HPE entre los líderes de almacenamiento de Gartner
Jonathan Fairtlough, Managing Director en Investigaciones Cibernéticas de Kroll, asegura que con la relevancia que los datos tienen hoy día, y con su valor económico dentro de una compañía, el área de tecnología de una corporación debería ser manejada como la nueva área de finanzas.
CIO América Latina | Por Fernanda Martínez
“Desde que los datos son dinero en el escenario de los negocios actual, deben ser tratados de igual forma, y su almacenamiento, los procesos para manejarlos y seguridad debería ser regularmente auditado”, especifica el experto.
¿Exagera?
Un ataque cibernético sofisticado podría llegar a costarle a una compañía hasta USD$100 millones, como fue el caso de Sony en el 2014. Las pequeñas y medianas empresas también sufren con las pérdidas que pueden ser de hasta USD$4 millones sacándolas inmediatamente de la jugada.
-Para un usuario regular, un buen antivirus funciona para prevenir decenas e ataques, pero cuando migramos este tema a un entorno corporativo la cosa se pone más difícil. ¿Qué herramientas crees que serán clave este año en la seguridad corporativa?
“La clave para una buena seguridad corporativa es construir seguridad en capas. No hay un paso que garantice resolver todos los problemas.
“Una de las capas que necesitaría ser implementada en muchas firmas es el uso de listas blancas. Una lista blanca es una restricción que permite solo a cierto software correr dentro de una red corporativa. Esto significa limitar el permiso de los usuarios de administrar sus propias computadoras y detener la habilidad de agregar software no aprobado por el equipo TI.
“Un segundo paso es monitorear activamente la actividad dentro de una red, buscando movimientos inusuales o sospechosos. Hay múltiples procesos para este tipo de detección de intrusiones, desde dispositivos físicos que monitoreen el tráfico, hasta pequeñas piezas de código que recolecten y rastreen todos los proceso. Cualquier herramienta seleccionada para este monitoreo debe ir acompañada de entrenamiento del equipo para que sean capaces de leer los reportes posteriores y actuar con ellos en mano”.
-Para proteger a la red corporativa, ¿qué recomiendas como medidas de seguridad?
“Cada empresa es diferente. El primer paso es tener una buena auditoría del perfil de seguridad por una firma de ciberseguridad, con información detallada de los riesgos que puede enfrentar la compañía según el tipo de datos que resguarda y su modelo de negocio. Los riesgos de seguridad de un retailer son distintos a los de un banco o una escuela, y cada uno de ellos tiene sus propias preocupaciones.
“Es común que estos temas se dejen en manos del área de TI, pero ¿qué negocio permite que su departamento de finanzas maneje el dinero sin una auditoría regular? Desde que los datos son dinero en el escenario de los negocios actual, deben ser tratados de igual forma, y su almacenamiento, los procesos para manejarlos y seguridad debería ser regularmente auditado”.
-¿La clave se encuentra en blindar la nube?
“Cuando las firmas usan cloud computing, están dejando su seguridad y servicios en la mano de otros. Una firma debe hacer su trabajo y determinar si el proveedor de nube tiene al equipo y los recursos para proteger los datos contra ciberataques.
“Una precaución adicional es encriptar los datos que están siendo almacenados en una nube y dar acceso a ellos bajo una autentificación multifactor como método de seguridad. Mucho más que usuario y contraseña para entrar”.
-¿De qué manera están llegando a usar los cibercriminales a los empleados de una compañía para sus ataques?
“Hay muchas formas en la que los cibercriminales pueden manipular a los empleados para que les ayuden a traspasar la seguridad de una compañía. Uno de estos métodos es la llamada Ingeniería Social, que implica técnicas desarrolladas por los criminales a través de las cuales obtienen información de un usuario legítimo vía Internet. El criminal llama al servicio al cliente de la compañía y pretende ser un cliente real que ha perdido su contraseña o información de cuenta. Con engaños consiguen que se resetee el password de un usuario legítimo.
“El criminal también puede enviar un email con información tan importante como una factura que en realidad contiene malware. Cuando el usuario abre el archivo adjunto, el malware traspasa las barreras protectoras de la empresa. Esta técnica se llama Ataque Dirigido vía Email al empleado.
“Hay un tercer ataque usado, en el que el criminal puede identificar un sitio de interés del usuario tan común como una página que ayude a determinar el tiempo alrededor del mundo. Los criminales implantan código malicioso en el sitio infectando al usuario apenas accede a la página. Esta técnica es llamada Infección a Través de un Website”.
-¿Cómo serán los ciberataques en este 2015?
“Los ciberataques son difíciles de predecir. Una de las áreas de mayor crecimiento en Kroll revisa el uso de webshells, que son estos programas que pueden ser cargados dentro de un servidor permitiendo al atacante conectarse y correr el servidor como si estuviera sentado frente al panel del centro de control. Una vez que el ‘caparazón’ es instalado, el atacante puede loguearse desde Internet y correr comandos en el propio sistema. El criminal usa vulnerabilidades en la seguridad del servidor para introducirse en la red. Los datos extraídos del sistema usan protocolos regulares de Interner, así que es casi imposible distinguir los datos robados del tráfico web normal”.
-Los robos de datos no siempre se producen a través de Internet. Existen otros tipos de ataques como TEMPEST, que aprovecha la radiación de los dispositivos para captar las transmisiones. ¿Cómo protegerse ante estos ataques sofisticados?
“Encriptación. Si los datos que están siendo transferidos a través de la red están encriptados, no importa entonces quién tenga acceso, seguirán necesitando la clave de encriptación para accede a la información”.
-Al 2014 se le puede considerar como el año de la filtración de datos, ¿cómo ves que terminará el 2015? ¿El año en que aprendimos a prevenir?
“Yo creo que el 2015 es el principio de la respuesta a los ciberataques y al terror. Hay muchos caminos qué construir. Una de las necesidades es de una fuerte cooperación internacional en la investigación y persecución de cibercriminales. Otra necesidad es de entrenamiento y equipamiento de más ciberpolicías y ciberdefensores en la industria”.
-Todo este escenario de seguridad, con cada vez más ataques sofisticados, con brechas contra las cuales se sigue luchando, ¿es momento de voltear a ver a los profesionales que están preparándose para el terreno? ¿O no hay suficientes en el mercado para la demanda creciente?
“Sí, la ciberseguridad es un campo en crecimiento, la clave se encuentra en cómo clasificar la calidad y efectividad del equipo. La prevalencia de certificados internacionales como el CISSP (Certified Information Security Professional) es un buen inicio, pero también hay que enfocarse a identificar a las personas con las habilidades correctas. La necesidad es de un equipo calificado a nivel técnico, pero que también pueda hacer una investigación. No se trata solo de una capacidad técnica, también de investigación y capacidad de respuesta cuando son requeridas”.
1 comentario