La seguridad al rojo vivo

Los dispositivos móviles de las empresas están en el ojo de la tormenta de amenazas. La simple protección no alcanza; se trata de buscar soluciones integrales para la convergencia digital del negocio. La experiencia de empresas.

Las compañías gastan sumas considerables para limpiar los daños causados por el malware. Una encuesta de la firma de seguridad Symantec, en la que participaron empresas entre 5 y 5.000 empleados, en el Sur de América latina, revela que el costo promedio anual, de los incidentes de seguridad relacionados con la movilidad a nivel empresarial es de u$s 139.000. La cifra deja en evidencia la preocupación entre los Chief Information Officers (CIO) y Chief Information Security Officers (CISO).
Desde que llegaron los smartphones a la vida corporativa, el foco está puesto en sus sistemas operativos emergentes. De hecho, la actividad de la ciberdelincuencia a nivel global crece cada año sin importar quién tiene enfrente y ya incluye a las compañías más chicas, hasta ahora en cierto grado preservadas del peligro por su menor peso económico.
Las empresas no sólo gastan para eliminar el malware, sino que también tienen costos de productividad: pérdida de datos, investigación y gestión post-incidentes", aclara Pekka Usva, vicepresidente de Seguridad Corporativa del proveedor de soluciones de seguridad informática F-Secure.
Para aquellas compañías que cuentan con hasta 50 empleados, la mayor preocupación es el malware. En tanto, entre las de 51 y 200 empleados, la preocupación pasa por la explotación de vulnerabilidades que sobrepasa al malware. Luego, en este mismo segmento, le siguen el fraude, phishing (el robo de datos personales) y, finalmente, los ataques por denegación de servicio (DDOS, por sus siglas en inglés) completando las cinco preocupaciones más importantes a nivel corporativo hoy en día en América latina, detalla el informe ESET Security Report 2013.
Para Raphael Labaca Castro, coordinador de Awareness & Research para ESET Latinoamérica, los atacantes buscan afectar la información más sensible de los usuarios y empresas, independientemente del área a la que corresponda. Las altas gerencias, Contabilidad, Marketing y Ventas son potenciales blancos corporativos debido al impacto que puede representar para la empresa la pérdida de esa información, detalla.

Seguridad: el desafío
Diego Marsili, Head of IT de la firma de indumentaria Rapsodia, reconoce que la seguridad es un tema prioritario en la agenda de Sistemas. No hemos sufrido ataques en nuestro parque tecnológico pero hemos estado sujetos a incidentes de seguridad en proveedores externos, que nos brindan servicios globales en la nube.
Aún cuando fueran eventuales, la empresa implementó un control exhaustivo sobre los dispositivos, firewalls, enlaces MPLS, Antivirus centralizados, VPNs (client to site y site to site), certificados digitales, proxys y VLANs departamentales también asociadas a los diferentes canales de acceso. Por ello, se eligieron las plataformas provistas por ESET. En este momento, nos encontramos probando un DLP, pensando en analizar cuán sensible es la información que viaja desde y hacia la compañía, indica Marsili.
El ejecutivo reslata que hoy, la puerta de atrás que debemos controlar son los usuarios móviles, los cuales deben ser concientizados. En ese sentido, agrega, las empresas deberán hacer su aporte para administrarlos. Las soluciones de tipo MDM (gestión de dispositivos móviles) son una realidad y las tenemos entre nuestros proyectos 2013/14. También trabajamos en reducción de superficies expuestas a ataques, protección en los puntos, bloqueo de filtraciones y ataques y, por último, en productividad y continuidad operacional".
Marcelo Roitman, director de Administración y Tecnología de ManpowerGroup, cuenta la experiencia de la empresa de reclutamiento de personal online en su filial local, donde alberga a 600 empleados. En los últimos años, hubo virus, malwares, troyanos en PCs y notebooks. Por ello, hemos adoptado políticas de seguridad respecto a contraseñas y antivirus, actualizaciones de seguridad de sistemas operativos, comenta el ejecutivo de la firma que, en todo el mundo, emplea a 31.000 personas y que factura u$s 1.330 millones (datos 2012). En la Argentina, Manpower cuenta con un parque tecnológico que incluye servidores físicos a virtuales, 300 computadoras de escritorio y 300 notebooks y 200 teléfonos inteligentes. Actualmente, estamos por implementar la encriptación de todos los equipos portátiles. En smartphones, implementamos el bloqueo de los equipos y el cifrado de los mismos. En todos los casos, no se permite la instalación de software por parte de los usuarios, indica Roitman. Para el control de antivirus y otros, la compañía utiliza productos corporativos de McAfee, que viene utilizando hace varios años.
Canal7 TV Pública es otra de las organizaciones que incrementa su trabajo en seguridad. Hoy, cuenta con 410 PCs de escritorio y 40 notebooks, y aproximadamente 250 impresoras. En la década de los 80, comenzaron a informatizarse con equipos de Texas Instruments, y, luego, incorporaron nuevos equipos Mac y Windows. Si bien sostienen que no detectaron ataques, en el último tiempo, adoptaron un armado que se centra en firewalls, antimalware, antivirus y políticas de restricciones, como protección de bases de datos e información almacenada en los file server de ESET.
Héctor Horacio Figueroa, responsable del área de Sistemas de la entidad, comenta: La principal preocupación este año está enfocada al malware, troyanos y virus, dado que, por el trabajo que realizan las producciones acceden a infinidad de páginas, lo que trae aparejado posibilidad de infecciones. No hay filtración de información ni robos o pérdidas.
No obstante, ante el peligro a las perdidas, las entidades bancarias son las que están más atentas al escenario actual del cibercrimen. Rodrigo Sabella, gerente de Seguridad Informática de Banco de Valores (BdV), comenta que: La inversión en actualización tecnológica y la implementación de nuevas tecnologías ha sido estratégica en los últimos cinco años para la entidad, acompañando las necesidades del negocio en materia de nuevos servicios con mayores niveles de confiabilidad y seguridad. El ejecutivo indica que la adecuación a las fuertes y crecientes regulaciones del sector ha sido un móvil clave en las inversiones en infraestructura tecnológica y seguridad de la información.
Por ello, la empresa se abocó en los últimos años a los sistemas y controles de alerta en tiempo real y de prevención con soluciones como Endpoint Protection Suite y Endpoint Encryption (McAfee), Security Manager y Secure Configuration Manager (NetIQ) y para virtualización (VMware). Las medidas que se han ido adoptando, fueron principalmente, de adecuación de normativa, de implementación de mejoras en los controles de seguridad, acompañando los nuevos desafíos generados por la implementación de nuevas tecnologías, como por ejemplo la virtualización de la infraestructura tecnológica", explica Sabella.

reas críticas,
soluciones prácticas
En cuanto al tipo de protección utilizada, la encuesta de ESET muestra que el foco se centra en la protección de datos e información, según reveló el 86% de las empresas. En segundo lugar, figura el firewall para proteger la infraestructura tecnológica, que es utilizado por un 79% de las firmas. Ante esta sensibilidad manifiesta, sorprende que sólo el 17% de los encuestados hace uso del cifrado para impedir el acceso de terceros a su información sensible.
Ignacio Conti, gerente Regional para el Cono Sur en Blue Coat Systems, la empresa de soluciones tecnológicas, plantea las dificultades que este tipo de distribución de esfuerzos genera: La exposición a ataques o a errores involuntarios por parte de los usuarios requiere una aproximación integral e híbrida (hardware, software y servicios en la nube) para ofrecer una sensación de seguridad que facilite y permita las iniciativas de negocio", dice.
En esa sintonía, Alejandro Mitaritonna, director de Khu Technologies, aconseja que debemos considerar la seguridad de los dispositivos móviles de forma global, pensando qué hay que hacer si desaparece un dispositivo.
Elo requiere de un cambio de enfoque de parte de los encargados de seguridad. Diego Malpica Chauvet, gerente de Innovación y Tecnologías Abiertas de la consultora internacional Praxis en México, comenta las barreras que todavía tienen muchas empresas al respecto: Desafortunadamente hay dos problemas que impiden la toma de conciencia: la enorme cantidad de ataques, lo cual hace muy común estar bajo ataque, y una falsa percepción de seguridad, donde las vulnerabilidades son explotadas sin que las empresas afectadas se den cuenta.
Al respecto, Matías Nahón, Associate Managing Director de Kroll Argentina, opina que en la Argentina, la inversión en prevención es percibida como un gasto y no como una inversión. Se actúa más reactivamente que proactivamente en la mayoría de los casos.
Entre las soluciones más vigentes en la actualidad, Conti identifica: La proliferación de dispositivos móviles, da lugar a la implantación de soluciones tipo Mobile Device Management (MDM, por sus siglas en inglés). Estas son muy buenas para proteger el activo, bloquearlo y definir qué se puede y qué no se puede instalar. Sin embargo, no alcanzan para ofrecer una efectiva protección de la información del dispositivo, pues dejan abierta la puerta más peligrosa hoy en día: la navegación web. Para tapar esa brecha, es necesario combinar las soluciones de gestión de activos (MDM) con servicios de seguridad en la nube".
El gran desafío a futuro pasa así por la integración de sistemas. Desde la seguridad física, lógica hasta la social. El aspecto cultural es crucial, comenta Cristian Rojas, director Global IT de GlobalLogic. Según su experiencia, las empresas donde se desarrollan programas de capacitación en estos aspectos tecnológicos y hasta legales tienen menos chances de exponer información sin motivo o por descuido.
Es importante que no solamente se piense en tecnología. La gestión de los activos es fundamental y, para ello, la creación de un área que maneje la seguridad en la compañía o una persona designada como CISO, resume Labaca Castro. De esta forma, se puede gestionar la seguridad de forma independiente a cualquier área en la compañía y protegerse contra el creciente nivel de amenazas.

Noticias del día