¿QUE TAN SEGURA ES TU EMPRESA?

21 de enero del 2007 | por Andrea Ramírez Riestra

· El 49% de las empresas subcontrata toda la seguridad de red como un servicio administrado y el 47 % manejan la seguridad de red dentro de sus oficinas.

En términos generales, la seguridad puede entenderse como aquella actividad destinada a prevenir, proteger y resguardar la Información; en especial la que es considerada como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.

De acuerdo a un estudio de Select, el 59% de las PC´s instaladas en México están conectadas a Internet de las cuales 5,075,192 pertenecen al sector empresarial.

«Es necesario garantizar que la Información así como los recursos informáticos de una empresa, estén disponibles para cumplir sus propósitos, es decir, que no estén dañados, alterados por circunstancias o factores externos». Asevero Carlos Soni, Director de Soluciones al Cliente de EMC.

En este sentido, la Información es el elemento principal a proteger, resguardar y recuperar dentro de las empresas.

De acuerdo a estadísticas de la consultora internacional Frost & Sullivan, el 90% de las empresas de Latinoamérica sufren de ataques informáticos, Ecuador no se escapa de dichos siniestros, sin embargo, no posee estadísticas, pues no a todas las empresas del sistema les interesa dar a conocer que han sufrido robos de Información.

¿Por qué es importante la seguridad dentro de las empresas?

Por ejemplo, en México, como en el mundo entero, los medios electrónicos han revelado que fraudes como el «Phishing» van en constante aumento. De acuerdo a mediciones de RSA el número de ataques en el mundo de «Phishing» ha crecido 41% en el último año y el número de marcas atacadas por mes ha aumentado 135% en el mismo periodo. Esta modalidad de fraude consiste en que criminales electrónicos (que no virtuales), hacen una invitación para que un usuario entre en una página falsa y revele sus datos confidenciales, los
cuales son luego utilizados en contra del patrimonio de éste.

«Los Hackers pueden, incluso, formar parte del personal administrativo o de sistemas de cualquier compañía; de acuerdo con expertos en el área, más de 70% de las violaciones e intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la Información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización». Comentó Carlos.

Asegurando a la gente, datos y la infraestructura de la Información

La seguridad en la Información es la relación entre la gente y datos. La infraestructura de la Información es aquella que une a la gente con los
datos, y por consiguiente juega un rol clave en la dirección de la seguridad de las interacciones entre los dos. Para asegurar a la gente, las organizaciones primero deben establecer y luego asegurar las identidades de la gente, usando la autenticación y la identidad para tener acceso a soluciones de dirección.

Es por ello que en este 2006, el mercado mexicano de software de seguridad alcanzaría un valor de 77 millones de dólares; esto es, un crecimiento de 18% con respecto a los 65 millones del año previo, según datos de la consultora IDC.

Sobre este argumento Carlos comenta que, «esta situación se presenta como consecuencia de los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas».

El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede
representar un daño con valor de miles o millones de dólares.

Amenazas y Vulnerabilidades

La vulnerabilidad es la exposición latente a un riesgo. En el área de informática, existen varios riesgos tales como: ataque de virus, códigos
maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de negación de servicio y amenazas combinadas; es decir, la integración de herramientas automáticas de «hackeo», accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos.

Específicamente, en los ataques de negación de servicio, el equipo de cómputo ya no es un blanco, es el medio a través del cual es posible afectar todo el entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web Site de la compañía. Con ello, es evidente que los riesgos están en la red, no en la PC.

Es por la existencia de un número importante de amenazas y riesgos, que la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración del riesgo.

Para ello, resulta importante establecer políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización de un respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos.

Las políticas deberán basarse en los siguientes pasos:

• Identificar y seleccionar lo que se debe proteger (Información sensible).
• Establecer niveles de prioridad e importancia sobre esta Información.
• Conocer las consecuencias que traería a la compañía, en lo que se refiere a costos y productividad, la pérdida de datos sensibles.
• Identificar las amenazas, así como los niveles de vulnerabilidad de la red.
• Realizar un análisis de costos en la prevención y recuperación de la información, en caso de sufrir un ataque y perderla.
• Implementar respuesta a incidentes y recuperación para disminuir el impacto.

Este tipo de políticas permitirá desplegar una arquitectura de seguridad basada en soluciones tecnológicas, así como el desarrollo de un plan de
acción para el manejo de incidentes y recuperación para disminuir el impacto, ya que previamente habremos identificado y definido los sistemas y datos a proteger.

Es importante tomar en consideración que las amenazas no disminuirán y las vulnerabilidades no desaparecerán en su totalidad, por lo que los niveles de inversión en el área de seguridad en cualquier empresa, deberán ir acordes a la importancia de la Información en riesgo.

Así mismo, cada dispositivo que conforma la red empresarial necesita un nivel de seguridad apropiado y la administración del riesgo implica una protección multidimensional (firewalls, autenticación, antivirus, controles, políticas, procedimientos, análisis de vulnerabilidad, entre otros), y no únicamente tecnología.

Un esquema de seguridad empresarial contempla la seguridad física y lógica de una compañía. La primera se refiere a la protección contra robo o daño al personal, equipo e instalaciones de la empresa; y la segunda está relacionada con el tema que hoy nos ocupa: la protección a la Información, a través de una arquitectura de seguridad eficiente.

Esta última debe ser proactiva, integrar una serie de iniciativas para actuar de manera rápida y eficaz ante incidentes y recuperación de
Información, así como elementos para generar una cultura de seguridad dentro de la organización.

Soluciones de Tecnología

Mayor certificación de credenciales:

Estas soluciones permiten a las organizaciones usar la autenticación y las soluciones de tecnología deidentidad confiable ya sea dentro o fuera de la empresa, a través de una segura autenticación y administración de contraseñas.

Control de Acceso:

Permite a las organizaciones habilitar diversos grupos de personas para tener acceso a los recursos que ellos necesitan para conducir el negocio simultáneamente, asegurando aquellos recursos del acceso no autorizado.

Protección de Datos:

Para proteger datos en todas partes del ciclo de vida de la Información, las organizaciones deben reforzar sus tecnologías de cifrado y abordar el desafío del manejo de encriptar la Información.

Administración, Cumplimiento y Seguridad de la Información:

El compromiso de las organizaciones es de mejorar la seguridad y desarrollar sus esfuerzos,la carga de manejar los enormes volúmenes de Información de seguridad puede hacerse aplastante. A través de mecanismos centralizados para recaudar y auditar la Información la organización es capaz de proporcionar la seguridad y dar pruebas de ese cumplimiento.

Hardware y Software:

Desde el punto de vista de soluciones tecnológicas, una arquitectura de
seguridad lógica puede conformarse (dependiendo de los niveles de seguridad) por: software antivirus, herramientas de respaldo, de monitoreo de la infraestructura de red y enlaces de telecomunicaciones, firewalls, soluciones de autentificación y servicios de seguridad en línea; que informen al usuario sobre los virus más peligrosos y, a través de Internet, enviar la vacuna a todos los nodos de la red empresarial, por mencionar un ejemplo.