Las amenazas de seguridad de hoy en día abarcan un amplio espectro de esquemas de ingeniería social, hackers internacionales y amenazas internas, como la reciente violación de la NSA. Es fácil sentirse abrumado por todas las amenazas potenciales, y el dinero debe ser gastado para mantenerse al día, por no decir, mantenerse por delante de la curva.
“Las funciones de seguridad están abarcando solo el 70% de los recursos que necesitan para hacer un adecuado trabajo” de seguridad del negocio, incluyendo el hardware, software, servicios y personal, explicó Michael Versache, director de riesgo mundial de IDC, agregando: “La parte difícil es ese otro 30%”.
Mientras tanto, según Gartner, el gasto mundial en infraestructura de seguridad, incluyendo software, servicios y appliances de seguridad de red utilizados para asegurar la empresa, se elevó a 60 mil millones de dólares en el 2012, un 8,4% sobre los 55 mil millones de dólares del 2011. Se espera que esa cifra alcance los 66 mil millones de dólares para el año 2016.
Para mejorar la seguridad, los expertos en este terreno ofrecen cinco sugerencias que no cuestan grandes sumas de dinero – y, a veces no cuestan nada- para que las compañías puedan gastar sus dólares de seguridad en las cosas difíciles.
1. Parche los agujeros de seguridad e identifique las vulnerabilidades
Tres de las 10 principales botnets reportadas en febrero del 2013 tenían más de ocho años de antigüedad, de acuerdo con FortiGuard Labs, el brazo de investigación de amenazas de la empresa de seguridad de redes Fortinet Inc. En la mayoría de los ataques exitosos, la mayoría de esas amenazas habían sido identificadas y arregladas por los fabricantes años antes, señala Derek Manky, estratega de seguridad global. Las compañías deben mantener sus parches al día.
“Vemos esto una y otra vez”, afirmó Manky. “Siempre hay fallas en el software de seguridad que los hackers persiguen, y así es como entran en los sistemas -a través de archivos adjuntos o mediante un enlace a un sitio web que ha sido infectado. Eso ocurre generalmente a través de elementos como Firefox, Internet Explorer, Java, Flash, Adobe Reader y Mozilla. Así que aplique sus parches al menos para esos blancos primarios.
Un análisis más profundo, software económico de identificación de vulnerabilidades, probará sus sistemas en busca de agujeros de seguridad y le ayudará a identificar posibles soluciones.
2. Instale sus actualizaciones gratuitas de firewall y de antivirus
Mucha gente no se da cuenta de que sus contratos de soporte básico con la mayoría de proveedores para la asistencia con firewalls y antivirus, incluyen actualizaciones gratuitas, señala Andy Hubbard, consultor senior de seguridad en Neohapsis, una firma de servicios de seguridad en Chicago.
“Si no tiene una estrategia para revisar lo que puede hacer la tecnología disponible por la que ya pagó, entonces está perdiendo un montón de nuevas funciones y mejoras”, que podrían evitar una falla de seguridad, indicó Hubbard. “Solo demanda que realice un esfuerzo en investigación. Llame a su proveedor y revise los contratos de las soluciones de firewall y antivirus”.
3. Manténgase al día con los dispositivos personales de BYOD que perdurarán en el entorno de negocios
Un 79% de los negocios tuvo un incidente de seguridad móvil el año pasado, abarcando desde aplicaciones maliciosas descargadas a un dispositivo móvil hasta conexiones inseguras de WiFi, pasando por la ausencia de parches de seguridad de los proveedores de servicio, de acuerdo a un reporte de seguridad del mes de junio de Check Point Software Technologies. Estos incidentes de seguridad móvil le cuestan a las compañías entre 100 mil y 500 mil dólares, en tiempo de personal, pagos legales y solución de procesos.
Las organizaciones pueden mejorar la seguridad en dispositivos móviles mediante acuerdos de BYOD con los usuarios para asegurarse de que toman precauciones de seguridad. La lista de temas debería incluir la instalación de actualizaciones y parches disponibles; la verificación de que cada componente de infraestructura de dispositivo móvil tiene su reloj sincronizado a una fuente común, la reconfiguración de las características de control de acceso según se requieren, de acuerdo a la División de Seguridad de Computadoras del Instituto Nacional de Estándares y Tecnología.
El personal de seguridad de la información también debería realizar evaluaciones periódicas para confirmar que sus políticas de dispositivos móviles, los procesos y los procedimientos se siguen adecuadamente. Las actividades de evaluación pueden ser pasivas, como la revisión de bitácoras; o activas, como realizar un escaneo de vulnerabilidad y pruebas de penetración.
4. Defina una estrategia de seguridad para toda la compañía
Nueve de cada 10 compañías no tenían una estrategia de seguridad definida ni planes de seguridad, o no están vinculados con metas y objetivos de negocios, precisó Kristine Briggs, vicepresidenta de operaciones corporativas en Neohapsis.
“No hay forma de saber si está apoyando los objetivos del negocio a menos que se tome el tiempo para desarrollar la estrategia de seguridad, y haga que se asegure que se están haciendo las cosas más importantes para reducir el riesgo en general.
“Algo de lo que encontramos podría impactar a la mayoría de las personas”, señala Briggs. Inclusive lo encontramos en industrias completamente reguladas”. En una compañía “muy grande” y altamente regulada, una plataforma crítica soportaba la mayor parte de la facturación para uno de sus clientes internos, aunque no tenía un plan o estrategia de seguridad definida.
“Aunque tenían metas masivas de crecimiento de facturación para el uso de esa plataforma, no estaban tomando en cuenta los requisitos de cumplimiento de usuario final, pero los clientes asumían que ellos tenían esa cobertura”, explicó Briggs. “No tenían un plan para orientar la infraestructura de tecnología o el crecimiento planeado del negocio. Eso los podía morder fácilmente si la plataforma era atacada o se caía.
La estrategia y plan no requiere gastos externos, y cuando se completa reducirá el costo general de ejecución del ambiente “porque está haciendo las cosas en una forma repetitiva y planeada que mejora la seguridad y reduce el riesgo. Si reúne a las persona adecuadas en la sala para una sesión que dura medio día, ya tiene el 80% echo”, señala. Esas personas deberían representar tanto el lado de negocios como el de tecnología, así como cualquier otra área. “La mayoría de personas hace planes de un año, y debería responder preguntas: ¿Cuáles son los objetivos de negocios de la compañía? ¿Cuáles son los riesgos asociados con esos objetivos? Por ejemplo, ¿está el negocio altamente regulado o realizan transacciones financieras? ¿Qué tipo de datos residen en el ambiente de TI? ¿Qué tecnologías están ya disponibles para proteger los datos? Y ¿Hasta dónde permite el presupuesto nuevas tecnologías?
5. Eduque a los empleados
Los ataques exitosos son usualmente aquellos que explotan la mente humana. “Los humanos siempre son el eslabón débil de la cadena”, señala Many.
La educación puede ayudar a detener que los empleados sean víctimas de ataques de phishing o ser pretexto de esquemas de engaños o de un uso descuidado de las credenciales de acceso, lo cual representa tres de las 10 acciones de amenaza realizadas contra grandes compañías, de acuerdo al informe de investigación de amenazas de seguridad del 2012 de Verizon.
Pero los afiches estereotipados con consejos de seguridad, colgados en las áreas de recreo son inútiles, señala Julie Peeler, directora de fundación del Consorcio de Certificación de Seguridad de Sistemas de Información -también conocido como (ISC)²- una organización mundial sin fines de lucro que educa y certifica profesionales en seguridad de la información.
“El entrenamiento en seguridad no es un evento de una sola vez. Tiene que estar integrado en toda una organización completa, y tiene que venir desde arriba”, precisó.
Cuando se trata de seguridad, los gerentes necesitan asegurarse de que los empleados entienden la postura de seguridad de la compañía desde el primer día, afirma Peeler. Deben estar dispuestos a firmar acuerdos de confidencialidad, asistir a entrenamientos y participar en la sensibilización, todo con la meta de mantenerse vigilantes.
Stacy Collett, CSO (EE.UU.)