91 Grupo Datco Amenazas, también puertas adentro Para la compañía regional todavía las empresas no son condentes de los riesgos de no controlar la información crítica que manejan los empleados: internamente se practican procedimientos pero no se hacen análisis de riesgos. Desconfiar del afuera es una cosa; desconfiar de quienes dan forma al tejido mismo de una compañia, otra. Y sin embargo, según datos de Grupo Datco, 35% de los ataques provienen de los clientes internos y 27%, de ex empleados. Másallá de tener procedimientos para manejar información crítica -como pueden ser las de Bring Your Own Device- es imperioso que parte del presupuesto vaya al otro riesgo, potencialmente paralizante, que son los propios empleados. Gerardo Dionofrio y Diego Bonaventura son especialistas en Seguridad de la Información de Grupo Datco y explican el problema. "Las empresas todavía siguen dándole prioridad a la seguridad en el perlmetro externo; no ven amenaza en la red interna que Justifique inversión en tecnología. Pero todas las encuestas dicen que este es un verdadero problema. Internamente se aplican políticas y procedimientos pero no se realizan análisis de riesgo, no se utilizan herramientas de detección ni hay procedimientos de reacción ante un ataque. La seguridad debe tomarse como un sistema integrado y si se aplica solo una parte se dejan abiertas puertas que pueden ser utilizadas para ataques: explica Dionofrio. Bonaventura agrega:'Uno tiende a tener confianza en su personal y darles el valor de equipo a los integrantes de su staff porque todos 105 dlas uno se apoya en las personas que mantienen el negocio funcionando y creciendo. Losempleados son recursosvaliosos. Pero igualmente se tienen que tomar recaudos para evitar el fraude interno. Una estrategia es la segregación de funciones, haciendo que cada empleado realice solo las tareas que ~ corresponden con acceso solo a los sistemas que son parte de su función. Además, el manejo de información sensible -como proveedores, sueldos o información que puede anticipar cambios de cotización bursátil- requiere contar de acuerdos de confidencialidad, con fogueo del manejo de este tipo de información y control de cambios" Esdlfr~il. Con la llegada de los celulares inteligentes.el problema de controlar internamente cómo los empleados manejan información crítica se ha vuelto más relevante. Estrategias como las de Bring YourOwn Device (BYOD)son buenos pasos en este sentido pero, como aclaran los especialistas de Darco, no son suficientes. "Las empresas empiezan a aplicar politicas en serio cuando aceptan que BYODno es una tendencia sino una realldad y es necesario darlo un orden y un marco de uso -cuenta Dionofrio- De hecho, BYOD aumenta año a año y está acá para quedarse. Hay que crecer a otros conceptos como Bring YourOwn Idenrity donde los usuarios utilizan elfogin de las redes sociales para ingresar a las aplicaciones.Todavíano es muy frecuente porque hay que modificar las aplicaciones para que reconozcan a este nuevo usuario pero es una buena idea y factlble" "Durante mucho tiempo las empresas prefirieron dejar afuera de sus redes a los equipos que no perteneciesen a ellas. Pero llegó un momento en el que el avance de las redes sociales hizo que la gente utilice sus propios dispositivos para hacer trabajo diario como, por ejemplo, charlar por WhatsApp con un cliente. Ahl se manda y se recibe información de la empresa que se naturaliza como algo de todos los días. Esmejor llevar un control de eso porque el paradigma ha Fortlnet Internet af Things, la próxima frontera Con cada vez más dispositivos conectados a Internet, el problema que presenta The //I(e17lt'1 o{ 11I1IIg$ (loT), o Internet de las Cosas, no es menor. De hecho, según una encuesta de IDC, se espera que haya 30.000 disposuivos con sensoresconectados .1111 red para 2020. "Seguramente la mayoría lit' esos dispositivos no tendrán ~i quiera un conuolador y no podremos instalarle un antivirus porque estamoshablando de miles gran desaño es cómo proteger esos sensores que de dlspositivos: una heladera conectadaa una red con un sensor de temperatura; un rnarcapasosque transmita información médica,un vehi rulo conectadoo hasta una cerural nuclear. El tatalessobre las personas. estarán conectados a la reo y no tendrán un sislema operativo", dice Gonzalo Careta, gerente de Territorio Cono Sur de Fortinet En este contexto. en el que cada vez hay más dispositivos alrededor del ciudadano común con lmeligencia para reconocer inforrnadón personal, es lógico que exista dena preocupación sobre el control que pueden ejercer privados y es·Yo no hablaría de preocuparse, si de ocuparse. La seguridad inforrnarica está en boca de todos en la actualidad. hastallegara ser lema príorita- río en la agenda del directorio de las grandes empresas. Hizo su entrada triunfal a raíz de las noticias que vienen recorriendo el mundo últimamente sobre grupos cada vez más profesionales dedicados al cibercrirnen. Lo interesantees hablar de seguridad informática antes que los a13ques sucedan y no de manera reactiva. Ante el panorama actual de constantes amenazas, es imprescindible invertir en seguridad, no solo para mitigar un problema específico o remediar algu- '" na vulnerabilidad en sus sistemas,sino para tener ~ una solución o arquitectura de Seguridad integral g donde realmente se analice toda su red, servido- ~ .. res y sistemas y se cuente con los equipos y conexiones necesarias para evitar cualquier ataque, -o ~ S -----92 INFORME (11) I Seguridad informática cambiado y es lmparable" explica Bonaventura. Todoslosdispositivos son computadoras. Más allá de la seguridad de la empresa en relación al empleado, la aparición de cada vez másdispositivos Inteligentes implica una pérdida de seguridad por parte del usuario que no sabe o debe contratar soluciones para proteger su aire acondicionado, su heladera o su sistema de cerraduras, por nombrar solo tres de los elementos que componen la tendencia Internet of Things (Ion. "No es poca cosa. Para2018 habrá 112 millones de dispositivos portátiles conectados a Internet. Habrá que tomar medidas de seguridad porque todo lo domestico estará conectado y, por qué no, vigilándonos si cae en las manos inadecuadas. Hoy existen varios desarrollos pero no están probados ni son definitivos. Va a tener que desarrollarse rápidamente porque 10Tya está acá~dice Dionofrio. En este contexto, agrega Bonaventura "todos los dispositivos son o deben verse como computadoras y deben ser securizados" ... Druidics El problema de la vigilancia estatal Para el director de esta empresa de capitales nacionales, el control sobre empresas y ciudadanos es cada vez mayor. ¿El problema? La brecha entre quienes son conscientes de esta realidad y quienes no. ~ ~ ~ ~ ... :f "El control sobre las empresas y los ciudadanos es cada vez es mayor; dice Javier Ferrero, director de Druidics. y lo explica bien: si bien hace mucho que sucede, con el avance de la tecnoloqla es cada vez más fácil espiar. "Lo delicado es la brecha cada vez mayor entre quienes son conscientes de esta realidad y las que no; es decir, las que se protegen y las que, por desconocimiento, se exponen todo el tiempo': Enel corazón de la controversia está Estados Unidos,cuyo Gobierno fue expuesto en 2013 por vigilar, con la ayuda de los principales operadores de telecomunicaciones y prestadoras de servicios demail.amillones de ciudadanos desde 2001. "Desde ese momento Electronic Frontier Foundation (EFF)ha estado en la vanguardia de los esfuerzos por detener estos programas de vigilancia del Gobierno y encauzarlosnuevamente en el marco legal y de la Constitución. El espionaje de información no es una propiedad de países más o menos desarrollados; es viable o factible en cualquiera de ellos. Lo que se mantiene históricamente en desafio son dos fuerzas: la privacidad de los individuos y las organizaciones contra la eventual inseguridad de la sociedad, frente a potenciales actos terroristas o clberterroristas" . Elsector privado está entre las primeras victimas. Y entre ellos, el bancario. aunque de Javier I'errero. La Jt'liflulll brecha. los que más invierten, es de los más vulnerables a los ataques de terroristas informáticos.Tiene sentido: su botin es grande. En la Argentina, piensa Ferrero,"a medida que los marcos regulatorios se hicieron sólidos fueron necesarias más mversiones" Actividades bajo la lupa De igual magnitud que el área financiera, otros sectores también dinámicos están poniendo a resguardo su seguridad informática."La actividad de la salud, sus prestadores y todo el ecosistema asociado. están próximos a convertirse en fuertes demandantes. Además creo que van a existir más inversiones en la industria con la protección de redes de producción (Seada). y de los Gobiernos. con inversiones en centros cibernéticos para la protección global contra el terrorisrno" Pero más allá de estos sectores sensibles. incluso otros, como el de retoil, que tocan las vidas del ciudadano común dia a día. está creciendo en su protección. "Una estrategia de protección para e-commerce tiene sus bases esenciales en transacciones seguras. Esto implica seguridad en los puntos de inicio y fin de la transacción; seguridad en los nodos intermedios como pueden ser los routers;seguridad de las aplicaciones; certificados digitales de clientes y servidores; trazabilidad de los eventos y protección de la infraestructura contra DDoss~ Estos,explica el director de Druidics, son solo los mandatarios, los que se debería tener inevitablemente para empezar a hablar. Pero a partir de ahí hay todo un mundo de coberturas que se pueden agregar para hacer de las transacciones en Internet algo mucho más seguro. Y es negocio: a más seguridad percibida por el consumidor final, más confianza en el sistema y más compras en esos medios digitales. con los ahorros que eso implica.
© Copyright 2024