Portada de Videovigilancia y Seguridad TI

next
prev

Video Seguridad TI

hola

Otras Notas

Las preocupaciones en ciberseguridad: Una oportunidad para los profesionales

¿Cuál debería de ser su preocupación cuando habla de seguridad informática para una empresa? No es la primera vez que se enfrenta al dilema.

Iniciemos por decir que sus clientes quieren tener confiabilidad en su operación, ante los que consideran fantasmas informáticos. Pero entre más buscan el “código-malicioso-ectoplásmico”, más se dan cuenta que no dejan rastros – dudando inclusive de la existencia y por tanto de la adquisición de soluciones, llegando al punto de rebajar su propuesta a cuija exorcista. Así que el caso, si de por sí ya era difícil, ahora se vuelve extremo.

Y replantea la pregunta en su anteproyecto sobre dejar que roben una o dos patentes para que en efecto se convenza el interesado de que no sólo las amenazas existen, sino que pueden convertirse en verdaderos quebrantos financiaros para los afectados. Mientras, en el otro hombro, sale su “Pepe Grillo” aconsejando sabiamente sobre las pruebas de concepto y reportes analíticos. Técnicamente ha logrado volver al cause deseado; pero hacia dónde apuntar las estrategias.

“Si nos vamos a la base, (la seguridad) habla de confidencialidad e integridad de la información. A todas las compañías lo que les preocupa es preservar y proteger esos atributos; que no estén expuestos a perderlos. Ahí los profesionales tienen mucho que aportar a las empresas y es donde se requiere mayor conocimiento y aprendizaje en general. La seguridad debe considerarse como una de las primeras áreas en la empresa”, indicó Salomón Rico, miembro del Capítulo Monterrey de ISACA.

No olvide que el activo con el cual laboran las empresas es la información. Los análisis y procesos que la transforman deben considerarse parte de las variables en su ecuación, pues significan para el malware las betas digitales que buscarán hasta traducirlo en dinero mal habido. Con esto en mente, devuelve el anteproyecto a su cliente y aún se mantiene reminiscente a tener una postura de seguridad.

Las barreras a vencer

Para iniciar un proyecto de seguridad, la primera despreocupación a eliminar es la del propio interesado que por “N” razones no puede invertir en herramientas que protejan a su bien más preciado, por más que esto suene ilógico. “Sabemos que a veces las prioridades en inversión no favorecen la implementación de proyectos de seguridad. Inclusive muchas veces se ve en el propio presupuesto destinado a tecnología en la cual generalmente se piensa que ‘puede esperar’. En las juntas internas se pregunta a los coordinadores si han tenido algún ataque, pero como nadie reporta un incidente, se toma la decisión de que la empresa puede relegar la seguridad”, comenzó a relatar Rafael Chávez, Regional Sales Manager de SourceFire, marca adquirida por Cisco el año pasado.

Un solo balance estadístico nos puede dar claridad de los riesgos que esa decisión a manos de un usuario final desencadena; tan sólo porque es profesional en su área, no precisamente en seguridad digital. ISACA desgranó que del panorama general, 2013 presentó un incremento del 62% en brechas de seguridad; 1 de cada 5 organizaciones han experimentado un ataque ATP (Amenaza Persistente Avanzada), las cuales pueden vivir parasitariamente hasta 8 meses a costillas de la red interna. 2.5 mil millones de datos han sido expuestos como resultado, tan sólo en los últimos cinco años, traducido en tres mil millones de dólares repartidos en las bolsas del cibercrimen en estimaciones globales.

Si tuviera que aconsejar a sus clientes, sería similar a proteger las actividades que realiza el cirquero por la cuerda floja: la red de seguridad no es una invitación a tirar al equilibrista; se tiende en caso de que algún contingente llegara a suscitarse ya tiene un plan de acción listo para usarse. En seguridad, el factor tiempo cobra un valor inestimable.

La siguiente gran preocupación a surcar es la superficie de ataques, comentó SourceFire. Ejemplificó que en la década de los 80’s, la computadora personal con alguna versión de Windows podría infectarse de una cantidad limitada de virus; no obstante seguían dentro de una sola categoría. Hoy puede ser cualquier tipo de sistema operativo, dispositivo de escritorio o móvil, en todo tiempo de ambientes – desde aplicaciones en la nube o virtualización – y con la desventaja de lidiar con distintas tribus de código malicioso. Las posibilidades son mayores simplemente porque los lugares donde puede vivir la información son vastos. No es lo mismo proteger una puerta que varias, vislumbró la firma.

Un tercer factor es la gobernabilidad de la información. Suena contradictorio a una primera lectura, pero en realidad resulta que se tiene una falsa ilusión de que el cumplimiento de los requerimientos mínimos demarcados por el país donde opera la empresa, como las regulaciones de calidad, son equivalentes a operar seguro. Así que su labor es enfatizar que gobernabilidad no es sinónimo de que los datos o procesos estén a salvo de congestiones virales – digitalmente hablando.

En un caso real, TrendMicro indicó que una cadena de autoservicio en Estados Unidos fue víctima de un ataque focalizado, logrando perder 7 mil millones de datos bancarios válidos. No significa que la tienda dejara de lado los estándares de calidad, simplemente que no pensaron en un plan de emergencia. Si quiere plantearlo así, es similar a comprar un antivirus validado hasta el 2080 y pensar que la computadora estará libre de infecciones en automático.

El plan, asociado a tecnología

Sin duda habrá escuchado que el partner debe ser un asociado del negocio, que no es otra cosa sino un proveedor de seguridad con óptica consultiva.

El vender los implementos físicos y en software para lograr tales efectos, es sólo el camino puesto que la verdadera seguridad es la que tiene por adjetivos a la constancia y la administración granular de su parte. Su mejor arma no deja de ser su propio conocimiento.

Juan Pablo Castro, director de Innovación Tecnológica de TrendMicro aconsejó actualizar la mirilla del escudo. “Ha cambiado en tres aspectos. El comportamiento del usuario que se conecta a la red, ya sea por dispositivo móviles, para entrar a un repositorio, etcétera. La segunda tiene que ver con la propia red TI, si se usan servicios en la nube o esquemas de virtualización. Y tercero, tiene que ver con gestores de seguridad, desde firewalls, VPNs, datos adjuntos que pasen por el correo”.

Todo ello forma la Postura de Seguridad. Se trata de un conjunto de decisiones que su cliente decide tomar en el día a día sobre cómo operarán; pero sobre todo cómo van a responder ante un supuesto ataque cibernético. Al respecto, dijo que la peor postura es la que busca huellas tangibles (equipo lento, procesador estropeado, almacenamiento sobresaturado…) porque las amenazas de hoy se especializan en no dejar huella.

Preocupados, en las acciones

Aunque vemos como primordial a la seguridad, resulta que la medicina más socorrida sigue siendo la que parche los daños ocasionados. Roberto Corvera, director de Canales para Fortinet recordó que “en el 2009 por la detección de la influenza se tomaron acciones reactivas. Cerraron negocios y se hicieron campañas de vacunación; si hacemos la pregunta ahora sobre quién se ha inoculado… nos damos cuenta que no existe una plena conciencia del riesgo. Sabemos que queremos estar seguros, pero no tomamos las acciones necesarias” para lograr tal certeza en los datos ni sus operaciones. Un panorama que puede ver como valiosa oportunidad de inserción.

Así que la preocupación del profesional debe ser proponer la seguridad como un habilitador para el negocio, agregó Fortinet. En un plano práctico, se trata de “alinear a la tecnología con los objetivos del negocio. Si se traducen los riesgos de seguridad en posibles impactos para el negocio, como perder la base de datos de Cobranzas, ya hablas el mismo idioma que el tomador de decisiones”, ejemplificó Rafael Chávez de SourceFire.

El panel de expertos coincidió en señal que debe partir de la premisa “empresa atacada” porque no existe una protección al cien por ciento. Al reconocer que en algún momento su cliente podría enfrentar una infección, debe tomar tres posturas. En primer término la estrategia para defenderse, con qué recursos críticos debería contar, qué aplicaciones y dispositivos tiene en su red y cómo está la infraestructura en términos generales.

Su segunda preocupación debe ser el protocolo durante el ataque; qué puede hacer para identificar, contener y en la medida de lo posible evitar la propagación. Una tercera postura es, una vez neutralizado el visitante indeseado, conocer qué lo generó, cómo entró y por ende evitar que vuelva a presentarse.

Pero como bien comenta TrendMicro, el perímetro se ha extendido hasta volverse difuso. Lo que antes se basaba en proteger una red y un lugar físico, hoy se debe considerar desde el punto de vista “conexión con”. Esto es, no importa la geografía del usuario ni su dispositivo sino los puntos de interacción que tengan con su red interna. Así que otro foco para los profesionales es comenzar a preguntarse si es posible incluir en el proyecto la gestión y control de huéspedes, visitantes ocasionales, dispositivos propios de la consumerización y qué aplicaciones (tanto Web como de dispositivos móviles) pueden modificar la data empresarial.

Esto no escapa a  las PyMEs, pues la industria consideró que muchos corporativos optan por confiar en terceros para ejecutar ciertos procesos. Entonces un cyberdelincuente puede utilizar la infraestructura del proveedor autorizado para atacar a su objetivo real; eso puede sumar puntos negativos a su cliente.

Las herramientas que las diferentes marcas fabricantes proponen al ecosistema, le ayudarán a calcular impactos, riesgos e inclusive retornos de inversión.

Pero un primer paso es ser un trusted advisor, aseguró Roberto Corvera de Fortinet. Indicó al respecto que debe entender cuáles son los servicios y procesos que dan vida a las operaciones diarias. No es lo mismo ayudar a mitigar ataques de negación de servicio, con tal de mantener una tienda en línea, que proteger las patentes en desarrollo ante un ataque persistente.

Falta de profesionales

Un profesional en seguridad debería de poder responder al cómo proteger esos esquemas; donde los integradores independientes y consultores pueden suplir la demanda.

Datos proporcionados por ISACA, indican que un 62% de las organizaciones no han incrementado la capacitación en ciberseguridad durante 2014, mientras un 83% de las empresas carecen de las habilidades y los profesionales adecuados para proteger sus datos. Si decide tomar esa noble misión, una de sus primeras tareas es tratar el tema de forma holística.

“Puedes tener gente que haga hacking ético, pero también que respondan a un ataque de negación de servicios. Hablamos del mismo paraguas pero con diferentes especialidades. Un punto sería que los especialistas tengan un enfoque holístico con forma de seguridad, y después desarrollando otras sub-especializadas; pero que no se queden en una particular”.

No debería preocuparle adquirir a la velocidad de la luz dichas habilidades. Una ventaja ante el monstruo de los tentáculos infecciosos es la dispersión de los ataques sin un remitente para cada código. “Hablando de malware Avanzado, la mayoría de los ataques son casuísticos. Como la vida cotidiana, el imputado ve un coche abierto con un celular y lentes a la vista. Los toma y nadie hace algo. No es que sean dirigidos a mí, pero si dejo la ventaja abierta, puede meterse alguien y haga algo”, advirtió Rafael Chávez de SourceFire.

Lo primero que debe quitar de su agenda de preocupaciones es la posibilidad de predecir cuándo van a atacar a su cliente. Más fructuoso es iniciar con las prácticas económicas y rentables por excelencia. Por ejemplo asignar por departamentos quien puede usar Facebook, cuáles aplicaciones de la red social son permitidas y desde qué cuenta se autoriza publicar datos internos.

Una vez que su cliente tiene una “Postura de Seguridad” (ayudada a seguirse cabalmente con tecnología y procedimientos de su consultoría), puede crear módulos de crecimiento. Al respecto Fortinet recomendó conocer cuáles son las aplicaciones críticas, por ejemplo el Data Center. Inclusive del mismo DC, cuáles racks no pueden permanecer ni un día más desprotegidos. Acto seguido, el plan de escalamiento con fases pre-anunciadas puede ayudarlo a ejecutar la implementación paso a paso sin descapitalizar al cliente.

La clave radica en que reconozca a partir de los reportes analíticos qué pasa en la red, todos los días. La industria volvió a coincidir al decir que la mayoría de los clientes se sorprenden al ver como ejemplo de reporte un número exponencialmente alto de smartphones conectados. Aquí es donde “una contraseña para el WiFi” no parece ser la política adecuada.

Continúe cosechando éxitos traducidos en operabilidad para el resto de la red y podrá escalar su proyecto, al infinito y más allá.

Visto 3368 veces Modificado por última vez en Martes, 30 Diciembre 2014 11:16
Inicia sesión para enviar comentarios