Según prácticamente todos los integrantes del mundillo de la seguridad de la información en las empresas, hay tres tendencias básicas que marcan el segmento para este 2011: las estrategias para hacer seguros la creciente cantidad de dispositivos móviles que andan pululando por las calles, las tácticas para acallar a los empleados y que no anden mostrando los trapitos sucios por Facebook, Twitter y todos los etcéteras y las alternativas para no morirse de miedo cada vez que se deja un dato colgando de un servicio cloud. Pero como un informe que dijera sólo esto nos pareció muy breve, nos lanzamos a que destacados miembros del mercado nos expliquen un poco más a fondo estos puntos y, de paso, nos cuenten qué otras cosas van a estar pasando.
Porque convengamos… siempre a todos les gusta hablar de lo de última generación, pero la verdad es que en tren de amenazas, problemas de seguridad, problemas de las empresas con enfocar la seguridad, comprar , pagarla y "disfrutarla"… o sea aprovecharla... también sigue habiendo que hablar… por algo muchas empresas… así, en intimidad cuentan que ha invertido y no saben que han conseguido... o peor… no quieren que les den más esas cosas regaladas por fuerza de negociación porque temen que en realidad sean trampas de costos ocultos de mantenimiento anqué no eficientes. Uhhh cuantas cosas... a ver... empecemos por lo que cuentan los expertos. La última ola... y vamos viendo.
Pero supongo que en INFOmail da más par que vayamos hablando de contratos, acuerdos, tasas, valores y rendimientos. Queda para ahí.
Y asi viene el futuro inmediato
Quien escriba sobre seguridad de la información tiene una garantía: siempre va a tener con qué llenar páginas. Porque si hace 20 años los párrafos se llenaban de virus y sus némesis, los antivirus, hace 10 lo hacían los firewalls y, desde hace ya un lustro, lo hacen la ingeniería social y el malware en su conjunto. "Tomando el concepto de evaluación y tratamiento de riesgos, las amenazas siguen siempre latentes y por ello se requiere aplicar los mejores controles de seguridad para mitigar los riesgos ocasionados por éstas", dice Ariel Baggieri, gerente comercial de ETEK Argentina. Con esta tranquilidad a cuestas (* que coincide con la intranquilidad de los ejecutivos de seguridad, que están condenados a no dejar de invertir nunca en cosas que no necesitarían si los hackers, hoy devenidos en cíber criminales, no existieran *), nos lanzamos a hacer un poco de futurología inmediata y ver qué ven los Nostradamus del mercado respecto de lo que va a pasar en 2011. La mayoría puso énfasis en los tres ítems que indicamos en el título de este informe, aunque algunos puntualizaron otras tendencias.
Alejandro Musgrove, vicepresidente de Ventas para Latinoamérica de Kaspersky Lab agrega que redes sociales y celulares de alta gama interactuando con los recursos de la compañía "rompen el esquema y concepto de seguridad física y llevan al descuido de los aspectos de seguridad y de los potenciales riesgos para sus activos que conlleva el uso de estos recursos".
Carlos Rienzi, especialista en seguridad de Cisco Systems, afirma que en el futuro inmediato se verán ataques a redes industriales tipo SCADA, nuevos desarrollos nocivos sobre Java para llegar a una mayor cantidad de dispositivos y un incremento de ataques sobre plataformas móviles, como iPhone o Android. "Además de que Windows 7 es más seguro que antes, lo que representa para el atacante una inversión más grande de tiempo y dinero, las otras son plataformas nuevas, con una explosión de gente que las está adoptando, lo que las convierte en un excelente lugar para probar un nuevo exploit", confirma el hombre que opina que "el problema en la Argentina es que muchas empresas no se dan cuenta de que la Seguridad de la Información es parte de su negocio" (uhmmmm todo un tema.. igual por lo que vi.. también pasa que algunos se dan cuenta pero le temen a los gastos ocultos que los dominantes de mercado -like CISCO- a veces les imponen) .
Sobre este tema de los ataques industriales tenemos quien se explaye. "Sin dudas, estamos frente a una nueva era en cuanto a ataques informáticos. Prueba de ello fue también Stuxnet, una amenaza creada específicamente para modificar el comportamiento de sistemas de hardware y generar daños en el mundo físico, la cual tuvo un gran impacto en los sectores que utilizan sistemas de control industrial y Aurora, un buen ejemplo de un tipo de amenaza creciente, altamente segmentada, que busca infiltrarse en organizaciones específicas en un tipo particular de sistemas de cómputo, explorando vulnerabilidades de software hasta ese momento desconocidas", afirma Marcos Boaglio, gerente de ingeniería SOLA (* que significa South of Latin América, no es que el hombre hace solamente ingeniería *) de Symantec. Lástima que esos casos a los que se hacen referencias grandilocuentes siempre sean tan lejanos en lo geográfico? lastima.
Muertos de miedo
Un estudio hecho por esta empresa sobre la protección de infraestructura crítica, se advirtió que más del 50% de las empresas entrevistadas afirmó tener sospecha o certeza de ser víctimas de ataques con objetivos políticos específicos. "Esta también es una nueva tendencia que puede sostenerse o incrementarse durante este año", agrega Boaglio.
Y esto no es nada: si usted, querido lector, anda de trampa, si su empresa está haciendo manejos turbios, si acaba de cerrar un contrato millonario pero porque está entongado con la contraparte y no porque el contrato sea millonario en sí, agárrese, porque Wikileaks fue sólo la punta de un iceberg que tiende a reventar y nada impide que usted sea escrachado en vivo y en directo para millones de internautas.
Marcelo Pizani, gerente de preventas y de producto de Panda Security, predice que "el fenómeno Wikileaks sigue dando que hablar y podemos llegar a presenciar nuevos casos de fuga de información sensible, connotada políticamente y capaz de afectar no solo a relaciones diplomáticas entre países si no a flujos económicos, como ocurrió en 2010. La empresa asegura que también se espera un crecimiento sostenido de malware dirigido y la comercialización de redes de bots. "El mercado negro del cíber crimen se encuentra consolidado y funcionando totalmente aceitado, habrá que estar muy atentos para evaluar cuánto penetra en nuestra región, porque nuestra penetración de banda ancha es cada vez más alta y, ante la falta de control, resultamos cada vez más rentables para formar parte del eslabón del crimen informático", sostiene.
Pablo Ramos, especialista en awareness (* la verdad, traducimos todos los cargos, pero con éste no nos animamos? ¿especialista en concientización? Que lo parió ¡!! *) e investigación de ESET Latinoamérica, también tira sus pronósticos, emparentados con los anteriores: "se observará una mayor cantidad de redes botnet: de 5500 detectadas en noviembre de 2010 a más de 7000 para 2011" (como les gustan estos números a los ESETidos.. como les gustan ¡!! Es que son impresionantes, you know) . También se viene el malware multiplataforma. "A lo largo del año pasado han aparecido amenazas cuyos objetivos fueron los sistemas operativos con distintas versiones de Linux y Mac OS", recuerda (que todos deberíamos recordar que es natural en relación a implantación de una plataforma que surjan amenazas para la misma, por masa crítica).
El enemigo interno (esto es lo más concreto)
Uno de los puntos divertidos (* por decirlo de alguna manera? y claro, si uno no es la víctima, obvio *) de la seguridad es que se pueden gastar millones de dólares en soluciones de protección y que todo quede reducido a la nada sencillamente porque la ex de un empleado, que conoce todas las contraseñas, ingresa en los sistemas y hace desastres. Jorge Cella, director de calidad de servicio e iniciativas de privacidad y seguridad para Microsoft Argentina y Uruguay, afirma que "el factor humano es el componente más vulnerable de la cadena y donde hay que trabajar de manera más profunda en la concientización de los empleados sobre seguridad". Musgrove de Kaspersky Lab, sostiene que "un gran porcentaje de las empresas de América latina continúa con el pensamiento erróneo de creer que invertir en capacitación constituye una pérdida". El ejecutivo agrega que "la falta de una Política de Seguridad de la Información, PSI, también suele ser un factor preponderante".
Tomando la línea discursiva de sus colegas, Ricardo Fernandes, vicepresidente de venta de soluciones de CA Technologies, explica que este año hay mucha preocupación con las amenazas internas. "Los incidentes con usuarios propios sobre fuga de datos y sistemas de autenticación fuerte son temas a las que habrá que ponerles mucha atención". Fernandes recuerda que "las empresas son tan vulnerables como lo sea su eslabón más débil, lo que se traduce en amenazas y riesgos que todavía no se han manejado o de nuevas vulnerabilidades". Por eso, nos deja una máxima: "en seguridad, el seguro de hoy puede ser el inseguro de mañana".
José Domínguez, gerente de desarrollo de negocios del distribuidor de soluciones de IT AKTIO, sostiene precisamente que el foco de 2011 "estará en atender cuestiones referidas a la seguridad interna de la empresa, es decir, que cada empleado sólo pueda acceder a determinados datos, los estrictamente necesarios para la tarea que desarrolla en su sector". El propio Domínguez agrega que "considero que las empresas de Argentina son más vulnerables de accesos a información sensible por parte del personal interno que al externo".
Desde el lado del usuario, Fabio Gasparri, socio de la desarrolladora de software offshore Hexacta, dice que "la gente en general tiene hoy mucha más conocimiento acerca de los factores de riesgo en el manejo de la información y es más cuidadosa". El hombre no ahorra optimismo a la hora de declarar que "existe mayor conciencia", pero rápidamente aclara que "seguramente aún falta mucho camino por recorrer". La empresa ve tres puntos como críticos para este año: vulnerabilidad, resguardo de la información y plan de contingencia.
Por una autentificación fuerte
Y ya que estamos publicando máximas sobre seguridad, y a riesgo de convertirnos en los José Narosky del rubro, tomamos una que nos presta Pablo Villarreal, Chief Security Officer de Globant, desarrollador de software y proveedor de soluciones de IT: "sin el personal apropiadamente capacitado y que entienda el valor de la información, el resto es sencillamente esfuerzos que no son 100% eficaces".
Para Alfredo Rodríguez, gerente de canales para Latinoamérica de MacroSeguridad, mayorista de soluciones de seguridad, "la autenticación de usuarios no es tomada con la seriedad que se merece, incluso después de ser siempre el tema obligado en cuanto seminario de seguridad exista". El ejecutivo afirma que las empresas deben trabajar en brindar una plataforma con mayor seguridad en el Framework de autenticación de usuarios (acceso remoto), sea a través de una vpn, de una sslvpn o de un acceso a través de un portal. Incluso, el hombre se para en las nubes un poco antes de que nosotros lo hagamos y afirma que los proveedores de cloud computing "deben tener en cuenta la autenticación robusta y establecer canales de comunicación asegurados para sus clientes, a través del uso de smartcards o de token USB".
Y Rodríguez no está solo en su lucha autentifiquera. Norberto Marinelli, CEO de Certisur, está de acuerdo: "la gran preocupación es la vulnerabilidad de la información sensible, por fallas en los sistemas de autenticación de los usuarios, tanto internos como externos, y de los mecanismos de comunicación utilizados". Estas fallas pueden significar desde la posibilidad de sufrir pérdidas económicas significativas hasta la filtración de datos que pueden minar la capacidad competitiva de la empresa, pasando por la divulgación pública de información que pueda dañar su reputación, aclara el buen hombre.
Lukas Alarcón, ingeniero de ventas de Websense Cono Sur, saca su Guía Filcar y explica que "en la región hubo un incremento importante en incidentes de seguridad producidos de forma local". Esto significa que muchos de los ataques que van a sufrir las empresas van estar hospedados en la misma región, aunque probablemente comandados de otros puntos, fuera de América latina. Además, el muchacho nos cuenta que "la mayoría de las empresas mantiene la protección clásica de filtrado y control mediante antivirus, técnica que si bien no deja de ser efectiva tiene enormes vacíos para reaccionar ante amenazas combinadas que ocupan distintos vectores de diseminación".
José Domínguez, de AKTIO, nos remarca "Ya no basta con un firewall para proteger a los datos de una empresa, sino también hay que cuidarlos de las intrusiones de los propios empleados o incluso de ciertos proveedores de la compañía que pudieran tener acceso a la información debido al servicio que prestan."
Lo que mata es la modernidad
¿Quieren más fuentes de peligro? ¿Aún no tuvieron suficiente información como para tener pesadillas esta misma noche? Bueno, vamos con otras dos tendencias plagadas de vida moderna: las vulnerabilidades propias de las redes que circulan por el aire y el dinamismo de los ataques vía web.
Sobre el primero de los puntos, durante el XI Congreso Interamericano de Seguridad de la Información, Segurinfo, realizado en Buenos Aires, Gustavo Verardo, Technical Architect de Motorola Solutions, aseguró que "el riesgo llega por el aire, por los equipos inalámbricos y aunque una empresa sólo posea infraestructura cableada, la seguridad de su red puede vulnerarse con el uso de un simple punto de acceso Wi-Fi que se adquiere en cualquier comercio y se complementa con diferentes programas que se bajan gratuitamente de Internet". El ejecutivo comentó que la notebook de un solo empleado que se conecte a un Wi-Fi cercano o tenga una placa Wi-Fi habilitada ya representa un gran riesgo. Su empresa comercializa AirDefense, una solución para evitar este tipo de intrusiones. "La seguridad no es solo el robo de información sino también la continuidad de las operaciones", continuó Verardo, y dio un ejemplo: los ataques de denegación de servicio, en los que el objetivo no es meterse dentro de una red sino impedir que funcione bien, lo que hará que los usuarios obtengan una performance pobre y la empresa se verá perjudicada por perder operatividad. "Puede ser atacado un cibercafé, el hotspot de un aeropuerto o la playa de containers de un puerto con un barco descargando y cada hora de esta operación cuesta miles de dólares", concluyó.
Sobre el segundo, Federico Chaniz, gerente regional de Blue Coat, se sorprende del dinamismo de las amenazas basadas en la Web. Dejamos su relato: "En febrero, nuestros investigadores encontraron un ataque en el cual el malware enviado cambió 1.500 veces en un solo día. La velocidad con la cual lo enviado se movió a un nuevo link durante el día presenta un importante desafío a las compañías porque allí las defensas estáticas tradicionales no tienen absolutamente ninguna posibilidad de protegerlas". El hombre agregó luego que "las compañías más pequeñas en la Argentina tienden a ser las más vulnerables a estas amenazas dinámicas, simplemente porque suelen carecen de los recursos de IT para seguir el ritmo del rápido cambio de las amenazas".
La danza del movimiento
Pero basta de introducciones y tangencialidades. Llegó la hora de tocar los temas candentes: movilidad, nube y redes sociales (* los repetimos porque consideramos que el lector promedio ya olvidó cuáles eran, a pesar de que se mencionan a unos doce párrafos de distancia hacia arriba? vio que el stress produce perdida de atencion, memoria .. y no me acuerdo que más? *). Arrancamos con el primero, en un ataque de coherencia poco común en nosotros. Gastón de Zavaleta, director de ventas de Orange Business Services Argentina, sostiene que "combinar movilidad con la seguridad de la información corporativa será uno de los grandes desafíos de este año" (y si? chocolate por la notcia.. veníamos diciendo eso desde el principio, algo más concreto? a ver).
Blas Briceño, presidente del desarrollador de ERPs argentinos Finnegans (conocido por su marca Ceres), destaca que para este año la principales preocupaciones de la empresa son "definir políticas de seguridad relacionadas con el modelo cloud computing y establecer seguridad en dispositivos móviles en el contexto de su inclusión en las empresas". Para el ejecutivo, "el punto de vulnerabilidad no ha cambiado significativamente en los últimos años, en relación a la media de disponibilidad tecnológica de herramientas de seguridad y el uso que se le da: se mantiene en un nivel medio" (pero.. digo.. recordamos.. se le agrega lo de movilidad) .
Alarkón, hombre Websense, opina sobre el tópico que "las empresas deberán buscar alternativas para mantener la seguridad en estos mismos equipamientos de igual forma que hoy está intentando realizar en los equipos que viven en las empresas". Boaglio de Symantec teoriza por su parte que "cada vez son más las personas que utilizan netbooks, notebooks, tablet PC y teléfonos celulares inteligentes con acceso a internet. Esto hace especialmente atractivo al segmento para los desarrolladores de malware u otro tipo de amenazas, que este año aumentarán e implicarán a su vez nuevos riesgos, convirtiéndose en una de las principales fuentes de pérdida de datos confidenciales".
Seguridad en la nube
Cloud computing. Quince caracteres sobre los cuales los proveedores de IT de todo el mundo están hablando sin parar hace un año y que nos tienen a todos al borde del estallido cerebral. Sin embargo, esta cosa de que los servicios de tecnología estén alojados en una "nube", muy lejos del data center corporativo, ése cuyas máquinas podemos tocar y acariciar, acarrea toda una batería de conflictos de seguridad. ¿Podrán otros clientes del servicio tener acceso a mis datos? ¿Cómo puedo cumplir con las regulaciones si no controlo el acceso a los datos? ¿Saldrá este proveedor corriendo con mi información a toda velocidad? Tantas preguntas? tan pocas respuestas? o no. Veamos.
Javier Rubinzstein, gerente de RSA para Cono Sur, advierte que "si el cloud computing pretende satisfacer las necesidades de la empresa en relación con la confidencialidad de los datos del cliente y el cumplimiento de las directivas legales, deberá proporcionar niveles más altos de seguridad para brindar soporte a aplicaciones empresariales más delicadas". Según el experto, la nube pública incorpora nuevos interesados en la ecuación de la seguridad (proveedores de servicios de otros fabricantes, proveedores y contratistas de infraestructuras) y reduce el control que TI tiene sobre cada una de estas áreas. "Conforme el cloud computing vaya teniendo éxito como una alternativa al data center corporativo, los departamentos de TI requerirán relaciones con proveedores de nubes que les permitan confiar en los servicios y verificar los eventos", agrega.
Sobre la nube (* no es que el entrevistado esté literalmente apoyado sobre una nube, sino que está hablando del tema *), Alarkón (Websense) agrega que "nuestros productos ya tienen una orientación nativa a poder detectar la información que vive ahí y custodiarla para que un usuario no pueda manipularla a otros canales de comunicación no autorizados".
Claudio Gaito, IT Manager de GroupM, empresa especializada en inversión en medios de comunicación, admite que "en nuestro caso, la nube es un medio fuerte de comunicación, con tendencias importantes de crecimiento. Esto hizo que cambiemos la estructura de trabajo, implementemos herramientas de monitoreo, de reportes y control y apuntemos a frenar las amenazas".
Ing. Ariel Baggieri - Gerente Comercial de ETEK Argentina? se manda la oferta toda (completitia, no se lo podemos negar) "Complementando estos servicios ETEK ofrece soluciones de firewall de aplicaciones web, sistemas de prevención de fuga de información y firewalls de bases de datos en lo referido a tecnologías, y un amplio calendario de cursos certificados en ISO 27001, CISSP, Ethical Hacking, DRII Business Continuity que ayudan a los responsables de Seguridad Informática a cumplir estos "objetivos rezagados"."
Juntos somos más
Muchas empresas del mercado tecnológico están juntándose para desarrollar enfoques más integrales alrededor de este tema tan novedoso y disruptivo a la vez como es el de la nube. Mariano Morano, gerente de preventas de Novell, recuerda la creación de la Cloud Security Alliance para fomentar las buenas prácticas, reforzar las garantías de seguridad y ofrecer formación alrededor de esta historieta de las nubes. "Dentro de esta organización, Novell está impulsando el primer programa de certificación en seguridad para proveedores, el Trusted Cloud Initiative, que tiene como objetivo establecer prácticas y configuraciones seguras e interoperables para administrador de identidades, administración de accesos y compliance", explica.
De Zavaleta, de Orange, dice que a la hora de buscar un proveedor de cloud hay que prestar atención a las medidas que éste implemente para la seguridad de su infraestructura, a los controles que utilice para administrar el ciclo de vida de los datos, a cómo define los derechos de acceso de los usuarios, qué procesos de supervisión y reacción a los incidentes tiene, con qué certificaciones de calidad y seguridad cuenta y cuál es su estabilidad financiera. Orange Business Services formó con Cisco, EMC y VMware la alianza "Flexible 4 Business", que busca facilitar la transición a cloud computing. (*esto ya es más concreto, gracias*)
"Los gerentes deben saber que la seguridad para los servicios en la nube también ha encontrado su espacio en nuestro país. Nosotros disponemos para el mercado local de herramientas de protección de datos y encriptación compatibles con los proveedores de cloud y administrado por la empresa usuaria", afirma Joel Bo, gerente de operaciones de Trend Argentina.
Claudio Pasik, director de la empresa NextVision, sostiene que "en nuestra visión, las aplicaciones críticas siguen, en general, en la infraestructura tradicional". "La preocupación por temas de seguridad es una de las principales razones por las que aún no existe una adopción importante a la modalidad de servicio nube en entornos corporativos", señala en la misma línea Franz Erni Montes, especialista de producto de Global Crossing.
Sobre reputados y reputaciones
La tercera gran tendencia en seguridad de la información es mirar de reojo las redes sociales y ver cómo evitar que cualquier perejil entre a difamar el impoluto nombre de nuestra empresa. Según estadísticas de ESET Latinoamérica, un 36,2% de empresas de la región no tienen ningún tipo de restricciones sobre el uso de redes sociales, mientras que un 29,8% prefieren el bloqueo total de estos servicios. El resto, solo permiten las redes sociales para algunos empleados o algunas franjas horarias.
"El uso creciente de nuevas tecnologías, como los smartphones y su interacción directa con las redes sociales, sigue abriendo ventanas de fuga", declara Pasik. NextVision firmo un acuerdo con la empresa MarkMonitor, que brinda información sobre la mención de marcas en redes sociales.
"Hay tantas aplicaciones dando vueltas por Facebook, Twitter, LinkedIn y otras redes sociales, que es imprescindible una estrategia modular, que permita el upgrade en pocos días", explica Rienzi de Cisco, empresa que, no obstante, afirma que "las estafas en redes sociales no serán un área significativa de inversión para los delincuentes cibernéticos en 2011, a pesar de categorizar en el reporte del año pasado como "potenciales".
"Las redes sociales cambiaron el foco de ver la seguridad desde la perspectiva de IT, dejando en un segundo plano la infraestructura tecnológica para enfocarse a la protección de datos", se expresa Leandro Muro, gerente de IT de Softtek, consultora especializada en implementaciones de software de gestión. "Esto nos llevó a impulsar políticas y definiciones que ayuden a los colaboradores a tener una visión más clara de qué información se puede considerar confidencial o sensible de ser expuesta"
Timos, líos y cosha golda
Erni Montes de Global Crossing pone énfasis en el tema de la ingeniería social, sobre el cual aclara que si bien no es nuevo, "no se ha tratado con la importancia que se merece". Uno de los puntos débiles, por ejemplo, está en que los usuarios comúnmente divulgan más información de lo que deberían a través de redes sociales, incluso información corporativa. "Todo esto contribuye a que un atacante pueda explotar esta información para poder realizar ingeniería social", dice el GlobalCrossingMan.
"Para prevenir la publicación de datos confidenciales, hay que trabajar en la concientización de los empleados, enseñándoles y brindándoles las herramientas para que no comentan imprudencias que puedan dañar a la empresa. Desde Microsoft trabajamos dando charlas sobre seguridad y privacidad informática tanto para empleados en empresas como para niños y adolescentes en escuelas", afirma Cella.
Wikileaks ya estuvo citado, como al pasar, en este informe. Pero el despelote que se armó fue tan importante que ningún lector se enojará, seguramente, si volvemos sobre el tópico. Brian Contos, director de estrategia de seguridad global y de administración de riesgos de McAfee, indica que "hechos tales como las fugas de datos de WikiLeaks hicieron que las personas se dieran cuenta de lo delicada que puede ser la información privada, es por esto que la protección de datos siempre es una prioridad". Este cambio, según el experto, es fundamental en la percepción de cada organización y debe aplicarse a la seguridad de datos, "ya que muchas empresas todavía siguen llevando un cuchillo a la guerra". McAfee ofrece su GTI (Global Threat Intelligence), que permite monitorear en vivo ataques alrededor del mundo como direcciones de IP maliciosas, dominios, e-mails, y archivos y asociar reputaciones con esta información. Y ya que hablamos de WikiLeaks, aprovechamos para volcar una frase de Ramos de ESET, que es muy interesante: "la fuga de información es un tema que existe hace años, sin embargo, este caso puso el tema en boca de todos" (*reflexión propia .. la diferencia es que antes se fugaba casi discrecionalmente.. y ahora.. mas que fuga es una cascada que salta para todos lados? la difusión es el diferencial en la situación actual).
El uso responsable
"En el caso de utilizar redes sociales con clientes y proveedores, se debe ser muy exigente en el aspecto de seguridad y saber detalladamente qué datos estamos exponiendo públicamente y cual es el impacto en caso de perdida", afirma Rubinzstein de RSA. "Debe existir una política bien definida de uso de información corporativa, así como un código de ética y uso de los activos de las empresas para proteger la información", agrega.
El ejecutivo, además, nos regala algunas medidas preventivas:
1. Obtener información sobre los equipos, los recursos de red, las credenciales de acceso y los datos del negocio que utilizan este tipo de aplicaciones.
2. Identificar brechas en las políticas y en los controles de seguridad existentes y descubrir cuáles funcionan correctamente.
3. Resolver posibles incidentes de exposición de datos, robos de identidad de empleados e infección de equipos corporativos.
4. Brindar capacitación a los empleados sobre comportamiento riesgoso en línea y sobre el posible impacto hacia la organización por el uso de estas herramientas.
Mario Cuniberti, director de soluciones y de arquitectura corporativa de Oracle, señala que "en el mercado existen soluciones de gestión de contenido a nivel corporativo que permiten realizar la publicación de contenido, implementar motores de búsqueda y wikis, e implementar políticas de seguridad adecuadas para el control de acceso a la información". También existen, de acuerdo al mismo directivo, "soluciones que permiten la protección de información sensible tanto almacenada como en circulación por la red, e incluso realizar una clasificación de información otorgando los permisos correspondientes, como por ejemplo, lectura, escritura, impresión, entre otras, y la inscripción de documentos".
¿Cómo evitamos esta andanada? "Muchas empresas creen, de manera errónea, que la solución es bloquear la salida a Internet, sin tener en vista que hoy en día un usuario puede acceder hasta desde su celular y, por ende, publicar información incluso desde el lugar de trabajo", destaca Morano de Novell.
Federico Ghiglione, gerente de producto de VPN y movilidad para América latina de BT, trae a la mesa una paradoja: "el proceso de divulgar y compartir la información también puede lograr reforzar la seguridad". Según el experto, esto es así porque el acceso a toda esta información se realiza a través de un único portal. "Siempre que haya una conexión segura, cualquier dispositivo capaz de ejecutar un navegador web podrá utilizarse para acceder a la información corporativa. Si los empleados pueden acceder a los datos desde cualquier lugar, entonces no necesitarán guardarlos en una unidad de memoria ni imprimirlos, porque siempre los tendrán disponibles. Por lo tanto, la seguridad mejorará".
Delitos y transa… cciones
Pero las preocupaciones no se ciñen sólo a estos puntos. El tema siempre tiene un poco más de tela para cortar. Según datos de Cisco, como la economía del delito cibernético se expande y los delincuentes ganan acceso a más credenciales financieras, existe una creciente necesidad de "mulas de dinero", es decir personas reclutadas para abrir cuentas de bancos, o hasta utilizar sus propias cuentas bancarias para ayudar a los estafadores a retirar el dinero o "lavar dinero". Estas operaciones se están tornando más elaboradas e internacionales, y los expertos en seguridad de Cisco anticipan que serán un foco mayor de inversión del delito cibernético en el 2011.
Y ya que estamos tan con el tema de la seguridad, no podemos dejar de tocar (* en realidad sí podemos, pero ya tenemos la información, por qué habríamos de hacerlo *) el tema de la seguridad en las transacciones electrónicas. El tema es así: cada vez más, los usuarios usan sus aparatos, sean computadoras, teléfonos, iPads o cualquier etcétera con un poco de silicio en su interior, para pagar cuentas, analizar cómo anda su situación bancaria o pasar los números de su tarjeta de crédito. ¿Tenemos que tener algo de miedito antes de hacer esto? Dejemos que hablen los que saben. Ramzi Abdine, director de marketing y comunicaciones para América latina de Gemalto, empresa que se especializa en estas cuitas, asegura que "no es responsabilidad del usuario ser experto en seguridad, pero aún así la mayoría ya tiene un conocimiento básico de cómo manejarse". El ejecutivo destaca que en la región, la banca online creció notoriamente durante los últimos años, tanto en términos de usuarios como de servicios ofrecidos. "Si al usuario se le pide demasiado en términos de conocimientos de seguridad, puede terminar alienado", agrega Ramzi, quien nos regala el pentálogo de normas de seguridad para el usuario que quiera operar tranquilo:
1) Mantener actualizado su antivirus
2) Nunca compartir ni escribir en ningún lado las contraseñas
3) No utilizar computadoras públicas para actividades bancarias
4) Leer las directivas de seguridad provistas por el banco
5) Si el banco no provee un token o algún dispositivo similar para una doble autentificación, pedirlo.
Vayamos a una encuesta encargada por Certisur y llevada a cabo por D'Alessio Irol, al 45% de los usuarios que utilizan frecuentemente Internet no les resulta seguro realizar operaciones bancarias sobre la web, mientras que el 70% opina que las empresas que ofrecen estos servicios son las responsables de proveer los mecanismos de seguridad adecuados puedan llevarse a cabo de forma confiable.
Un cierre seguro
Ya llega la hora del final, analizamos las principales tendencias en materia de riesgos informáticos y de la seguridad de la información y estamos buscando la manera de cerrar el informe de manera positiva? aunque muchas ideas no se nos ocurren.
En resumen? ¿Son las empresas argentinas vulnerables? Juan Carlos Vuoso, de ETEK-Reycom, nos cuenta que en el país, "el tema de seguridad informática está muy centrado en la infraestructura perimetral" y que "salvo el mercado financiero, que tiene un área específica relacionada a riesgos, en la mayoría de las empresas es una parte del área de sistemas o tecnología, que a su vez depende del CFO, lo que lleva a que la seguridad de la información sea vista solamente como un gasto". La ironía, siempre según don Baggieri, es que "lo relegado, generalmente, es lo que más se relaciona con el negocio, que es análisis de riesgos, control de los datos internos, clasificación de información y continuidad del negocio".
Por su parte, Pizani, el hombre Panda, que a diferencia del oso no está en extinción, divide las grandes empresas, que tienen las políticas y las herramientas más avanzadas, de las pymes, en las que según sus palabras "escasea la concientización y la información referente a la seguridad de sus activos" y del Estado, "que aún puja por obtener presupuesto en algunos casos para el recambio de computadoras de hasta tres o cuatro generaciones atrás". Y por todo esto, además del dulce de leche, el colectivo y la birome, los argentinos tenemos otro motivo de orgullo: que año a año entramos en los rankings de países más emisores de spam (5º a nivel mundial, según Fortinet, con un 83% de mensajes correspondientes a la categoría "basura") y de mayor cantidad de equipos infectados (casi un 40% en 2010, según PandaLabs).
"Todas las empresas tiene servicios con vulnerabilidades: correos sin seguridad, contraseñas con baja seguridad, accesos sin control, etc. Es importante que entiendan los riesgos que están hoy corriendo para que puedan adoptar la herramienta apropiada, mucho mejor si es antes de que sufran una pérdida significativa", explica don Certisur.
Raúl Aguirre, fundador y presidente de Barcelona/04 Computing Group, asevera que "una empresa es siempre vulnerable y el rol de un responsable de seguridad no se reduce a aplicar la normativa de turno, pasar las auditorías y esperar que todo vaya bien". Para el ejecutivo, los riesgos a los que se expone una organización al no monitorizar son extremos. "No sólo puede haber una pérdida monetaria debido a la disrupción del negocio sino además graves multas por parte de organismos de control y también puede afectar la imagen y hasta a los mismos clientes, si su información personal fuera expuesta a un tercero".
Los datos fríos no son alentadores. Se estima que aproximadamente el 30% de los sistemas no cuenta con licencias, por lo tanto no se suelen instalar las actualizaciones de seguridad. "Un claro ejemplo de esta falta de actualización de software se ve reflejado en que todavía al día de hoy se continúan detectando infecciones del gusano Conficker, incluso cuando el parche de seguridad a la vulnerabilidad utilizada por esta amenaza fue liberada en octubre del 2008", detalla el hombre sabihondo de ESET. En Argentina, casi la mitad de las pymes (49%) dijo haber perdido información, por lo que estarían alineados con la tendencia global, más que con la regional y el 28% afirmó haber experimentado algún ciberataque en los últimos 12 meses según datos de Symantec.
Y para un cierre a todo bajón, dejamos una frase de Morano de Novell, que por pesimista no deja de ser cierta. "La seguridad informática es una de las disciplinas más dinámicas dentro de IT: cada vez que se logra un nivel estable de seguridad, nuevas tecnologías aparecen en el mercado que traen aparejados nuevos retos" (que.. esperaban otra cosa ¿??? Pues bueno... no es así? Acá estamos, así estamos... y hay que seguir trabajando).
En fin.. la seguimos en los ecos de INFOmail.. ahora el mercado tiene que hablar..