Llegamos a ustedes gracias a:



Reportajes y análisis

Reforzando los frentes

Caso Alicorp

[21/04/2008] Plan de seguridad móvil de Alicorp contempla manejo de backups y encriptación de datos en equipos blackberry y laptops.

El crecimiento de Alicorp en los últimos dos años, y el consiguiente crecimiento de su infraestructura de TI, ha supuesto para esta empresa la actualización de su plan de seguridad informática y el refuerzo de cada uno de sus frentes a fin de mantener a buen recaudo la información de la compañía, que a medida que crece, se hace más crítica. Dentro de dicho plan, la seguridad en torno a los dispositivos móviles utilizados por los empleados de la compañía es hoy un tema neurálgico que va tomando forma.
Según Benjamín Yarlequé, gerente de proyectos sistemas y TI de Alicorp, en el Perú las empresas recién están tomando con mayor conciencia el tema de la seguridad informática, incluida, por supuesto, la seguridad de las redes móviles. Hasta hace unos años el tema no era tan importante, y no se tocaba ni incluso a nivel de la gerencia general. Sin embargo, el evidente peligro que demostraron los virus, malware, spyware y demás tipos de amenazas para los usuarios finales con la apertura de Internet, tomó mayor dimensión cuando las cosas se trasladaron al terreno laboral, afirma el ejecutivo.
Yarlequé afirma que en Alicorp ya se tiene desde hace un par de años un presupuesto destinado exclusivamente a la seguridad de la información de la compañía. Tratamos la seguridad a nivel de la LAN y la WAN, ya que donde se tiene mayores problemas de accesos indebidos no es a través de la Internet sino a través de la Intranet; es decir, a través de los mismos empleados e involucrados en la compañía. Esto se debe a que tenemos accesos de diversos tipos: empleados dentro y fuera de la compañía, acceso de terceros, etcétera, afirma el representante de Alicorp.
Una de las medidas que ya ejecuta la compañía es el control del acceso móvil de las laptops a través del uso de soluciones Citrix. Tal como afirma Benjamín Yarlequé, Citrix les ofrece encriptación, acceso controlado y la ventaja de no exponer los servidores de Alicorp. Mediante los servidores Citrix levantamos aplicaciones (por ejemplo SAP) y no necesariamente se está corriendo sobre nuestros propios servidores de aplicación. Así, cuando un usuario accede vía https, la comunicación entre éste y las aplicaciones de Alicorp está encriptada vía Citrix, afirma el ejecutivo.
Próximos pasos
En cuanto a los dispositivos blackberry utilizados por muchos empleados de Alicorp, Yarlequé afirma que los blackberry en sí mismos ya ofrecen seguridad porque la información entre el dispositivo y el servidor de blackberry está encriptada. En este caso nosotros no trabajamos con un servidor de Alicorp, sino que tenemos nuestro propio servidor de blackberry dentro de la compañía. Eso ha ayudado bastante, porque no hemos tenido que publicar nuestros servidores y no estamos expuestos. Sin embargo, con los blackberry se puede hacer mucho más. Por ejemplo, podríamos bloquear los mismos dispositivos desde un servidor, y bloquear o resetear la data remotamente si es que un empleado pierde el equipo. También existen soluciones de encriptación que permiten que la información no se pueda leer incluso así se haya burlado el acceso al equipo, afirma el especialista. Ese nivel de encriptación es uno de los puntos en la lista del plan de seguridad que está diseñando la compañía.
Otra medida que Alicorp implementará este año, esta vez para las laptops, incluye el tema del manejo de backups y la encriptación a nivel de disco, de modo que si un usuario pierde o le roban su equipo. la información será recuperable e imposible de leer por extraños.
Para este año Alicorp también está implementando Identity Management (manejo de identidad), con lo cual controlará de mejor manera el manejo de los usuarios y passwords utilizados en la compañía. Este plan implica que, cuando un empleado cambie de área, también cambien sus niveles de acceso y se adapten a su nueva posición. A veces se nos pasa el control y se quedan usuarios con accesos que ya no deben tener, y hay que tener cuidado con eso porque nosotros tenemos mucho acceso desde fuera de la compañía, afirma Yarlequé.
La clasificación de la información es otro de los objetivos del plan de seguridad informática en Alicorp, que junto con las medidas antes mencionadas y el nombramiento de un oficial de seguridad, un nuevo cargo dentro del equipo de Yarlequé, demuestran que la compañía ha tomado muy en serio la seguridad de sus redes fijas y móviles.
Rosario Dávila, CIO Perú