Las vulnerabilidades de las empresas en la era digital

 |   24 de agosto del 2015
Las vulnerabilidades de las empresas en la era digital

“No hay presencia digital inmune a los riesgos vinculados a ciber-ataques” destacan los especialistas, como lo demuestra el gran número de “brechas de seguridad” registradas durante 2014 dirigidas al comercio minorista, finanzas, entretenimiento y gobierno. El resguardo de la información es una de las mayores problemáticas que enfrentan en la actualidad los gerentes de IT, sobre todo si se tiene en cuenta que los consumidores son cada vez más exigentes en cuanto a la custodia de sus datos privados, a la vez que la producción de contenidos tales como imágenes, audio y video crece de manera exponencial. Sobre este desafío y las herramientas disponibles para hacerle frente consultamos a Carlos Said, Gerente de Tecnología de Druidics, empresa nacional dedicada a la consultoría tecnológica, quien nos brindó sus consideraciones.

 

Énfasis Logística: ¿Cuáles son las características principales de los ataques informáticos que sufren las compañías actualmente?


Carlos Said: Si bien hay algunos sectores que son más propensos que otros, cotidianamente se producen ataques informáticos en toda clase de industrias e instituciones: retail, gobierno, industrias de diversos rubros, etc. Los puntos de ataque comunes tienen que ver entre otros con las aplicaciones Web: “SQL injection”, “Cross-site scripting”, “Cross-site forgery”,  ataque a identidad digital, que suele estar asociado a un concepto técnico que se denomina “Rainbow Tables” (elemento esencial en el mundo del crackeo o descifrado de credenciales), y/o ataques de fuerza bruta. Todo sitio de Internet se muestra por medio de una aplicación Web y a través de ella se abre una puerta que genera vulnerabilidades, y el riesgo se incrementa  si se establece alguna clase de relación con otra empresa  vía Internet (transferencia de datos, pagos, despachos, órdenes, etc.) como sucede frecuentemente en la actividad logística.


En primer lugar las vulnerabilidades se registran a partir de la forma en que están construidas las aplicaciones que se encuentran en ejecución y/o, por errores en la configuración de los servicios y servidores que están relacionados con el funcionamiento de esas aplicaciones.El segundo punto tiene que ver con la “comunicación insegura”. Contra esto es necesaria la utilización de protocolos de encriptación de la comunicación, como por ejemplo SSL (Secure Sockets Layer), TLS (Transport Layer Security) y VPN (virtual prívate networks), que hacen que la información fluya encriptada y segura, haciendo difícil el apropiarse de ella durante su transmisión. Otro punto donde se producen vulnerabilidades es en el origen mismo de los datos, normalmente una PC o cualquier dispositivo móvil o fijo,  desde el cual se envía información. En el ámbito logístico se puede dar el caso de que a través de una Tablet o un celular se transmita información sobre los detalles del viaje de un camión (carga, destino, recorrido, etc.), y si estos dispositivos no están debidamente protegidos se vuelven un punto vulnerable. El uso de estos dispositivos móviles se relaciona con el concepto de las “fronteras difusas de una organización”, ya que antes una empresa estaba circunscripta a su espacio físico, a su centro de cómputos y a las computadoras que estaban dentro de la organización, mientras que en la actualidad, con la incorporación de la tecnología móvil, la frontera de la empresa se extiende al lugar donde se encuentren estos dispositivos funcionando. Estas fronteras difusas amplifican los riesgos y abren puertas a potenciales ataques.

 

É. L: ¿Cómo se puede proteger la información del negocio ante estas múltiples vulnerabilidades?


C. S: Lo primero que se debe analizar, por ejemplo para una organización logística, son las diversas “capas” o “niveles de protección” que presentan las operaciones. La primera de esas capas está conformada por el núcleo de los datos, el lugar donde estos se encuentran almacenados. A partir de ahí se encuentra otra capa de seguridad que tiene que ver con la infraestructura: servidores, puestos de trabajo, etc. Por sobre esta última está la capa relacionada con la seguridad de las aplicaciones y, en una capa superior, se encuentran las técnicas de programación que permiten escribir aplicaciones seguras. En el siguiente nivel llegamos al mundo de Internet y la capacidad de expandirse hacia el exterior, aquí aparece lo que se denomina seguridad perimetral: IPS (Intrusion Prevention System) o los Firewall de las aplicaciones. Por sobre éstas se ubica específicamente la capa de Internet, donde se habla de seguridad de los “Balanceadores de Carga” (dispositivo de hardware o software que se pone al frente de un conjunto de servidores que atienden una aplicación y, tal como su nombre lo indica, asigna o balancea las solicitudes que llegan de los clientes a los servidores usando algún algoritmo). Finalmente, por sobre todas las capas anteriores, están los accesos desde fuera de la organización, la seguridad de los Browsers (navegadores de Internet) desde los cuales se accede a las aplicaciones, y la seguridad de todos los dispositivos móviles que van a acceder al núcleo de información.Todo el tráfico de información de punta a punta debería viajar seguro utilizando “certificados de encripción”, que garanticen que desde del origen hasta el fin de la comunicación los datos no estén sujetos a ninguna clase de ataque.

 

É. L: ¿Es posible controlar y asegurar todo el tráfico de información de una compañía?


C. S:
Sí es posible minimizar el riesgo  y debería hacerse, a pesar de que un porcentaje alto de las industrias y empresas en Argentina no han desarrollado un plan de seguridad integral. Algunas actúan de manera reactiva, una vez que han registrado un evento o pérdida, pero en general no están muy enfocadas en una estrategia que proteja todas esas capas a las que hacemos referencia, salvo en algunos sectores muy específicos como el financiero,  el bancario o las empresa de telecomunicaciones e ISPs.

 

É. L: En logística se utilizan sistemas que buscan optimizar las operaciones compartiendo información con clientes y proveedores para, por ejemplo, actualizar stocks o generar pedidos, ¿qué exigencias se les debería hacer a los proveedores de estas soluciones para verificar la seguridad de las mismas?


C. S: Las relaciones entre pares, clientes o proveedores, suelen denominarse “B2B” (negocio a negocio) o “B2C” (negocio a consumidor). Cuando dos puntas se comunican, como en el caso de una empresa de logística que permitiese o fuera a permitir que otro se conectepara obtener información de negocio, lo primero que se debe hacer es garantizar que las aplicaciones que están en uso en las dos puntas son seguras. Para ello hay que someterlas a una serie de procesos de testeo, los que deben garantizar que las mismas no presentan vulnerabilidades. Una vez hecho esto el siguiente paso es garantizar que el túnel o camino que va a transitar la información también sea seguro. De esa forma ya se verifica que la información que viaja lo hace de forma segura y que quienes la envían y reciben lo hacen de la misma forma.


El siguiente paso tiene que ver con la gestión de identidades o la identificación de credenciales. Esto se relaciona con la autenticación de los extremos de la comunicación y, por otro lado, con educar a las organizaciones en términos de lo que significa la seguridad de la información y la ingeniería social. Muchos de los ataque se gestan o se producen porque los miembros de la organización no están educados en términos de lo que es la seguridad y la vulnerabilidad de la información.

En resumen:


• Educar a los miembros de la organización en términos de lo que se define como Ingeniería social.
• Aplicar técnicas adecuadas de gestión de la identificación.
• Utilizar aplicaciones seguras.
• Concebir un camino de transporte de la información que también sea seguro.
• Encriptación de datos en tránsito y en ‘reposo’.

 

É. L: ¿Es posible detectar intrusiones tiempo después de que éstas ocurrieron?

C. S: Sí, de hecho hay técnicas de “Forensia digital” que permiten realizar este análisis. Aquellas empresas que no disponen de técnicos ni recursos para monitorear la seguridad de forma sistemática y reaccionar de forma inmediata, lo que al menos deberían hacer es recolectar lo que se denominan “Logs”, para tener trazabilidad de lo que ha ocurrido ante un hecho concreto de inseguridad. Una vez que se tiene la trazabilidad, si bien lo ideal es reaccionar en el momento, contar con esa información puede permitir, a través de un análisis forense digital, llegar a las raíces y constatar cómo se originó la intrusión e, inclusive, poder hacer una prosecución legal si fuera necesario.

 

É. L: ¿Cómo se actúa ante las constantes innovaciones que surgen en cuanto a las modalidades delictivas informáticas?


C. S: Los riesgos de seguridad son completamente evolutivos, al igual que la tecnología. De hecho cada vez que se lanza un celular nuevo o un sistema operativo se puede encontrar en Internet información sobre las vulnerabilidades que se han descubierto, de forma casi inmediata, en esas plataformas. Esto conlleva la necesidad de estar actualizado constantemente. Si una organización se congela en el tiempo, confiada en que se encuentra en un estadio de seguridad determinado y no realiza una evaluación constante, será sujeto de alguna clase de vulnerabilidad y ataque específico.

 

É. L: ¿Existe información estadística sobre la cantidad de ataques que sufre el mercado local?


C. S:
En general a nivel mundial existen estadísticas confiables y es en base a esta información que se construyen las estrategias defensivas. En cambio en Argentina generalmente no se publican los “Exploit” (uso o ataque sobre una vulnerabilidad) por distintas razones, pero básicamente por una cuestión cultural y porque no existe una obligación legal de informar sobre debilidades y posibles fugas de datos. En Estados Unidos hay marcos regulatorios que obligan a que si una empresa u organización es consciente de que sus datos han sido vulnerados debe comunicárselo a todos aquellos que tienen información personal dentro de la misma. Esto hace que las empresas se sientan obligadas a proteger la información ya que, de no hacerlo, el costo de informar a todos los potenciales afectados por el hecho es tan grande que justifica en la mayoría de los casos realizar la inversión en protección antes decorrer riesgos. En Argentina no existe una regulación como esta, sí hay una ley de protección de datos personales pero, en mi experiencia, la he visto aplicada pocas veces. Según la misma todas las organizaciones que tienen custodia de datos personales tienen que cumplir con una cantidad de marcos regulatorios, pero en realidad es todavía muy incipiente este tema en el país. La brecha entre el mundo legislativo y el mundo digital es creciente, ya que la lentitud con la que se procesa el marco legal en Argentina frente a la realidad tecnológica es muy grande. Esto genera un espacio de duda y potenciales litigios cuando se producen incidentes.

 

É. L: ¿Qué nivel de inversión demanda la implementación de un plan integral de seguridad informática?


C. S:
Las inversiones pueden ser sustanciales pero también ser accesibles para una empresa mediana. El porqué las empresas de cierto tamaño no lo hacen se explica porque la seguridad no se percibe con el costo económico que trae aparejado, por eso finalmente prefieren invertir en su negocio y no en seguridad. De todas formas tiendo a pensar que la evolución en este tema se va a dar de la mano de la necesidad, somos hijos del rigor. El día que una empresa sufra una fuga de datos, o algún empleado que se va enojado se lleve información contable o de operaciones, esa compañía tomará conciencia de la importancia del esquema de protección de datos y, en su momento, invertirá los recursos que sean necesarios.Toda organización debería buscar alguna clase de consultoría para conocer qué es lo más adecuado de acuerdo con su industria particular. Hay soluciones de bajo costo y las hay de muy grandes costos, pero tener un diagnóstico de las potenciales debilidades es algo que todas las organizaciones deberían hacer para luego tomar una decisión. Hoy el mundo es digital y las empresas lo son cada vez más.

 

(*) Redacción Énfasis Logística Sudamérica.

https://www.skynde.com/

Marcela Vincenti

Licenciada en Periodismo y Comunicaciones. Organizadora de eventos. Especialista en la industria logística y alimentaria. Cuenta con 17 años de experiencia en la gestión de contenidos y en la creación de estrategias editoriales.

Te podría interesar