La seguridad de nuestros sistemas de información.

Hoy en día es muy común escuchar noticias acerca de empresas, cuyos sistemas informáticos fueron víctimas de ataques de Hackers o robo de información, entre otras cosas.

Ahora bien vale preguntarnos, ¿Posee nuestra empresa sistemas informáticos seguros? ¿Contamos con protección suficiente en este aspecto?, ¿Cómo puedo proteger mi información ante este tipo de situaciones?, para responder estas interrogantes, el día de hoy en “Habla el experto”, consultamos a Juan Villegas, Director de la empresa  INFRASOFT Business Solutions, C.A., empresa dedicada a proveer Soluciones y Servicios integrales de Tecnologías de Información, con una fuerte orientación a la Seguridad de la Información.

TG: Juan, ¿Cuáles son las condiciones mínimas de seguridad que deben poseer los sistemas de nuestra empresa?

JV: En toda empresa, se debe comenzar por diseñar una Plan de Seguridad de la Información; y en caso de que este ya exista, asegurar que el mismo se cumple y se actualiza regularmente. Un Plan de Seguridad de la Información ayuda a definir la estrategia y las tácticas para asegurar que la Información de las Organizaciones es protegida apropiadamente. La Seguridad de la Información cada vez depende menos solo de las herramientas tecnológicas y cada vez más busca involucrar los procesos de negocio y a los propios usuarios como protagonistas y entes activos en la Protección de la Información. Es muy frecuente conseguirse procesos de negocio que fueron establecidos hace años, y que implican el envío de información sin cifrar por correo electrónico, o el uso de pendrives para compartir documentos entre relacionados.

Según diferentes estudios, casi el 50% de todos los incidentes documentados que han implicado la pérdida de información, fueron originados por usuarios sin intenciones dañinas, que no sabían el riesgo de manipular inadecuadamente esa información. Si de hacer una recomendación se trata, le diría a los Gerentes y dueños de empresas que hagan foco en cuatro pilares elementales para proteger la información: 1.- mantener mecanismos de protección de ataques firewalls, antivirus, antispam, cifrado de Email, Etcetera, 2.- mantener mecanismos de respaldo y recuperación de datos, 3.- implementar plataformas de gestión de actualizaciones y administración de software, 4.- utilizar herramientas de protección y prevención de fuga de la información confidencial.

TG: ¿Cuáles son los fallos de seguridad más comunes en los sistemas empresariales?

JV: El principal fallo se seguridad en la mayoría de las plataformas tecnológicas de las empresas, reside en los computadores de los usuarios y en estos mismos. Muchas de las Organizaciones (principalmente medianas y grandes), cuentan con adecuados sistemas de protección frente a los atacantes externos. Sin embargo, sigue siendo muy frecuente la infección de computadoras internas por falta de  actualizaciones del sistema operativo, carencia de mecanismos de protección elementales (como el antivirus), uso de software ilegal, robo de información confidencial, sabotaje y falta de educación de los trabajadores en cuanto al uso apropiado de la información digital y los componentes electrónicos que la Institución pone a su disposición. Si tuviera que resumir cuál es la falla de seguridad más común en los sistemas empresariales, tendría que decir que es la carencia de un Plan de Seguridad de la Información coherente, estructurado y por encima de todas las cosas, que sea observado y cumplido por todos los niveles jerárquicos.

TG: ¿Qué papel  juegan los antivirus en la protección de nuestros sistemas informáticos?

JV: En términos generales, los antivirus, son esenciales en cualquier sistema de cómputo. Incluso, más que antivirus, prefiero apegarme a una definición que se ha convertido en tendencia del mercado y que resume muy bien las capacidades que un buen sistema de protección debe ofrecer: Protección del Punto Final o Endpoint. En ocasiones, se escuchan frases que refieren a que determinados sistemas operativos son más seguros que otros; incluso hay personas que señalan que algunos de estos son invulnerables. Nada más peligroso, y alejado de la realidad. Si bien es cierto, existen sistemas operativos más o menos vulnerables que otros, lo que no debemos hacer es confiar ciegamente en que solo estamos expuestos a amenazas tradicionales (virus, troyanos y gusanos). Así como los virus y las amenazas en general han evolucionado, de la misma forma, los antivirus también lo han hecho. Un producto que solo nos ofrezca capacidades de antivirus, no es suficiente para hacer frente a las amenazas que pueden vulnerar un sistema. Cuando hablamos en un ámbito de usuario doméstico/hogar/SoHo, es necesario adoptar una plataforma que integre como mínimo funcionalidades: Antivirus, Antispyware, Firewall y Detección de Intrusos. En un ámbito corporativo, a estas funcionalidades se les debe sumar la capacidad de Control de Dispositivos y de Aplicaciones.

TG: ¿Cuál crees que es el mayor problema de seguridad de los usuarios, virus, spam, robo de data?

JV: Atándolo con parte de lo que comentaba antes, me parece que el mayor problema de seguridad que enfrentan los usuarios, es justamente la confianza ciega en que nunca serán víctimas de algún tipo de ataque. Incluso, conozco de muchos usuarios que se preocupan por la seguridad de los datos en sus laptops y PCs, pero no le prestan ninguna atención a los datos que se almacenan en sus Teléfonos Inteligentes.

Muchos, cuando utilizan un Cajero Automático o ATM, se preocupan por seguir las recomendaciones de seguridad que ofrecen todas las instituciones bancarias y el propio sentido común; pero luego cuando utilizan los sistemas de Web Banking (Banca por Internet), pues simplemente no le prestan el mas mínimo cuidado a las medidas que le garanticen que alguien no pueda interceptar el flujo de datos y obtener la información necesaria para luego sustraer su dinero.

Al final del día, me doy cuenta que el robo de los datos es el principal foco de muchos atacantes, y el mayor “dolor” de muchos usuarios.

TG: Ya que tocamos el punto de seguridad de los usuarios, ¿Podrías hablarnos acerca de qué es el Phising y cómo prevenirlo?

JV: El Phishing es una técnica de ataque que corresponde al ámbito de la Ingeniería Social, dónde el atacante construye un sitio web (lo más común en la actualidad es utilizar esta vía), para simular que el usuario está navegando dentro de la página genuina de la institución donde desea realizar su transacción.

Podemos ser víctimas del Phishing de múltiples formas. Una de las más comunes es aquel correo electrónico que nos llega con el logotipo del Banco, solicitándonos que actualicemos nuestros datos accediendo a través de un link que viene en el propio correo. Todo en el correo parece ser legítimo y muy formal, el problema es que cuando el usuario accede al link, es redirigido a un portal muy similar al de su Banco, pero que solo sirve para capturar las credenciales y luego acceder a las cuentas del usuario. Y el caso del Banco es solo un ejemplo, en verdad todos los días surgen ataques de Phishing asociados a todo tipo de actividades: Portales de Comercio Electrónico, Tickets de Alimentación, Etcétera. El principal mecanismo de protección acá es el propio usuario, quien debe restringirse de hacer transacciones desde computadores compartidos o de dudosa confiabilidad, no confiar ciegamente en los links que vienen en los correos electrónicos, verificar muy bien el link del sitio al cual está accediendo, entre otras medidas. A nivel de mecanismos tecnológicos, naturalmente existen herramientas que nos advierten cuando estamos navegando a un sitio web de dudosa reputación, incluso los propios navegadores incluyen este tipo de validaciones, si se quiere en un nivel básico. Pero hay soluciones más avanzadas, las cuales incluso suelen estar integradas en la plataforma de Antivirus o de Protección del Punto Final de las que ya hablamos antes.

TG: En días pasados un amigo colocó su nombre en un buscador y se quedó sorprendido de la cantidad de información personal que estaba disponible en la red, ¿Cómo podríamos protegernos ante este tipo de situaciones?

JV: Este tipo de anécdotas es cada vez más común. Desde mi punto de vista, obedece a dos factores primordiales, uno que recae en el propio usuario, y otro que es responsabilidad de las autoridades gubernamentales. El factor que recae en el usuario, tiene que ver con el nivel de conciencia de cada uno de nosotros en cuanto a la publicación de nuestros datos en redes sociales, foros y portales poco controlados, entre otros. Si tuviésemos presente que muchos de los crímenes que se producen en el “mundo real”, tienen su origen en la información que hacemos disponible en el “mundo virtual”, lo pensaríamos dos veces antes de subir las fotos de nuestras más recientes vacaciones con la familia, o las fotos del día que nuestra hija compró su carro nuevo.

Es responsabilidad de cada uno de nosotros, comprender que las redes sociales de mayor reputación, por ejemplo, ofrecen mecanismos de control de privacidad bastante estrictos, pero que su aplicación depende de tomarnos algunos minutos para entenderlos y configurarlos apropiadamente.

En cuanto a la cuota de responsabilidad de las autoridades gubernamentales, me refiero a que en muchos países (principalmente en Latinoamérica) es bastante sencillo acceder a través de Internet a la información de los ciudadanos, la cual es servida a través de los sitios de instituciones públicas. Desde mi punto de vista, esto implica grandes riesgos al derecho a la privacidad, lo cual está consagrado en la legislación de la mayoría de estos países. Para un ejemplo de esto, basta acceder a través de un buscador de Internet, el número de identidad de algún ciudadano venezolano. Si ese ciudadano se ha visto involucrado en algún litigio, seguramente encontrará todo el expediente servido de forma completamente libre en la misma página oficial del Tribunal Supremo de Justicia (Venezuela).

Nuevamente, y desde mi opinión, no creo que sea esta la práctica más conveniente para los ciudadanos, incluso si del otro lado de la balanza ponemos la facilidad que representa poder acceder desde cualquier sitio a la sentencia de un caso en el que estos mismos ciudadanos hayan estado involucrados. Yo sería propulsor de que esta información esté disponible, pero con un mínimo de controles en su acceso, para asegurar que la persona que la accede es la persona pertinente.

En este caso, y sobre todo en nuestros países Latinoamericanos, creo que lo que se debe hacer, es exigirle a las autoridades un mayor nivel de responsabilidad en el tratamiento de nuestra información mientras se encuentra en su poder, y promover legislación de avanzada que apoye este planteamiento.

TG: ¿Qué recomendación final nos puedes dar para mantener la seguridad de nuestros sistemas y lo más importante la data que allí manejamos?

JV: La recomendación es tomar conciencia del valor de nuestra información, tanto la personal como la corporativa. Entender que el delito informático se va perfeccionando día a día, incluso convirtiéndose en una industria lucrativa para mafias del “mundo real”. En el ámbito Empresarial, adoptar un Plan de Seguridad de la Información diagramado con ayuda de especialistas en la materia, pero en el que lo más importante es cumplirlo y hacerlo cumplir. En el ámbito doméstico, hacer uso de herramientas de protección de nuestros computadores, y siempre aplicar el sentido común cuando publicamos o compartimos información electrónica, sin que esto implique necesariamente caer en un estado de paranoia.

Gracias por llegar hasta acá, espero que esta información le haya sido útil y que la compartas con aquellas personas que creas que les será de utilidad,  ayúdame a que más personas lo conozcan y se beneficien, ¿Cómo?:

Envíalo por correo, Tuitéalo, Compártelo en Facebook o Dale un +1 al artículo

Recuerda seguir visitando mi blog y dejar tu comentario, para mí tu opinión es muy importante.

¡Gracias por tu ayuda en este camino de ayudar!

José G. Quintero E.

Email: tertuliagerencial@gmail.com

www.teruliagerencial.blogspot.com

Twitter: @TGerencia