Por Florencia Pulla (*)
(…) Viene de http://www.mercado.com.ar/notas/informe-ii-%7C-seguridad-informtica/8017561/internet-de-las-amenazas
Eset
Con más frentes para defender
A pesar de que las inversiones en seguridad aumentan, parece no ser suficiente: las amenazas se multiplican y las medidas de seguridad adoptadas por las empresas deben contemplar todos los escenarios críticos. En el caso de la nube, el ahorro podría traer una carga pesada.
Camilo Gutiérrez Amaya
En el inconsciente colectivo, la amenaza siempre viene de afuera. Es un solo frente, un solo enemigo. En el caso de la seguridad informática, siempre es un hacker tipeando algún código misterioso en la oscuridad. Pero la realidad de las empresas es otra. Además de los terroristas cibernéticos, de los hackers hechos y derechos, de los organismos del Estado que espían a ciudadanos con la ayuda de privados, existe el público interno. Son muchos frentes, todos igualmente peligrosos. “Para las empresas –cuenta Camilo Gutiérrez Amaya, especialista en seguridad de Eset Latinamérica– es muy importante reconocer que la superficie de ataque a la cual están expuestas es cada vez más amplia. Los incidentes de seguridad a los cuales pueden verse enfrentadas las organizaciones pueden venir de distintos lugares: un empleado disconforme, un atacante externo que busca utilizar recursos de cómputo de las empresas o casos de espionaje industrial. Por lo tanto, las medidas de seguridad tienen que contemplar los escenarios más críticos. Para una empresa financiera el riesgo de sufrir un ataque interno no va a ser el mismo que para una empresa manufacturera; si bien las consecuencias pueden ser similares en materia de pérdida de reputación o incluso económicas, la forma en que enfrentan la situación es y debe ser diferente”.
Parece que la seguridad informática es la última inversión en IT cuando nada más queda por hacer, pero no es cierto. En el mundo, pero en Latinoamérica específicamente, la conciencia respecto a protegerse de ataques –en todos los frentes– es cada vez mayor. “En los últimos años y especialmente en 2014 fuimos testigos de incidentes en seguridad informática bastante graves. Hablamos de reportes de fugas de información, de la explotación de vulnerabilidades y de la aparición de diferentes amenazas que pusieron en jaque la seguridad y la privacidad de la información de personas y empresas. Por eso toman nota. Porque la seguridad hoy garantiza la operación del negocio”. En la región, en los primeros tres meses del año solamente, casos como el de ransomware CTB-Locker –que significó la publicación de millones de contraseñas y la divulgación de pruebas de concepto que mostraban fallas de seguridad en aplicaciones móviles– muestran la gravedad del problema.
La “nube” polémica
De hecho, aunque muchos de quienes fabrican soluciones en the cloud juren que sus fallas de seguridad son un inconveniente menor frente a sus potenciales contraprestaciones, es uno de los grandes temas. ¿Conviene o no? Para Gutiérrez Amaya desafortunadamente muchas veces las características de seguridad no son las que más pesan al momento de manejar información de la empresa y se suele inclinar la balanza hacia alternativas que permitan ahorros económicos importantes en materia de infraestructura y recursos para las compañías.
“Si bien tendencias como llevar la información a servidores de terceros puede facilitar la operación de las empresas, es necesario evaluar cuáles son las garantías de seguridad que les ofrecen. No se puede perder de vista que llevar información a la “nube” es, primero, evaluar su criticidad y el impacto que puede llegar a tener su pérdida. Para así considerar la posibilidad de dejar información sensible en servidores propios, por más costoso que eso pueda parecer en comparación”.
Esto es especialmente dificultoso para las Pyme que ven en la aparición de estos servicios una manera de acceder a tecnología de avanzada sin tener que invertir a la par de las multinacionales. “Por este motivo, implementar de forma exitosa programas de seguridad en las Pyme es una tarea compleja –reconoce el especialista de Eset–. Las brechas tecnológicas son amplias en comparación con las grandes empresas. Las Pyme tienen que comprender que la seguridad es un proceso dinámico y que contemplar todos los puntos necesarios para un plan correcto de seguridad es delicado cuando los recursos y el conocimiento son escasos”.
Blue Coat
Crece el uso de encriptación
Desde la empresa afirman que aunque las prácticas de encriptar aumentan para proteger la privacidad de los consumidores del mundo, el malware se seguirá ocultando para evadir la detección de las soluciones disponibles en el mercado.
Eduardo Rico
Si el problema es la “nube”, pocos entienden más del tema que Blue Coat, una empresa que provee soluciones en las instalaciones híbridas y basadas en the cloud para proteger la conectividad web. Eduardo Rico, su SE Manager en Latinoamérica, dice que el problema es complejo: más allá de las soluciones avanzadas que se encuentran disponibles en el mercado, el malware parece estar siempre un paso adelante.
–Algunas tendencias muy fuertes, como la nube, crecen bajo la promesa de que la seguridad está controlada. Pero igualmente volcar información a servidores de terceros puede generar temores. ¿Qué tanto incide la seguridad en la toma de decisiones respecto a esta tendencia? ¿Qué rol ocupa la encriptación como solución para mantener privado lo que debe ser privado?
–El uso de la encriptación continuará creciendo para proteger la privacidad de los consumidores, pero el malware se ocultará cada vez más detrás de la encriptación para evadir la detección por parte de la mayoría de las soluciones de seguridad disponibles. Esto afecta de forma directa a las empresas que están luchando por encontrar el equilibrio entre la privacidad de los empleados y los ataques que se esconden detrás de la encriptación. Nosotros contamos con una solución de monitoreo de tráfico cifrado que permite prevenir una gran cantidad de ataques que actualmente encuentran en la encriptación la puerta de entrada a las redes empresarias.
Lo que es cada vez más evidente es que el modelo de servicios en la “nube”, incluidos los de seguridad, facilitan la operación y mantenimiento de algunos aplicativos y sistemas. En el caso de la seguridad para la comunicación en Internet, lo que provee es una revisión del contenido que los usuarios ya están buscando fuera de la empresa para poderlo revisar y aplicar las políticas requeridas por cada cliente, incluso antes de que la información sea entregada a su red privada, lo cual, desde nuestro punto de vista presenta una ventaja considerable, especialmente cuando tomamos en cuenta la amplia utilización de dispositivos móviles personales en donde hay información empresarial importante que está siendo revisada y atendida fuera de la red privada.
–Esto último que plantea está directamente vinculado con las amenazas internas. Los celulares inteligentes hoy son la norma y la respuesta es atacar con políticas para regular su uso puertas adentro. ¿Cómo están instrumentando las compañías políticas como estas?
–El problema es que si no se implementan políticas determinadas, los aparatos terminan siendo una gran vulnerabilidad para las empresas. Es por eso que recomendamos la utilización de medidas de seguridad que incluyan a todos los aparatos que los empleados utilizan en el entorno de la empresa. También es importante recalcar que es necesario considerar la protección no solo cuando los dispositivos se usan internamente (dentro de la red empresarial) sino también cuando están fuera de ella, por lo que una solución híbrida puede presentar grandes ventajas en la implementación aplicando las políticas apropiadas tanto dentro como fuera de la red privada.
–Otro gran actor, en términos de peligrar la información, es el Estado…
–Sí, pero el espionaje no es solo del Estado. Una de las tendencias que vemos para este año es el auge del software de espionaje o “Espionageware”. Mientras que su volumen era relativamente bajo en 2014, se prevé un aumento en el software de vigilancia creado por empresas de seguridad o Estados-Nación para monitorear las actividades de ciertas personas. A medida que vayan surgiendo conflictos internacionales, inevitablemente estas herramientas serán utilizadas para realizar un seguimiento de lo que hacen las personas y averiguar si representan un riesgo para la seguridad o no.
El uso de la tecnología nos ha hecho mucho más ágiles y eficientes como sociedad, sin embargo, no hemos caído en la cuenta que lo que antes considerábamos privado, hoy, al compartirlo en Internet nosotros mismos lo hacemos público, por lo que más que hablar de que estamos más controlados podemos decir que estamos más visibles, lo cual en sí mismo no es malo, el problema viene cuando se trata de determinar quién o cómo utilizan los registros de esta visibilidad que voluntariamente estamos adoptando.
Kaspersky
El malware está cerca de casa
100 bancos atacados por hackers es noticia de alto impacto y resonancia mundial. Esa repercusión tuvo el reciente anuncio de la firma con sede en Moscú en la cumbre de analistas realizada en Cancún. “Un robo cibernético sin precedentes”.
Una banda multinacional de cibercriminales se infiltró en más de 100 bancos en 30 países y se alzó con más de US$ 1.000 millones en más o menos dos años. Kaspersky Lab, Interpol, Europol y autoridades de diferentes países unieron fuerzas para descubrir el plan.
Es indiscutible que la hiperconectividad ha llevado a que los cibercriminales se pongan más creativos. Aunque la lejanía de tierras más conflictivas salvó a la región latinoamericana de grandes conflictos durante el siglo 20, con la hiperconectividad que reina en nuestros tiempos no hay regiones del globo que estén realmente a salvo de los ataques cibernéticos. Y aunque parezca que los targets están en países más ricos, allí donde las multinacionales encuentran su hogar, lo cierto es que en el contexto de un mayor crecimiento regional nuestros países ya no se encuentran del todo a salvo.
Así lo explica, al menos, Daniel Molina, director general para Mercados Emergentes de América latina de la rusa Kaspersky Labs. “Una triste realidad que vivimos en la Argentina y, a decir verdad, en toda la región, es que estamos en una época en que la privacidad de nuestros datos y de nuestras tarjetas de crédito han sufrido por la interconectividad que gozamos. Si bien la era de Internet de las Cosas y de la hiper-movilidad nos ha ayudado a desarrollar una nueva realidad, las víctimas de esa conectividad muchas veces son nuestros datos personales”.
“Esto representa un cambio en cómo las empresas y las personas enfrentan su seguridad informática y en cómo protegen los datos de sus clientes. Las empresas argentinas toman con más seriedad este tema porque la fuga de datos sensibles puede poner en riesgo la confianza del cliente y, en definitiva, al negocio. Si antes el tema sucedía en tierras ajenas, con idiomas diferentes, las últimas brechas de seguridad nos muestran que suceden en nuestro propio territorio y el malware ahora se desarrolla específicamente para conseguir víctimas de habla hispana”.
–Uno de los temas más candentes en términos de seguridad informática de los últimos años fue el caso Snowden. Si efectivamente Latinoamérica es cada vez más un blanco de ataques cibernéticos, ¿también lo es por parte de los Estados?
–Evidentemente las reglas de juego han cambiado drásticamente. Ya no hay una definición rígida de lo que es público o privado entre empresas, Gobiernos y personas. Cada uno de nosotros se tiene que responsabilizar por proteger sus datos de la mejor manera posible. Por desgracia el espionaje siempre existió y ahora se está convirtiendo en ciber-espionaje. Además, un problema aún más preocupante, está floreciendo: el mercado no regulado donde exploits de día cero se negocian entre las agencias con presupuestos ilimitados. En este mercado cualquiera que tenga una cuenta bancaria grande puede adquirir documentos y armas que se pueden utilizar para atacar a cualquier persona, desde organizaciones gubernamentales hasta infraestructuras críticas. El desarrollo de estos temas puede resultar en una Internet militarizada.
–Hace un segundo hablaba justamente de Internet of Things. En un mundo más conectado, ¿qué responsabilidad les cabe a los fabricantes en cuidar que los electrodomésticos no infrinjan su privacidad? ¿Qué novedades hay en este sentido?
–Internet de las Cosas, como se llama en castellano, es parte del progreso técnico y, por lo tanto, ex imposible detener su implementación. Lo que sucede, a veces, es que la seguridad no es la primera preocupación para las empresas desarrolladoras de dispositivos inteligentes y para nosotros, que estamos en la industria de la seguridad, es difícil no pensar a quienes cabalgan sobre esta tendencia como “Internet de las amenazas”. Nuestro CEO, Eugene Kaspersky hizo referencia a esto hace poco y nuestra empresa ya cuenta con un prototipo de protección para televisores inteligentes aunque aún no es un producto que ofrecemos porque no detectamos ataques contra ellos. De llegar a existir, y existirán, estamos preparados.
McAfee
No invertir puede costar muy caro
Un estudio patrocinado por la empresa muestra que el cibercrimen le cuesta a las empresas US$ 400 millones al año. No desarrollar soluciones puertas adentro puede tener un impacto económico letal en el rendimiento de la compañía. Algunos sectores, como el financiero y el de las telecomunicaciones, ya lo entendieron.
McAfee quizás haya aparecido más en los titulares del mundo recientemente por la controvertida vida de su fundador, John McAfee, que por haber sido adquirida por Intel y formar parte de la robusta división que es Intel Security. Pero lo cierto es que la compañía cuenta con uno de los porfolios más completos del mercado con soluciones de seguridad en redes –como Next Generation Firewall– o de seguridad del punto final para proteger estaciones de trabajo, servidores y dispositivos móviles.
Porque de proteger se trata. Según un estudio patrocinado por McAfee al Centro de Estudios Estratégicos e Internacionales (CSIS, por sus siglas en inglés), el impacto de la delincuencia informática en la economía empresarial es impresionante: el cibercrimen cuesta US$ 400 millones en pérdidas cada año, con impacto directo en 200.000 puestos de trabajo en Estados Unidos y 150.000 en la Unión Europea.
“El principal impacto de la delincuencia informática –cuenta Sergio Pilla, Sales Engineer de la empresa– se manifiesta en el rendimiento en empresas y Estados. La ciberdelincuencia daña el comercio, la competencia, la innovación y el crecimiento. Los estudios estiman que la economía de Internet genera entre US$ 2.000 y US$ 3.000 millones, una participación que solo puede crecer. Pero los delincuentes informáticos extraen entre 15% y 20% de ese valor que crea Internet”.
Cuidar ese valor puertas afuera pero también puertas adentro, se vuelve esencial pero radicalmente más difícil a medida que la tecnología avanza. Especialmente porque los empleados se vuelven reacios a resignar los beneficios de la tecnología una vez que fichan en la empresa.
De hecho, una encuesta de la empresa marca que la actitud de los empleados respecto a la privacidad y la protección de datos es ambivalente. Más de tres cuartos de los encuestados indicó que usan sus dispositivos personales para actividades relacionadas con el trabajo desprotegiendo los activos de su compañía pero, al mismo tiempo, un número parecido piensa que IT debe ser responsable de la protección de los datos personales en los dispositivos en el trabajo. “La tecnología que los consumidores usan en su vida diaria ejerce una influencia significativa en la experiencia tecnológica que esperan en el trabajo”, explica Pilla. “Principalmente en lo que respecta a colaboración intuitiva y a la mejoría de la productividad los empleados tienen que estar capacitados para crear, consumir y compartir datos sin restricciones en una serie de dispositivos y ambientes”.
Lugar para todos
En este sentido, no invertir en soluciones de seguridad completas o no tomar iniciativas para moderar la fuga de datos puede resultar caro. Pero algunos sectores pican en punta. “En todos los sectores hay necesidades de inversión con mayor o menor prioridad –dice Pilla– pero hay algunos que se destacan por la protección en infraestructura clave, la minimización del riesgo en general y la protección de información personal y económica de los clientes. El caso del sector financiero es paradigmático pero no es el único. La industria de las telecomunicaciones también trabaja muy bien su seguridad. Ahí el driver es la protección de los datos y la disponibilidad del servicio porque son dos puntos claves para el negocio y no son considerados prescindibles. Gobierno también comienza a trabajar el tema. Históricamente los asuntos de seguridad ciudadana, cibercrimen y ciberterrorismo han estado desatendidos pero se empieza a poner más atención por los acontecimientos de conocimiento público de los últimos años. Este es un sector que claramente ha tenido otras prioridades pero que está cambiando a escala global e, incluso, local”.
Incluso las Pyme están dispuestas a acercarse a escuchar. “El problema de las empresas más pequeñas es que los bajos presupuestos, la falta de normas que las regulen, la ausencia de un centro de datos o de recursos para operación y monitoreo las vuelven clientes más difíciles. Pero donde existe una necesidad, debe haber una solución. El negocio, sin importar el tamaño que tenga, debe seguir funcionando. Crear suites especificas para el sector y potenciar las que están en la nube son dos caminos para lograr cierto nivel de seguridad en las Pyme”.
RSA
Protegerse en la tercera plataforma
En el nuevo contexto de IT –en donde la nube, big data y movilidad se adueñan en los presupuestos– las viejas herramientas se vuelven menos efectivas ante las nuevas amenazas. Y este problema solo aumentará con el tiempo.
Marcos Nehme
Lo primero: no confundir a RSA con la empresa aseguradora. Aunque es cierto que la compañía de EMC especializada en seguridad sabe una cosa o dos sobre el tema de asegurar, aunque más no sea los entornos de IT. Apoyado por este know-how es que Marcos Nehme, gerente de Sistemas de Ingeniería de RSA para Latinoamérica y el Caribe, habla de los nuevos desafíos impuestos por lo que llama “la tercera plataforma”: el paso de un viejo modelo a otro, más dinámico, caracterizado por el acceso móvil, la infraestructura de la nube, big data y las redes sociales.
“Esta tercera plataforma es muy beneficiosa para las empresas y para el ciudadano –explica– porque impulsa la innovación y los negocios hacia adelante. Pero el paso de la segunda a la tercera plataforma cambió radicalmente los requisitos de seguridad. La seguridad IT de esa segunda plataforma podía defender su perímetro mediante el uso de herramientas de prevención como los famosos antivirus, los firewalls o los sistemas de detección de intrusos. Estas herramientas eran efectivas porque existían reglas y firmas estáticas para detener amenazas. Pero en los entornos de IT actuales este perímetro no es eficaz; esas herramientas no son tan efectivas”.
En el contexto de esta tercera plataforma, entonces, el desafío es mayor. Porque, como explica Nehme, la implementación de soluciones de seguridad muchas veces es clasificada como un costo y no como una inversión para evitar ataques, fraudes, o crímenes cibernéticos. “Los blancos para los ciberdelincuentes son aquellas empresas cuyo presupuesto de seguridad es ineficiente dado que invierten hasta 80% en tecnologías de prevención y dejan entre 5% y 10% a su capacidad de respuesta a incidentes. Así, los cibercriminales aprovechan la lenta capacidad de las empresas para detectar ataques que son prácticamente inevitables en el mundo digital”. Incluso las pequeñas empresas están en riesgo porque el tamaño no necesariamente es sinónimo de valor. “La protección de información debe basarse en el riesgo porque una cantidad de Pyme tienen una valiosa propiedad intelectual y deben dar prioridad a la protección de estos datos”.
Dinamismo, rapidez, capacidad de adaptación. Más allá del tamaño, estas parecen ser las características necesarias para vivir seguro en la tercera plataforma. “Las superficies de ataques son cada vez más grandes y los usuarios ahora tienen más posibilidades de elección e influencia sobre los sistemas de IT que utilizan y cómo los utilizan para impulsar su negocio. Desde nuestro lugar, como profesionales de seguridad, tenemos el reto de asegurar todo lo que no necesariamente poseen, administran o controlan. Por un lado, defender a los usuarios eficazmente contra las amenazas que reciben y buscar vulnerabilidadades en esta superficie de ataque ampliado. Y por el otro, establecer una defensa contra los defraudadores y los delincuentes que trabajan para destruir nuestras aplicaciones”. Poca cosa.
Un poco de lo que se viene
Para Nehme todas estas características de la tercera plataforma son solo el germen de lo que se viene, en términos de transformaciones tecnológicas disruptivas para nuestra vida diaria. “Los tipos de innovación que vemos todos los días con celulares inteligentes y su capacidad para aprovechar las capacidades de detección y comunicación son un pequeño adelanto de lo que se viene. Todas las cosas que nos rodean van a tener ese nivel de inteligencia. Y no hablo solamente de sensores fitness. Hay mucho más en juego porque la tecnología tiene el potencial de cambiar significativamente muchas industrias. Pero hay que mirar la seguridad; las empresas deben entender y obtener una imagen completa de los sistemas bajo su control. Es decir, deben conocer en detalle que son capaces de hacer y cómo y quiénes acceden a ellos. Ahí sí se puede definir, supervisar y hacer cumplir políticas adecuadas de acceso”.
(*) La totalidad de las entrevistas fueron realizadas por Florencia Pulla.
