
Cuando usted se incorpora a una empresa, el departamento de Informática le da de alta en el sistema de correo electrónico. El correo electrónico es una aplicación corporativa y actúa adecuadamente en la red. Su protocolo de comunicación (SMTP) pasa por un puerto bien definido, donde las herramientas de escaneo de correos para detectar virus, spyware o spam pueden eliminar los riesgos a los que nos enfrentamos todos los días con el correo electrónico. Aplicaciones evasivas
Las aplicaciones de conferencia web normalmente se implantan a nivel de departamento, pero son aplicaciones evasivas porque usan protocolos de encriptación para traspasar el puerto 80 sin ser detectadas por los controles convencionales de seguridad. Groove es otra aplicación para crear identidades y compartir información privilegiada.
Otra aplicación evasiva es la Mensajería Instantánea, que se instala por el usuario final y tiende a ser evasiva en la red, lo mismo que el resto de aplicaciones P2P, como KaZaA, Limewire y Bear Share, para compartir ficheros; TOR, para comunicar de manera anónima por Internet; Hopster, para poder pasar los controles de firewalls, proxies y http; y RODI, para facilitar las búsquedas en Internet esquivando controles de seguridad y herramientas de análisis de tráfico.
Pero no todas las aplicaciones que instalan los usuarios finales son evasivas. Por ejemplo, las aplicaciones de navegación web son aplicaciones que se comportan bastante bien.
Otra gama de aplicaciones son los adware, spyware, malware, etc., que se despliegan de manera sigilosa y sin el conocimiento del usuario y son evasivas en la red. En la figura 1, las aplicaciones de Greynets se encuentran en el diagrama. Se llaman aplicaciones grises, porque a pesar de ser buenas, pueden presentar riesgos importantes. Virus y troyanos pueden entrar en la red a través de las aplicaciones de MI.
El SPIM es el equivalente al spam del correo electrónico, pero para la MI. Según Paul Stamp, analista de Forrester, la eficacia de los filtros spam para el e-mail y la falta de filtros parecidos para las nuevas formas de comunicación como la MI y los Blogs son algunas de las razones por las cuales los que generan spam han dirigido su atención a estos nuevos canales de comunicación.
Aplicaciones como adware y spyware son muy problemáticas. ¿Cuáles son las inquietudes que nos transmiten estas aplicaciones?
- Vulnerabilidades. Actualmente hay códigos de programas de aplicaciones grises funcionando en los PC sin haber pasado controles de calidad. Estos códigos pueden contener vulnerabilidades que impacten negativamente contra el rendimiento del sistema y su productividad.
- Riesgos de seguridad. Virus y gusanos que se propagan a través de las aplicaciones grises, que pueden socavar la seguridad y robar datos.
- El cumplimiento de la política corporativa y de protección de datos. ¿Cómo actúan estas aplicaciones si además se mantiene un historial y registro de las comunicaciones que generan?
- Temas de gestión. ¿Quién utiliza las aplicaciones y por qué? ¿Cuánto ancho de banda consumen? ¿Tiene usted algún control sobre el comportamiento de las aplicaciones?
Para poder controlar los Greynets hay que detectarlos primero. Por ejemplo, hay empresas que mantienen una política de prohibición de la MI, pero esto no quiere decir que no la usen. Si no se controlan las aplicaciones P2P, los usuarios pueden abusar de ellas y en caso de producirse una brecha en la seguridad, la empresa es la responsable y no los empleados.
Si embargo, probablemente usted no querrá bloquear todas las aplicaciones P2P y preferirá habilitar algunas. Por ejemplo, ¿querrá usted permitir la video-conferencia? Y, en este sentido, a lo mejor deseará alentar un mayor uso de la MI...
Para ello, se deben afrontar las cuatro preocupaciones expuestas. Hace falta higiene: es importante escanear las comunicaciones en busca de virus, gusanos, troyanos y spam. Ha de hacerse. Hay que asegurarse de que existen sistemas apropiados para mantener historiales y registrar eventos. Hay que seguir políticas estrictas: ¿quién puede utilizar las aplicaciones, cuándo pueden acceder a ellas y qué ancho de banda pueden consumir?
Las aplicaciones grises presentan beneficios importantes de colaboración, productividad y reducción de costes, pero igualmente conllevan ciertos riesgos. No se trata de que sea negro o blanco, por eso se llaman grises, Greynets. El reto queda ahí: ¿Como se pueden distinguir los buenos de los malos para permitir el paso a los buenos y, al mismo tiempo, prohibírselo a los malos? Zane Ryan, Director general de Dot Force
|
