Llegamos a ustedes gracias a:



Reportajes y análisis

Una falsa sensación de seguridad

[24/08/2009] Los latinoamericanos consideramos que nos encontramos seguros en nuestras oficinas ante las amenazas de la web. Sin embargo, al mismo tiempo, pensamos que dichas amenazas nos llegan principalmente a través del correo electrónico. Un estudio de la firma Websense señala que ésta ya no es la vía principal de los ataques en la web. ¿Estamos sufriendo de una falsa sensación de seguridad?

Seguridad es una palabra que se repite por doquier. Todos hablan de la seguridad y se habla tanto de ella que la damos por hecho. Los usuarios empresariales consideran que el departamento de TI ya se encargó del tema y que ha instalado en la red de la empresa las herramientas necesarias para que el personal pueda realizar con tranquilidad su trabajo, e incluso dedicar algunos momentos a navegar por la red resolviendo asuntos privados. Simplemente hay que cuidarse de no abrir correos electrónicos sospechosos, de esos que contienen adjuntos con extensiones extrañas.
Grave error. La verdad es que de acuerdo a las estadísticas que maneja Websense, firma dedicada a brindar soluciones de seguridad informática, la mayoría de los sitios web han sido contaminados alguna vez con código malicioso.
El departamento de Websense Security Labs ha identificado que el 77% de los sitios reales en Internet; es decir, sitios que realmente usamos y que son legales, han sido contaminados con código malicioso. La web es ahora el principal vector de ataque para buscar información, sostiene Josué Ariza, Territory manager, Spanish South America & Caribbean de Websense Latin America.
Sin embargo, la creencia de que el correo electrónico es la principal vía de ataque no es gratuita, es una herencia del pasado reciente, pero parte del pasado al fin y al cabo. De acuerdo a la encuesta Web@Work de Websense, un 57% de los encuestados latinoamericanos considera que el correo electrónico es el método más usado por los hackers para infectar las computadoras, y solo un 21% acierta al decir que es la web el principal método de ataque. Específicamente para el Perú estas cifras pasan a 64% y 24%, respectivamente.
¿Cuál es la principal lección que se puede determinar a partir de estas cifras? Ariza lo señala directamente: no se puede depositar en los usuarios la responsabilidad de determinar si un sitio es seguro o no. Simplemente, porque los usuarios no tienen forma de saberlo.
Políticas y redes sociales
El que los usuarios tengan en alguna medida algo de responsabilidad en la determinación de la peligrosidad o no de un sitio web se debe a las políticas que pueden implementar las empresas. Las políticas de seguridad, implementadas para involucrar a todo el personal dentro del tema de la seguridad o para distribuir la responsabilidad de la seguridad en toda la organización, están chocando con el desarrollo de la nueva Web 2.0.
Si antes un usuario empresarial tenía pocos incentivos para ingresar a la red, además de los sitios relacionados con su labor, ahora la situación ha cambiado por completo. Gran parte de la masa laboral posee perfiles en uno o más sitios de redes sociales, comparte fotografías, o simplemente busca reencontrarse con sus antiguos compañeros de trabajo, colegio o universidad. Los usuarios, más que nunca, tienen incentivos para ingresar a la red, y no precisamente para realizar actividades directamente relacionadas con su trabajo.
¿Qué hacen las políticas ante esto? En el caso más extremo prohíben la visita de los empleados a dichas páginas, pero esto no es lo más conveniente de acuerdo a Ariza.
En el pasado y hasta el 2004 se hablaba de bloquear el acceso a sitios no relacionados con el trabajo. Luego, evolucionamos a la Web 2.0 y ahora hablamos de trabajar utilizando óptimamente todos los recursos pero con seguridad. Y la única manera de tener seguridad, es utilizando herramientas concretas que ayuden a las personas, sostiene Ariza.
Obviamente, estas herramientas concretas se refieren al software y al hardware que hacen que nuestra navegación por la red sea segura. Pero llevar el péndulo de un lado al otro, es decir, dejar de cargar responsabilidades en los usuarios para volver a cargárselas al departamento de TI, tampoco es la solución.
La seguridad debe ser una decisión interdisciplinaria, no solo del área de TI, porque el área de TI no puede definir qué es información confidencial para el área de RRHH, o para el área financiera, o de auditoria. Esa es una labor de toda la empresa. Pero tampoco se puede depositar la seguridad en las buenas prácticas de las personas, porque las personas son humanas y como tales cambian y son curiosas. Se tiene que utilizar herramientas concretas que le permitan establecer políticas manejadas interdisciplinariamente para ofrecer la mejor seguridad posible a las empresas, sostiene Ariza.
Seguridad cambiante
Como señala el ejecutivo, las personas cambian. Debido a la presencia de las redes sociales y de los diferentes servicios a los que se puede acceder vía Internet, los empleados de las oficinas no solo se encuentran visitando sitios referentes a su trabajo, sino aquellos no relacionados a él. De acuerdo a la encuesta Web@Work un 34% de los empleados peruanos pasan entre 51 a 60 minutos en sitios no relacionados a su trabajo, e incluso un 16% de ellos gastan más de 60 minutos diarios en estos sitios. Cifras que se encuentran en el primer caso por encima del promedio latinoamericano, y en el segundo caso por debajo del mismo promedio.
¿Qué tipos de sitios? Un 78% señaló que visitaba sitios de noticias, otro 78% sitios gubernamentales, un 74% los sitios de los bancos, y otro 74% los sitios correspondientes a sus correos electrónicos personales.
Ante esta evidencia no queda más que adecuarse. Y por tanto Ariza recomienda que las soluciones deban evolucionar junto con Internet. No podemos seguir hablando de herramientas que se instalan y no cambian, que son estáticas, porque el Internet de hoy no es el de mañana, sostiene el ejecutivo.
Afortunadamente, desde la perspectiva de Ariza, el mercado peruano está evolucionando. Es, en general, un mercado que está cambiando hacia una mejor comprensión del tema de la seguridad.
Pero lo mas curioso es que es un mercado que está hambriento de servicios. Puede que haya herramientas de seguridad muy buenas, pero si no hay un buen servicio los usuarios se sienten insatisfechos. Los clientes están cansados del servicio reactivo que soluciona las cosas al final del día, quieren un servicio mejor, que les permita ser productivos todo el tiempo, señala Ariza.
El ejecutivo señala que esta tendencia es notable desde este año, ya que en el pasado el mercado peruano se encontraba más orientado a los precios. Este año se puede apreciar que los clientes están buscando más analistas y personas que le den valor agregado a su entidad, que les proporcionen algo más que una simple solución que corresponda a una necesidad específica. Buscan un socio de largo plazo.
José Antonio Trujillo, CIO Perú