Llegamos a ustedes gracias a:



Conversando con...

Brian Contos, director de Estrategia Global de Seguridad de McAfee

"El usuario es el nuevo perímetro"

[06/12/2011] Recientemente estuvo de paso por Lima Brian Contos, director de Estrategia Global de Seguridad y Administración de Riesgo de McAfee. Con él conversamos sobre las nuevas amenazas que acechan a empresas y gobiernos, por igual, y de los enfoques que se pueden adoptar para enfrentarlos.
El usuario es el nuevo perímetro, nos dijo, y con seguridad es una de las frases con las que debemos quedarnos al momento de diseñar la seguridad de una organización. Además, también sostuvo que ya no se puede decir no a las redes sociales, haciendo énfasis en que ellas ahora son parte de la vida privada y laboral de las nuevas generaciones. La seguridad tiene que adaptarse rápidamente a estos cambios.
¿Lo primero que quería preguntarle era cuáles son las amenazas modernas?
Nosotros vemos a las amenazas en tres áreas: el intruso malicioso, los ataques oportunistas y los ataques avanzados dirigidos. Y lo que vemos es un gran incremento en los virus y en el malware. La mayoría de los ataques se centran en el robo de información sobre todo en bases de datos, servidores de archivos confidenciales, así como en laptops, teléfonos móviles y tablets.
¿Dónde se producen estos tipos de ataques?
Hace un par de años un empleado de DuPont robó 400 millones de dólares en propiedad intelectual y trató de venderla a un competidor en Asia. Esto ha ocurrido también con Ford, Coca Cola, e igualmente se han producido ataques que perjudican la imagen de marca, como el sufrido por Sony en donde se perdieron millones de contraseñas de usuarios y números de tarjetas de crédito.
Desde el punto de vista de una nación, hemos visto ataques cibernéticos en conjunto con ataques militares. Esto fue cierto cuando se produjo una guerra entre Rusia y Georgia, en donde se movilizaron tanques y tropas y se volaban torres de comunicación; en esa guerra, los hackers rusos derribaron redes telefónicas, redes financieras y otras. Esto produjo que, esencialmente, Georgia quedara sorda y ciega para cuando Rusia la invadió. Se rindieron rápidamente.
En Estados Unidos se ha estado construyendo un nuevo jet que se llama F35, fue un proyecto de investigación de 300 mil millones de dólares. Toda esa propiedad intelectual fue robada por un país desconocido, lo cual significa que este país puede aplicar ingeniería inversa y construir con ella, o puede también vender esa información.
Si ponemos esos 300 mil millones de dólares en perspectiva, con ese dinero puedes comprar 4.700 tanques -Estados Unidos tiene ocho mil tanques. Entonces, quien quiera que haya robado la información no solo puede construir su jet o aprender cómo derribar un jet, sino también utilizar el dinero que se ha ahorrado para invertirlo en tanques, dándole a ese país una enorme ventaja económica y militar. Ya no necesitas ser una potencia nuclear para causar resultados devastadores en la economía y la seguridad nacional.
Los ejemplos que dio inicialmente se refieren a ataques internos contra los cuales las barreras contra ataques externos no sirven de mucho, ¿Qué se puede hacer internamente?
Por dos décadas las compañías de seguridad han dicho compren más productos para este problema y más productos para este otro problema. Pero de esta forma se ha hecho más difícil manejar la seguridad que detener los problemas. Una de las cosas que estamos haciendo en McAfee es lo que llamamos Security Connected, un sistema que consiste en asegurarnos que todos los controles de los endpoints, la red, los datos y las interfases de gestión trabajen todos juntas, y se enriquezcan unas a otras.
En cuanto a los insiders -un problema para el que la mayoría de las organizaciones se encuentran poco preparadas- uno puede concentrarse en aquellos lugares en los que los usuarios se encuentran interactuando con los datos. Es decir, concentrarnos en aquello que se copió en mi teléfono o computadora, lo que se envió por correo electrónico, quién lo hizo, cuándo lo hizo, cómo lo hizo, quién mas está involucrado, cuánto tiempo ha estado en marcha, etcétera. Estas son preguntas que solo pueden ser respondidas integrando una estrategia conectada que te permita hacer análisis en las redes, datos, endpoints y la gestión.
Los ataques buscan a los usuarios y éstos están en parte del tiempo fuera de sus oficinas, ¿Cómo se puede defender a los usuarios que usan sus equipos fuera de la oficina?
El usuario es el nuevo perímetro. En McAfee entendemos que las personas pueden tener una laptop personal, otra de su empleador, un teléfono inteligente, y quizás una tablet. Y quieren usar todos estos dispositivos intercaladamente en el trabajo y su vida personal.
Nuestra perspectiva es trae cualquier endpoint que quieras no nos importa qué tipo de dispositivo sea. Nosotros establecemos políticas para cada dispositivo que se usa e interactúe con la red, y controlamos qué se puede copiar en ese dispositivo, si se puede hacer una captura de pantalla, si se puede copiar y pegar. Y podemos controlar estas políticas por usuario, no por dispositivo.
Esto no elimina completamente el riesgo, sino que es una forma para que cuando los usuarios estén en la red, al margen del dispositivo que usen, se tengan controles establecidos para señalar qué partes de la red pueden visitar o con qué tipo de datos interactúan.
¿En el caso de las redes sociales se deben imponer políticas como las de no permitir el acceso a ellas?
Creo que esto ya está fuera de control, ya no se puede decir no a las redes sociales, éstas se ha convertido en una parte de la vida privada y de los negocios. Cuando se introdujo el teléfono a las empresas, éstas no querían que los empleados tuviesen teléfonos porque pensaba que eso les iba a interrumpir mucho, lo mismo ocurrió con la computadora personal, e igualmente con Internet. Así que esto no es realmente algo nuevo. Uno no puede limitar la comunicación de las personas..
Tengo una hija de cuatro años y cuando viajo, ella se comunica conmigo por Skype mediante una iPad. Ella no piensa que esto es alta tecnología, para ella es como prender la televisión o abrir una ventana. Esta generación va a requerir otro tipo de controles en las empresas, porque han crecido con todos estos avances en sus vidas personales. Así que en McAfee no nos concentramos en evitar el acceso a estos tipos de soluciones, sino asegurarlos y encontrar un equilibrio entre la agilidad personal y la seguridad de la organización.
Un buen ejemplo de esto es Facebook, es un solo sitio web pero contiene más de 350 mil diferentes aplicaciones. Una de las cosas que hacemos en McAfee es que usamos firewalls que toman en cuenta la aplicación (application aware),y que son capaces de separar los buenos aplicativos de los malos aplicativos. Así que queremos empoderar al usuario al mismo tiempo que protegemos el negocio.
¿Es diferente la forma en que ve un gobierno la seguridad a una empresa?
Los riesgos son mucho más altos para los gobiernos. Cuando un negocio es atacado generalmente la intención es robar algo para obtener una ganancia monetaria pero desde una perspectiva militar se puede llegar a la pérdida de vidas humanas.
Nosotros descubrimos un ataque que se llamaba Operación Dragón Nocturno, en donde compañías de petróleo y gas en todo el mundo se convirtieron en objetivos, no para sabotearlas sino para robarles datos; lo interesante fue que apuntaron los ataques a los ejecutivos, a los CEO, CTO, CFO, y CIO, y trataron de comprometer sus laptops a través de la técnica de spear phishing -en donde se apunta a un usuario específico.
Digamos que tú eres el CIO de una gran petrolera y usas Facebook y otros servicios. Te hago un seguimiento, es decir, observo con quién interactúas en línea; quizás no comprometa tu cuenta pero sí la de algunos amigos o parientes. Entonces te envío un mensaje -haciéndome pasar por esa persona- con un enlace que dice mira nuestras nuevas fotos de vacaciones. Haces clic en ese enlace, esto compromete a tu laptop y puedo capturar pantallas de tu computadora, puedo bajar tu archivo de contraseñas, puedo instalar un keyboard sniffer para capturar tus contraseñas y nombre de usuarios y puedo bajarme todos los documentos de tu disco duro.
En la Operación Dragón Nocturno, muchos ejecutivos de empresas de petróleo y gas en todo el mundo vieron comprometidas sus computadoras, y en algunos casos hasta por dos años. Imagina la ventaja económica que esto le da a un competidor.
Esto no solo les da una ventaja económica sino que en el caso del petróleo y el gas se puede impactar también sobre la seguridad nacional de un país.
Las personas con las que usted habla sobre seguridad le preguntarán si sus productos pueden defenderlos contra todos estos ataques ¿en qué medida uno se puede defender? ¿qué le puede asegurar a un cliente
Nunca hay una protección al 100%, de la misma manera en que no hay un banco que se encuentre 100% protegido contra un robo. Nuestra meta es reducir el riesgo, incrementar la conciencia de lo que está sucediendo en su ambiente, asegurar de que uno esté cumpliendo con todos los requerimientos legales, y permitirle a la empresa que opere de la manera más eficiente que sea posible con las menores perturbaciones y pérdidas de datos posible.
Dicho esto, una de las razones por las que Intel compró McAfee hace seis meses por ocho mil millones de dólares fue para que McAfee pueda llegar al nivel del hardware, a los chips de computadora, de laptop, dispositivo móvil, automóviles, cajeros automáticos, etcétera.
A nivel del hardware podemos tener el nivel más profundo de protección que se requiere para un ataque. Esta es la primera vez que la defensa tiene realmente una ventaja sobre la ofensiva.
¿Desea agregar algo?
El enfoque de McAfee en América Latina se encuentra alrededor de la noción de security connected. Es decir, unir los datos, la red, los puntos finales y los controles de administración en un despliegue mucho menos complejo, de tal forma que se tenga un solo agente, una sola consola, una sola ubicación para hacer el descubrimiento, prevención y respuesta a incidentes.
Esto permite a gobiernos y organizaciones con presupuestos limitados adoptar la modernización y reducir costos con seguridad óptima.
Jose Antonio Trujillo, CIO Perú