Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Seguridad en empresas chilenas: Mejores políticas y planes de acción

Ante nuevas amenazas y la evolución de la tecnología, las empresas chilenas están mejorando sus políticas y estableciendo planes de seguridad de TI.

En Chile, la adopción de soluciones de seguridad creció en 15,3% durante 2014, con respecto al mismo período del año anterior, de acuerdo con cifras de IDC, en tanto que el mercado de gestión de seguridad y vulnerabilidades creció en 34,2%. De hecho, con base en los resultados del último estudio IDC Chile Semiannual Security Software Tracker, se observa una tendencia hacia la adopción de soluciones enfocadas en la administración de seguridad y vulnerabilidad perimetral. A partir de este comportamiento, se puede inferir que las empresas en Chile le dan mayor prioridad al control de los procesos y reglas de negocio, con el objeto de identificar vulnerabilidades y comportamientos de riesgo.

Jorge Rojas

Tanto en Chile como en el resto de la región, las compañías están replanteando sus estrategias de seguridad, incluyendo sus controles, políticas y procesos internos. Este cambio en el enfoque de seguridad es impulsado por la evolución de la tecnología, los incidentes de seguridad informática y el crecimiento de la industria. Parte de estos cambios se han visto reflejados y publicados en el ESET Security Report 2014, el cual visualiza un aumento de 2% en la cantidad de empresas en Chile que cuentan con un plan de respuesta a incidentes. Si bien el valor es bajo en cuanto a crecimiento, en Chile 37% de las empresas afirmaron contar con un plan de acción en caso de ser víctimas de un incidente informático, valor que supera en un 10% a la media de toda la región.

En cuanto a lo que se refiere a políticas de seguridad, siete de cada diez empresas en Chile aseguran tenerlas definidas, definiendo cómo se deberán comportar los empleados en cuanto al uso de los recursos informáticos de la empresa, así como también de qué manera manipular la información según su confidencialidad. En relación a la clasificación de la información, los analistas de ESET creen que es un área a seguir trabajando, tanto en Chile como en el resto de la región, ya que solo tres de cada diez empresas especificaron que cuentan con una política de clasificación de la información.No saber qué información es valiosa para la empresa o quiénes deben acceder a la misma es una complicación para los equipos a cargo de protegerla.  

Un cambio en las políticas de seguridad que las empresas están comenzando a implementar, con el fin de aumentar la seguridad de sus accesos a servicios –como VPN, ERP y portales internos y para clientes– es el doble factor de autenticación. Según datos de ESET, solo el 15% de las empresas en Chile cuentan con una solución de doble autenticación. Asimismo, muchas las empresas están evaluando o han comenzado con planes educativos y de concientización en materia de seguridad informática para técnicos y gerencias, lo cual les permite reducir sus incidentes en cerca de un 10%.

Estándares y cultura, ingredientes esenciales

Marcelo Díaz

A juicio de Jorge Rojas Zordan, gerente de servicios de NovaRed Chile, “las empresas chilenas están optando por adherirse a distintos estándares internacionales para lograr una correcta gestión del riesgo en seguridad de la información. Por ejemplo, en la banca chilena existe una tendencia a buscar adherirse a Cobit e ISO27001, los cuales dan la pauta para un manejo razonable de la seguridad de TI y son impulsados por el ente regulador (la Superintendencia de Bancos e Instituciones Financieras). En el caso de la industria del Retail, el estándar PCI (Payment Card Industry) es el que marca la pauta de cumplimiento, haciendo hincapié en la protección de los datos de los dueños de tarjetas de crédito y débito”.

Los expertos coinciden en que hoy existe una conciencia más adecuada respecto a que se deben tomar medidas de resguardo de la información. “Hemos podido apreciar, con mayor frecuencia, que conceptos como confidencialidad, disponibilidad e integridad, como un todo, son comunes y quizás eso responde a que las universidades y centros de educación están incorporando en la formación de sus profesionales conceptos de seguridad informática.Sin embargo, hay un camino bastante largo por recorrer, dado que el 80% de las empresas están enfocadas en factores productivos, más que tecnológicos. (…) Diversos actores como los ISP están incorporando medidas de seguridad y controles con equipamientos de conectividad que lo permiten. En el plano de los controles internos, existe poca conciencia y todavía estamos en pañales. Las grandes empresas sí cuentan con ellos, como perfilamiento o controles a niveles de prevención de fuga de datos, o análisis de vulnerabilidades, pero las PyMEs aún no”, sostuvo Marcelo Díaz, gerente general de Makros.

En la mayoría de ocasiones, las medidas que adoptan las compañías dependen de su tamaño, de la cantidad de usuarios internos que tengan y de la madurez que tengan respecto a la cultura de seguridad. Kenneth Daniels, gerente general de Widefense, explicó que otra de las variables clave es la necesidad de cumplir con alguna normativa y si sus sitios web son transaccionales.

“Las principales preocupaciones son el control de acceso a la red y los sistemas críticos, el control de fuga de información, la verificación de su capacidad para mantener la continuidad del negocio y recuperarse ante desastres. En lo que se refiere a las políticas, se está dando cada vez mayor relevancia a la clasificación de la información, el uso de dispositivos móviles (BYOD) y la prevención de fraude. Las pequeñas y medianas empresas están empezando a tomar medidas en la misma línea y se están centrando, inicialmente, en mejorar su protección en el perímetro, en la protección antimalware y en el respaldo efectivo de su información. (…) Hemos encontrado una preocupación auténtica por lograr condiciones de protección óptima de acuerdo al giro de cada negocio y se están definiendo cada vez más prioridades asociadas a la protección de los datos y los ambientes de trabajo de los usuarios”, indicó el ejecutivo.

Las estrategias de seguridad evolucionan

Fernanda Eulogio

La implementación de nuevas innovaciones de TI, en especial tendencias como movilidad y soluciones basadas en la nube, son los principales conductores de la revisión de la estrategia de seguridad, afirmó Fernanda Eulogio, analista de software de IDC Chile, puesto que cada nueva tecnología añade elementos de riesgo al equilibrio de la solución. “Así, una nueva carga de trabajo, la ampliación del perímetro –por ejemplo, una plataforma móvil–o incluso el cambio de una tecnología on premise hacia alguna solución basada en SaaS, demandará una exigencia, en términos de compatibilidad y cobertura de la actual solución”, apuntó.

Para Pablo Ramos, especialista en seguridad de ESET Latinoamérica, las estrategias de seguridad que están implementando las compañías chilenas varían según el sector y la empresa, pero hay ciertas bases y metodologías que todos deberían tener en consideración. En primer lugar, deberían contar con mecanismos de control y autenticación al momento de conectarse a la red de la empresa, en particular para los perfiles móviles como  fuerzas de ventas. La autenticación a servicios como las redes privadas virtuales (VPN) es un punto crítico, al igual que la doble autenticación. Además, todos los dispositivos de la empresa –sean laptops o dispositivos móviles– deberán estar protegidos por una solución de seguridad.

A nivel de redes, la principal estrategia utilizada por las compañías es lograr una correcta segmentación de los dominios de seguridad. Para ello, se busca agrupar a los usuarios en función de su rol dentro de la organización y ubicarlos en segmentos de redes comunes separados por firewall y otros elementos de control, explicó Rojas de NovaRed. “De esta forma, se logra tener una visión bastante clara de los tráficos requeridos y de los potenciales riesgos por cada dominio”. Este punto de vista también aplica para el control de acceso a la información en la nube, por perfiles de usuario y de manera segmentada.

Otro enfoque es proteger la actividad del usuario logrando mayores eficiencias a nivel de red, con soluciones de nueva generación, comentó Daniels de Widefense. “La tendencia que ha impuesto el internet de las cosas está provocando un aumento en el volumen de los datos y es acá donde las estrategias adecuadas pueden apoyar a usar mejor los anchos de banda, manejar mejor las ventanas de respaldo y maximizar los espacios de almacenamiento con técnicas para deduplicación, por ejemplo”, dijo.

Pablo Ramos

Con respecto a la movilidad, Daniels indicó que la tendencia de “traer tu propio dispositivo” (BYOD) sigue creciendo y con ella la preocupación por la exposición de la información confidencial. “Ya no basta controlar las aplicaciones que usan los colaboradores; es necesario, también, establecer ambientes de colaboración que potencien el uso de las nuevas tendencias. Hoy el puesto de trabajo se lleva en los bolsillos o en la cartera; no querer ver esto expone exponencialmente al negocio”.

Rojas dijo que la principal estrategia en seguridad móvil ha sido proveer mecanismos de conexión remota seguros y fáciles de usar para el usuario, que habiliten el acceso a la información de las empresas en todo momento y lugar.

Otro mecanismo fundamental es el cifrado, dijo Ramos de ESET, pues ayuda a evitar la fuga de información en caso de pérdida o robo de los dispositivos, haciendo que el impacto de estos hechos sea menor o inexistente. Además de proteger la información, el cifrado “evita que personas no autorizadas puedan acceder a ella, garantizando su confidencialidad, uno de los principios de la seguridad informática”.

Ramos aconsejó que, en relación a la nube, “incluyendo los servicios e información que en ella se pueden alojar, es importante para las empresas de Chile clasificar la información y contar con un entendimiento de los contratos de confidencialidad y seguridad que incluyen dichos servicios. Almacenar toda la información de la empresa en la nube ayuda a la continuidad del negocio,pero hace que los controles que sobre dicha información se pueden tener sean menores, sobre todo si no se sabe dónde se aloja la información o en qué estado”.

Este artículo se actualizó por última vez en enero 2015

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close