En el era de las comunicaciones, la seguridad se ha convertido en un problema de primer orden. Nadie está a salvo. Ni siquiera empresas tecnológicas a las que se supone que deben tener unos inmejorables sistemas de seguridad. Vean si no, lo que ocurrió con Google a principios de año. Las empresas actulaes, tanto las grandes como las pequeñas se mueven con mucha información, muchos datos y muchos equipos como para que éstos no estén protegidos. El riesgo para una empresa es muy elevado. No sólo por lo que puede perder sino también por lo que puede dejar de ganar. Recuperarse de un problema propiciado por la falta de seguridad puede tardar varios días y ese tiempo implica no atender a los clientes, tener a los trabajadores parados y, evidentemente sufrir importantes pérdidas. Así que conviene no bajar la guardia y sobre todo, no creerse que se está protegido en todo momento. Las nuevas amenazas se crean cada pocas horas y estar atentos a ellas es una obligación de las empresas independientemente del tamaño que éstas tengan. Sin embargo, y a pesar de la importancia no es menos cierto que en la actual coyuntura económica, ciertos sectores de las TI pueden verse afectados cuando las empresas tengan que priorizar inversiones. Sin embargo dada la importancia de la seguridad en la apreciación de los gestores de TI, no parece que vaya a haber una caída importante de los ingresos de este mercado. Los últimos años han visto un repunte de las inversiones en seguridad, especialmente alimentadas por elementos de cohesión como los sistemas de monitorización de la seguridad y análisis de los que buscan proporcionar inteligencia adicional al administrador que previamente debía manejar enormes cantidades de información de forma poco efectiva.
Situación actual
Según se desprende del informe anual realizado por Panda Security, el año 2009 ha sido en el que más ejemplares nuevos y diferentes de malware han aparecido. De hecho, sólo durante este año, se registró más malware que en los 19 años anteriores de la historia de esta compañía. El negocio de las mafias en Internet y de los ciberdelincuentes es tan prolífico y arroja tantosresultados positivos, que no sólo se están consolidando los modelos de negocio y las redes de afiliación queutilizan para conseguir sus objetivos, sino que cada vez aparecen nuevas modalidades tanto de creación como de distribución de nuevo malware. En 2009, la cifra total de ejemplares diferentes registrados en la base de datos de malware de PandaLabs ha sobrepasado los 40 millones, y se estima que esta tendencia se mantenga en 2010. Cada día, reciben en los laboratorios de Panda 55.000 nuevos ejemplares, cifra que está registrando aumentos en los últimos meses.
En segunda posición y a una distancia considerable está la categoría de los Adware, con un 17,62%. Dentro de esta categoría están englobados los conocidos como rogueware o falsos antivirus, así que no es de extrañar que ocupen esta posición, ya que desde que en 2008 comenzaran a proliferar este tipo de programas de seguridad engañosos, su tendencia ha sido al alza, aunque difícilmente conseguirá arrebatar el primer puesto a los troyanos. Al igual que con el caso de los troyanos, la motivación que hay detrás de los rogueware o falsos antivirus también es puramente económica.
Pero sin duda, lo más destacado de estos datos es la tercera posición de los virus, con un 6,61%. Se trata de una categoría que aparentemente estaba perdiendo fuerza y que se había visto relegada por las demás categorías de malware durante los últimos años, sobre todo por troyanos y gusanos. Sin embargo, en 2009 han sido numerosas las infecciones por virus como el Sality y el Virutas. Incluso se han detectado variantes del virus Virutas que descargan e instalan en el ordenador malware relacionado con el crimeware, como son los troyanos bancarios. Además, se trata de virus de gran complejidad y cuya desinfección supone un importante consumo de recursos para las compañías antivirus. Y es que esa es una de las teorías que se baraja para explicar por qué están volviendo a resurgir los virus, sobre todo los de mayor complejidad.
Los especialistas y responsables de seguridad consultados por esta revista, confirman los datos de Panda. Así, José Francisco Pereiro, Responsable de los Servicios de Seguridad Tecnológica de IBM, cree que “el mercado de seguridad es sin duda una de las arenas más desafiantes de la revolución digital en la que nos encontramos inmersos. Cuando todavía algunas empresas no habían resuelto totalmente los problemas tradicionales de la seguridad -como el cumplimiento normativo, la protección contra el malware o la gestión de la seguridad- aparecen escenarios nuevos como el cloud computing, las redes sociales o las últimas amenazas a los sistemas de control, que plantean nuevos retos para los responsables de seguridad de las organizaciones de todos los sectores. Es por ello por lo que este mercado requiere cada vez más de proveedores de seguridad con una visión completa e integrada de la seguridad (desde la consultoría, hasta la tecnología) y con capacidad para trabajar en el plano local e internacional. Es fundamental también suministrar soluciones de gestión que permitan a las empresas incrementar la seguridad y reducir los costes de operación”. Para Jordi Gascón, director de soluciones de Gobierno TI y Seguridad de CA Iberia, “este es un mercado en continua evolución que está íntimamente ligado a la necesidad de las empresas de proteger de manera eficiente y efectiva uno de los mayores activos para las organizaciones: la información. La creciente presión normativa y regulatoria y la adopción de nuevos modelos de prestación de servicios (cloud computing, factura electrónica, e-Administración, SOA/Web Services, etc.) requieren indefectiblemente el soporte de soluciones de seguridad informática acordes, por lo que es un mercado en expansión a pesar de las desfavorables condiciones económicas actuales”. Javier Ferruz, Principal Presales Consultant de Symantec, considera que “el mercado de la seguridad está cambiando, sobre todo en lo que se refiere a sus prestaciones, estructura y distribución. El software está yendo hacia un modelo abierto, capaz de relacionarse con diferentes plataformas y muchos tipos de hardware distinto, sistemas operativos o plataformas de virtualización. Desde el punto de vista tecnológico, ahora se trata de proteger la información y los datos independientemente de donde estén: portátiles, memorias USB, smartphones, redes, portales en la Red… Por eso, no se trata sólo de seguridad, sino de seguridad y gestión de la información: proteger esta información contra las amenazas y gestionarla de manera más completa y eficiente”.
Finalmente, Manuel Delgado, director de Ventas Corporativas de Kaspersky, considera que las empresas se enfrentan a dos riesgos fundamentales: “pérdida de dinero y pérdida de reputación. La mayoría de las veces van unidos, por lo que un ataque informático a una empresa puede suponer la ruina. Según el último informe publicado por el Observatorio de la Seguridad de la Información de INTECO, más del 77% de las Pymes españolas afirma haber sufrido algún incidente de seguridad”.
¿Somos conscientes?
Ahora bien, aunque todas las empresas consideran que la seguridad de sus sistemas y aplicaciones es algo muy importante, muchas creen que con una pequeña solución de seguridad les basta para tener su infraestructura tecnológica protegida. La empresa en general es consciente de los riesgos de seguridad que pueden correr y la mayoría adapta sus infraestructuras para evitar posibles ataques, ya sea a través de soluciones de seguridad perimetral o protegiendo sus puestos de trabajo. Sin embargo, no dedican tiempo para formar a los empleados en usar sus herramientas de trabajo de manera que eviten poner en riesgo la seguridad de la compañía. Además, las empresas deben aprender a crear sus propias políticas de seguridad. Por otro lado, los departamentos de TI están cada vez más ocupados en la protección de las organizaciones, no solo contra los riesgos para la seguridad, sino contra los riesgos para el cumplimiento, tales como auditorias con resultados insatisfactorios, exorbitantes multas reglamentarias, sanciones judiciales, pérdida de privilegios en el proceso de tarjetas de crédito y publicidad negativa. Así, aunque la mayor parte de las organizaciones tienen planes de seguridad que cubren los aspectos básicos como la protección contra el malware en los puestos de trabajo y el correo electrónico, el anti-spam o la prevención de intrusiones, no son plenamente conscientes de las evoluciones más recientes.
Tal y como asegura María Ramírez – Ingeniero Preventa de Trend Micro, “desafortunadamente, muchas empresas que son realmente conscientes de los riesgos que corren si no protegen sus redes, se debe a que han sufrido algún problema de seguridad en su red, alguna infección, etc. que les ha hecho ser realistas y ver cuál es la situación actual en materia de seguridad. Esto nos hace ver que la mayor parte de las empresas españolas son reactivas en el ámbito de la seguridad (hasta que no ocurre algo, no se actúa). Este pensamiento tenemos que conseguir cambiarlo, haciendo conscientes a los empresarios y cargos de mando de dichas empresas de que la seguridad es un punto clave que tienen que considerar como una de las principales premisas a la hora de dimensionar sus redes”. Acacio Martín, director general de Fortinet, cree que “dadas las actuales circunstancias económicas, las empresas aplican la máxima de hacer más con menos, lo que en el área de seguridad se traduce en consolidación. Los dispositivos de seguridad integral surgirán en un número aún mayor que antes, a medida que los departamentos de TI de las empresas están siendo presionados por la actual situación económica para recortar costes pero al mismo tiempo deben mantener la integridad de la red; en esencia, hacer más con menos. Recientemente publicamos un estudio que demostraba la tendencia hacia la consolidación de seguridad de TI en las medianas y grandes empresas de las mayores economías de Europa. El informe mostraba que un 90% de los entrevistados probablemente emprendiera un proyecto de consolidación de seguridad de redes en los próximos meses, dos tercios de ellos motivados por los beneficios de una gestión simplificada y la reducción de costes operativos”. Blas Simarro, Chief Security Architect de McAfee, asegura que el problema de la seguridad TI era algo poco importante en las empresas aunque cada vez son más conscientes de su importancia: “Cada vez empiezan a serlo, pero la verdad es que los recursos personales y financieros son limitados en el ámbito de las pymes- lo que afecta sobre la eficacia de los controles internos y externos. Las pymes europeas sólo dedican, de media, una hora semanal a la gestión de seguridad. Generalmente estas organizaciones no tienen personal de IT y los secretarios o directores de la oficina son quienes, en última instancia, se encargan de garantizar la seguridad corporativa”. Finalmente, José Manuel Delgado, director de Ventas Corporativas de Kaspersky Lab, cree que “no todas (las empresas son conscientes) y, desde luego, en menor medida según desciende el tamaño de la empresa. Incluso dentro de las grandes empresas no todos los empleados son conscientes de los riesgos a los que están sometiendo a la empresa con su comportamiento a la hora, por ejemplo, de navegar por Internet o de introducirse en redes sociales. Por tanto, una adecuada formación respecto a la seguridad es imprescindible. Esta formación debe englobar aspectos como el uso de la red informática, cómo tratar la información confidencial, los riesgos que implica Internet, e incluso aspectos como el uso de impresoras cuando se trabaja con información crítica para la empresa. En cualquier caso, es necesario que todos los estratos de una organización, desde la dirección hasta los empleados, sean consientes de lo que puede aportar una buena política de seguridad, o tal vez, de lo que pueden perder si no la tienen”.
Cloud Computing y virtualización
Sin duda alguna, las dos estrellas de la industria tecnológica actual dan mucho de qué hablar y la seguridad no se escapa a estas dos tendencias. El mundo tal y como lo conocemos ha cambiado. Cada vez son más las personas y dispositivos que se comunican e interactúan, lo que ha hecho de este mundo un lugar mucho más pequeño, plano e inteligente. Esto también se refleja en las tecnologías de la información, en las que se están abriendo paso las tecnologías de virtualización y nuevos modelos de prestación de servicios como cloud computing. Para el portavoz de IBM, “estos nuevos contextos tecnológicos suponen importantes retos para los profesionales de seguridad como, por ejemplo, la privacidad en las redes cloud, pero al mismo tiempo suponen también una gran oportunidad al establecer nuevas alternativas a la protección de los activos de información de las organizaciones. Por ejemplo, mediante los servicios de seguridad en cloud computing se puede incrementar el nivel de protección de las empresas sin necesidad de tener que crecer en infraestructura o personal especializado en seguridad”. Hay que tener en cuenta que el auge de los servicios basados en cloud, inevitablemente hará que la elección del sistema operativo por parte de los usuarios sea una cuestión poco relevante para los ciber-delincuentes. En este sentido, la tendencia a almacenar datos sensibles en Internet provocará un aumento de los ataques a través de Internet, lo que conllevará mayores brechas de seguridad y que la información pueda ser robada más rápidamente que antes. Para Martin Carvallo, Country Manager de Sophos, “a la hora de emprender proyectos “en la nube” es primordial analizar con precisión los puntos de fallo que el proveedor puede tener. Esto significa mirar de cerca la capacidad tecnológica, la variedad de plataformas y verificar su grado de dependencia a nivel de comunicaciones. También es preciso estudiar la solvencia económica del proveedor porque proporcionar servicios de cloud computing supone una inversión notable. Una vez analizados estos aspectos es importante exigir que las soluciones tecnológicas y sobre todo las tecnologías de seguridad utilizadas sean de la máxima calidad. La tentación puede ser fuerte para el proveedor de servicio de ir abaratando sus costes con soluciones menos costosas”. No obstante, algunos, como Manuel Arrevola, Country Manager Websense no creen que el modelo Cloud pueda ser un referente de amenazas: “Eel cloud computing, como concepto genérico, no debe de considerarse como un generador de amenazas. El cloud computing tiene dos vertientes fundamentales: la del prestador de servicios de seguridad y la de propia red, es decir, la Web 2.0. En el primer caso, cloud computing ha de verse como el mejor método para detectar y mitigar las amenazas para la seguridad, debido a la inherente potencia de su modelo distribuido. El “cloud computing” para el usuario, puede suponer la mayor fuente de amenazas jamás conocida, ¿Por qué’? Porque el modelo inherentemente dinámico y distribuido a nivel global de las redes sociales, las aplicaciones de servicios Web, etc. permiten que los contenidos cambien en tiempo real, pudiendo ser muchos de estos contenidos spyware diseñado para robar información. El modelo tradicional basado en firmas o en el filtrado estático de contenidos no puede dar a basto con este crecimiento exponencial de amenazas. Es necesario un nuevo paradigma de protección, basado en el análisis en tiempo real de los contenidos”. Para el portavoz de Fortinet, “la adopción de servicios basados en la nube expone a las organizaciones a nuevos y variados riesgos y vulnerabilidades a medida que la información viaja a través de canales públicos, creando muchas más oportunidades de infección o robo de datos. Securizar la nube se ha convertido en una prioridad para los CIOs ya que cada día, más y más compañías adoptan servicios como alquiler de almacenamiento, software como servicio (SaaS), tecnologías virtuales y hosting de aplicaciones. Por otro lado, la seguridad de los entornos virtuales requiere proteger el perímetro físico, así como asegurar la interacción de un dispositivo virtual con otro. Además, es clave la prevención de infecciones de polinización cruzada entre máquinas virtuales que permitan proteger los movimientos virtuales de los servidores”.
Los retos
Las empresas deben adaptar sus mecanismos de protección a dos hechos que han cambiado el concepto de protección: la desaparición del perímetro como tal y el nuevo concepto de Internet como elemento de colaboración. Por tanto, las compañías deben hacerse con sistemas que por una parte, permitan sacar todo el provecho de la Web, sin que ello suponga un riesgo para la organización, abandonando el antiguo concepto de filtrado estático de URL y análisis basados en firmas, para pasar a un concepto de análisis en tiempo real, detección de amenazas de hora cero y categorización y filtrado dinámico. Además, deben proporcionar herramientas que permitan compartir la información esencial con aquellos que resulte necesario, pero que proteja frente a la posible fuga de esta información. De este modo, deberán tener la capacidad de clasificar su información, definir sus políticas de uso de la información y disponer de una herramienta que permita controlar que dicho uso se ajusta a las políticas definidas.
Y todo ello sin olvidarnos de la protección del correo electrónico como herramienta de comunicación número uno hoy en día. Para Samuel Bonete, Consultor de Seguridad de Enterasys, “las soluciones actuales nacen para las grandes empresas pero se mueven rápidamente y son adaptadas por las pymes. Cuantos más puertos de acceso tenga una coporación más preocupada va estar ésta por controlar quien se conecta a esos puertos de acceso. De igual manera, cuantos más usuarios tenga una empresa más se va a preocupar esta de monitorizar la actividad de sus usuarios y garantizar su seguridad. Estos son retos de la gran empresa que son también extensibles a las PYMES”. Por su parte, Jordi Gascón, director de soluciones de Gobierno TI y Seguridad de CA afirma que, “PYMES y grandes cuentas tienen ciertas similitudes y grandes diferencias. Sin embargo, es el sector de actividad el que suele marcar mucha más diferencia. No son las mismas medidas de seguridad y tecnologías las que debe adoptar un banco que una inmobiliaria. Igualmente, también requiere distinto esfuerzo gestionar las identidades y controlar los accesos de 20 empleados que de 200 o 2.000”. Por su parte el portavoz de Symantec afrima que “en tiempos de crisis, todos los segmentos sufren las consecuencias, si bien la seguridad es un aspecto en el que las empresas no pueden dejar de invertir. Se trata de un segmento anticíclico de las TI. La máxima de los departamentos de TI, y por tanto de los fabricantes de soluciones de seguridad, es hacer “más con menos”. El reto del fabricante de seguridad debe ser ahora ir un paso por delante de las amenazas. Así, cobran sentido estrategias como nuestra seguridad basada en reputación que ya estamos incluyendo en soluciones para grandes empresas, pequeñas y usuarios finales. Además, también es importante ahora la reducción de costes, y nuestros clientes apuestan por soluciones completas e integrables con soluciones de terceros”.
Seguridad “as a service”
Y como la crisis aprieta, montar toda una infraestructurade seguridad en la empresa puede ser bastante costoso, así que se empieza a imponer la seguridad como servicios. Pero, ¿se cumplen los estándares y las obligaciones de los que prestan estos servicios? Para José Francisco Pereiro, Responsable de los Servicios de Seguridad Tecnológica de IBM, “la seguridad como servicio es una nueva alternativa que permite a las empresas contar con el conocimiento de personal experto dedicado a la gestión de la seguridad, por una fracción del coste de éste, así como poder crecer ante expansiones/fusiones de la empresa sin tener que crecer en infraestructura. Estos servicios también ofrecen a la empresa que los contrata la posibilidad de disponer de herramientas de gestión y cuadro de mando de la seguridad sin costes de licencia, sino a través de una subscripción mensual que puede ser rescindida cuando la empresa considere adecuado. De todas formas, su aplicación en las organizaciones dependerá de muchos factores estratégicos y de madurez en seguridad por lo que su aplicación no se puede generalizar. En cualquier caso es una nueva posibilidad que los responsables de seguridad deberán tener en cuenta a la hora de diseñar su plan director de seguridad”.
La seguridad como servicio forma parte del concepto de “SaaS” (software as a service). Es una nueva forma de conseguir dotar a las empresas de seguridad sin necesidad de que estas tengan que implantar ningún producto físicamente en su red. Es una forma de aplicar seguridad a la red de forma efectiva, sencilla y con un retorno de inversión muy rápido. No es necesario llevar a cabo fases de implantación de la solución, ni mantenimiento de la herramienta de seguridad. Al estar todo ubicado en la “Cloud”, la empresa solo tiene que pagar por un servicio anual y despreocuparse de lo demás.
Tal y como asegura la portavoz de Trend Micro, “cada vez más las empresas apuestan por este modelo de seguridad. Hasta hace poco, la desconfianza era el sentimiento más difundido entre las compañías a la hora de implantar soluciones SaaS de seguridad. El miedo a que su información pueda ser accedida, la posible falta de privacidad, latencias, falsos positivos, falta de efectividad. Nuestra empresa, por ejemplo, ha hecho un gran esfuerzo para conseguir crear SERVICE LEVEL AGREEMENTS (SLAs) para garantizarle al cliente que la solución es fiable, que no hay ningún riesgo de que su información se vea alterada o accedida, que habrá latencias mínimas, no habrá falsos positivos, se consigue continuidad del negocio y alta disponibilifdad en todo momento, efectividad máxima etc. Así, el cliente, al decidirse por una solución de seguridad SaaS, tiene un contrato en mano del que puede hacer uso para reclamar en el remoto caso de que hubiera algún problema. Hemos notado que las soluciones SaaS están teniendo cada vez más éxito, los clientes confían cada vez más en ellas. Es quizá una tendencia futura que irá siendo cada vez más utilizada”.
Otro de los que también se apuntan a este modelo es McAfee. Para Blas Chimarro, “el crecimiento de los servicios en la nube no es sino un reflejo de su aceptación por parte de los usuarios de los mismos y será responsabilidad de los prestadores de servicio mantener unos niveles de seguridad que en ningún caso permitan una merma de la confianza de sus usuarios. Del mismo modo que la industria se mueve hacia servicios en la nube, crecen multitud de iniciativas para que la articulación de estos nuevos servicios se lleve a cabo dentro de unos parámetros de seguridad adecuados como por ejemplo la ‘Cloud Security Alliance’ que trabaja en la creación de un marco regulatorio de la seguridad de este tipo de servicios. Por otra parte y conscientes del éxito de este tipo de servicios, McAfee ha desarrollado soluciones SaaS como McAfee Total Protection Service que es una solución inteligente y sencilla de seguridad como servicio. Bloquea los virus, el spyware y los ladrones de identidad. Protege todos los sistemas y usuarios de las actuales amenazas cambiantes. Esta seguridad como servicio es una solución “todo en uno” que detecta y bloquea automáticamente las amenazas conocidas y desconocidas, evitando que entren en sus ordenadores de sobremesa, portátiles, correo electrónico y servidores”. Finalmente, el portavoz de Symantec afirma que “la implementación de un modelo eficaz de gestión de la seguridad ayuda no sólo a mantener la integridad de los activos empresariales, sino que también permite respetar las normativas vigentes, contribuyendo así a fortalecer la confianza en la propia marca. Este modelo requiere una combinación de tecnología, personal con competencias elevadas, procesos y, sobre todo, fuentes de Inteligencia en Seguridad, de los que pocas empresas pueden presumir actualmente”.
Kneber: ¿Otro botnet?
Esta semana se ha revelado el descubrimiento de una red de ordenadores zombies, controlada por una red de bots, llamada “Kneber”. Según las informaciones que se han publicado, ha sido capaz de infectar a 75.000 ordenadores en 2.500 organizaciones de todo el mundo, incluyendo cuentas de usuario de populares redes sociales. Kneber está basado en el famoso troyano Zeus, un ejemplar que apareció en el año 2007 y que lleva ya casi tres años infectando ordenadores.
Lo que parece ser una gran noticia, por el riesgo al que están expuestos los usuarios corporativos a los que han robado sus credenciales, no es más que la punta del iceberg, lamentablemente. Esta red de bot no es nueva, ni es la única. Además, el número de PCs afectados es relativamente bajo, si lo comparamos con otras redes similares. Lo que nos lleva a la siguiente pregunta: si los principales fabricantes de seguridad tienen registrada esta amenaza desde hace tanto tiempo, ¿con qué sistemas de protección contaban estos ordenadores, que no han sido capaces de eliminar la amenaza antes de instalarse en el PC? Si tomamos en consideración que hablamos de entornos corporativos afectados, sin duda, la reflexión se torna aún más dura.
Cuando reflexionamos sobre este tipo de sucesos, no podemos evitar llegar a conclusiones quizá obvias, pero que vivimos día a día en el mundo de la seguridad. La primera: lo que no se publica, no existe. Estamos bombardeados a miles de titulares todos los días, y es muy difícil para los medios distinguir qué es importante y qué no. Sólo cuando se habla de “miles” es cuando los periodistas realmente prestan atención. Y aparecen noticias como ésta, llamando la atención de los usuarios acerca de la necesidad de estar bien protegidos y bien concienciados sobre la seguridad en Internet, pero dejando la sensación de que es un hecho aislado y único, cuando la realidad es que es el día a día de las casas de seguridad.
La segunda: las compañías de seguridad hacemos nuestro trabajo localizando las nuevas amenazas y ofreciendo soluciones contra éstas a nuestros clientes, pero no es suficiente. Hoy en día, el cibercrimen está tan desarrollado y organizado, que según ofrecemos soluciones, o descubrimos redes como ésta, sus autores son capaces de, en menos de 24 horas, rehacer los códigos de los bots y de los troyanos y volver a desplegar la red, burlando de nuevo los sistemas de seguridad. Por lo tanto, mientras lee este artículo, perfectamente podría haber una nueva botnet Kneber robando de nuevo datos y credenciales de otras empresas y usuarios.
Ante este panorama, ¿qué es más importante: publicar la información buscando copar titulares o colaborar con las fuerzas de orden público y las administraciones de los países afectados para perseguir el delito y acabar con el delincuente? Hablamos de organizaciones que ganan millones de € todos los meses con un modelo de negocio desplegado a través de un canal que permite el anonimato y que hace difícil su persecución, por diferentes motivos: utilización de todo tipo de triquiñuelas para el robo de datos; reclutamiento de “peones” que hacen el trabajo sucio y que dificulta el rastro a los verdaderos artífices de las estafas; falta de cuerpos de seguridad preparados, y descoordinación de los diferentes actores responsables de la seguridad a nivel internacional.
Cuando hablas con personas de la industria, de las administraciones y de los cuerpos de seguridad, todos coincidimos en que hace falta trabajar de forma conjunta para regular este tipo de cibercrimen. Sin embargo, a día de hoy, dista mucho de ser una realidad. No lo será hasta que no seamos capaces de concienciar acerca del verdadero problema tanto a las administraciones, como a las empresas y a los usuarios, convirtiendo esta labor de regulación en una prioridad. Y para ello, se necesita que los diferentes vehículos de comunicación hacia el público sean conscientes de que la labor de informar, concienciar y educar acerca de la seguridad es un día a día, y no sólo una noticia puntual apoyada en datos que no reflejan fielmente la realidad. Sólo de esta manera podremos hacernos un hueco en la mente de los usuarios y mejoraremos, de forma conjunta, una situación que empeora día a día.
Luis Corrons, Director Técnico de PandaLabs
Liderar el cambio hacia una empresa más segura
Los últimos 15 años han traído continuos cambios en la seguridad de la información, que nunca ha sido tan importante y ha planteado los retos actuales. Al mismo tiempo, la primera recesión global ha supuesto reducciones de presupuestos y plantillas. Por tanto, las empresas deben encontrar la manera de adaptar y crear organizaciones flexibles y seguras que estén preparadas para responder a estos nuevos retos de la seguridad – y hacerlo sin aumentar los gastos o el personal.
La buena noticia es que hay una solución rentable y cercana. Las personas. Concienciando sobre prácticas seguras a cada empleado y la inclusión de la seguridad en cada faceta del negocio, las organizaciones tendrán una solución potente y a largo plazo para construir una compañía más segura. Y eso empieza con la seguridad en la organización. Tradicionalmente, los grupos de seguridad de la información se han focalizado en el despliegue de tecnologías para responder a la amenaza que supone la actividad maliciosa originada desde fuentes externas. Sin embargo, las compañías más seguras tienen también que dirigir sus esfuerzos hacia los empleados, partners, proveedores, y otros que de manera no intencionada puedan poner en riesgo los datos. Después de todo, una fuerza de trabajo formada puede transformar los eslabones más débiles de la cadena de la seguridad en una formidable organización defensiva.
Pero decir esto es mucho más fácil que hacerlo. Requiere una comunicación abierta, honesta y basada en datos más que en el miedo. Además requiere un diálogo que permita a los empleados entender como la seguridad – o la falta de la misma – les puede impactar personalmente. Siguiendo este modelo, las organizaciones de seguridad de la información pueden ayudar a establecer una formidable primera línea de defensa formada por individuos conscientes de la seguridad a través de toda la compañía. Los cambios se asocian normalmente con los departamentos de recursos humanos o de relaciones públicas dentro de la compañía. Pero en este caso, si las organizaciones de seguridad quieren ser efectivas a la hora de motivar a los empleados a cambiar sus conductas, son estas las que tienen que tomar un papel muy importante a la hora de la comunicación.
Es importante tener en cuenta que aunque es crítico conseguir el apoyo de la ejecutiva para las iniciativas dirigidas a los empleados, la directiva no suele ser quien dirige el cambio cultural. Los cambios de comportamiento a largo plazo ocurren normalmente dentro de las unidades de negocio. Consecuentemente, es aquí donde los equipos de seguridad de la información tienen que comenzar sus labores de concienciación sobre seguridad.
Es más, las organizaciones de seguridad de la información más efectivas comienzan no sólo respondiendo a sus propias necesidades, sino también escuchando lo que otras unidades de negocio tienen que decir – cuáles son sus problemas, cuál es su estrategia, y cuáles son sus directrices de futuro. De hecho, en muchos casos, las dos o tres primeras reuniones de este tipo son oportunidades para las unidades de negocio de hablar tranquilamente sobre sus operaciones, así como la manera en la que perciben la seguridad de la información. Un diálogo abierto y honesto transforma las conversaciones y destierra mitos sobre la seguridad, ayuda a motivar el cambio y establece una asociación entre las unidades de negocio y la organización de la seguridad.
Una comunicación abierta y honesta es un componente esencial de motivación. Históricamente, muchas organizaciones de seguridad han utilizado el miedo como una táctica para motivar a los individuos. Sin embargo, aunque el miedo puede servir como motivación en un primer momento, siempre tiene un impacto negativo al pasar el tiempo y finalmente puede llegar a quebrar la credibilidad de la organización.
En contraste, si se utilizan datos concretos de fuentes internas y externas para ayudar a justificar las actividades de seguridad y las recomendaciones, aumenta la efectividad a la hora de conducir cambios en la conducta. Estos datos, que pueden provenir de estudios internos o de fuera de la empresa, pueden incluir por ejemplo información sobre portátiles perdidos dentro y fuera de la oficina. Proporcionando estas métricas, cercanas para los empleados, éstos pueden comenzar a entender que no hay nada de miedo o paranoia en la implantación de iniciativas de seguridad, sino la prevención de ataques reales e incidentes de seguridad.
Mientras que un mensaje basado en información generalizada o global es esencial para conseguir una visión general del panorama de la seguridad y mejorar la propia postura de la compañía ante la misma, es el mensaje personalizado el que impulsa los cambios de comportamiento. Consecuentemente, motivar a los empleados para practicar la seguridad, se logra cuando esos individuos entienden el impacto potencial que puede tener sobre ellos mismos seguir con posibles malos hábitos.
Desafortunadamente, en el mundo conectado actual, un número creciente de consumidores y empresas han experimentado una brecha de datos seria. Pero estos mismos problemas o experiencias devastadoras pueden ser utilizados para hacer la seguridad algo más próximo y una preocupación personal para empleados o para quienes se relacionen con la empresa. Cuando los individuos comienzan a percibir que las prácticas de seguridad son una herramienta esencial que puede proteger sus propios intereses así como los activos de la compañía, es el momento en el que empiezan a tomar las acciones necesarias para mantenerse ellos y a sus empresas a salvo.
Sin dudas, el mundo ha cambiado en muy pocos años, y es responsabilidad de las organizaciones de seguridad de la información asegurarse de que sus compañías están protegidas de riesgos internos y externos. Al mismo tiempo, estas organizaciones están experimentando recortes de personal y restricciones de presupuesto. Claramente, la seguridad nunca ha sido un gran imperativo o reto.
En este clima tan complejo, las organizaciones de seguridad de la información más exitosas aprovecharán la oportunidad de desarrollar una asociación con los propios empleados, partners, y otros individuos relevantes dentro de la empresa. Comunicando de manera clara y honesta, proporcionando datos, y personalizando el mensaje, las organizaciones de seguridad de la información liderarán el cambio que sus compañías necesitan.
Si cada empleado dentro de cada unidad de negocio sigue las prácticas informáticas, ayudará a mantener segura su compañía. Esta fuerza de trabajo bien equipada, vigilante y altamente motivada creará un sistema de protección que calará en toda la empresa y salvaguardará el presente y el futuro de la empresa.
Gabriel Martín, Director General de Symantec para España y Portugal
La seguridad de la Base de Datos en la estrategia de protección global
La mayoría de las empresas se imaginan la “seguridad informática” como un sofisticado “dique” virtual, que nos protege de cualquier intrusión externa. Se trata de un complejo entramado de sistemas de protección, cuyo mantenimiento y evolución causa continuos quebraderos de cabeza a los responsables informáticos de cada organización.
La creciente dependencia de los negocios de sus infraestructuras informáticas y la popularización de Internet, han hecho que en los últimos años, las compañías aborden inversiones millonarias para proteger su información. La mayor parte de estas inversiones, eso sí, han sido destinadas a la adquisición y despliegue de sistemas de seguridad perimetral (firewalls, sistemas antivirus a varios niveles, etc.).
Aunque se ha avanzado mucho en los medios para la recopilación y tratamiento de información, los datos más importantes para el negocio (como su información financiera y de operaciones, datos de clientes, empleados, etc.) siguen almacenados en las propias bases de datos empresariales. Si la pregunta es si estos datos están suficientemente protegidos con un conjunto de sistemas de seguridad perimetral, la respuesta es claramente “no”. La razón para ello es que estos últimos sistemas, muy eficaces en su ámbito, se enfocan principalmente en la neutralización de las amenazas externas, pero no siempre toman en consideración las posibles brechas de seguridad internas u otra serie de dimensiones que hay que tener en cuenta para garantizar la inviolabilidad de una información vital para la supervivencia de los negocios.
Uno de los principales retos en las estrategias empresariales de seguridad hoy viene dado, de este modo, por la necesidad de combinar una protección perimetral efectiva con el establecimiento de barreras lo más cerca posible del propio dato, un objetivo que sí cumplen los controles de seguridad configurados en la propia base de datos.
Antonio Soto, Director General de Solid Quality Mentors en España
Mejoras de seguridad sin inversión adicional
Las principales características de la seguridad que se deben atender en una base de datos hacen referencia a su confidencialidad, integridad y a la disponibilidad de la información almacenada. El proceso de confidencialidad consiste en asegurar que únicamente los usuarios autorizados pueden acceder a la información, y para realizar las tareas para las que han sido autorizados. Y para ello, se utilizan mecanismos de autenticación y autorización presentes en cualquier sistema de almacenamiento de la información.
Habitualmente, sin embargo, la seguridad que establecen una gran parte de los aplicativos utilizados hoy en las empresas, no se gestiona a nivel de la base de datos, sino al nivel del aplicativo en sí o incluso desde unos niveles aún más alejados del propio dato al que hay que proteger. Un ejemplo de ello lo ofrecen muchos de los ERPs actuales, que establecen múltiples filtros para controlar el acceso a la información, pero siempre desde la aplicación y nunca desde la propia base de datos. Se trata de una protección efectiva, de realizarse el acceso al dato siempre a través de la aplicación, pero que resulta inservible cuando a estos mismos datos almacenados se accede desde otra fuente, como por ejemplo, desde una hoja de cálculo.
Si en el pasado los accesos a la información desde diversas fuentes no eran tan frecuentes, hoy son cada vez más habituales debido a los esfuerzos de las organizaciones por innovar en el análisis de su información. En estos casos, una estrategia de seguridad establecida sólo al nivel de la aplicación podría dejar a la base de datos totalmente desprotegida.
Por tanto, está empezando a ser urgente que las organizaciones lleven a cabo el esfuerzo necesario para garantizar no sólo su seguridad perimetral y en la capa de las aplicaciones empresariales, sino también de establecer controles de acceso en las propias bases de datos. Así se consigue garantizar la confidencialidad de la información sin importar la fuente o la herramienta de acceso.
El establecimiento de unos controles de seguridad efectivos en la propia base de datos no exige inversión adicional, ni tampoco la adquisición de una nueva herramienta informática. Se trata, simplemente, de aprovechar mejor las capacidades que ya están presentes en el motor de las bases. Así pues, las organizaciones interesadas en alcanzar este nivel de seguridad, necesitan auditar la protección y solidez de sus bases, para identificar las acciones necesarias y establecer a continuación los procedimientos de protección más adecuados. En los casos en los que la propia organización no disponga internamente de esta experiencia, siempre podrá solicitar la ayuda de un experto.
A modo de resumen, en el diseño de cualquier sistema de información, ya sea una base de datos transaccional, un sistema de inteligencia de negocios o minería datos o un portal de gestión documental, la consideración de la seguridad debe estar presente desde el primer minuto. En este entorno, el establecimiento de controles de seguridad “pegados” al propio dato deben considerarse como un complemento obligado de cualquier sistema de protección perimetral o de aplicación. El resultado será la obtención de una estrategia de protección más efectiva en todos los frentes.