Llegamos a ustedes gracias a:



Reportajes y análisis

Ver la seguridad de manera integral

[14/07/2009] Digiware plantea que ante el aumento de los casos de ataques a la seguridad informática de las organizaciones se debe tomar conciencia de que la mejor estrategia es tercerizar el servicio

Durante el 2008 se registró que un 48% de las compañías de Estados Unidos sufrió algún tipo de ataque informático, y que cada ocho minutos una identidad había sido robada en ese país. También se estima que cada uno de los ataques exitosos a las redes empresariales le costó a la firma afectada entre 300 a 350 mil dólares en pérdidas.
Con estas contundentes cifras, John Galindo, CEO de Digiware, empresa que lanzó recientemente el inicio de sus operaciones en el Perú, llamó la atención sobre el estado de la seguridad de compañías y personas en Internet. Las amenazas son muchas y es necesario defenderse.
Los ataques
La mayoría de los ataques son personalizados, es decir, provienen de hackers que adaptan códigos y que, por tanto, no son fácilmente detectados por las medidas de seguridad estándares, ajustadas para contrarrestar ataques estándares a las redes informáticas. Eso nos indica que se debe desarrollar una nueva forma de seguridad para proteger a las organizaciones.
En el pasado los hackers penetraban los sistemas debido a un objetivo romántico, la información no debe tener barreras, se debería publicar absolutamente de todo. Bajo estas premisas los antiguos hackers mostraban su capacidad modificando los sitios web de las empresas que más protegían su información.
Sin embargo, la gran cantidad de ataques de hoy en día ya no son románticos. Los actuales crackers buscan robar información y dañar los sistemas. Son pagados por empresas competidoras para causar daño a una organización objetivo. De hecho, el 70% de los ataques en las empresas se ha producido debido a la intervención de una persona al interior de las empresas que tiene acceso a los sistemas, pero que actuaba en complicidad con personas externas que tienen conocimiento de cómo vulnerar y robar la información. Es decir, se ha llegado a un crimen organizado.
De este tipo de ataques han sido víctimas, por ejemplo, instituciones financieras que han sufrido transferencias de dinero a cuentas de las cuales luego se retiraban montos pequeños para no levantar sospechas. Estos atacantes aprovecharon un feriado para hacer una transferencia a muchas cuentas. Aproximadamente a 20 cuentas, de las cuales otras tantas personas se distribuyeron para retirar el dinero, señaló Galindo, recordando el caso de una institución financiera latinoamericana de prestigio.
Pero los ataques ya no solo son dirigidos hacia instituciones. El correo electrónico basura, denominado spam, también ha crecido y se ha convertido en un elemento que perturba la productividad de las personas. Más peligroso aún, el Phishing¸ ha crecido 30% en los últimos seis meses de acuerdo a Galindo. Los ciberdelicuentes han progresado en su capacidad de clonar los sitios web de los bancos, y han logrado pescar a cada vez más personas en sus engaños.
Todo esto se magnifica si se toma en cuenta que ya no solo los grandes hackers pueden realizar el hacking, sino que personas común y corrientes, con acceso a Internet, pueden descargar de la web kits e instrucciones para hackear a personas e instituciones.
Medidas de seguridad
Ante este entorno, las organizaciones no solo deben atacar el síntoma del problema de seguridad, sino que tienen que hacer un diagnóstico de sus puntos débiles, cuál es la información crítica de su negocio, qué personas tienen esa información y alrededor de eso definir unas mejores prácticas para proteger a la organización.
No solo eso, tienen también que monitorear qué puede ocurrir, quién podría atacar, para poder prevenir antes que lamentar lo que pueda suceder. Se tienen que evaluar incluso los procesos de cómo se traslada la información dentro de la compañía, incluso la comunicación física. Es un concepto más preventivo y más estratégico.
La estrategia que planeta Galindo para enfrentar estos problemas es la del concepto de definición de profundidad. Para ello, la empresa debe acometer ciertas acciones.
La primera de ellas es valorizar los riesgos. Si no se realiza este paso, la empresa no sabrá realmente lo que puede ocurrir cuando se produzca un ataque, lo que pueda perder y los costos que ello implica. Valorizar los riesgos es una práctica útil pues sirve para difundir la importancia que tiene la seguridad informática alcanzando a más personas y no solo a los encargados de ella.
Un segundo paso es el establecimiento de estándares. Es bien conocido el ISO 27000 y es de vital importancia que éste u otros estándares sean aplicados en las medidas de seguridad que adopte la organización. No es necesario crear nuevas rutinas o procesos, si se pueden acudir a las mejores prácticas ya implementadas en otras organizaciones.
Un tercer paso es el establecimiento de zonas seguras. En este campo, es vital el monitoreo del perímetro de seguridad de la red informática de la organización para determinar no solo las zonas seguras sino también cuáles deben merecer especial atención, es decir, cuáles deben mejorar sus niveles de seguridad.
Un cuarto paso consiste en el endurecimiento de los sistemas. En este campo es necesario detectar y corregir dinámicamente las vulnerabilidades que se puedan encontrar en la seguridad de la firma.
Todos estos pasos, señala Galindo, no serán de mucha utilidad si todo no es cubierto por un proceso de concientización de la firma. No solo el personal encargado de la seguridad debe estar atento a las medidas que se toman, sino que todos y cada uno de los colaboradores de una firma debe tener presente las medidas de seguridad que depende de él en forma individual o colectiva.
La empresa
En la actualidad, Digiware factura en Perú 30 mil dólares, pero espera en diciembre del 2009 alcanzar la cifra de 400 mil. La proyección al cierre del 2009 es ampliar la cartera de clientes a 10. Estos provienen de los sectores de Gobierno, Retail, Finanzas, Banca, Telecomunicaciones, Minería e Industria.
La firma posee un portafolio integral de seguridad que incluyen soluciones, consultoría, capacitaciones y servicios gestionados de seguridad de la información.           En la actualidad tiene operaciones propias en Colombia, Ecuador y Estados Unidos y, con alcance regional en Latinoamérica. Próximamente abrirá oficinas en Bolivia y Panamá.
José Antonio Trujillo, CIO Perú