El mito de la informática segura

El mito de la informática segura


La idea en resumen

¿Qué afecta al 90% de todas las empresas y causa daños por 17.000 millones de dólares cada año? Violaciones de seguridad informática, ya sean inundaciones de correo electrónico que provocan bloqueos en los equipos, piratas informáticos internos que destruyen sitios web o virus que destruyen los datos de los clientes. Estas agresiones pueden perturbar las operaciones y enajenar a los clientes.

Entonces, ¿por qué la mayoría de los ejecutivos relega la seguridad digital al final de su lista de prioridades y la deja en manos de técnicos o consultores externos? Requiere conocimientos especializados y hay poca payoff personal. Dado que la seguridad es invisible, los inversores y los directores no te elogian por evitar infracciones.

Sin embargo, dada la escalada aleccionadora de las amenazas a la seguridad, este enfoque distante es imprudente. No hay necesidad de dominar todos los aspectos arcanos de los sistemas informáticos de tu empresa y no puedes conseguir una protección total. Pero tú lata trate la seguridad digital como lo haría con cualquier desafío operativo: evalúe el valor empresarial de sus activos informativos, determine su vulnerabilidad y, a continuación, adapte las protecciones a las vulnerabilidades particulares de su empresa. Reduzca el riesgo a un nivel aceptable, involucrando a todos los empleados, no solo al personal de IT.

La idea en la práctica

Asume la iniciativa en la creación de ocho procesos que mitiguen la probabilidad de ataques y daños:

1. Identifica los activos digitales de tu empresa y decide cuánta protección merece cada uno. No contratas guardias armados para evitar el uso no comercial de fotocopiadoras, ni guardas efectivo en un archivador. Asigna peso a tus activos. Un banco podría dar prioridad a la protección de una base de datos que almacena la información financiera de los clientes; una compañía farmacéutica, los servidores que contienen datos sobre compuestos farmacológicos prometedores.

2. Defina el uso adecuado de los recursos de IT. Decida quién debe tener acceso remoto a su red corporativa y qué protecciones se necesitan para que los empleados puedan conectarse desde ubicaciones remotas.

3. Controle el acceso a sus sistemas. No permites que nadie entre y se una a las sesiones de estrategia. Del mismo modo, controle el acceso a sus sistemas informáticos. Configure firewalls y tecnologías de autenticación y cifrado para reflejar sus opciones en los procesos 1 y 2 anteriores. Supervise el uso de sus sistemas informáticos mediante herramientas que registran la actividad del equipo en las redes de la empresa y resaltan patrones sospechosos.

4. Insista en un software seguro. Exija niveles de seguridad razonables a los proveedores. Ejemplo:

Un contrato entre General Electric y la empresa de software GMI estipula que los productos de GMI no contendrán nada que pueda dañar el software o los ordenadores, redes o datos de GE. GMI debe notificar inmediatamente a GE al descubrimiento de cualquier procedimiento de inhabilitación y remediar cualquier impacto por cuenta propia.

5. Sepa qué software se está ejecutando. Realice un seguimiento de todas las versiones y correcciones aplicadas al software de su empresa, del mismo modo que realiza un inventario meticuloso de los activos físicos de las plantas. Si sus equipos son violados, los registros revelarán cuándo y dónde atacó el hacker. Que el personal de IT parche las fallas del software rápidamente. La procrastinación les da a los hackers una entrada fácil.

6. Prueba y benchmark. Los malos siempre pueden entrar. Lo que necesitas saber es lo fácil que fue y qué sistemas se vieron comprometidos. Contrata auditores de seguridad externos para que comparen tus estándares y prácticas de seguridad con los más actuales de la industria.

7. Ensaya tu respuesta. Por ejemplo, si sabes lo rápido que puedes reconstruir un sistema, actuarás de forma más eficaz durante los ataques reales: tomarás decisiones difíciles rápidamente y evitarás respuestas bruscas.

8. Analice las causas fundamentales de los problemas de seguridad. Utilice herramientas básicas de garantía de calidad, como «los 5 porqués». Por ejemplo: «¿Por qué el firewall no detuvo la entrada no autorizada?» Porque el atacante tenía una contraseña autorizada. «¿Por qué el atacante tenía una contraseña autorizada?» Porque un empleado reveló su contraseña a alguien haciéndose pasar por otro empleado. «¿Por qué el empleado reveló su contraseña?» Y así sucesivamente.

Durante dos semanas en el verano de 2001, un pequeño programa informático conocido como el gusano Code Red atravesó un agujero de seguridad en el software de servidor de Microsoft para infectar cientos de miles de ordenadores de todo el mundo. En lo que respecta a los virus informáticos, Code Red era bastante benigno: desfiguraba los sitios Web pero no corrompía ni destruía directamente los archivos; sin embargo, causaba un gran daño. Muchas empresas perdieron el uso de sus redes; algunas tuvieron que desconectarse de sus sitios web. La factura total por limpiar el desorden se ha estimado en la friolera de 2.600 millones de dólares.

Si eres como la mayoría de los altos ejecutivos, probablemente solo tengas un vago recuerdo del gusano Code Red, o de cualquiera de los otros virus o ataques de hacker que han plagado las redes corporativas en los últimos años. De hecho, probablemente no prestes mucha atención a la seguridad digital en general. Sabes que es un problema, potencialmente enorme, pero evitas involucrarte directamente en lidiar con él. Por un lado, la seguridad digital es extraordinariamente complicada y requiere todo tipo de conocimientos técnicos especializados. ¿Qué ejecutivo ocupado tiene tiempo para aprender los entresijos de los ataques de «desbordamiento de búfer», por ejemplo? Por otra parte, la mayoría de las infracciones de seguridad se originan en personas con información privilegiada, con empleados descuidados o vengativos. La prevención requiere mucha molesta, algo que a la mayoría de los ejecutivos no les gusta hacer. Por último, la seguridad digital es invisible; sabes que solo has tenido éxito cuando no pasa nada. Así que hay poca payoff personal por un trabajo bien hecho. Es poco probable que los inversores y directores te den una palmadita en la espalda y te digan: «¡Bien por ti! No hubo brechas graves de seguridad en los últimos tres años». En todo caso, fruncirán el ceño y dirán: «¿Desperdiciar dinero otra vez, como hiciste en el año 2000? ¿Por qué no dejar que ese dinero caiga al fondo?»

Por lo tanto, no es de extrañar que los altos directivos entreguen rutinariamente la responsabilidad de la seguridad digital a su personal técnico o a los consultores contratados para «hacer que la organización sea impermeable». Pero un enfoque de plena competencia es extremadamente imprudente dado lo mucho que está en juego. Según las estimaciones de la industria, las brechas de seguridad afectan al 90% de todas las empresas cada año y cuestan unos 17.000 millones de dólares. Las medidas de protección son costosas; una empresa promedio puede gastar fácilmente del 5% al 10% de su presupuesto de IT en seguridad. Lo que es aún más importante, las infracciones de seguridad pueden tener implicaciones empresariales de gran alcance. Pueden generar disrupción las operaciones, enajenar a los clientes y empañar la reputación. Los gerentes de negocios, no solo los gerentes técnicos, son los que tendrán que lidiar con las consecuencias de una brecha de seguridad, por lo que son ellos los que deben encabezar las medidas preventivas y con rapidez. El hecho aleccionador es que las amenazas a la seguridad, ya sean de empleados descontentos o de ciberterroristas, están aumentando en número.

La buena noticia es que los gerentes generales no tienen que aprender sobre los aspectos más arcanos de los sistemas informáticos de su empresa para establecer medidas preventivas cruciales. A diferencia de los administradores de IT que pueden estar directamente involucrados en los juegos del gato y el ratón que se juegan con posibles intrusos, los gerentes de negocios deben centrarse en la tarea familiar de gestionar el riesgo. Su función debe ser evaluar el valor empresarial de sus activos de información, determinar la probabilidad de que se vean comprometidos y, a continuación, adaptar un conjunto de procesos de reducción de riesgos a vulnerabilidades específicas. Este enfoque, que considera la seguridad informática como un desafío operativo más que técnico, es similar a un programa clásico de garantía de calidad en el sentido de que trata de evitar problemas en lugar de solucionarlos e involucra a todos los empleados, no solo al personal de IT. El objetivo no es hacer que los sistemas informáticos sean completamente seguros, eso es imposible, sino reducir el riesgo empresarial a un nivel aceptable.

Las amenazas

Las amenazas a la seguridad digital tienen muchas formas y tamaños, pero básicamente se dividen en tres categorías.

Los ataques de red se libran a través de Internet. Pueden ralentizar el rendimiento de la red, degradar el correo electrónico y otros servicios en línea y causar daños de millones de dólares, todo ello sin violar el funcionamiento interno de un sistema de IT. Los ataques de denegación de servicio (DoS), por ejemplo, deshabilitan los equipos inundándolos con una cantidad abrumadora de mensajes. A medida que los equipos intentan responder a cada uno de los miles de mensajes, sus recursos se consumen y, a menudo, se bloquean. En febrero de 2000, los ataques DoS contra objetivos tan destacados como Yahoo, eBay, CNN y el FBI causaron daños estimados en más de 100 millones de dólares.

En febrero de 2000, los ataques DoS contra objetivos tan destacados como Yahoo, eBay, CNN y el FBI causaron daños estimados en más de 100 millones de dólares.

Los ataques DoS son fáciles de montar y de los que es difícil defenderse. El individuo promedio puede descargar un programa de ataque de Internet en menos de diez minutos. Y los ataques aún más sofisticados, como un ataque de denegación de servicio distribuido (DDoS), que secuestra equipos y los utiliza para lanzar más ataques DoS, pueden iniciarlos personas con conocimientos técnicos modestos. Afortunadamente, las nuevas herramientas de software empresarial pueden frustrar la mayoría de los ataques a la red, e incluso si sus sistemas quedan fuera de servicio, el daño rara vez es permanente.

Intrusiones difieren de los ataques de red porque penetran realmente en los sistemas informáticos internos de una organización. ¿Cómo lo hacen los intrusos? Es más fácil de lo que piensas. Los nombres de usuario suelen ser predecibles: el nombre de usuario de John Smith suele ser jsmith, por ejemplo. En cuanto a las contraseñas, la gente suele usar cumpleaños, nombres de niños o incluso «contraseña». Y por increíble que parezca, muchos graban sus contraseñas en sus monitores para no olvidarlas. (Vale la pena señalar que la mayoría de las intrusiones son cometidas por personas con información privilegiada). Incluso las personas que crean contraseñas difíciles de adivinar a menudo se las entregan a una persona que suena oficial que se hace pasar por un ingeniero de redes de la empresa. A veces, los intrusos ni siquiera necesitan robar contraseñas; pueden entrar a través de fallas en el código del software.

Una vez dentro de una red, los intrusos disfrutan de los mismos derechos de acceso y control sobre sistemas y recursos que los usuarios legítimos. Pueden robar información, borrar o alterar datos, alterar sitios web o hacerse pasar por representantes de la empresa. En un caso, un intruso publicó un comunicado de prensa sobre un déficit de ganancias, lo que provocó que el precio de las acciones de una empresa cayera en picado. Además, los intrusos pueden usar lo que se denomina software sniffer para espiar las conversaciones de red y adquirir más contraseñas. Debido a que el tráfico fluye entre empresas, un sniffer también puede encontrar contraseñas en otras redes.

Uno de los problemas más difíciles que surgen de la intrusión es averiguar qué se hizo, precisamente,. Los hackers se esesoran mucho para cubrir sus huellas. Pueden hacer cambios sutiles en un sistema, abrir «puertas» oscuras que permiten a otros hackers acceder en secreto en el futuro o alterar ligeramente los datos de formas difíciles de detectar. También pueden depositar bombas de relojería, fragmentos de código aparentemente inocuos que están programados para explotar en una fecha futura. Y muchos intrusos dejan atrás programas (con nombres como «Diablo» y «Ejecutor») que les permiten usar los ordenadores de la compañía para lanzar otros ataques.

Si bien puede resultar costoso para las empresas descubrir qué cambios se han realizado, si los hay, es absolutamente crucial. Hay una penalización muy alta en las relaciones públicas por no saber algo trascendente sobre sus sistemas informáticos o, peor aún, por dar falsas garantías sobre la seguridad de sus sistemas.

El último tipo de amenaza, código malicioso , consiste en virus y gusanos. Aunque los expertos no están de acuerdo con las definiciones precisas, una buena regla general es que los virus necesitan ayuda para replicarse y propagarse (por ejemplo, dependen de usuarios ingenuos para abrir un archivo adjunto de correo electrónico) mientras que los gusanos lo hacen automáticamente. Ambos tipos de código malicioso se mueven mucho más rápido que los hackers humanos. Además, sus objetivos pueden ser aleatorios, por lo que es imposible predecir dónde golpearán a continuación. El SQL Slammer, que atacó en enero de 2003, atacó indiscriminadamente y derribó el servicio telefónico finlandés, así como más de 13.000 cajeros automáticos de Bank of America. Y debido a que los gusanos y los virus se utilizan a menudo para lanzar otros ataques, su potencial de destrucción es enorme. El gusano Code Red, por ejemplo, no solo invadió sistemas vulnerables sino que también depositó un programa para lanzar ataques DoS contra otros equipos.

Es evidente que los ataques digitales, especialmente cuando se usan combinados, pueden poner de rodillas a una empresa. Considera el daño causado por un empleado del banco descontento. Durante un fin de semana festivo, lanzó un ataque DoS contra una red interna que conectaba importantes sistemas bancarios a los bancos de datos de la compañía. Sabiendo que el personal de IT tendría las manos ocupadas para restaurar la comunicación entre sistemas y dispositivos de almacenamiento, trasladó la batalla a un segundo frente. Sabía qué software de servidor web ejecutaba la empresa y sabía (o sospechaba) que sus parches de seguridad no estaban actualizados. Investigó las vulnerabilidades del software y luego descargó programas creados por la comunidad de hacker para explotar esos defectos. Alteró el sitio web del banco para que los visitantes fueran desviados a un sitio pornográfico.

Habiendo creado otro desvío, el atacante empezó a hacer un daño más grave. Sabía qué bases de datos bancarias contenían información de clientes y sospechaba que las aplicaciones de base de datos no se habían «endurecido»; en otras palabras, se habían ajustado para que solo quedaran en funcionamiento los servicios necesarios. El atacante utilizó un servicio que se ejecutaba innecesariamente para dañar las bases de datos y destruir los datos del cliente.

Para el martes por la mañana, el banco estaba sumido en el caos. Debido a que no se podía confiar en la integridad de sus sistemas, el banco se redujo a una operación de lápiz y papel. Aunque se recuperó de la mayor parte de las interrupciones técnicas en cuatro días hábiles, seguía trabajando para restablecer la confianza del cliente seis meses después.

El enfoque operativo

Las empresas necesitan contar con técnicos inteligentes que estén al tanto de las amenazas y defensas digitales emergentes, por supuesto, pero los técnicos no deberían tomar las decisiones. Los gerentes generales deben tomar la iniciativa en los procesos de construcción que reduzcan la probabilidad de un ataque exitoso y mitiguen los daños. La mayoría de las organizaciones ya tienen implementados al menos algunos de estos procesos, pero rara vez los desarrollan y administran de forma coherente y coherente. Aquí hay ocho en los que tu empresa debería estar trabajando.

Identifique los activos digitales de su empresa y decida cuánta protección merece cada uno.

No contratas guardias armados para evitar el uso ocasional de fotocopiadoras sin fines comerciales, ni guardas el efectivo de tu empresa en un archivador. Protege cada recurso corporativo en proporción a su valor. El mismo principio se aplica a la seguridad digital.

Para empezar, primero tienes que averiguar cuáles son tus activos digitales (no siempre son obvios). Un equipo de altos directivos de toda la empresa debe hacer un inventario de los datos y los sistemas, evaluar el valor de cada uno de ellos para la empresa y decidir cuánto riesgo puede absorber la empresa para cada activo. Eso le indicará el nivel de protección que cada uno de ellos garantiza. Un banco, por ejemplo, podría asignar la mayor protección a la base de datos que almacena la información financiera de sus clientes. Para una compañía farmacéutica, podrían ser los servidores de investigación los que contienen datos sobre compuestos farmacológicos prometedores. Los servidores web internos que contienen información general sobre los programas de beneficios probablemente merecen menos protección.

El siguiente paso es revisar las personas, los procesos y las tecnologías que respaldan esos activos, incluidos los proveedores y socios externos. Cuando termines con eso, tendrás un plan que identifica con precisión cuáles son tus activos digitales, cuánta protección merece cada uno y quién es el responsable de protegerlos.

Defina el uso adecuado de los recursos de IT.

Todas las empresas tienen políticas que explican el uso adecuado de los recursos. Por ejemplo, los empleados saben qué tipo de cosas se pueden cargar a las cuentas de gastos. Pero el uso de los sistemas informáticos de la empresa a menudo no está claro. Los gerentes deben preguntar: «¿Quién debería tener acceso remoto a la red corporativa? ¿Qué medidas de seguridad deben aplicarse antes de que los empleados puedan conectarse a la red corporativa desde una ubicación remota?» No se trata de preguntas técnicas; son preguntas de personas y procesos que te ayudarán a identificar los comportamientos normales de determinados trabajos y lo que los empleados deberían y no deberían hacer en sus sistemas (como compartir contraseñas).

Dado que incluso la mejor política de seguridad será ineficaz si los usuarios y los socios comerciales la ignoran, es importante que las empresas expliquen sus razones para las limitaciones que imponen al uso del equipo.

Controle el acceso a sus sistemas.

No permites que cualquiera que salga de la calle entre y use las máquinas de fax de tu empresa o asista a una sesión de estrategia. En un sentido relacionado, necesitas una forma de prohibar a algunas personas de tus sistemas informáticos mientras dejas entrar a otras. Necesita sistemas que determinen quién tiene acceso a información específica. Y necesita una forma de garantizar que las comunicaciones críticas no se escuchen por casualidad.

Ciertas tecnologías (firewalls, sistemas de autenticación y autorización y cifrado) se utilizan para cumplir estos requisitos, pero son tan buenas como la información que las alimenta. Deben configurarse de manera que reflejen las elecciones que tomó al definir sus activos más críticos y decidir quién tenía acceso a ellos. Por supuesto, los gerentes no técnicos no realizarán el trabajo de configuración real, pero informarán el proceso haciendo preguntas como «¿Cómo evitamos que los proveedores accedan a los datos de nómina?»

Al igual que las empresas vigilan sus equipos y suministros mediante auditorías programadas y comprobaciones puntuales aleatorias, también deberían supervisar el uso de sus sistemas informáticos. Las herramientas de supervisión y detección de intrusos registran rutinariamente la actividad de los equipos en las redes de la empresa y resaltan patrones de actividad sospechosa, cambios en el software o patrones de comunicación y acceso. Algunas empresas desactivan las funciones de supervisión de actividad porque pueden reducir el rendimiento de la red, pero eso es sumamente corto de miras; el costo de no saber lo suficiente sobre una brecha de seguridad es mucho, mucho mayor.

Insista en un software seguro.

Todas las operaciones bien gestionadas indican a sus proveedores de materiales qué especificaciones deben cumplir exactamente. Del mismo modo, las empresas deben exigir niveles razonables de seguridad a los proveedores de software. Observe la redacción de este contrato entre General Electric y la empresa de software GMI:

Garantía de integridad del código1

GMI garantiza y declara que el software de GMI, que no sea el software clave, no contiene ni contendrá ninguna rutina de programa, dispositivo, código o instrucciones (incluido el código o las instrucciones proporcionadas por terceros) ni ninguna otra función no divulgada, incluidos, entre otros, una bomba de relojería, virus o software bloqueo, dispositivo muerto, lógica maliciosa, gusano, caballo de Troya, error, defecto o trampilla (incluido el año 2000), que sea capaz de acceder, modificar, eliminar, dañar, deshabilitar, desactivar, interferir o dañar de otro modo el software de GMI, cualquier ordenador, red, datos u otro tipo de forma electrónica información almacenada o programas o sistemas informáticos (colectivamente, «procedimientos de desactivación»). ... Si GMI incorpora programas o rutinas de software de GMI suministrados por otros proveedores, licenciantes o contratistas (distintos del software clave), GMI obtendrá garantías comparables de dichos proveedores. ... GMI se compromete a notificar inmediatamente a GE al descubrimiento de cualquier procedimiento de desactivación que esté o pueda estar incluido en el software de GMI y, si se descubren procedimientos de desactivación o se sospecha razonablemente que están presentes en el software de GMI, GMI, como toda su responsabilidad y el único y exclusivo recurso de GE por el incumplimiento de la garantía de esta sección 7.3, se compromete a tomar medidas de inmediato, por su propia cuenta, para identificar y erradicar (o equipar a GE para identificar y erradicar) tales procedimientos de inhabilitación y llevar a cabo cualquier recuperación necesaria para remediar cualquier impacto de dichos procedimientos de inhabilitación.

Cuando cláusulas herméticas como estas se vuelven comunes en los contratos de software, las fallas explotables serán raras.

Ganancias versus seguridad

En los últimos años, los directores ejecutivos han sentido una presión extraordinaria para mantener sus ganancias marchando «hacia la esquina noreste». El gasto en seguridad digital no encaja fácilmente en ese contexto. Supongamos que un CEO gasta agresivamente para proteger a su empresa contra la posibilidad de una violación grave de la seguridad y que sus competidores no lo hacen. Supongamos además que nadie en la industria experimenta una brecha de seguridad importante durante un par de años. El CEO no tendrá nada que mostrar por su inversión, y las ganancias de la compañía serán considerablemente inferiores a las de los competidores. El CEO que persiste demasiado tiempo en inversiones que no dan lugar a que no ocurra nada podría quedar pronto sin trabajo.

Una realidad básica de las matemáticas financieras acentúa el problema de equilibrar los riesgos de seguridad y la presión de la rentabilidad: los eventos raros y catastróficos, cuando ocurren, tienen costos que superan en gran medida los costos a los que entran en la matemática de la justificación financiera. El análisis financiero tradicional escala los costos asociados a tales eventos en términos de «valor esperado», en proporción a su infrecuencia. Por lo tanto, una pérdida de 1 millón de dólares que se considera probable solo el 0,1% entrará en los cálculos financieros como una pérdida de 1.000 dólares (1.000.000 x 0,001 dólares). Cuando hay incertidumbre sobre el nivel de incertidumbre, es decir, cuando no está claro si el evento causante de pérdidas ocurrirá con una probabilidad del 0,01% o del 0,001% de probabilidad, resulta aún más difícil justificar gastar mucho dinero para evitar la pérdida.

Los responsables políticos de alto nivel han empezado a lidiar con la forma de proteger la infraestructura de IT de los Estados Unidos, que está compuesta en gran parte por las infraestructuras individuales de muchas empresas. Algunos funcionarios creen que las empresas deberían invertir en seguridad porque «es lo correcto». Los directores ejecutivos pueden sentir que esta posición es ingenua, cuando los mercados siguen tan dispuestos a castigar a las empresas por no mostrar un crecimiento constante. Los directores ejecutivos necesitan algún tipo de cobertura para gastar en seguridad; podría venir en forma de cobertura de seguro y podría venir en forma de regulación (sospechamos que la mayoría de los líderes empresariales no estarían entusiasmados con esa solución). Pero hasta que los ejecutivos y los responsables políticos lo descubran, nuestra infraestructura nacional seguirá estando en riesgo significativo.

Si tu empresa desarrolla software, asegúrate de que tus desarrolladores sigan prácticas seguras de codificación y pruebas. Los que no lo están pueden estar costando grandes sumas de dinero a su empresa. Un proveedor multinacional de bases de datos calcula que la publicación de un parche importante (una solución para un problema en el código ya implementado) le cuesta a la empresa 1 millón de dólares y libera hasta 12 al mes. Pero el 80% de estos parches serían innecesarios si la empresa eliminara solo un tipo común de error de codificación conocido como «desbordamientos de búfer».

Protección de la pequeña y mediana empresa

Los procesos que defendemos en este artículo pueden parecer que están fuera del alcance de las pequeñas y medianas empresas, pero, si se simplifican de forma inteligente, no deberían estarlo. Querrás identificar tus activos digitales; probablemente solo unos pocos serán críticos. Asegúrese de incluir proveedores de servicios externos cuando mapee a las personas y los procesos que afectan a los activos críticos. También tendrá que preocuparse por los demás principios del marco: políticas de seguridad, herramientas y técnicas, software seguro, administración de configuraciones,. Afortunadamente, puedes manejar la mayoría de estos con unas simples acciones:

Asegure el perímetro. Cree un perímetro seguro alrededor de los equipos de su empresa instalando tres componentes: un firewall, un software de red privada virtual (VPN) para acceso remoto y detectores de virus en el servidor de correo. El correo debe ser el único tráfico no VPN que permita cruzar el perímetro entrante (la configuración del firewall le permitirá hacerlo). Si no tienes personal interno que se encargue de estas tres cosas, puedes contratar a un proveedor de servicios de seguridad para que las haga por ti. Necesitará que estos profesionales supervisen su perímetro una vez establecido y que prueben su entorno periódicamente. Si tienes aplicaciones de acceso público, también puedes pedirle al proveedor de seguridad que realice pruebas de penetración ocasionales.

Bloquea los ordenadores. Instale software antivirus y cortafuegos personal en todos los portátiles, equipos de escritorio y servidores; estos son económicos y están disponibles en la mayoría de las tiendas de informática. Desactive la funcionalidad innecesaria en todas las máquinas (de nuevo, obtenga ayuda de un proveedor de servicios de seguridad si nadie de su empresa sabe cómo hacerlo). Active la actualización automática para que los equipos conectados a Internet puedan adquirir e instalar correcciones automáticamente a medida que los proveedores las pongan a disposición. Utilice la guía de bloqueo del proveedor (a menudo disponible en su sitio web) para configurar sus equipos y su software en modo seguro.

Comunicar y hacer cumplir las políticas. Asegúrese de que todos los miembros de su empresa sepan que no deben ejecutar aplicaciones de red no aprobadas: uso compartido de archivos P2P (por ejemplo, muchos servicios populares para compartir música), mensajería instantánea y similares. Haga que su personal de IT supervise los boletines de seguridad de los proveedores para los productos que utiliza. Además, tenga lista una lista de comprobación para que, cuando los empleados se vayan, su personal de IT tome medidas de inmediato para desactivar sus contraseñas y el acceso a la VPN.

Sepa exactamente qué software se está ejecutando.

Es sorprendente cuántas empresas no siguen esta regla tan obvia. Hacer un seguimiento de las versiones y correcciones que se han aplicado es tan fundamental para la gestión de la seguridad digital como mantener un inventario preciso de los activos físicos es para la gestión de la planta.

No estamos diciendo que esto sea fácil: las configuraciones del software cambian todo el tiempo. Tal vez un programa no se está ejecutando correctamente, o un cliente importante exige un cambio, o un proveedor de software lanza un nuevo parche; la lista puede seguir y seguir. Sin embargo, independientemente de las razones, es fundamental documentar cada modificación. De esta forma, si se infringen sus equipos, tendrá registros actuales para determinar cuándo y dónde atacó el hacker. Y si procesas al intruso, tendrás análisis forenses digitales para establecer una cadena de pruebas.

También debe asegurarse de contar con un proceso que permita a su personal de IT realizar cambios rápidamente. Procrastinar la actualización de parches les da a los hackers una fácil entrada. Tanto los gusanos Code Red como SQL Slammer afectaron solo a aquellas empresas que aún no habían parcheado fallas conocidas en su software. Las correcciones habían estado disponibles del proveedor durante más de un mes en el caso de Code Red y durante más de seis meses en el caso de SQL Slammer.

Estar atento a los cambios en sus configuraciones tiene un beneficio secundario importante: le permite asumir un compromiso real con la mejora continua. Como sabe cualquier gerente de operaciones con experiencia, es imposible identificar y erradicar la causa raíz de un problema si no se tienen instantáneas claras de sus operaciones a lo largo del tiempo. La disciplina operativa involucrada en el seguimiento de los cambios de configuración dará sus frutos a largo plazo. Como descubrieron muchas empresas con programas de gestión de calidad y seguridad industrial, la percepción de las compensaciones entre seguridad y productividad suele ser incorrecta. Los problemas de seguridad pueden impulsar simplificaciones operativas que también generan dividendos de eficiencia.

Prueba y benchmark.

Los profesionales de la seguridad tienen la terrible costumbre de comenzar con una auditoría de seguridad dramática, un intento por etapas de derrotar las defensas de una empresa. Pero las empresas deberían ahorrar dinero porque los resultados de una «prueba de penetración» son siempre los mismos: los malos pueden entrar. Lo que realmente necesitas saber es, ¿qué tan fácil fue? ¿Qué sistemas o programas se vieron comprometidos o expuestos? Las respuestas a esas preguntas dependen de qué tan buenos sean sus planes operativos y de qué tan bien los esté ejecutando. Básicamente, cuando los malos entran, y sabes que lo harán, quieres que miren a tu alrededor y vean que no hay mucha diversión ni ganancias para que se vayan en busca de mejores perspectivas.

Depender demasiado de las auditorías es problemático por la misma razón por la que confiar en las inspecciones para mejorar la calidad es: descubrir el problema después del hecho no impide que ocurra en el futuro. Sin embargo, es aconsejable contratar auditores de seguridad externos periódicamente para que evalúen sus estándares y prácticas de seguridad con los más avanzados de la industria, una vez que haya implementado prácticas operativas sólidas. La evaluación comparativa puede identificar nuevas debilidades, sugerir mejoras y ayudarle a decidir cuánta protección comprar.

Ensaya tu respuesta.

Cuando se infrinja la seguridad, toda la organización entra en modo de crisis y los gerentes tienen que tomar decisiones difíciles rápidamente. Es útil contar con procedimientos que guíen el diagnóstico del problema, protejan contra las decisiones imprecisas y especifiquen quién debe participar en las actividades de resolución de problemas. También ayuda haber practicado; el ensayo permite a los responsables de la toma de decisiones actuar con más confianza y eficacia durante eventos reales. Si sabe, por ejemplo, con exactitud la rapidez con la que puede capturar imágenes de unidades de disco, si tiene software de copia de seguridad listo para implementarse, o cuánto tiempo llevará reconstruir un sistema, estará en mejor posición para tomar decisiones reflexivas y deliberadas.

Analiza las causas fundamentales.

Siempre que se detecte un problema de seguridad, la organización debe realizar un análisis detallado para descubrir la causa principal. Las herramientas necesarias no difieren de las utilizadas durante años en los programas de garantía de calidad. Incluyen diagramas de espina de pescado, procesos de ocho pasos y ciclos plan-do-check-act. Toyota, líder mundial en fabricación de calidad, utiliza un enfoque llamado «Los 5 porqués» para llegar al fondo de los problemas de producción y calidad. Para ponerlo en un contexto de seguridad digital, la investigación podría sonar así:

  • ¿Por qué el firewall no detuvo la entrada no autorizada? Porque el atacante tenía una contraseña autorizada.
  • ¿Por qué el atacante tenía una contraseña autorizada? Porque un empleado reveló su contraseña a alguien haciéndose pasar por otro empleado de la empresa.
  • ¿Por qué el empleado reveló su contraseña? Porque no se dio cuenta del peligro de hacerlo.
  • ¿Por qué el empleado no se dio cuenta del peligro? Porque no había visto un boletín de seguridad que abordara el tema.
  • ¿Por qué el empleado no había visto el boletín de seguridad? Porque había un problema en el proceso de distribución.

Toyota ha descubierto que las respuestas a las preguntas finales casi siempre tienen que ver con deficiencias en el diseño de un proceso, no con personas, máquinas o tecnologías específicas. El uso de herramientas como esta para investigar incidentes de seguridad digital impulsa mejoras operativas continuas que, en última instancia, reducen el riesgo.

Conclusión

Las empresas no pueden permitirse responder a todas las amenazas de seguridad con la misma agresividad. Aunque pudieran, no tendría sentido desde el punto de vista empresarial. En cambio, los gerentes deben determinar qué riesgos tienen más probabilidades de materializarse y cuáles podrían causar el mayor daño a la empresa, y luego gastar su dinero donde crean que será más útil. Por supuesto, no es un cálculo que ocurre una sola vez, ya que siempre surgen nuevas amenazas y nuevas capacidades. Pero el proceso para pensar en ellos no cambia.

Los gerentes deben determinar qué riesgos tienen más probabilidades de materializarse y cuáles podrían causar el mayor daño a la empresa, y luego gastar su dinero donde sea más útil.

Esto no quiere decir que la lógica de la gestión de riesgos no sea complicada. Para algunas empresas, puede ser muy complicado, de hecho. Las actitudes de los gerentes hacia el riesgo suelen ser complejas y hay que reconocer esa arruga psicológica. Otra complicación se debe a la dificultad de estimar los costos y las probabilidades. No todos los riesgos se pueden contrarrestar con acciones de gestión bien definidas. A veces, ninguna acción posible puede hacer frente a un riesgo grave en particular. Otras veces, abordar un riesgo grave es prohibitivamente costoso.

Lo importante que hay que tener en cuenta es que cada caso se trata de hacer concesiones comerciales. Cuando se ven desde una perspectiva operativa, las decisiones sobre seguridad digital no difieren mucho de otras decisiones de costo-beneficio que deben tomar los gerentes generales. No hay razón para sentirse abrumado por la tecnología involucrada o por las costosas soluciones rápidas que los expertos quieren vender. Las herramientas que aportas a otras áreas de tu negocio son buenos modelos de lo que necesitas hacer en este espacio aparentemente más difícil.

1. fuente: www.freeedgar.com

Escrito por Robert D. Austin Robert D. Austin Christopher A.R. Darby