La revolución tecnológica ha llegado, y desde hace ya un tiempo venimos siendo testigos de un importante proceso de penetración de la informática, la tecnología y los datos digitales en la vida cotidiana de las personas. Es una realidad que ya nadie cuestiona el hecho de que gran parte de nuestras actividades queden registradas en algún medio tecnológico: computadoras, cámaras digitales, dispositivos móviles y celulares, entre otros.
Las empresas no se encuentran fuera de este proceso. Es común que se usen computadoras, las cuales se encuentran interconectadas entre sí, con almacenamientos comunes entre diferentes empleados, conectados a internet, enviando correos (internos y externos). Gran cantidad de información de las empresas se encuentra compartida o accesible para distintos empleados, y siendo esta un activo clave debe ser resguardada y protegida para evitar fugas, filtraciones e incluso “hackeos”. En esto, la seguridad informática y de la información resulta crucial. Pero no siempre es una cuestión considerada de este modo por las empresas.
EL VALOR DE LA INFORMACIÓN
Es nuestra misión, como especialistas en seguridad, educar y crear conciencia sobre el uso de la información y la tecnología que hacen todos los integrantes de las organizaciones, para prevenir vulneraciones e inconvenientes mayores. Por eso es necesario que las empresas cuenten con planes de protección de la información, personal capacitado para el buen manejo de la misma y equipos resguardados. Contando con las tecnologías apropiadas, detectar una vulneración a los sistemas o la extracción de información es posible. Uno de los desafíos más complejos que sufren hoy las empresas es la posibilidad de ser hackeadas por profesionales, quienes no dejan rastro, y si los dejan son muy débiles. La información digital es muy fácil de eliminar o adulterar, por eso hay que tomar decisiones a tiempo y actuar en consecuencia. Lamentablemente es una realidad que muchas veces las empresas toman a la seguridad informática como un gasto y no como una inversión. Por eso es importante destacar que la información es uno de los activos más importantes con los que cuentan, sin importar el tamaño de la compañía ni el rubro de actividad. Debemos ser conscientes de que la tecnología ha ido evolucionando a un ritmo mucho más acelerado que la capacidad de las organizaciones de acompañar este proceso. Lo que evidencia un trabajo de adaptación por venir mucho más importante.
BYOD: UNA ALTERNATIVA SIEMPRE QUE HAYA SEGURIDAD
Una tendencia en alza en las empresas de estos tiempos es el BYOD (“Bring Your Own Device”). Se trata de permitir a los empleados la utilización de sus propios dispositivos tecnológicos con fines laborales, ya sea en la propia oficina o fuera de ella. De esta forma se puede acceder de manera remota a documentos e información sensible de la empresa, lo que significa una gran ventaja para el empleado. Pero, al mismo tiempo, implica un desafío para las organizaciones por la exposición de los equipos a malware y al riesgo de pérdida de datos por robo o infección de virus o software malicioso.
Si bien esta puede ser una alternativa para reducir gastos, la exposición de información sensible, potencialmente desprotegida y al acecho de quienes buscan hacerse de una gran cantidad de datos con fines delictivos, puede significar un costo altísimo.
Del mismo modo que esto puede convertirse en un riesgo para las empresas que no cuentan con sólidos planes para resguardar la seguridad de la información, la acumulación de información en la nube también puede volverse una amenaza si no se actúa a tiempo en este sentido. En definitiva, esto no hace más que dejar al descubierto la necesidad de que las empresas cuenten con planes de protección de la información que permitan contener incidentes y prevenir potenciales ataques. Así como personal especializado y los recursos operativos necesarios para dar respuesta ante estos eventos. Aun así, creemos importante recordar que contar con dispositivos protegidos adecuadamente ayuda a la seguridad general de las empresas. Para esto, recomendamos:
• Contar con una conexión segura y tratar de evitar las redes inalámbricas públicas, dado que cualquiera puede acceder a los datos del tráfico del dispositivo si la conexión no se encuentra encriptada. Para las redes domésticas, sugerimos cambiar la contraseña suministrada por defecto y utilizar una compuesta por combinación de letras y números, así como modificarla cada tanto. También, recomendamos cambiar el nombre de la red wifi.
• Mantener los dispositivos actualizados ayuda a potenciar la seguridad. Probablemente, las nuevas versiones incluyan una protección adicional o colaboren a mejorarla.
• Contar con un antivirus confiable tanto en los dispositivos móviles como en los equipos informáticos.
• De ser posible, utilizar un correo electrónico encriptado. Actualmente, se encuentra una variedad de opciones muy interesantes, en su mayoría del mundo del software libre.
• Usar todos los filtros y servicios de seguridad que ofrecen las distintas herramientas y sistemas de Internet.
• Tener especial cuidado con pendrives o memorias externas. Son los elementos que pueden transmitir más fácilmente virus o vulnerar la seguridad de la red de la empresa.
CÓMO PROTEGER LA INFORMACIÓN
Las empresas pueden tener en cuenta algunas buenas prácticas que las ayuden a resguardar su información. Éstas funcionan muchas veces como pasos a seguir para mantener protegidos y seguros sus datos sensibles.
“Penetration test” es una modalidad en ascenso entre las estrategias implementadas en las corporaciones para conocer el nivel de seguridad de las empresas. Utilizando procedimientos metodológicos y sistemáticos, se trata de simular un ataque real al sistema informático con el fin detectar vulnerabilidades en la infraestructura tecnológica y penetrar en la seguridad, como lo haría un verdadero intruso.
Las pruebas de penetración pueden realizarse, como comúnmente se llama, sobre una “caja blanca”, esto significa que la empresa ofrece toda la información de fondo y de sistema, o bien sobre un “caja negra”, en donde no se proporciona información excepto el nombre de la empresa. También, consisten en evaluar al personal de la empresa para ver cómo es su desempeño ante el ataque simulado. Estas prácticas suelen ser muy efectivas, ya que a partir de ellas los especialistas en seguridad informática que llevan a cabo el “test” obtienen resultados sustanciales que les permitirán evaluar, junto a la empresa, los impactos potenciales que tiene y sugerir medidas para reducir los riesgos y vulneraciones.
Sistema de gestión de la Información: Resulta muy útil el establecimiento e implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001. Éste contempla un conjunto de políticas para la administración eficiente de la información. Algunos aspectos que plantea son:
• Cuestiones administrativas: Se refiere a la asignación de responsabilidades.
• Gestión de activos: Contempla los lineamientos para la gestión de activos, incluye el inventario, entre otros.
• Los recursos humanos y la seguridad de la información: Es uno de los principales aspectos a tener en cuenta para la seguridad de la información.
• Seguridad física: Contempla la definición de perímetros de la seguridad física y los controles físicos de entrada.
• Gestión de comunicaciones: Se trata de las responsabilidades y procedimientos de operación, servicios, etc.
• Control de acceso: Implica la gestión de accesos de usuarios, los controles de acceso a la red, al sistema operativo, a las aplicaciones, la información, etc.
• Gestión de sistemas de información: Tiene que ver con los requisitos de seguridad de los sistemas de información.
• Gestión de incidentes: Se trata de la notificación de eventos y puntos débiles de la seguridad de la información, los procedimientos y responsabilidades.
• Continuidad del negocio: Aspectos que se deberían tener en cuenta en la gestión de la continuidad del negocio, en un posible escenario de desastre.
• Requisitos legales: Tiene que ver con el cumplimiento de los requisitos legales, políticas y normas de seguridad.
(*) Los autores son Especialistas en Seguridad Informática – Socios del Estudio CySI de Informática Forense.