Claves para resguardar la seguridad de la información en las empresas
La seguridad de la información es, y seguirá siendo, una de las preocupaciones relevantes de las compañías, aunque no todas estén implementando correctamente las tecnologías y políticas adecuadas para evitar y mitigar ataques.
Históricamente, las organizaciones protegían el acceso a su información sensible y confidencial a través de firewalls y protecciones en el perímetro de la red. Pero los expertos advierten que las amenazas actualmente provienen del exterior y del interior de la empresa. Hoy no basta con proteger el perímetro, ya que muchos ataques a los sistemas de información y datos surgen desde dentro de la organización. El denominado “empleado infiel” es una de las principales amenazas a la seguridad de la información.
En ese sentido, Martín Bobbio, gerente de ventas senior para el cono sur de Gemalto, explica que las empresas que se jactan de ser “ágiles” y “receptivas”, a menudo alcanzan esa velocidad mediante el abandono de la estandarización, los procesos maduros y el planeamiento de contingencias. Las organizaciones descubrieron que un simple fallo o un compromiso de los datos se convierte en un desastre cuando no hay un plan de continuidad de negocios, un plan de recuperación ante desastres, una política de respuesta ante intrusiones, y un sistema de respaldo actualizado, desde el cual se pueda hacer una recuperación de los datos almacenados en otra ubicación.
Esto aplica no solo para los datos sensibles que se ven comprometidos cuando los trabajadores accidentalmente pierden sus teléfonos inteligentes, laptops o memorias USB, sino también con amenazas como el ransomware, la explotación de vulnerabilidades, los botnets y los casos de phishing que llegan a comprometer la seguridad de una empresa y ponen en riesgo las operaciones del negocio.
“Detrás de una falla de seguridad, usualmente se esconde una secuencia de eventos aislados que, cuando se suman, los impactos de cada uno concluyen con un ataque exitoso dirigido a los activos organizacionales. La preparación de un servidor malicioso, la creación de una página para spear phishing, el simple envío de un correo electrónico, una muestra del malware de moda, colocar en el lugar y momento precisos una unidad de almacenamiento extraíble infectada, un empleado que recibe un enlace acortado de un nuevo contacto en su red social predilecta, otro que encuentra y conecta un dispositivo USB, un tercero que recibe un CV a través de un e-mail, una extraña entrada entre los logs del servidor de archivos o una conexión que atraviesa la red perimetral hacia un equipo desconocido; estas son algunas de las simples acciones e indicios que usualmente construyen los ataques dirigidos de la actualidad”, detalla Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica.
En la misma línea, Sergio Fuentealba, especialista de seguridad informática de la gerencia de Datacenter y Cloud de SONDA Chile, agrega que hay una gran amenaza por el desarrollo de una industria cibercriminal que busca obtener beneficios económicos. “Hemos sido testigos de elementos como el ransomware, un software malicioso que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate en dinero a cambio de levantar dicha restricción. Esta tendencia, que está en alza, y cuyo foco está puesto en las empresas, debiera continuar su evolución buscando alcanzar más víctimas en formas cada vez más sofisticadas. Los principales vectores de contaminación actualmente son el correo electrónico y el malvertising (anuncios maliciosos), donde los hackers apuntan a las vulnerabilidades de los sistemas operativos y las aplicaciones de los usuarios finales. Actualmente, se observan tendencias que apuntan a la explotación de vulnerabilidades de los servidores, por lo que es probable que la siguiente generación traiga incorporadas mejoras para evitar formas de autopropagación. Aunque se puede pagar por rescatar los datos ante un ataque de ramsomware, esto no es recomendable pues fomenta su desarrollo, y no asegura que la información haya sido descifrada y mal utilizada, y tampoco podríamos determinar si su integridad o confidencialidad fue vulnerada”, destaca.
A juicio de Marcelo Díaz, gerente general de Makros, las amenazas más importantes tienen que ver con la inexistencia de un perímetro claro, asociado a los efectos de la movilidad y la internet de las cosas. “Cuando los parámetros de control no son claros, los usuarios y la red se exponen de una forma distinta. Así, las amenazas, como malware, lideran la lista de amenazas vigentes, con un grado de sofisticación mucho más amplio. De igual forma, la proliferación de un mayor número de dispositivos (IoT) también representa amenazas que escapan de los puntos de control por su diversidad en cuanto a sistemas operativos y plataformas”, dice.
Modelos y políticas de seguridad de la información, medidas necesarias
Algunos expertos de la industria señalan que la estrategia para salvaguardar la información empresarial debe considerar la administración de riesgos, y a partir de eso definir la política de seguridad de la organización, que permita equilibrar el nivel de seguridad, los costos y la facilidad de uso y administración.
“Una vez establecido el perfil de riesgo de la organización, se debe desarrollar un modelo de defensa en profundidad, en el cual protegemos en distintos niveles: datos, aplicaciones, sistemas operativos, red interna, perímetro, físico, sin olvidar la relevancia de la toma de conciencia de los usuarios respecto de su rol. En paralelo, se debe implantar un modelo de mejora continua sobre nuestro modelo de seguridad. Los elementos más relevantes a considerar son la definición de políticas respecto al tratamiento de la información, tales como protocolos de claves de acceso, uso de altos privilegios, uso de internet y de correo electrónico, uso de los sistemas internos, uso de dispositivos móviles, acceso físico, clasificación y manejo de la información”, sostiene Fuentealba, de SONDA.
Como parte de la estrategia, el especialista destaca que es necesario mantener un buen plan de respaldos, desarrollar un plan de respuesta a incidentes de seguridad y un plan de continuidad de negocios, tener un protocolo de contraseñas robusto, realizar una administración de parches adecuada y aplicar buenas prácticas de seguridad en servidores y en los equipos de usuarios finales.
Para Camilo Gutiérrez, de ESET, se requiere combinar distintos aspectos para aumentar la efectividad de los mecanismos de control utilizados, y todas estas medidas de seguridad se deben implementar tanto en computadoras como en dispositivos móviles. Entre estos, destacan tres aspectos: configuración y uso adecuado de la tecnología de seguridad contra el malware; buenas prácticas, que permitan la protección de manera constante; e iniciativas de educación en la materia.
“Además de contar con una solución de seguridad como mecanismo fundamental para garantizar la seguridad de la información, se hace necesario que el usuario incorpore otras medidas de seguridad para evitar ser víctima de otro tipo de amenazas. Por ejemplo, hacer un respaldo de la información más importante, por si la original sufre algún tipo de daño. También incorporar un doble factor de autenticación, para proteger el acceso a sus cuentas más importantes; servicios como Google, Facebook, Twitter, entre otros ya ofrecen este servicio de forma gratuita. Además, el cifrado de la información es otra medida de seguridad para garantizar la privacidad de sus datos. (…) Las amenazas avanzan hacia donde los usuarios manejan su información, y por lo tanto hay que protegerse en todos los frentes. La combinación de herramientas de seguridad, las buenas prácticas de usuarios, la educación en temas de seguridad, así como contar con una estrategia de protección, nos permite emplear la tecnología de una forma más segura y, en este caso específicamente, reducir las probabilidades de fraude”, explica.
Cifrado y medidas de protección de datos
Para proteger la información sensible de una organización, hay que utilizar mecanismos que no estén apuntados a evitar el robo, sino a proteger la información por si esta es robada, señala Martín Bobbio.
“Hoy el cifrado es una herramienta fundamental para proteger la información, interna y externamente. Además, se debe proteger las llaves que permitan descifrar la información, ya que cualquier persona o sistema que acceda a las llaves, estaría en condiciones de ver la información. La asignación de derechos de uso y perfiles para el acceso a la información es otra política recomendada para garantizar que solo accedan a determinada información las personas autorizadas a hacerlo, y que se pueda determinar a través de la trazabilidad quién y cuando accedió a la información”, explica.
En cuanto a herramientas tecnológicas específicas, David Nieto, ingeniero de sistemas de Intel Security, manifiesta que, a nivel de sistemas de seguridad, es necesario contar con uno que proteja contra “malware avanzado”. No es suficiente un sistema de protección contra malware convencional (antivirus), porque este tipo de amenazas mutan sus firmas, haciéndolas “invisibles” ante un antivirus que basa su seguridad en el análisis, dice el ejecutivo.
Leonardo Carissimi, líder de la práctica de seguridad de Unisys en América Latina, indica que aislar los sistemas informáticos con diferentes necesidades de acceso, de modo fluido y fácil, requiere varias herramientas de seguridad. “La microsegmentación definida por software es fundamental, así como la orientada a la identidad de usuarios y servicios en la red. No es posible manejar, de modo eficiente y seguro, un conjunto absurdamente grande de direcciones MAC o IP con millares de reglas. Las regulaciones requieren revisiones periódicas de las reglas de firewalls, y algunos clientes ya viven el reto de que sus revisiones de reglas les consumen meses de trabajo. Además, se requiere soluciones de seguridad que se extienden hacia la nube, y seguridad en dispositivos móviles no controlados de clientes, consumidores, terceros o empleados (BYOD). Se requiere soluciones de seguridad de aplicaciones y datos, como application wrapping, y monitoreo de redes sociales y dark web (…) con tecnología de analítica avanzada. Así no se pierde tiempo para ubicar la información que es importante y que representa una amenaza dentro de un gigantesco conjunto de informaciones que no son maliciosas”, declara.
Fuentealba, de SONDA, recomienda también considerar la implementación de IPS e IDS en distintos lugares en la red, y contar con algún filtro de navegación web. También es preferible, comenta el ejecutivo, preferir tecnologías que incorporen protección contra malware avanzado, que normalmente están basadas en reputación de archivos con inteligencia local o global. “Hay que considerar aplicaciones que mejoren la visibilidad de nuestra red y su seguridad, por lo que es relevante tener en cuenta algún administrador de vulnerabilidades y un correlacionador de eventos (SIEM). Para la protección de datos, se debe sumar tecnologías que permitan la prevención de pérdida de datos, como DLP, y cifrado de discos para los equipos móviles”, señala.
Si bien ninguna tecnología puede garantizar una protección del 100%, Fuentealba dice que se logrará una mejor protección si se les combina con políticas adecuadas y con personal con alto conocimiento de las amenazas y de las herramientas adecuadas para hacer frente a dichas amenazas. “Es muy importante, además, que la alta gerencia de la organización tenga consciencia de los riesgos y costos de no contar con una política de seguridad robusta, con herramientas adecuadas. Si toda la organización está alineada con el tema del resguardo de la seguridad, es más difícil que sea víctima de un ciberataque”, concluye.