miércoles, 4 de febrero de 2009

Enemigo Interno: Artículo ganador de la Categoría Prensa Gráfica de concurso en Seguridad Informática organizado por ESET y Ontinet.com

El presente artículo, ha resultado ganador de la Categoría Prensa Gráfica del 1er Concurso Mejor Trabajo Periodístico en Seguridad Informática organizado conjuntamente por ESET y Ontinet.com.

Se estima que el 82% de la pérdida de datos sensibles de una compañía la producen los mismos empleados. El 80% de los equipos portátiles que la organización asigna a su personal es compartido con terceros, lo que abre la puerta al ingreso de virus y programas peligrosos para los sistemas empresariales. El usuario es el eslabón más débil en la cadena de protección IT: ¿cómo educarlo sobre su responsabilidad en la seguridad?

Al hablar de seguridad, la gran mayoría de los especialistas y de los administradores de IT están de acuerdo en que el eslabón más débil de la cadena es el usuario. Desde un gesto inocente como prestarle a un compañero de trabajo el nombre de usuario y clave de acceso para ingresar a la red, hasta el robo de información confidencial de los clientes, la realidad indica que son los causantes de más del 60% de las fallas en los sistemas de las empresas.
Es importante destacar que muchas de las brechas de seguridad se dan por simple desconocimiento. No saber que existen ciertos mecanismos de protección dentro de la empresa, o no tener actualizado el antivirus, son algunos factores que pueden ser de mucha importancia. Tampoco se puede dejar de lado la creciente penetración de las amenazas ligadas a la ingeniería social, como el phishing y el pharming.

De acuerdo con el “Estudio global sobre estado de la seguridad de la información” presentado por Deloitte a principios de este año, la región de Latinoamérica reportó que poco más de la mitad de las empresas consultadas han realizado algún tipo de concientización o campañas de educación de usuarios sobre seguridad informática en los últimos 12 meses. En ese mismo período, más del 65 por ciento de las firmas encuesta das en esa región han sufrido algún tipo de brecha de seguridad.

De acuerdo con André Monteiro, director de Seguridad de Computer Associates (CA) para América Latina, “la falta de una cultura informática puede ser un factor de riesgo importante, ya que muchas personas deshabilitan los programas de seguridad instalados en las computadoras, tales como el antivirus, el anti-spyware o firewall, pero mucho de lo que ocurre es por el desconocimiento de los daños que pueden ocasionar”.

En lo que se refiere al tema de la desinformación, existen dos caras de una misma moneda. Por una parte, en un entorno empresarial no todos los usuarios de los equipos de cómputo tienen que ser especialistas técnicos o conocedores de las últimas tendencias y amenazas de seguridad. Desde el punto de vista práctico, tener a todo el personal capacitado en materia de tecnología de la información y los consecuentes riesgos es virtualmente imposible.
En muchas formas, la seguridad y la funcionalidad están contrapuestas; por ende, lo que se busca es el equilibrio entre ambas dependiendo del negocio al que se dedique la empresa. Esto hay que desarrollarlo dentro de los diferentes mecanismos de control, lo cual implica un costo. Es muy frecuente en las revisiones que hacemos que muchos de los mecanismos de control de acceso no estén correctamente implementados”, explicó Andrés Casas, gerente de Servicios de Riesgo Empresarial para Deloitte.

Al mismo tiempo, no ser un especialista tampoco es una justificación válida. Que una organización tenga implementadas políticas de seguridad y que todos los usuarios estén conscientes de las implicaciones que puede tener su incumplimiento, sin tener que entrar en demasiados detalles técnicos, es un buen punto intermedio.

Brechas comunes
La pérdida de información, sea por las razones que sea, es una de las mayores preocupaciones de las altas gerencias hoy en día. Más aun si tomamos en cuenta que, según Juan Pablo Castro, consultor de Tecnología de Trend Micro México, “alrededor del 82 por ciento de los casos en los que se pierde información sensible o confidencial de una empresa se produce en manos del personal interno”.
Estas grietas en los sistemas de seguridad pueden suceder por varios factores. En primer lugar están las contraseñas débiles o configuradas por defecto, que son de fácil deducción. “En muchos casos, debido a la urgencia de habilitar un servicio para atender al negocio, se instalan aplicaciones en forma apresurada, lo que conlleva a que el administrador no pueda implementar medidas de seguridad para prevenir accesos no deseados”, comentó Oscar Campos Solano, consultor senior de Seguridad para la firma PricewaterhouseCoopers. Por otra parte, para André Monteiro, de CA, el 80 por ciento de los equipos portátiles asignados por la organización a sus empleados son compartidos por integrantes del hogar u otras personas y, a pesar de que en sí mismo no es un riesgo, el peligro se presenta cuando se instalan programas ajenos a la organización que pueden ser de dudosa procedencia. “Otra importante fuente de riesgo es navegar por sitios que pueden hacer que tanto la integridad de la computadora como de la empresa se vean comprometidas”, agregó Monteiro.

Para Flavio de Cristófaro, gerente de Seguridad y Servicios de Privacidad de Deloitte, el impacto que puede llegar a tener que un usuario que esté usando Internet de forma indebida tiene un costo altísimo para una compañía. Para el especialista, también hay que considerar otros aspectos que no son tan cuantificables, como es el desgaste de la imagen de la empresa frente al cliente. Sobre este aspecto, Cristian Borghello, gerente Técnico y Educativo de ESET para Latinoamérica, agregó: “la descarga de archivos es crítica, ya que existen malware que se propagan por correo, mensajería instantánea, redes P2P y sitios web automáticamente sin que el usuario lo note”. De acuerdo con el especialista, hoy casi cualquier lugar en la red es una posible fuente de infección.
Los diferentes gadgets que son tan comunes, como pen drives o discos USB, presentan una comodidad a la hora de compartir o transportar información pero, al mismo tiempo, son una fuente de infección y de penetración de los equipos donde se utilizan.

Según un estudio presentado por Trend Micro, entre los principales vectores de fuga están los dispositivos USB y luego el mail corporativo, el correo social, como Yahoo! o Hotmail y, por último, la mensajería instantánea. Para Borghello, de ESET, “los dispositivos de almacenamiento masivo, memorias y discos portátiles son un gran problema, porque permiten la proliferación de todo tipo de malware”.

Normativas
Si pasamos del problema a la solución, el tema regulatorio tiene un gran impacto sobre las organizaciones, especialmente en las instituciones financieras o aquellas en las que sus operaciones tienen relación directa con otros países, como Estados Unidos. De allí proviene una de las normativas que se aplican en la región, como es el caso de Sarbanes-Oxley, pero existen otras como la Biblioteca de infraestructura de tecnología de la información (ITIL, por sus siglas en inglés) o la CobiT. Campos, de PricewaterhouseCoopers, plantea que “las organizaciones no deberían reaccionar ante las regulaciones gubernamentales y otras como Sarbanes-Oxley. Cada esfuerzo por fortalecer la seguridad de la información es totalmente alineable con otros marcos de referencia, gobernabilidad IT y mejores prácticas como CobiT, ISO 27001 e ITIL”.

Refiriéndose a regulaciones locales, Casas, de Deloitte, hace referencia a dos casos particulares. “En Costa Rica, la Contraloría General de la República tiene una normativa para todos los entes que regulan, publicada a mediados del año 2007, que trae un apartado en el área de seguridad. En Honduras, existe una norma editada por la Comisión de Bancos, pero quedeja de lado todo el tema de gobierno corporativo y se enfoca netamente a la parte de seguridad. Entonces, aunque todos los esquemas son diferentes, al mismo tiempo, todas tienen una misma necesidad orientada a la protección”.
Lo preocupante para algunos es que, aun cuando los países están tomando iniciativas en el área de seguridad, todavía las legislaciones locales no conciben dentro de sus marcos el delito cibernético; por ende, no están preparados para afrontarlo. “Desde el punto de vista legal, tanto los usuarios finales como las empresas todavía no tienen protección”, opinó Olga Korenbaum, gerente para América Latina de Kaspersky.
“Actualmente, la obligación legal de cumplir estas normas y las auditorías logran, como efecto secundario, que la organización se involucre con la seguridad. Si bien esto es positivo, lo que debería lograrse es el efecto inverso: que la empresa crea fehacientemente en la necesidad de la protección desde las bases y su dirección, y que las buenas prácticas realizadas tengan como resultado el cumplimiento de las normativas vigentes”, expresó Borghello, de ESET.

La ingeniería social
Se denomina ingeniería social a todo artilugio, treta y técnica de engaño que se usa para que las personas revelen contraseñas u otra información sensible, más que a la obtención de dicha información a través de las debilidades propias de una implementación y mantenimiento de un sistema. La ingeniería social se concentra en el eslabón más débil de cualquier cadena de políticas de seguridad. El hecho de que un individuo pueda persuadir a otro para que le suministre su número de tarjeta de crédito puede sonar como algo poco factible. Sin embargo, el crimen cibernético se ha vuelto una industria muy lucrativa en la actualidad. Para convencer a un individuo se pueden usar varios métodos.
El primero, y más obvio, es simplemente una demanda directa. Aunque probablemente tenga menor éxito, este es el método más fácil.
El segundo es ejecutado indirectamente en una situación previamente ideada, donde la persona puede ser persuadida porque cree en las razones suministradas. Esto no significa que las situaciones no tienen que ser basadas en un hecho real. Cuantas menos falsedades, mayor la factibilidad de que la víctima juegue el papel que le fue designado.
La ingeniería social se dirige a la gente con menos conocimientos, dado que los argumentos y otros factores de influencia tienen que ser construidos generando una situación creíble para el individuo.

Algunos ejemplos que se pueden citar:
-
La ejecución por parte del usuario de un virus troyano adjunto a un correo electrónico enviado por una casilla que le es familiar o, simplemente, con un título interesante para el destinatario como “es divertido, pruébalo” o “mira a Anita desnuda”, etc.
- Hacerse pasar por una persona o empresa de confianza en una aparente comunicación oficial, por lo común un correo electrónico o algún sistema de mensajería instantánea. Esta es la modalidad del phishing.
- Explotar una vulnerabilidad en el software de los servidores DNS o en el de los equipos de los propios usuarios, que permite redirigir un nombre de dominio a otra máquina distinta. De esta forma, quien introduzca una determinada dirección web que haya sido redirigida accederá en su explorador a la página que el atacante haya especificado para ese dominio. Esta es la técnica denominada pharming.

Creando conciencia
Tomando en cuenta que el eslabón más débil es y seguirá siendo el usuario, las instituciones se han visto en la necesidad de buscar métodos efectivos para contrarrestar la balanza. De acuerdo con Ricardo Fletcher, de ROF, partner local de Kaspersky, “el modelo a seguir debería ser la asesoría. No todos son dueños del conocimiento absoluto y hay que asesorarse por personas capacitadas y certificadas que puedan dar una buena orientación sobre cuáles son las amenazas actuales”.
Para muchos especialistas, como es el caso de Fabián Flores, de AEC Electrónica, las altas gerencias de la región aún no ven el problema con la gravedad que amerita y no le dan mucha importancia hasta que sucede un problema serio y hay situaciones que lamentar. “En muchos casos, cuando se implementa algún mecanismo de seguridad es porque ya se ha dado una brecha y, entonces, la gerencia obliga al departamento de sistemas a que busque la solución y la implemente a la mayor brevedad, ahora sí con el apoyo gerencial, por supuesto, debido a la pérdida de datos o de dinero que han sufrido”, señaló Flores.

La mayoría de los expertos coinciden en que, sin la participación directa y proactiva de los niveles directivos superiores, cualquier política de seguridad o campaña de capacitación que se trate de implementar en una firma no tendrá éxito.
Hay un descuido de la altas gerencias por el poco conocimiento del valor que tiene la IT cuando hablamos de seguridad. Sin embargo, actualmente la tendencia ha cambiado y las compañías tienen como prioridad en sus objetivos de negocio intensificar la protección”, afirmó Shab Madina, director mundial en Seguridad para HP.

Casas, de Deloitte, definió que “el éxito de un programa de concientización se da cuando los usuarios comprenden el impacto que tienen sus acciones detrás de eventos como abrir sus correos personales o ejecutar programas ajenos a la empresa”. Casas hace hincapié en que, para lograr esta meta, primero se debe contar con todo el apoyo de los niveles más altos. “La experiencia nos dice que cuando esto no se hace, la campaña se vuelve difusa y pierde su alcance”, expresó el especialista.
“En la región, cada vez se nota más la conciencia de la seguridad informática y se puede ver que la alta gerencia ha adoptado estrategias orientadas en esa dirección. Esto se refleja en el incremento de la inversión en IT. También las pymes han crecido en este rubro, pero, por el tipo de mercado, estas se han visto limitadas a implementar seguridad a menor escala”, agregó Monteiro, de CA.

En lo que respecta a los diferentes medios para la educación de los usuarios, las herramientas más comunes son los seminarios presenciales que se dan a los empleados de la compañía. Otras herramientas son los cursos de e-learning, mensajes por correo electrónico, páginas web, newsletters y otro tipo de medios informativos.

Según de Cristófaro, de Deloitte, “todo esto tiene que ser de una forma rentable para el negocio. El modelo que más se está implementando es el de un curso presencial obligatorio y, después, se dan actualizaciones que pueden ser vía e-learning”.

Visto en cxo-community.com.ar



No hay comentarios: