Crece la amenaza contra la seguridad corporativa
Después de tres meses, 2010 ya se caracteriza como uno de los más intensos en ataques y pérdida de información. Sepa cómo lo enfrentan aquellas empresas que -por el momento- logran mantener el peligro a raya. Por Natalia Lesyk para IT Business-Cronista
Martes, un nativo digital aprovecha su horario de almuerzo en compañía de sus amigos a través de una red social. Mientras, comparte imágenes, escribe en un muro e invita a otros a sumarse al bar de moda; recibe una invitación automática que -bajo el nombre de la red- le pide que cargue información personal para acceder a una nueva aplicación. Accede y la envía. Pero, sin saberlo, su mensaje recaba información de la computadora porque pertenece a un sitio simulado en la red. Luego, ésta se propagará al resto de terminales que comparten la misma conexión. Al finalizar el día, la empresa donde el jóven trabaja estará infectada y sus activos confidenciales violados, generándole pérdidas incalculables a la compañía. Todo, en el más profundo de los sigilios.
Esta historia es sólo un ejemplo de cómo Internet -y la Web 2.0- es hoy utilizada como medio preferido de propagación de malware (software malicioso) y crimeware (software de delitos financieros online). Según coindicen en el mercado, el hecho de ser y estar seguros es una tarea diaria y requiere de máxima atención, sobre todo, en el ámbito corporativo donde los descuido pueden generarlos desde un gerente hasta la recepcionista. Si bien la premisa en el área IT es que “a Seguro se lo llevaron preso”, la práctica de políticas internas y el uso de tecnología preventiva en las firmas es hoy un eslabón prioritario en el sector.
Según el reporte de seguridad en América latina, elaborado por la empresa ESET en base a 947 encuestas a gerentes de empresas y profesionales del área de tecnología de las compañías “el 58,08% de los entrevistados afirma que la amenaza más relevante es la pérdida de datos. Le siguen los ataques de malware (57,13%) y las vulnerabilidades del software (51,32%)”.
La amenaza creciente
Para Jennyfer Vélez Dueñas, analista de investigaciones para Latinoamérica de la empresa de investigación de mercado, Frost & Sullivan, las debilidades más evidentes para las empresas en 2010 se generarán por ataques de phishing (estafas cibernéticas mediante ingeniería social) sobre las denomindas botnets, “debido a su habilidad de ejecución autónoma, automática y de rápido aprendizaje”, aclara la analista. Un ejemplo del impacto que puede generar este tipo de ataques se vio hace pocas semanas: una red botnet logró ingresar en 75.000 PCs, en 200 países, según comentó la empresa de seguridad Net Witness. Los hackers accedieron así a datos personales y de cuentas bancarias de más de 2.500 empresas y organismos públicos.
Vélez Dueñas enumera cuáles son las principales grietas de seguridad que sucumben, debido a hábitos dentro de los puestos de trabajo: “Entrada constante a redes sociales desde la LAN empresarial; falta de conocimiento sobre las soluciones para protegerse e incluso amenazas existentes en el mercado, una cultura reactiva más que preventiva; movilidad dentro de la fuerza de trabajo (a través de PDAs, laptops, smartphones, entre otros dispositivos); o esperar que una medida de seguridad tipo CAPEX (nivel de inversión que hacen las empresas para incrementar o mejorar su capacidad de producción) se convierta en OPEX (gastos de operación corrientes) en el corto plazo”.
Puertas adentro
Según el informe de Symantec Corporation ‘Estado de Seguridad Empresarial 2010’, elaborado en base a una encuenta a 2.100 encargados de seguridad informática y administradores de IT de 27 países (incluidos la Argentina, Brasil, Colombia y México), concluye que el 42% de las organizaciones califican a la seguridad como principal prioridad. Agrega que el 75% sufrió ataques cibernéticos en los últimos 12 meses, los cuales costaron a las empresas, en promedio, u$s 2 millones por año.
Aunque las cifras hablan por sí solas, no todo es alerta. Andrés Zahnd, Oracle Project Manager de la aseguradora Universal Assistance (UA), explica ante IT Business que han incorporado la prevención a su cultura organizacional. Pero confiesa que “es un elemento que requiere permanente atención y es de altísima prioridad en nuestro entorno tecnológico. Los potenciales ataques que más preocupan se centran en infecciones, por su efecto sobre la operatoria regular de la firma; y a hackers, por el robo de información sensible para el negocio”.
Para hacerle frente, desde 2008, en UA cuentan con personal dedicado a seguridad informática que se complementa con asesoramiento externo en temas integrales. Si bien anteriormente utilizaron herramientas corporativas de IBM y McAfee, hoy, aplican sistemas de acceso encriptados con usuarios validados por tokens RSA. Se suman redes privadas virtuales (VPNs) y herramientas corporativas de seguridad integral provistas por Trend y Symantec. En aplicaciones de mayor exposición al exterior, optaron por sistemas de n-capas para aislar los núcleos de información en caso de sufrir ataques. Lo complementan con soluciones estándares de validación de usuarios internos, permisos de acceso, limitación de navegación y de visibilidad de información, entre otros. Actualmente, la empresa destina a seguridad informática alrededor del 15% del presupuesto regular del área de Sistemas.
Otro caso es el de la firma Nexans, provedora de sistemas de cableado, quienes, a partir de 2007, optaron por un plan de soluciones en seguridad unificado para la región. María Isabel Acevedo, IS Internal Control & Planning Manager de la filial sudamericana, explica: “Nuestra principal prioridad es proteger la información del core del negocio, es decir, toda aquella que se maneja a través de nuestro sistema de gestión SAP. El cual se refleja en la estrategia que asumió el grupo al consolidarlo a seguridad e infraestructura, bajo estándares internacionales brindados por los servicios de Global Crossing para las sedes de la Argentina, Perú, Colombia y Chile”. Para lograrlo utilizan mecanismos con herramientas de seguridad gerenciadas como firewall, servicios de Security Operation Center, IDS -IDP- DI, antivirus, antispam y conexiones VPN.
Según Acevedo, entre los beneficios que les brinda el cambio de modelo se encuentra “la confiabilidad, la seguridad de la información que se maneja, el respaldo del personal adentrado en el tema, la disminución de costos en lo relativo al mantenimiento y a la administración”. Sin embargo, todavía tienen una tarea pendiente, “nos queda como siguiente instancia preocuparnos de la seguridad a nivel interno, donde el índice de exposición también es muy alto", comenta la ejecutiva.
Apostar a la seguridad
Tampoco la empresa Gire, que administra y controla el servicio de cobranza extrabancario Rapipago, se puede dar el lujo de dejar la seguridad al azar. Por ello, tienen un departamento de seguridad informática que centraliza las políticas. Hugo Iavarone, gerente de Tecnología de la compañía, cuenta que, a pesar de ello, la amenaza de la pérdida de datos es una preocupación constante desde que empezaron a operar, en 1991.
“Incluso, cuando se analizan los servicios prestados con más de 25 millones de transacciones por mes y flujos de fondos administrados, entendemos que los datos son críticos desde cualquier punto de vista de la compañía o de nuestros clientes. Entonces, a lo largo del tiempo hemos pasado por distintas tecnologías como servidores espejados, hardware muleto, procesos stand-alone, entre otros. Hoy contamos con sitios de disaster recovery, virtualización, clusters, SANs sincronizadas; como así también, firewalls, antivirus, control de puertos y monitorización activa”, detalla.
Entre las empresas desarrolladoras de software, el tema tampoco es menor. Una de ellas es Mastersoft, donde combinan trabajo interno con auditorias periódicas. Marcelo Di Chena, socio-gerente de la firma, confiesa que “hemos sufrido ataques que fueron rechazados por las herramientas tecnológicas. Al generar una política de mediano plazo apoyada por un especialista externo que impulsó su implementación, los resultados han sido excelentes ya que en 2009 no tuvimos ataques que complicaran nuestra operatoria”.
Entre la IT que implementaron se encuentra: VPN con certificados de seguridad; firewalls a través de hardware y software específico; herramientas antispam de uso libre, antivirus y antispyware a nivel de estaciones; servidores con actualizaciones automáticas, definiciones de virus y parches de seguridad. Se suman, test de penetración y otros tipos de pruebas asociadas a verificar el nivel de permeabilidad posible desde el exterior. Incluso, en la empresa definieron procedimientos de backups y un plan de contingencia frente a la caída de cualquier elemento crítico.
Lo que falta
Finalmente, en la encuesta de ESET, el 53,55% de las personas manifestó que la concientización del personal es fundamental, pero sólo el 37,94% realiza periódicamente actividades con el objetivo de capacitar al personal en materia de seguridad de la información y protección. Ante esta paradoja, Cristian Borghello, director de Educación de la sede latinoamericana, resume que “resta mucho por hacer, a medida que haya educación, concientización y madurez para entender la problemática”.
En esta sintonía, “mejor que bloquear es educar y controlar. La educación y la aplicación de políticas de control y uso ayudan a que el riesgo se minimice. Para que la tecnología ayude a mejorar el trabajo de cada persona dentro de la empresa”, concluye Alejandro Viola, gerente General de Blue Coat Argentina.
Cómo protegerse contra el peligro
Por Alessio Aguirre-Pimentel, director del Área de Informática Forense y Seguridad Informática de FTI Consulting Argentina
En seguridad de la información, las soluciones técnicas son verdaderamente efectivas si se tiene en cuenta el factor humano, el más importante es la cadena de recursos. Porque, mientras más seguro sea el sistema informático, resulta menos operativo y restringe la habilidad de las personas al hacer su trabajo.
Por otra parte, las empresas suelen tener un Manual de Operaciones que “gobierna” la utilización de todos los dispositivos electrónicos pero, en general, son pocos los usuarios que las conocen e implementan correctamente. Por eso, es indispensable una campaña de concientización para dar a conocer las “mejores prácticas” disponibles que determinen el mejor uso de las herramientas, sin poner en peligro la confidencialidad de los activos digitales de la empresa.
No obstante, existe lo que llamamos Ingeniería Social, que consiste en la aplicación de métodos para obtener información de manera legal y sin violar ningún sistema de seguridad. En este caso, puede darse que un tercero con intereses desleales, por ejemplo, le “preste” un pendrive al empleado, con un programa oculto que captura toda la información del dispositivo en el que se lo utiliza. Así, esta maniobra permitiría obtener información confidencial y sensible de la empresa en cuestión. Este caso devela, de manera muy ilustrativa, que para obtener resultados óptimos y minimizar los riesgos es indispensable la inversión en capacitación por parte de expertos en la materia.
Algunas recomendaciones básicas a tener en cuenta son:
- No conectar dispositivos desconocidos o de origen dudoso a la computadora.
- Confirmar telefónicamente la identidad de un remitente que suele contactarnos a través de una dirección de correo electrónico y nos envía una solicitud de información desde otra diferente.
- No desechar documentos con información relevante a la basura, sin antes destruirlos.
- Evitar el envío de información confidencial a través del correo electrónico. Muchas personas utilizan sus correos en computadoras de uso público o compartido.
- No divulgar información personal y sensible en redes sociales.
Consejos para saber cómo hacerlo
Por Gabriel Marcos, Product Manager Data Center, Security & Outsourcing de Global Crossing
La adopción de las tecnologías de conectividad inalámbrica disponibles ofrece nuevas posibilidades para la comunicación y el trabajo, pero también los expone a nuevos y mayores riesgos. Si hay dos lecciones que los profesionales de la seguridad de la Información hemos aprendido en los últimos años, es que los hackers buscan directamente ganar dinero; y otra, es que generalmente saben muy bien lo que hacen.
Lo cierto es que si usted tiene celular, notebook, PDA, cuenta de mail, cuenta en una red social, fotolog, página web, conexión a Internet, o una conexión Wi-Fi, entonces está expuesto a ser atacado y, muy probablemente, a no darse cuenta hasta que sea demasiado tarde.
Antes de apagar todos los dispositivos a su alrededor, es importante aclarar que no se trata de eso sino de tomar conciencia del problema. Algunos consejos a tener en cuenta y disminuir el riesgo:
- Deshabilite las conexiones Bluetooth ni bien termine de utilizarlas. Nunca deje las conexiones Wi-Fi y Bluetooth habilitadas por defecto en las notebooks.
- Preferentemente, no baje los correos corporativos a la PDA y/o al smartphone; acceda al mail desde el servidor de la compañía, de esa manera no se transporta información confidencial.
- Al configurar un Access Point, utilice siempre el mecanismo de autenticación más seguro; aunque sea más difícil de configurar al principio, una vez que está funcionando ofrecer un nivel de protección mayor.
- Para acceder a las aplicaciones de la compañía, utilice siempre mecanismos de autenticación fuerte; dentro de la empresa, los certificados digitales son una protección adicional que conviene considerar.
Comentarios
Publicar un comentario
¿Qué opinas sobre este tema?