SEGURIDAD INFORMÁTICA
El “enemigo” está adentro
En 2012 se detectaron más de 47 mil incidentes de seguridad, de los cuales más de dos tercios corresponden a ataques que provienen desde dentro de las organizaciones. Cabe preguntarse entonces si su negocio es seguro. La respuesta: es clave una estrategia de seguridad que pueda controlar estos riesgos.
De acuerdo al “Reporte de 2013 sobre Investigaciones en Vulneración de Datos” en 2012 se detectaron más de 47 mil incidentes de seguridad, 621 divulgaciones de datos y al menos 44 millones de registros de datos comprometidos. Si bien éstas son cifras significativas, solo revelan una realidad ya conocida; lo que sí podría ser más sorprendente es que un 69% de estos incidentes fue resultado de ataques que provienen desde adentro de la organización (2013 Verizon Data Breach Investigations Report).
Para Marcelo Zanotti, Socio de Consultoría en Gestión y Tecnología de EY (ex Ernst& Young), en general, tendemos a pensar que el enemigo está afuera y que recibiremos ataques o robos de información desde el exterior, pero las amenazas internas son más comunes de lo que se suele creer. De hecho, según el último estudio de esta consultora, “Encuesta de Seguridad de la Información en Chile”, entre las amenazas y vulnerabilidades que han aumentado en los últimos 12 meses, figuran en primer lugar, con casi el 80% de las menciones, los empleados descuidados o no concientizados. Otras estadísticas, como las de CBI Security de 2012, confirman esta situación, indicando que el 79% de los ataques informáticos en una organización se origina internamente.
En opinión de Ricardo Urbina, Oficial de Seguridad de la Información de Grupo Elecmetal, “las amenazas internas son un ítem relevante, sobre todo cuando los procesos productivos tienen cada vez mayor dependencia de las TIC, en particular cuando la red que soporta el proceso productivo ya no está aislada de la red de los usuarios”. Al estar éstas interconectadas, se habilita una puerta de acceso para que los códigos maliciosos logren su objetivo.
Para Daniel Hernández Galán, Oficial de Seguridad de la Información de Inacap, estas amenazas se deben principalmente a “sistemas poco robustos, infraestructura insuficiente de TI, personal no alineado con la organización o falta de normativa y procedimientos claros”. “De ahí que sea importante que las empresas o instituciones puedan contar, por ejemplo, con control de acceso, análisis de vulnerabilidad o control de pérdida de información, entre otros”, enfatiza Kenneth Daniels, Gerente General de Widefense.
Una amenaza silenciosa Marcelo Zanotti, EY. Ricardo Urbina, GRUPO ELECMETAL. Daniel Hernández Galán, INACAP. Kenneth Daniels, WIDEFENSE.
Según el informe del Foro Mundial para la respuesta de incidentes, el año pasado 6 de los 10 tipos de incidentes que más impacto tuvieron están relacionados con fallas en la seguridad interna, y de éstos los cuatro incidentes principales fueron: mal uso de palabras clave; envío de datos confidenciales por medios no seguros; control de acceso a redes Wi-Fi; y envío de información sensible vía Bluetooth. Y es que la realidad está llena de ejemplos: “Existen casos como en los que un empleado abre un correo que no debe abrir e infecta toda la red de la empresa o que alguien graba información confidencial en un pendrive y luego lo pierde, etc”, explica el ejecutivo de EY.
Generalmente es una amenaza silenciosa, porque al provenir desde adentro, muchas veces pasa desapercibida para las empresas, y tendencias como la consumerización TI y BYOD (Bring Your Own Device) no hacen más que potenciarla. Si consideramos que, de acuerdo al proveedor WiFiiPass, 7 de cada 10 trabajadores de todo el mundo ya utilizan sus propios dispositivos móviles (smartphones y tablets) para sus tareas laborales, queda claro que el volumen de equipos personales que rondan en ambiente corporativo es enorme. Y la principal dificultad del BYOD, a juicio del ejecutivo de Widefense, “es mantener el control y la condición óptima de seguridad en los dispositivos que no son parte de las redes corporativas y que en esta nueva tendencia tienen acceso y hacen uso de recursos críticos y estratégicos del negocio”.
Entre las amenazas más frecuentes, agrega, están el malware, herramientas de robo de identidad, captura de comunicaciones (escritas y verbales), fuga de información y pérdida de control de acceso. Son riegos en varios ámbitos, explica el ejecutivo de Inacap, como por ejemplo en materia de disponibilidad, porque se debe atender una demanda no considerada en el dimensionamiento de la red, de otra forma, especialmente la red Wi-Fi, puede verse rápidamente saturada en cobertura, latencia y performance; y confidencialidad, porque al ser dispositivos heterogéneos (Android, iOS, BlackBerry, etc) es complejo aplicar reglas de control de fuga de información o de eliminación cuando los equipos se pierden y cuando no se puede controlar centralizadamente quién los usará o tendrá acceso a la información confidencial de la organización en éstos. Finalmente, dado que hay un parque de dispositivos no administrado, no hay un registro de la propiedad y responsabilidad de cada trabajador y sus equipos.
Prohibir no es la solución
El BYOD es una tendencia de la cual las empresas ya no pueden marginarse: “Uno de los errores comunes que cometen las instituciones es pensar que el BYOD no llegará a sus organizaciones. Sin embargo, al igual que la Web 2.0, es una tendencia que pronto será una necesidad”, comenta Kenneth Daniels. De hecho, datos de Gartner afirman que para 2017 la mitad de los directivos de empresas pedirá a sus empleados que lleven sus propios dispositivos al trabajo. Ante lo cual, “solo queda gestionar el riesgo que significa utilizar estas capacidades”, advierte Ricardo Urbina.
Es ante todos estos retos que la labor del CSO (Chief Security Officer) y CISO (Chief Information Security Officer) es clave. “Está demostrado que prohibir no sirve. Tarde o temprano las tendencias o nuevas tecnologías terminan imponiéndose, entonces el CISO debe adelantarse a estas tendencias y estar preparado para cuando el negocio lo pida”, precisa Marcelo Zanotti.
Los negocios están cambiando y la manera de ver la seguridad informática también se está transformando. Las organizaciones deben preguntarse qué está pasando en esta materia y no qué pasó, como sucedía antes. La irrupción de Twitter, Facebook y Youtube en el mundo de las organizaciones ha dificultado las tareas que tienen las personas encargadas de la seguridad informática. “Es por ello que el desafío se centra en aprender de lo que está sucediendo y no prohibirlo. Lo anterior implica tener la capacidad para analizar este escenario y almacenar muchos datos”, agrega el ejecutivo de Widefense.
Formulando una estrategia
La recomendación en este sentido es clara: establecer políticas y normativas bien definidas en materia de seguridad de la información, porque a juicio de los especialistas, los mayores riesgos en esta línea son los asociados a la falta de procedimientos y normativas, especialmente en la administración de recursos de TI y su tratamiento durante todo el ciclo de vida.
Una estrategia que, por una parte, debe estar alineada con la estrategia del negocio. “Si eso no se hace, muy probablemente irá siempre ‘por detrás’ del negocio, no llegando a cumplir nunca con las expectativas de los gerentes de la compañía. Si finalmente el CISO entiende que la estrategia de negocio es la que marca el norte, y define una estrategia de seguridad alineada con ésta, el CEO, el directorio y, en definitiva, todos, lo escucharán y conseguirá finalmente presupuesto para implementar sus iniciativas”, precisa el ejecutivo de EY.
Por otra parte, se trata de una estrategia que, en opinión de Kenneth Daniels, debe atender varias consideraciones. Primero, que la seguridad debe diseñarse en función del negocio, tomando en cuenta el entorno en el que se desarrolla. Segundo, está regida por la exigencia de cumplir normativas o adoptar buenas prácticas como requisito para participar en un mercado en particular, que permiten tener un norte claro y cuantificable de las acciones que deben tomarse para elevar la postura de seguridad; pueden, por ejemplo, involucrar un tiempo determinado de respuesta ante una contingencia que afecte la continuidad del negocio.
Tercero, debe definirse en función del riesgo. Esto implica hacer un diagnóstico inicial y mantener una medición continua del estado del arte de la seguridad y en función de esto definir las medidas correctivas de corto y mediano plazo, así como las condiciones preventivas que deben adoptarse. “Estos escenarios son complementarios y deben mantenerse todos en mente, sin embargo, adoptar uno como el foco permite poner énfasis en la frecuencia y celeridad de las actividades”, agrega.
Regla de oro
ISO27000 es uno de los modelos para gestionar la seguridad de la información más validados hoy. Ahora, en términos prácticos, la regla de oro, para el ejecutivo de Elecmetal, es que toda esta gestión debe ser en el contexto de proteger el negocio; toda definición debe ser tomada desde la alta gerencia, en base a las definiciones que el CSO propone, levantadas desde la realidad de los procesos del negocio, que deben ser aprobadas y respaldadas por la primera línea de la organización. “Un elemento fundamental para lograr esto es trabajar con RRHH en el proceso de difusión, dado que conoce la cultura organizacional y por tanto debe indicar cuál es la manera más efectiva de entregar información para que sea asimilada”, detalla.
Coincide con esto, Daniel Hernández Galán, para quien luego de identificar los procesos críticos de la industria que se deben proteger, es necesario analizar la cultura organizacional de la compañía: si es nacional o internacional, tamaño, nivel de jerarquización, etc. “Si es nacional, es probable que haya más desarrollo interno de sistemas y por lo tanto sea necesario reforzar las políticas de control de cambios; si es internacional, la infraestructura de comunicaciones será predominante con enlaces redundantes, canales seguros y encriptados en las sesiones de sincronización entre los equipos locales y corporativos”, indica.
Asimismo, a su juicio, “mientras más jerarquizada o disciplinada sea la compañía, los programas de sensibilización o evangelización de seguridad pueden ser más simples (instruccionales), mientras que en las organizaciones más planas y con mayor autonomía para sus trabajadores, los programas serán más complejos y persuasivos”.
