Pavel Ignatov - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Estado de la gestión de seguridad informática en las empresas chilenas

Aunque la mayoría de empresas chilenas están apostando por invertir en seguridad de TI, aún hay un gran margen de mejora en este campo.

De acuerdo con los expertos, los incidentes de seguridad informática más frecuentes en las empresas son las infecciones de malware, entendiendo por malware todo tipo de códigos maliciosos, desde virus, gusanos y troyanos, hasta distintos tipos de ransomware. Este tipo de amenazas se ha vuelto muy popular en los últimos años, y miles de empresas se han visto afectadas, ya que resulta muy redituable económicamente para los cibercriminales. El ransomware, particularmente, provoca pérdida de información, ya que, una vez cifrada, esta se vuelve inaccesible. Y no hay garantía de recibir una clave, una vez que se paga el rescate. Además, continúan propagándose amenazas ya conocidas como troyanos y botnets que pueden provocar desde robo o pérdida de información, robo de credenciales y accesos, hasta daños en los sistemas.

Existen también incidentes de seguridad debidos a vulnerabilidades en los sistemas, por no aplicar las actualizaciones y parches de seguridad, o porque son debilidades que apenas se van descubriendo. Muchas de estas vulnerabilidades suelen ser críticas, y un atacante puede explotarlas para conseguir acceso al sistema. Se debe tener en cuenta que hoy las empresas comienzan a volcar sus sistemas a la nube y comparten cada vez más sus plataformas en internet, lo que hace que las vulnerabilidades puedan ser explotadas desde el exterior. En muchos casos, un atacante puede obtener acceso a una base de datos o a información confidencial, puede generar una denegación de servicio o una caída en el sistema, o incluso alterar los datos almacenados o el contenido de una página web.

Otra amenaza ya conocida, pero aun así muy utilizada por los atacantes, son las campañas de phishing. Estos ataques de ingeniería social están apuntados directamente a obtener información de acceso y busca engañar a los usuarios mediante falsos correos para que ingresen su usuario, contraseña e información personal en una página falsa. A partir de una campaña de phishing exitosa, un cibercriminal logra obtener las credenciales de los usuarios y utilizarlas para acceder indebidamente a los sistemas e información.

CeciliaPastorino, ESET.

Además, diferentes tipos de fraudes informáticos y robo de información, no solo a través de ataques externos, sino también por usuarios internos malintencionados que filtran información. Estos incidentes internos tienen un alcance mayor si las empresas no controlan la seguridad interna. Y hay incidentes de seguridad que ocurren por accidente o por no gestionar procesos correctamente, y terminan siendo un gran problema para la empresa. Por ejemplo, si el sistema de respaldo no está al día o es inexistente, y al momento de necesitar restaurar información, esta no existe, como señala Cecilia Pastorino, especialista en seguridad informática de ESET Latinoamérica.

“Uno de los mayores riesgos es que las compañías aún no cuantifican el valor de su información. Al no tenerlo claro, tampoco se implementan las medidas asociadas a proteger dicha información. Si bien es cierto, hoy están muy de moda amenazas de tipo ransomware, estas serían poco eficientes si la organización adoptara las medidas de control o mitigantes necesarios. Sin embargo, como esto no ocurre, un evento de malware de este tipo puede generar daños cuantiosos en lo económico y productivo”, agrega Marcelo Díaz, gerente general de Makros. 

Un elemento añadido que se debe considerar dentro del riesgo al que están expuestas las compañías, según Carlo Dávila La Rosa, analista senior de IDC Perú & Latin América, es la internet de las cosas (IoT). “Esto debe entenderse como que un creciente uso de IoT en cualquier industria vertical implica una mayor plataforma de IoT que, potencialmente, podría utilizarse para lanzar ataques a las compañías o instituciones de gobierno.  Sin embargo, esta situación no debe considerarse como un inhibidor de inversión en IoT, sino más bien como un contexto al que hay que responder de una mejor forma, considerando otras variables como la visibilidad en la red, la analítica de seguridad y la inteligencia generada”.

Gestión de riesgos informáticos en las empresas

Los expertos coinciden en que las empresas aún se mantienen, mayoritariamente, enfocadas en inversión y gestión de soluciones de seguridad tradicionales. Hay un movimiento para invertir en soluciones más avanzadas, pero hace falta decisión. Los retos que los responsables de los departamentos de seguridad (CIOs/CISOs) tienen pasan por tener capacidad de respuestas con un presupuesto reducido, un panorama con escaso número de profesionales especializados disponibles en el mercado, la reducción de costos y, por supuesto, garantizar la continuidad del negocio.

Según el ESET Security Report, realizado en 2016 a más de 4.000 representantes de empresas de 13 países de Latinoamérica, 50% de las empresas de la región han aumentado entre un 1% y un 10% su presupuesto en seguridad en el último año, mientas que un 32% aumentó más del 10%. Con esos datos, sabemos que un 82% de las empresas se está preocupando por la seguridad; y si bien lo ideal sería que fuera el 100%, el alto porcentaje demuestra que hay interés en el tema.

Pastorino, de ESET Latinoamérica, señala queen cuanto a la gestión de la seguridad, en los resultados obtenidos en este informe se observa que las practicas más utilizadas resultaron ser el mantenimiento de políticas de seguridad (74%), la realización de auditorías internas o externas (38%) y la clasificación de la información (31%). Observando estos valores, surgen algunas dudas como, por ejemplo: ¿cuán efectivas pueden ser aquellas políticas que no están basadas en la clasificación de la información según su criticidad? Es decir que, si bien se implementan medidas de gestión de riesgos, aún falta trabajar en un plan estratégico de gestión de la seguridad. Las empresas deben comprender que la seguridad no se trata de implementar medidas o seguir un manual, sino que resulta fundamental entender cómo funciona la empresa, de qué manera opera, cuáles son las áreas críticas y sus objetivos, para que las medidas de seguridad sean realmente un valor agregado y no una traba”.

De acuerdo con Dávila, de IDC, cada vez más se observa una necesidad de invertir en servicios de seguridad para atender a la gestión de la infraestructura de seguridad existente, tratando de ser lo más eficientes posible con los presupuestos disponibles para nuevas inversiones, el expertise y la disponibilidad de profesionales calificados en la materia. “Seguridad de TI es la principal preocupación en las empresas, y es considerada como la prioridad número uno en Latinoamérica. Un 50% de los entrevistados en el estudio de IDC Latin America IT Investment Trends así lo señalan. El crecimiento en la inversión en productos de seguridad durante el 2016 ha estado por debajo del 5%, mientras que en servicios de seguridad ha estado cerca al 13% en la región, de acuerdo a los estudios de IDC Latin America Security Solutions”, señala.

El analista de IDC afirma que la gestión de riesgos forma parte de las estrategias empresariales ya desde hace tiempo. “Es lo que permite generar un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo. Conforme al especialista Markus Erb, la gestión contiene cuatro fases: Análisis, que determina los componentes de un sistema que requiere protección, las vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo. Luego Clasificación, que determina si los riesgos encontrados y los riesgos restantes son aceptables. Después Reducción, que define e implementa las medidas de protección, en tanto sensibiliza y capacita a los usuarios conforme a las medidas. Y finalmente Control, que analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento”, apunta.

Ruben Belluomo, Infor.

Las grandes empresas, especialmente las internacionales, ya cuentan con programas y medidas específicas para prevenir, dentro de lo posible, las violaciones de seguridad de su sistema informático. En general, vemos que en las PyMEs hay mayores riegos, porque muchas veces no tienen políticas específicas implementadas para estos casos, ni un departamento de TI dedicado a la seguridad. A mi criterio, es un tema bien manejado por especialistas, pero nunca es suficiente debido a la cantidad de hackers dedicados a violar estos sistemas”, sostiene Ruben Belluomo, gerente comercial de Infor Cono Sur.

Para Marcos Vieyra Feldman, gerente comercial de Citrix Chile, las empresas deben enfocarse en proteger y asegurar sus activos empresariales más importantes, como aplicaciones y datos, para reforzar la seguridad sin sacrificar la productividad. El estudio “El Trabajador Digital” de Citrix estima que, en Chile, el 65% de los trabajadores usa su propio smartphone para acceder a información de su compañía, lo que aumenta los riesgos de pérdida y robo de información al interior de las empresas. A esto se suma una diversidad de aplicaciones de colaboración que comparten documentos con otros dispositivos, que no siempre están asegurados contra los diversos tipos de ataque.

Marcos Vieyra, Citrix.

“Al existir tantos dispositivos móviles y aplicaciones diferentes que requieren acceso a recursos corporativos, resguardar los datos de la empresa es fundamental, pero a la vez sumamente difícil. Para esto existen soluciones EMM (Enterprise Mobility Management), que ofrecen a las organizaciones una solución de gestión de dispositivos móviles de extremo a extremo para proteger dispositivos móviles, aplicaciones y datos”, explica Vieyra.

A juicio de Rodolfo Labarca, gerente técnico de Exceda, representante de Akamai Technologies en Latinoamérica, el problema de las empresas es que ven la seguridad informática como un costo hundido; no le ven valor hasta que son atacados o les roban la información. No la consideran como protección para uno de los activos más importantes de la compañía, que es la información.

Rodolfo Labarca, Exceda.

“El robo de información, la pérdida o cualquier otro daño que esta pueda sufrir, es un daño directo a la imagen y a la confianza de sus clientes, y la inversión para recuperar la confianza suele ser mucho más alta que la de estar constantemente protegidos. Por otro lado, existe en Chile ‘ceguera cognitiva’. Siempre se culpa a otros factores de la caída de algún servicio, y generalmente se ataca a los proveedores de internet o a los proveedores de data center, pero no asumen o saben que están siendo atacados. Por otro lado, las empresas no comparten la información. Si hoy le preguntas a cualquier CISO si ha sufrido un ataque, probablemente él te diga que nunca los ha sufrido. Existe mucho temor a compartir la información de los ataques y sus vectores, mientras que la forma más efectiva de hacer frente a los ataques y estar bien preparados, es compartir la información con sus pares”, sostiene.  

Consejos para prevenir y gestionar los riesgos empresariales

La principal medida que debe tomar una empresa a la hora de pensar en la seguridad de su información es en un buen sistema que gestione la seguridad. Hoy en día, ya no basta solo con aplicar controles de seguridad, sino que resulta necesario trabajar en  gestionar la seguridad como una estrategia completa.

“Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un plan estratégico de la compañía, diseñado a partir de procesos que tienen como objetivo asegurar la disponibilidad, la confidencialidad, y la integridad de la información. Es decir, un conjunto de procesos que garantice que la información esté disponible cuando sea requerida, solo sea accesible por personas autorizadas, y no haya sido manipulada ni alterada por procesos indebidos”, explica Pastorino de ESET.

La experta detalla que hay procesos que son clave para la correcta gestión de la seguridad de la información y los riesgos asociados. El primero es clasificar la información. El objetivo de esta clasificación es entender qué información es crítica para el negocio y cómo debe protegerse. “Es muy importante que esta clasificación la hagan los dueños de los datos, que son los responsables de la información; y no el personal de tecnología o seguridad, quienes están a cargo de brindar las medidas de seguridad para protegerla. La información se debe clasificar teniendo en cuenta los tres principios básicos de la seguridad: la disponibilidad, la confidencialidad y la integridad, ya que de esto dependerán las medidas a tomar para protegerla”, manifiesta.

El segundo paso consiste en realizar un análisis de riesgo. Para esto, dice Pastorino, es importante partir desde la clasificación de la información, entendiendo cuáles son los riesgos que comprometen la información crítica previamente clasificada. Estos riesgos deben ser medibles, es decir, que se debe poder cuantificar cuál es la probabilidad de ocurrencia y la magnitud del daño (impacto) que podría causar. A partir de esos valores, se calcula el riesgo como la probabilidad de ocurrencia multiplicado por la magnitud del daño. Los valores que se pueden utilizar, por ejemplo, en el caso de la probabilidad, pueden ir desde una escala preestablecida, entre 1 (muy improbable) hasta 5 (probablemente ocurra), o pueden ser medidos utilizando porcentajes para indicar una probabilidad. En cualquier caso, el objetivo es cuantificar los riesgos para poder analizarlos y compararlos.

A partir del análisis de riesgo, se establece el plan de acción para mitigar y corregir esos riesgos, comenzando por los más críticos, los de mayor impacto y mayor probabilidad de ocurrencia. Es importante pensar en la seguridad como un proceso de mejora continua, es decir, se debe incluir en el proceso revisiones y auditorias periódicas. Las auditorías de seguridad pueden, a su vez, extraer nuevos riesgos e incluirlos en el análisis del próximo período. “La gestión de la seguridad no se trata de una acción puntual o que se puede realizar una sola vez, sino que se trata de un ciclo continuo de análisis, planificación, acción y revisión, para volver nuevamente a analizar los resultados y planificar nuevas mejoras”, agrega.

Sebastian Brenner, líder de ingeniería Latin America and Caribbean de Symantec, explica que, para poder desarrollar un sistema de gestión de riesgo de la información seguro y confiable dentro de una empresa, se tiene que tener en cuenta tres pilares fundamentales de seguridad: personas, procesos y tecnologías.

“Para comenzar, se necesita definir la dirección que se le va a estar dando al programa de seguridad dentro, a través de la de definición de procesos que incluyan políticas, guías, procedimientos, responsables, etc. Esto ayudará a darnos la dirección de hacia dónde queremos ir y cómo queremos implementar un sistema de seguridad sólido y confiable. Se tiene que tomar en consideración no solamente la infraestructura, sino también los proveedores externos que tienen exposición a utilizar nuestros recursos tecnológicos. Basado en la dirección de nuestro programa, estaremos definiendo qué tecnologías son necesarias para proteger de la mejor manera el negocio de nuestra empresa. Idealmente, estos controles de seguridad tecnológicos necesitan revisarse y tratar de lograr una mejora continua, incremental e innovadora”.

Brenner aconseja, en este punto, considerar una seguridad de múltiples capas en cada uno de los dispositivos y la red, incorporar cifrado y monitoreo en los datos más sensitivos, y pensar en cómo agregar autenticación de múltiples factores para reducir el riesgo a los vectores más comunes de ataques a las empresas: el usuario y la contraseña. “Podemos tener todos los procesos y tecnologías en su lugar, pero el atacante siempre va ir por el eslabón más débil para tratar de engañarlo y ser exitoso en el ataque: el usuario. (…) Por eso, las empresas necesitan desarrollar un programa de entrenamiento de ciberseguridad para educar a los empleados de los riesgos actuales, cómo reconocerlos y reportarlos. Esta es la mejor arma para mejorar el comportamiento del usuario frente a los ciberataques de hoy en día que utilizan ingeniería social. Regularmente, el programa debe evaluar el conocimiento de los empleados y de los equipos de seguridad para asegurarse que se encuentran en el nivel indicado”, enfatiza.

Por su parte, Labarca, de Exceda, enumera que lo fundamental es invertir en seguridad; estar informado y actualizado de las vulnerabilidades y nuevos ataques; mantener siempre sus dispositivos y equipos actualizados y bien configurados; compartir información con la comunidad, y así poder prevenir a otros; tener procedimientos (o protocolos) establecidos de seguridad; capacitación constante, no solamente de los responsables de la seguridad, sino también a los usuarios de los sistemas internos y externos de la compañía; crear políticas y seguir metodologías de desarrollo de sus aplicaciones expuestas a internet; y revisión constante y control de calidad de las políticas de seguridad y de los desarrollos.

Dávila de IDC, destaca, finalmente: “La idea que promovemos para que sea considerada en el análisis de las empresas está relacionada con dar el primer paso para conocer su perfil de riesgo. Esto pasa por pensar en invertir en servicios de consultoría de seguridad especializados.  Continuar invirtiendo sin haber definido una estrategia de seguridad en función del negocio significará incrementar sus costos de gestión y agregar complejidad a un ecosistema ya bastante fragmentado. Por otro lado, conocer su perfil de riesgo permitirá a las empresas definir el uso más eficiente del presupuesto, ya sea con productos o servicios; y permitirá también tener un entendimiento mayor de cuál sería el impacto tecnológico, de negocio y de inversión al momento de evaluar un proyecto de Transformación Digital”.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close