Revista Channel News - SOLUCIONES DE SEGURIDAD > Desafío 2012: Abordar la seguridad informática y proteger la información

Desafío 2012
Abordar la seguridad informática y proteger la información

En un mundo globalizado, donde las amenazas de seguridad proliferan como verdaderos virus que alteran la salud de las empresas, es necesario contar con equipos, personas y estrategias capaces de hacerles frente con antídotos eficaces y en permanente mejora.

Las problemáticas relacionadas con la seguridad informática conforman una larga lista en gran parte de las empresas. No es fácil abordarlas, porque son numerosas y muchas de ellas complejas de manejar. Se generan dentro de las organizaciones, e igualmente desde el exterior.

La pérdida de información sensible es la número uno y la menos percibida, de acuerdo a la opinión de Jaime Briggs, Director Regional de Seguridad en Soluciones Orión, porque los discos portátiles, pendrives y celulares o smartphones mantienen una cantidad de información considerable y su control es mínimo o inexistente. "Peor aún, su pérdida no es percibida ni menos acusada por los usuarios", indica.

La disponibilidad de los sistemas también es una arista de la seguridad informática, porque a pesar de ser críticos no siempre están disponibles y no cuentan con planes de contingencia ni de recuperación en caso de catástrofes. A eso se suma el uso de Internet y los numerosos sistemas de spyware que se instalan con sólo navegar por la red y que, según el ejecutivo de Orión, demandan herramientas de seguridad permanentes y actualizadas.

Jaime Briggs,
Soluciones Orión

Jorge Sepúlveda,
DuocUC

Hans Erpel,
NovaRed

Segundo Mansilla,
PDI

En efecto, para Jorge Sepúlveda, Subdirector Escuela de Informática y Telecomunicaciones Duoc UC, las principales amenazas de seguridad provienen desde el interior mismo de la empresa, principalmente a través de los descuidos y malas prácticas de los usuarios de los sistemas. Pero también son organizadas por especialistas, como los malware y spam, con el objetivo de apoderarse de información relevante del negocio y de cometer fraudes electrónicos.

A estas numerosas amenazas, Hans Erpel, Gerente Comercial de NovaRed, suma la ingeniería social, provocada por el mal uso de las contraseñas, el revelar información confidencial en reuniones sociales y caer en estafas. Esos, a su juicio, son algunos de los ejemplos más concretos de este tipo de amenazas, las cuales se han propagado rápidamente en Chile. "En el caso de las entidades financieras nacionales, el 80% de ellas ha sufrido este tipo de ataques", indica.

Empresas: grandes víctimas de la falta de seguridad TI

Aunque la preocupación por proteger los sistemas y la información de las amenazas informáticas está creciendo, aún es baja. Como indica el Subcomisario de la Brigada Investigadora del Cibercrimen de la PDI, Segundo Mansilla, Ingeniero Informático y académico de UCINF, las compañías que implementan estrategias de seguridad TI lo hacen luego de haber sufrido algún traspié: pérdida de datos, robo de información o fraude. "En mi experiencia docente, con alumnos de la universidad escogemos aleatoriamente algunas organizaciones para realizar test básicos relacionados con la seguridad informática -basados en la NCh 2777- constatando una pobre alineación a esos requerimientos, lo que deja de manifiesto nuestra realidad. Sin embargo, en la medida que transcurre el tiempo el tema comienza a ser más conocido", confirma.

Según Jaime Briggs, la mayor parte de las compañías (por no decir todas) usan equipos antivirus y cortafuegos pero no todos tienen políticas de seguridad ni una concientización respecto a los problemas de seguridad que pueden tener los usuarios. O, en otros casos, las políticas y sensibilización respecto de la seguridad existen, pero después no hay controles ni monitoreo de los incidentes de seguridad que ocurren.

Mayoritariamente, las mayores amenazas que afectan a las empresas y usuarios son producto de las vulnerabilidades del sistema operativo, que surgen al navegar por páginas web malintencionadas, al abrir correos provenientes de fuentes dudosas, o bien al descargar ciertas aplicaciones, a través de infecciones con malware, virus y troyanos. "La evolución de las tecnologías da pie a nuevas amenazas. En ese sentido, el próximo paso será atacar las vulnerabilidades de los sistemas móviles, en especial aquellos con sistema operativo Android, que ha tenido una penetración significativa", señala Jorge Sepúlveda.

Ultimamente, los peligros más renombrados son el phishing, un e-mail con links que llevan a sitios fraudulentos; el spam, que promueven ofertas sospechosas o de dudosa procedencia y el botnet: robot informático silencioso, que al activarse puede llegar a controlar el computador, notebook o teléfono, sin que el usuario lo note. De acuerdo a Hans Erpel, se espera que este año se activen más de siete mil redes de este malware.

Resguardar la información y los sistemas

A disposición del mercado hay disponible un set de herramientas que busca proteger a las empresas de las amenazas internas y externas, pero Jaime Briggs recalca enfático que todas requieren de una compleja manipulación; y que son sistemas que sólo pueden lidiar parcialmente con los problemas de seguridad. Algunos de ellos son equipos cortafuegos, para controlar los protocolos que entran y salen de la empresa; sistemas IPS, para visualizar los posibles ataques, que deben ser idealmente dinámicos, pero que aún así requieren ser monitoreados para ser realmente efectivos. "Además de todo esto es necesario proteger los servidores web, sobre todo los transaccionales, lo que implica verificar las aplicaciones que están corriendo y detectar las fallas sin dejar de estar presente en el mercado", añade.

Incluso con la existencia de esta serie de herramientas disponibles para mitigar los problemas de seguridad, el especialista de Novared es enfático en señalar que lo importante es complementarlas con la asesoría de un integrador o partner de negocios, que permita correlacionar estos datos entregados por las distintas herramientas y concluir, en tiempo real, si existe un ataque o fuga de información y que al mismo tiempo pueda actuar y bloquear estas actividades maliciosas.

Es aquí donde el rol del canal puede ser relevante. A juicio de compañías como Orión y Novared, un reseller o integrador de seguridad puede contar con consultores entrenados en seguridad, pero siempre es necesario que estén actualizados en el manejo de herramientas nuevas y, especialmente, que cuenten con certificaciones que acrediten su conocimiento, porque incluso más importante que la experiencia en implementaciones de seguridad, son las certificaciones las que permiten medir la idoneidad o capacidad del canal.

Respecto a su papel, el reseller o integrador debe cumplir una función de consultoría y ser socio del cliente, asesorando, capacitando y entregándole las mejores prácticas para adelantarse a ataques de denegación de servicios o robo de información. Asimismo, el canal debe tener infraestructura e ingenieros expertos para dar apoyo, soporte, monitoreo y administración de los dispositivos de seguridad que el cliente posee para resguardarse, y ser capaz de correlacionar esta información para rep5.jpg (8454 bytes) anticiparse a un ataque y con ello orientar al cliente en su constante perfeccionamiento de la seguridad en la organización.

Líderes en seguridad TI… ¿existen en las organizaciones?

Por la inercia propia del ser humano, desarrollar estrategias de seguridad activas es un anhelo más que una posibilidad real. Así al menos lo asegura Jorge Sepúlveda, quien señala que un número importante de compañías es pasiva respecto a su seguridad informática; gran error frente a la evidencia de que con la misma rapidez con que evolucionan las tecnologías, también lo hacen las amenazas. "Así, el problema de la seguridad es dinámico y no estático en el tiempo".

A su juicio, eso hace necesario que los profesionales de la seguridad estén siempre actualizados respecto a las nuevas formas de ataques, vulnerabilidades, prácticas y tecnologías, de manera de disminuir los riesgos de seguridad informática en su organización. Pero el académico de DuocUC va más allá y señala que también es necesario crear una cultura de seguridad en la organización, lo que significa invertir también en la capacitación de los usuarios, para lograr que tomen conciencia de los riesgos a los que la empresa se expone por malas prácticas, muchas veces inconscientes.

Afortunadamente, a juicio de Hans Erpel, a nivel de grandes empresas en Chile sí existe la preocupación por capacitar y perfeccionar a sus ingenieros en materia de seguridad. En la actualidad, existen seminarios, cursos formales de certificación y conferencias que acercan a los encargados de TI de las empresas a las realidades y avances internacionales en materia de seguridad. "Por el lado de la capacitación formal y certificaciones, en el ámbito de la seguridad también existe una malla de cursos que permite que los encargados de seguridad de las empresas puedan capacitarse y perfeccionarse en estas materias. Esperamos que cada vez más las empresas tomen conciencia de que el mayor activo que tienen en su negocio es la información y que es muy importante tenerla resguardada", afirma.

Según el experto de Orión, para que los encargados de seguridad se perfeccionen -y también los consultores del canal- las soluciones de capacitación en la nube llevan la delantera, porque ofrecen menores costos e interesantes economías de escala cuando se trata de un número importante de personas a entrenar.

Las mejores prácticas de seguridad

A su juicio de Jaime Briggs, los pasos para alcanzar un buen nivel de seguridad son tres: apoyarse en empresas especializadas en seguridad, para escoger adecuadamente los sistemas que se contrataran; efectuar los cambios que permitan mejorar los niveles de seguridad con que se manejan los datos de la empresa, invertir en la generación de políticas de seguridad y contratar periódicamente servicios de hackeos éticos al año, para tener el control de su seguridad.

rep6.jpg (12238 bytes) Para Hans Erpel, hay dos filosofías recomendadas: mantener los sistemas ‘on premise’ (dentro de la empresa) o con datacenters locales, o migrar a la nube, donde proveedores como Google Apps y Amazon Web Services entregan un muy buen servicio. "Pasar los datos a la nube baja costos, aumenta seguridad y dentro de ello la disponibilidad, permite colaboración y comunicaciones usando Internet desde mail o chat hasta video conferencias, todo por un costo menor. Las certificaciones de seguridad de los proveedores de nube dan fe de un profundo compromiso con la seguridad; algo que pocos pueden lograr por si solos", recalca.

En lo general, Jaime Sepúlveda recomienda preocuparse de la actualización de sistemas operativos, aplicaciones y antivirus en las estaciones de trabajo y dispositivos del usuario; contar con tecnologías de seguridad en redes, como los filtros de tráfico web, firewalls, sistemas de detección de intrusos (IPS, IDS) y utilización de cifrado de datos; contar con políticas de seguridad para los usuarios respecto al manejo de sus contraseñas, navegación por la web, y utilización de dispositivos externos; además de la realización de auditorías periódicas para velar por el cumplimiento de dichas políticas en los usuarios. "También es muy útil contar con planes de contingencia y de recuperación de la información ante catástrofes, políticas de respaldo de la información sensible, utilización de sistemas redundantes -o bien de sistemas de backup- para restablecer la operación de acuerdo a las necesidades de cada negocio", aconseja.

A nivel de usuario, el subcomisario Segundo Mancilla destaca la importancia de no usar programas de compartición de archivos, la utilización de programas licenciados y no craqueados, el uso de herramientas que favorezcan la seguridad informática (antivirus, firewalls, antispyware), y realizar compras sólo en portales reconocidos, con certificados de seguridad. "Para evitar ser víctima de phishing y/o pharming, acceder al portal bancario desde un equipo confiable y no entregar todas las coordenadas de tarjetas de transferencia, ni tampoco el token antes de hacer la transferencia. Tampoco se debe aceptar recibir dineros en sus cuentas bancarias de personas que no le sean de confianza, de manera de no poner datos personales a disposición de terceros", asegura.

A nivel empresarial, el experto de la PDI señala que la Seguridad Informática debe ser el pilar sobre el que se basa la gestión de la información y establecer políticas de seguridad que permitan dar respuesta a preguntas como: ¿qué pasaría si mañana los datos de la empresa no son accesibles?, ¿podría seguir operando?, ¿cuánto me demoraría en reanudar mi actividad?, ¿cuánto me costaría en dinero este black-out?, ¿tengo un plan de contingencia? y ¿tengo personal, software y hardware para intentar impedir que ello ocurra?

Definitivamente, la seguridad informática necesita ser vista como un proceso de negocio y, para lograrlo, a juicio de Hans Erpel existen tres pilares básicos: políticas de resguardo que apoyen la necesidad del negocio, personas capacitadas que definan esas políticas y tengan las herramientas para enfrentar incidentes de seguridad, y el manejo de estrategias o normas que consoliden y controlen todas las capas de seguridad. Ver la seguridad como un todo es la clave, opinan los expertos.