Cada vez que surge una innovación que se adopta masivamente, que tiene aceptación social, tenemos que recordar que la falta de referentes (la carencia de experiencias previas con las que interiorizar los riesgos) nos expone a los avispados, organizados en mafias o actuando por libre, que se aprovechan de la credulidad del público o su escasa percepción del riesgo para sacar tajada.
Los ataques contra la seguridad TI se incrementan en 2010. Las tendencias en malware no han cambiado mucho, lo que si varia es la forma en como se distribuye. Este año advirtieron que los mayores riesgos tendrían su origen en las redes sociales, el Cloud Computing y los dispositivos móviles.
No sólo hay que aumentar las precauciones y estar ojo avizor al utilizar las tarjetas de crédito en la Red. Hacerse con los datos y la identidad de los usuarios cada vez parece más fácil gracias a las redes sociales, el uso de dispositivos móviles y el outsourcing.
Si tenemos cuenta, además, que los límites entre los sistemas corporativos y privados son cada día más difusos, la cuestión se agrava: los empleados actualizan sus perfiles de Facebook desde el trabajo, reservan hotel para sus próximas vacaciones desde el smartphone de la empresa o enlazan sitios web desde blogs internos.
Ante este panorama, los expertos en seguridad de Stonesoft advierten que no hay que bajar la guardia y alertan a empresas y usuarios sobre la necesidad de tener en mente la seguridad de la red, especialmente cuando se utilizan estas nuevas aplicaciones y servicios.
Si queremos mayor seguridad TI en 2010, desde esta compañía aconsejan revisar políticas y sistemas y no perder de vista lo que para ellos constituirán los principales peligros a lo largo de este año:
Datos de tarjetas de crédito: protección inadecuada de la identidad
Cuando las empresas pierden datos de sus clientes, también pierden la confianza externa. No basta con proteger la información de las tarjetas de crédito de los usuarios con un simple firewall, hay que invertir en sistemas de seguridad más completos y equipar sus redes con un Sistema de Prevención de Intrusiones (IPS). Ahora que el estándar PCI-DSS (Payment Card Industry Data Security Standard) ya está vigente, todas las empresas que almacenan, procesan o transmiten datos de tarjetas de crédito están obligadas a cumplirlo.
Un IPS detecta las intrusiones antes de que llegue a áreas críticas de la red, eliminando automáticamente gusanos, spyware y otro tipo de malware. Al mismo tiempo, los informes ayudan a los administradores a determinar quién ha accedido a unos datos determinados en cualquier momento. Todo esto proporciona una mejor defensa frente a los ataques y permite que los departamentos involucrados identifiquen posibles problemas a tiempo. Para protegerse frente a los robos de datos en 2010, las empresas deben disponer de un IPS.
Redes sociales: la maldición del networking
Las redes sociales no dejan de ganar adeptos. La facilidad de uso y la velocidad a la que se distribuyen los mensajes son sus grandes atractivos, pero también suponen el origen de nuevos peligros. Y son los propios usuarios los responsables de la mayor parte de estos riesgos. Por ejemplo, una vez se publica cierta información en la red, es imposible borrarla por completo, en buscadores, sin ir más lejos. En consecuencia, las empresas han de esforzarse para evitar que sus trabajadores hagan un uso inadecuado de estas redes, por lo que es necesario establecer unas bases de actuación.
Una de las mayores amenazas durante 2010 será la ingeniería social. Los atacantes identifican los entornos TI personales de sus víctimas y hacen un uso ilegítimo de sus identidades digitales. Por ello, incluso los mensajes de nuestros amigos y de quienes confiamos pueden contener software dañino, sin que ellos mismos sean conscientes. La concienciación y la prudencia, en este caso, son la clave.
Cloud computing: el ‘lado oscuro’ de la nube
El Cloud Computing ofrece atractivos beneficios a las empresas al gestionar costosas operaciones TI y otras tareas a través de proveedores de servicios externos. Pero lo que muchos no tienen en cuenta a la hora de elegir a un proveedor es la seguridad que ofrece en relación a nuestros datos. Este error de base puede entrañar un riesgo enorme a medida que los servicios externalizados crezcan.
Cuando una empresa externaliza sus servicios TI, el proveedor también ha de encargarse de la confidencialidad, integridad y disponibilidad de sus datos. Muchos de estos proveedores venden a sus clientes un pack completo, y los acuerdos SLA raramente atienden a la seguridad de los datos.
Por ello, a la hora de escoger un proveedor, los gestores TI deben prestar atención a los sistemas de seguridad que ofrecen y hacerse las siguientes preguntas: ¿El sistema cubre las necesidades específicas de la empresa? ¿Qué tipo de garantías ofrece el proveedor del servicio? ¿El sistema de informes es adecuado? ¿Qué pasa si se pierden datos o se ven comprometidos? ¿Quién es el responsable en ese caso?
Los expertos de Stonesoft prevén que la tendencia hacia el Cloud Computing continúe creciendo en 2010. Sólo los casos más graves de pérdida de datos llamarán la atención a la hora de hablar de la “seguridad de la nube”, pese a que ya hoy existe una necesidad urgente de abordar este tema. Las empresas son las primeras responsables, por lo que en el futuro necesitan pedir a sus proveedores que mejoren sus mecanismos de seguridad.
Dispositivos móviles: pequeños ayudantes peligrosos
Hace tiempo que dispositivos móviles como PDAs y smartphones irrumpieron en el mundo de los negocios proporcionando también acceso a los datos críticos. Aun así, rara vez ofrecen el mismo nivel de protección que los ordenadores de escritorio. Por este motivo, los dispositivos móviles cada vez son más atractivos para los hackers.
La amenaza no es nueva: después de todo, son similares a los ataques a los portátiles, solo que en este caso los usuarios asignan contraseñas demasiado simples para entrar en sus dispositivos móviles, al ser más incómodo introducir datos que en un teclado tradicional.
Además, los empleados suelen usarlos tanto con fines profesionales como personales, sin actualizar ni el software antivirus ni los firewalls. En consecuencia, un virus puede infectar no solo este sistema, sino toda la red corporativa. Para evitar este problema, las empresas han de ser capaces de administrar estos dispositivos de forma centralizada para asegurase que los ajustes y las actuaciones de cada PDA estén al día.
No obstante, la realidad es bien distinta. “Muchas empresas ignoran los peligros que la cada vez mayor movilidad del empleado conlleva. Aunque la demanda de smartphones y PDAs sigue al alza, las funciones de seguridad de estos aparatos siguen siendo inadecuadas, algo de lo que los hackers son plenamente conscientes”, advierte Joona Airamo, Chief Information Security Officer de Stonesoft Corporation. “Sólo cuando los usuarios sean conscientes de los posibles daños a los que se exponen, la demanda de mejores mecanismos de seguridad crecerá. Hasta que eso ocurra, es más que probable que asistamos a un crecimiento en el número de ataques contra este tipo de dispositivos”.