El código abierto y la seguridad están estrechamente conectados. Los mitos alrededor del open source y su vulnerabilidad a las amenazas informáticas, su inmadurez para el entorno empresarial, la ausencia de quien responda por las fallas, resultan hoy inverosímiles y sin fundamento.
De hecho, el mundo como lo conocemos hoy no podría existir si sólo se basara en software propietario. El código abierto está presente prácticamente en todas las actividades que individuos y empresas realizan día con día como los medios sociales, compras y entretenimiento en línea, aplicaciones móviles, nubes públicas y privadas, comunicación instantánea, entre muchas otras.
Su dinamismo, flexibilidad y la contribución de comunidades distribuidas por todo el planeta lo han fortalecido y refuerzan su seguridad día con día. Sin duda, su solidez radica en la colaboración de miles de individuos: desarrolladores, proveedores de tecnología y usuarios, quienes unen esfuerzos para resolver problemas, lanzar nuevas versiones y blindarlo para resistir los embates de las amenazas informáticas emergentes y conocidas.
Empresas nativas digitales como Google, Netflix y Facebook surgieron con el open source como su motor de innovación, reacción, adaptación y crecimiento. En tanto, las organizaciones tradicionales no se han quedado atrás y combinan sus sistemas legados con una nueva generación de soluciones abiertas (TI bimodal como lo llama Gartner). Al mismo tiempo, apuestan por nuevas tecnologías y tendencias –IoT, nube, movilidad, virtualización- con el fin de mantener su competitividad y expansión.
Todo sin perder de vista la seguridad, la cual debe ocupar un lugar central. Red Hat, firma especializada en soluciones de código abierto empresarial, ha conformado una guía práctica de 5 pasos que ayudará a las organizaciones privadas y de gobierno a lograrlo.
-
Diseño
Una empresa que se jacte de ser segura tiene que serlo desde el inicio con el apoyo de un plan perfectamente estructurado. Es evidente que la infraestructura que utiliza actualmente no será la misma en algunos años, o incluso en seis meses. Contar con un plan integral puede ayudarle a superar los problemas a medida que crezca; asimismo, considerar sus requerimientos de gobierno y auditoría le será de utilidad para superar las amenazas que pudiera enfrentar su diseño.
Una vez que se tiene un plan sólido, es momento de seleccionar a los proveedores, conectar todo e integrar un modelo de seguridad. Esto tiene particular importancia porque con tecnologías como la nube, un tercero es el que pudiera tener mucho del control.
-
Consolide
Construya con la seguridad en mente. La defensa proviene del diseño, e incluye la encripción, la gestión de claves, firewalls, control de acceso, el otorgamiento de privilegios y políticas para aplicaciones, entre otros elementos. Como cualquier defensa, la revaloración constante de los riesgos puede alinearse y adaptarse a las políticas de seguridad, la cual puede crecer a medida que su arquitectura se amplía.
La adopción del cómputo de nube trae grandes beneficios, pero también las amenazas aumentan al igual que la necesidad de utilizar todas las herramientas a su alcance para mantener lejos a los criminales informáticos.
-
Automatice
Automatizar los procesos repetitivos resulta un recurso muy eficaz. Con ello su empresa se protege contra el descuido y las brechas en la seguridad y el cumplimiento que las inconsistencias y los errores humanos pudieran provocar.
Es recomendable utilizar un lenguaje común entre la TI clásica y la nube a fin de automatizar la aplicación de políticas. De igual forma, codifique las tareas para asegurarse de que se estén realizando de manera correcta, segura y consistente a través de diferentes infraestructuras.
-
Observe
En este punto, la vigilancia se convierte en su primera línea de defensa. Implemente las herramientas y los procesos adecuados para observar su infraestructura y ser alertado sobre problemas potenciales (vulnerabilidades recién descubiertas, acceso no autorizado, cambios en las configuraciones).
La seguridad tradicional parte de la premisa de establecer y proteger constantemente un perímetro. Sin embargo, siempre habrá amenazas internas detonadas por el error de un usuario o totalmente deliberadas, de ahí la necesidad de monitorear los incidentes de diferentes niveles como parte de una práctica de seguridad estándar.
-
Reaccione y adáptese
Hay que tener esto siempre en mente: las brechas pueden ocurrir en cualquier momento. Pero eso no es motivo para entrar en pánico; lo mejor que puede hacer es aprender. La forma en que reaccione la empresa sentará las bases de su seguridad para el futuro. Una respuesta expedita a una amenaza es fundamental. Contar con un socio que ofrezca una guía en cuanto a la aplicación de parches, soluciones y recuperación es vital para mantener a su empresa en el camino correcto.
Asimismo, la adaptación tiene gran importancia: reaccionar y ajustarse adecuadamente lo preparan mejor para el futuro.
En el mundo real una seguridad 100% efectiva no es posible. No obstante, la conjunción de prácticas probadas como las anteriores y soluciones de código abierto reforzadas con la aportación y pruebas de miles de individuos, así como por la retroalimentación de clientes de todas las industrias, establece un marco efectivo que identifica las debilidades antes de que se conviertan en problemas.
Olivia Salas, Regional Marketing Manager de Red Hat México