Con la proliferación de los medios digitales, redes sociales y dispositivos móviles, además de la diversificación de herramientas y recursos que incrementan la interconectividad y productividad de los usuarios, las organizaciones –y el mundo en general– experimentan un crecimiento exponencial de la información, lo cual implica nuevos retos en seguridad.
Según el estudio “The Digital Universe Decade-Are You Ready?” de la consultora IDC, la cantidad de información digital creada anualmente crecerá 44 veces del 2009 al 2020. Para entonces, el porcentaje de la información digital que demande seguridad más allá de los requerimientos básicos crecerá de 30% a 50%.
En la Sociedad de la Información, como califican a la época actual algunos especialistas, las organizaciones no sólo deben contar con un modelo tradicional de seguridad perimetral, sino también es indispensable que establezcan políticas que culturicen a la fuerza laboral sobre el correcto uso de la información.
“El reto principal en seguridad al que hoy en día se enfrentan las empresas es proteger sus recursos internos; para esto nos basamos en el control de identidades”, señaló Gastón García, Technical Sales Consultant para CA Technologies.
“La seguridad informática está yendo hacia el control de la información –acceso y el buen uso de ésta–, así como al buen uso de los recursos informáticos (ancho de banda)”, opinó por su parte Vicente Amozorrutia, director del área Norte de América Latina para Check Point.
En este sentido, Federico Pacheco, gerente de Educación e Investigación de ESET Latinoamérica, apuntó: “Desde que aparecieron los dispositivos móviles, los sistemas de almacenamiento extraíbles y las redes 3G que exceden a la infraestructura de la empresa, el problema evolucionó de tener que cuidar lo que tienen adentro las organizaciones a controlar la información que lleva y trae la gente en sus dispositivos”.
“Las amenazas cada vez están mucho más diversificadas por el uso de redes sociales y dispositivos móviles. Todavía en las empresas existe mucho desconocimiento de qué hacer, cómo protegerse y cómo saldar estos retos; por esto, creo que es sumamente importante culturizar (a través de consultorías y auditorías)”, aseveró Joel Guerrero, director general de Fortinet.
Para Julián Macías, gerente de producto para Latinoamérica de McAfee, el reto es la fuga de información. “Para controlar esto, las empresas deben tener políticas claras de manejo de información, destrucción de documentos (seguridad física); así como políticas de almacenamiento en medios electrónicos y definición de niveles de acceso a información y sitios (seguridad electrónica)”.
En tanto, Paulo Vendramini, gerente senior de Ingeniería de Sistemas para América Latina de Symantec, explicó que en Latinoamérica ha crecido muchísimo la cantidad de amenazas locales, lo cual implica que las empresas sigan construyendo capas de protección para evitar la entrada de dichas amenazas. Y agregó que “un nuevo desafío para el mundo corporativo es garantizar que la información no salga de su red”.
Web 2.0, un desafío para la seguridad
El uso de redes sociales y mensajería instantánea se ha convertido para las empresas en un dilema. Al principio estaba la incógnita de si deben ser permitidas o no; sin embargo, afirman los especialistas, la respuesta está en decidir quiénes sí pueden acceder a éstas porque lo demandan sus actividades en función de la productividad de la organización.
Josué Maturano, gerente de cuenta, para Fortinet Latinoamérica, señaló que debido a que los ataques son más sofisticados, hay que tener protección contra el robo y la fuga de información (DLP), protección Web 2.0 y “una configuración dinámica que permita tener el control sobre los widgets”.
Para Macías, de McAfee, el reto está en discernir entre la gente que realmente necesita el acceso a las herramientas y sitios, y la gente que no lo necesita. “Además de la seguridad, estamos hablando del uso de los recursos corporativos: las empresas deben establecer políticas claras de usos de recursos para fortalecer la seguridad”.
“Siempre es importante el entrenamiento de la gente, dejar claro lo que ellos pueden y no pueden hacer, explicar lo que es seguridad, cómo mejorar la protección, como protegerse o cómo tener más atención sobre el tema. También son importantes las soluciones DLP para identificar si hay alguien copiando información en Facebook o en LinkedIn; al final del día son más puntos que monitorear”, determinó Vendramini, de Symantec.
Además de tocar el punto de la educación de los empleados sobre el correcto uso de las redes sociales y mensajería instantánea, Gastón García, de CA Technologies, recomendó controlar la identidad, no aceptar usuarios desconocidos y no compartir excesos de información.
Amozorrutia, de Check Point, indicó que debido a que las redes sociales tienen huecos o métodos a través de los cuales se puede fugar información, es importante contar con el control de aplicativos, para “poder determinar cuáles son aplicaciones que pueden utilizar ciertas personas con base en sus roles y sus permisos, sin que estén afectando la productividad o la integridad de la compañía”.
Pacheco de ESET consideró que la concienciación de las personas es un factor indispensable para evitar que expongan información que pueda ser robada. “El proceso implica capacitación de toda la organización en cuanto al manejo de la información mediante seminarios y cursos”.
Al igual que para el uso de la Web 2.0, para la utilización de dispositivos móviles (smartphones, PC Tablets, laptops, notebooks) las empresas deben establecer controles de identidad y utilizar soluciones enfocadas en el análisis de la salida de la información, coincidieron los especialistas. Asimismo, necesitan herramientas que ayuden a administrar equipos o recursos de forma remota, componentes de seguridad que ayuden a mantener encriptados los datos y soluciones para el respaldo automatizado de la información, agregaron.
Para el manejo de dispositivos extraíbles, consideraron las soluciones de monitoreo de información y controles de bloqueo, aunque hicieron hincapié en que aquí es primordial el tema de educación y culturización.
Asignación de roles, una tarea de equipo
Bastante ya se ha hablado de la importancia de la creación de roles y la administración de identidades para lograr un mayor control de la información. Sin embargo, no es una tarea fácil ya que en ésta debe haber varios involucrados.
“La persona adecuada para definir quién tiene acceso a cierto tipo de información es el encargado del área”, dijo el directivo de Symantec. Por otro lado, el vocero de CA Technologies aclaró que en el proceso deben estar involucrados el área de Recursos Humanos (encargados de definir el rol), los dueños de las aplicaciones y los dueños de la información (quienes dan valor a la información) y el área de TI. En tanto, Maturano de Fortinet agregó que también las empresas de seguridad pueden ayudar a las organizaciones mediante servicios de consultoría a clasificar la información para generar los roles, esto apoyados de los dueños de la información.
De acuerdo con la visión de Check Point, en las organizaciones debería existir una dirección de seguridad informática responsable de auditar lo que el departamento de informática desarrolla internamente en temas de TI con base en las necesidades que la alta dirección dicta.
Seis tips de los especialistas“Dé el valor que requiere al control y gestión de identidades. Trabaje y enfatice mucho la educación que se debe dar a los empleados en la parte de seguridad”.
– Gastón García, CA Technologies
“Audite y correlacione los eventos que suceden hacia el interior de su organización. Haga mejoras a infraestructuras de seguridad. La seguridad nunca puede estar por detrás del desempeño que la empresa necesita”.
– Vicente Amozorrutia, Check Point
“Integre un equipo de trabajo que conozca y que realmente pueda tomar buenas decisiones respecto a la tecnología a adoptar para seguridad, la cual debe responder a las demandas del negocio. Atienda certificaciones de gestión de seguridad en general. Reconozca qué problemas se pueden solucionar con herramientas tecnológicas y cuáles capacitando a las personas”.
– Federico Pacheco, ESET
“Monitoree, revise y tome medidas sobre los huecos de seguridad. La seguridad es un proceso iterativo que siempre tiene que estar en una revisión constante”.
– Josué Maturano, Fortinet
“Adquiera soluciones de vendedores confiables. Mantenga vigentes las soluciones para estar actualizado con las últimas definiciones contra las diferentes amenazas. Esto le va a garantizar un nivel de seguridad y confiabilidad para estar libre de vulnerabilidades dentro de sus equipos y sus redes”.
– Julián Macías, McAfee
“Siga creando capas de protección para garantizar que lo que es malo y está afuera no entre a la red, y evolucione con esas capas. Proteja la información. Atienda la administración de la seguridad y garantice que todos los equipos estén actualizados con los parches de seguridad”.
Paulo Vendramini, Symantec
