Para proveer el máximo nivel de seguridad de la información posible, las organizaciones, además de contar con las herramientas tecnológicas necesarias, deben educar a su personal en el uso y manejo de los datos corporativos, coincidieron especialistas en el “CSO Executive Forum 2010”, organizado por CIO/InfoWorld México.
En la ponencia “Amenazas recientes en seguridad informática”, Roberto Gómez Cárdenas, investigador del Instituto Tecnológico y de Estudios Superiores de Moterrey, Campus Estado de México, señaló que en la actualidad los retos en seguridad se presentan en cinco áreas: aplicaciones, web, dispositivos móviles, redes sociales y malware.
En cuanto a aplicaciones, Roberto Gómez destacó que la ciberdelincuencia ha hecho uso de ingeniería social para propagar documentos PDF y aplicaciones en Flash modificados que vulneran la seguridad de las empresas. Al hablar de malware, dijo que en el último año Stuxnet ha explotado cuatro vulnerabilidades, dos para propagarse y dos para elevar privilegios; pero este código malicioso principalmente está dirigido contra sistemas de control industriales. La vulnerabilidad en el desarrollo de aplicaciones web continúan siendo XSS e inyección SQL desde hace 10 años. En cuanto a las redes sociales, mencionó Firesheep (extensión de Firefox que se basa en el secuestro de sesiones y sidejacking para interceptar comunicaciones). Finalmente, respecto a los dispositivos móviles advirtió que está siendo instalado malware en los smartphones al momento de descargar aplicaciones.
Por su parte, Gastón García, consultor de ventas técnicas de CA Technologies, en la presentación “Desafíos de Seguridad”, afirmó que en las empresas es necesario centralizar la seguridad para eliminar las inconsistencias y reducir los riesgos. Para esto, aconsejó controlar los accesos de los usuarios, delimitando sus privilegios de acceso a sistemas e información crítica. Asimismo, sugirió extender las identidades basadas en roles hacia el modelo de cómputo en la nube.
En la sesión “La nueva red”, Mario Maldonado, country manager de Juniper, explicó que con la nube de servicios el tráfico de información está cambiando y se transmite a través de toda la infraestructura de TI, lo que implica nuevos retos para la seguridad. Las amenazas han evolucionado y se han vuelto más sofisticadas, además existen mayores vectores de ataque por la diversificación de dispositivos móviles y el incremento del tráfico en las redes. Para hacer frente a estos nuevos retos, Maldonado aconsejó la implementación de soluciones que provean seguridad de punta a punta; sin embargo, dijo que estas deben consolidarse para que la red sea fácil de administrar.
En su oportunidad, José Ángel Peña Ibarra, vicepresidente internacional de ISACA y del IT Governance Institute, impartió la conferencia “Mitos y realidades en la continuidad de los servicios de TI”. En ésta, habló sobre la importancia de que las empresas cuenten con un Plan de Recuperación de Desastres (DRP, por sus siglas en inglés), el cual, es más que un centro de datos alterno. Para crear un DRP, afirmó Peña Ibarra, hay que hacer un análisis del impacto al negocio y un análisis de riesgo, para identificar los procesos, amenazas y vulnerabilidades. Asimismo, aconsejó echar mano de las mejores prácticas como ITIL y COBIT, así como de los estándares, normas y metodologías.
Posteriormente, Cristina Rivas, gerente de investigación de IDC México, expuso en la cátedra “Aplicaciones móviles, ¿un arma de doble filo?”, que las empresas están adoptando soluciones móviles porque mejoran la productividad de las personas, y en muchos casos les ayudan a incrementar las ventas. Sin embargo, exclamó que aún no hay una conciencia de ofrecer las aplicaciones necesarias ni la cultura por parte de los usuarios para el uso correcto de la información. Agregó que es necesario establecer reglas claras sobre el uso de datos corporativos, y sumar herramientas que monitoreen la seguridad de los dispositivos móviles.
Finalmente en el panel de discusión, Lizzette Pérez Arbesú, periodista especializada en TI y seguridad; Efraín Baldenebro Ortiz, de la Bolsa Mexicana de Valores; Rogelio Nava, CISO de Grupo Financiero Interacciones y José Ángel Peña Ibarra, de ISACA, coincidieron en que para prevenir la fuga de información es importante generar los roles de los empleados para así aplicar los controles de acceso pertinentes según el tipo de información, tomando en cuenta que ésta tiene ciclo de vida. Asimismo, reiteraron que es importante sensibilizar a los empleados en el correcto manejo de la información en las redes sociales y dispositivos móviles.
