Crece la amenaza contra la seguridad corporativa

Accede y la envía. Pero, sin saberlo, su mensaje recaba información de la computadora porque

pertenece a un sitio simulado en la red. Luego, ésta se propagará al resto de terminales que

comparten la misma conexión. Al finalizar el día, la empresa donde el joven trabaja estará

infectada y sus activos confidenciales violados, generándole pérdidas incalculables a la compañía.

Todo, en el más profundo de los sigilos.

Esta historia es sólo un ejemplo de cómo internet -y la Web 2.0- es hoy utilizada como medio

preferido de propagación de malware (software malicioso) y crimeware (software de delitos

financieros online). Según coinciden en el mercado, el hecho de ser y estar seguros es una tarea

diaria y requiere de máxima atención, sobre todo, en el ámbito corporativo donde los descuido

pueden generarlos desde un gerente hasta la recepcionista. Si bien la premisa en el área IT es que "

a Seguro se lo llevaron preso", la práctica de políticas internas y el uso de tecnología preventiva

en las firmas es hoy un eslabón prioritario en el sector.

Según el reporte de seguridad en América latina, elaborado por la empresa ESET en base a 947

encuestas a gerentes de empresas y profesionales del área de tecnología de las compañías "el 58,08%

de los entrevistados afirma que la amenaza más relevante es la pérdida de datos. Le siguen los

ataques de malware (57,13%) y las vulnerabilidades del software (51,32%)".

La amenaza creciente

Para Jennyfer Vélez Dueñas, analista de investigaciones para Latinoamérica de la empresa de

investigación de mercado, Frost & Sullivan, las debilidades más evidentes para las empresas en

2010 se generarán por ataques de phishing (estafas cibernéticas mediante ingeniería social) sobre

las denominadas botnets, "debido a su habilidad de ejecución autónoma, automática y de rápido

aprendizaje", aclara la analista. Un ejemplo del impacto que puede generar este tipo de ataques se

vio hace pocas semanas: una red botnet logró ingresar en 75.000 PC, en 200 países, según comentó la

empresa de seguridad Net Witness. Los hackers accedieron así a datos personales y de cuentas

bancarias de más de 2.500 empresas y organismos públicos.

Vélez Dueñas enumera cuáles son las principales grietas de seguridad que sucumben, debido a

hábitos dentro de los puestos de trabajo: "Entrada constante a redes sociales desde la LAN

empresarial; falta de conocimiento sobre las soluciones para protegerse e incluso amenazas

existentes en el mercado, una cultura reactiva más que preventiva; movilidad dentro de la fuerza de

trabajo (a través de PDA, laptops, smartphones, entre otros dispositivos); o esperar que una medida

de seguridad tipo CAPEX (nivel de inversión que hacen las empresas para incrementar o mejorar su

capacidad de producción) se convierta en OPEX (gastos de operación corrientes) en el corto plazo".

Puertas adentro

Según el informe de Symantec Corporation \\\"Estado de Seguridad Empresarial 2010\\\",

elaborado en base a una encuenta a 2.100 encargados de seguridad informática y administradores de

IT de 27 países (incluidos la Argentina, Brasil, Colombia y México), concluye que el 42% de las

organizaciones califican a la seguridad como principal prioridad. Agrega que el 75% sufrió ataques

cibernéticos en los últimos12 meses, los cuales costaron a las empresas, en promedio,U$S 2 millones

por año.

Aunque las cifras hablan por sí solas, no todo es alerta. Andrés Zahnd, Oracle Project

Manager de la aseguradora Universal Assistance (UA), explica ante ITBusiness que han incorporado la

prevención a su cultura organizacional. Pero confiesa que "es un elemento que requiere permanente

atención y es de altísima prioridad en nuestro entorno tecnológico. Los potenciales ataques que más

preocupan se centran en infecciones, por su efecto sobre la operatoria regular de la firma; y a

hackers, por el robo de información sensible para el negocio".

Para hacerle frente, desde 2008, en UA cuentan con personal dedicado a seguridad informática

que se complementa con asesoramiento externo en temas integrales. Si bien anteriormente utilizaron

herramientas corporativas de IBM y McAfee, hoy, aplican sistemas de acceso encriptados con usuarios

validados portokens RSA. Se suman redes privadas virtuales (VPN) y herramientas corporativas de

seguridad integral provistas por Trendy Symantec. En aplicaciones de mayor exposición al exterior,

optaron por sistemas de capas para aislar los núcleos de información en caso de sufrir ataques. Lo

complementan con soluciones estándares de validación de usuarios internos, permisos de visibilidad

de información, entre otros. Actualmente, la empresa destina a seguridad informática alrededor del

15% del presupuesto regular del área de Sistemas.

Otro caso es el de la firma Nexans, provedora de sistemas de cableado, quienes, a partir de

2007, optaron por un plan de soluciones en seguridad unificado para la región. María Isabel

Acevedo,IS Internal Control & Planning Manager de la filial sudamericana, explica: "Nuestra

principal prioridad es proteger la información del core del negocio,es decir, toda aquella que se

maneja a través de nuestro sistema de gestión SAP. El cual se refleja en la estrategia que asumió

el grupo al consolidarlo a seguridad de infraestructura, bajo estándares internacionales brindados

por los servicios de Global Crossing para las sedes de la Argentina,Perú, Colombia y Chile". Para

lograrlo utilizan mecanismos con herramientas de seguridad gerenciadas como firewall, servicios de

Security Operation Center,IDS -IDP- DI, antivirus, antispam y conexiones VPN.

Según Acevedo, entre los beneficios que les brinda el cambio de modelo se encuentra"la

confiabilidad, la seguridad de la información que se maneja, el respaldo del personal adentrado en

el tema, la disminución de costos en lo relativo al mantenimiento y a la administración".Sin

embargo,todavía tienen una tarea pendiente,"nos queda como siguiente instancia preocuparnos de la

seguridad a nivel interno,donde el índice de exposición también es muy alto", comenta la ejecutiva.

Resguardo informático

Tampoco la empresa Gire,que administra y controla el servicio de cobranza extrabancario

Rapipago, se puede dar el lujo de dejar la seguridad al azar. Por ello, tienen un departamento de

seguridad informática que centralizalas políticas. Hugo Iavarone,gerente de Tecnología de la

compañía, cuenta que, a pesar de ello, la amenaza de la pérdida de datos es una preocupación

constante desde que empezaron a operar, en 1991.

"Incluso, cuando se analizan los servicios prestados con más de 25 millones de transacciones

por mes y flujos de fondos administrados, entendemos que los datos son críticos desde cualquier

punto de vista de la compañía o de nuestros clientes. Entonces, a lo largo del tiempo hemos pasado

por distintas tecnologías como servidores espejados,hardware muleto, procesos stand-alone, entre

otros. Hoy contamos con sitios de disasterrecovery, virtualización, clusters, SAN sincronizadas;

como así también, firewalls, antivirus, control de puertos y monitorización activa", detalla.

Entre las empresas desarrolladoras de software, el tema tampoco es menor. Una de ellas es

Mastersoft, donde combinan trabajo interno con auditorías periódicas. Marcelo Di Chena, socio

gerente de la firma, confiesa que"hemos sufrido ataques que fueron rechazados por las herramientas

tecnológicas. Al generar una política de mediano plazo apoyada por un especialista externo que

impulsó su implementación, los resultados han sido excelentes ya que en 2009 no tuvimos ataques que

complicaran nuestra operatoria". Entre la IT que implementaron se encuentra: VPN con certificados

de seguridad; firewalls a través de hardware y software específico; herramientas antispam de uso

libre, antivirus y antispyware a nivel de estaciones; servidores con actualizaciones automáticas,

definiciones de virus y parches de seguridad.

Se suman, test de penetración y otros tipos de pruebas asociadas a verificar el nivel de

permeabilidad posible desde el exterior. Incluso, en la empresa definieron procedimientos debackups

y un plan de contingenciafrente a la caída de cualquierelemento crítico.Lo que faltaFinalmente, en

la encuesta deESET, el 53,55% de las personas manifestó que la concientización del personal es

fundamental, pero sólo el 37,94% realiza periódicamente actividades con el objetivo de capacitar al

personal en materia de seguridad de la información y protección.

Ante esta paradoja, Cristian Borghello, director de Educación de la sede latino americana,

resume que"resta mucho por hacer, a medida que haya educación, concientización y madurez para

entender la problemática". En esta sintonía, "mejor que bloquear es educar y controlar.La educación

y la aplicación de políticas de control y uso ayudan a que el riesgo se minimice. Para que la

tecnología ayude a mejorar el trabajo de cada persona dentro de la empresa",concluye Alejandro

Viola, gerente General de Blue Coat Argentina.

Consejos ante los riesgos. Por Gabriel Marcos, product manager Data Center, Security

& Outsourcing de Global Crossing

"La adopción de las tecnologías de conectividad inalámbrica disponibles ofrece nuevas

posibilidades pa ra la comunicación y el trabajo, pero también los expone a nuevos y mayores

riesgos. Si hay dos lecciones que los profesionales de la seguridad de la Información hemos

aprendido en los últimos años, es que los hackers buscan directamente ganar dinero; y otra, es que

generalmente saben muy bien lo que hacen".

"Lo cierto es que si usted tiene celular, notebook, PDA, cuenta de mail, cuenta en una red

social, fotolog, página web, conexión a internet, o una conexión Wi-Fi, entonces está expuesto a

ser atacado y, muy probablemente,a no darse cuenta hasta que sea demasiado tarde. Antes de apagar

todos los dispositivos a su alrededor, es importante aclarar que no se trata de eso sino de tomar

conciencia del problema. Algunos consejos a tener en cuenta y disminuir el riesgo: Deshabilite las

conexiones Bluetooth ni bien termine de utilizarlas. Nunca deje las conexiones Wi-Fi y Bluetooth

habilitadas por defecto en las notebooks. No baje los correos corporativos a la PDA y/o al

smartphone; acceda al mail desde el servidor de la compañía, de esa manera no se transporta

información confidencial".

Uso de los dispositivos electrónicos. Por Alessio Aguirre-Pimentel, director del

Área de Informática Forense y Seguridad Informática de FTI Consulting Argentina

"En seguridad de la información, las soluciones técnicas son verdaderamente efectivas si se

tiene en cuenta el factor humano, el más importante es la cadena de recursos. Porque, mientras más

seguro sea el sistema informático, resulta menos operativo y restringe la habilidad de las personas

al hacer su trabajo".

"Por otra parte, las empresas suelen tener un Manual de Operaciones que "gobierna" la

utilización de todos los dispositivos electrónicos pero,en general, son pocos los usuarios que las

conocen e implementan correctamente. Por eso, es indispensable una campaña de concientización para

dar a conocer las "mejores prácticas" disponibles que determinen el mejor uso de las

herramientas,sin poner en peligro la confidencialidad de los activos digitales de la empresa".

No obstante, existe lo que llamamos Ingeniería Social, que consiste en la aplicación de

métodos para obtener información de manera legal y sin violar ningún sistema de seguridad. En este

caso, puede darse que un tercero con intereses desleales, por ejemplo, le "preste" un pendrive al

empleado,con un programa oculto que captura toda la información del dispositivo en el que se lo

utiliza. Así, esta maniobra permitiría obtener información confidencial.