Muchas pequeñas y medianas compañías todavía están convencidas de que un firewall y una solución de software antivirus y antispam resulta suficiente para proteger sus redes de TI. Con la reducción de presupuestos, los responsables de estas empresas son reacios a invertir en medidas de seguridad que, en ocasiones, se perciben como poco necesarias y, lo que es más preocupante, no siempre se entienden adecuadamente.
El malware es un término que incluye virus informáticos, gusanos y troyanos, así como cualquier tipo de software malicioso. Puede ser introducido en la red de diferentes maneras: cuando los empleados abren un archivo EXE malicioso, al recibir un email con un gusano adjunto o al descargar spyware de una página web maliciosa. La instalación de software pirata, asimismo, es otro medio para infectar el ordenador de un usuario final.
Otro tipo de amenazas son los ataques de ingeniería social y el phising. Éste último es un tipo de ataque de ingeniería social oportunista que se centra en un sector específico de la sociedad. Un e-mail phising tiene una apariencia de ser genuino y busca obtener información privada y confidencial de los usuarios, como contraseñas o números de tarjetas de crédito.
Asimismo, los servidores de información también suelen ser el blanco de ataques, ya que el auge de las aplicaciones web ha puesto al descubierto nuevas vulnerabilidades que son explotadas por los criminales para acceder a estas aplicaciones y obtener información confidencial con la que poder cometer fraudes.
Habitualmente los ordenadores portátiles y los móviles contienen información sensible tanto a nivel empresarial como personal. Si alguno de estos dispositivos se pierde, podría resultar nefasto para la empresa. La amenaza número uno
La vulnerabilidad número uno de muchos sistemas, sin embargo, siguen siendo las contraseñas. Las políticas de seguridad pueden mitigar este riesgo, pero si son muy estrictas, los empleados pueden esquivarlas. Anotarán las contraseñas en post-it, las compartirán con los compañeros o simplemente encontrarán un patrón que sea fácil de recodar pero también fácil de adivinar. Hay que recordar, de este modo, que los factores “no tecnológicos” pueden convertir en inservibles a las más complejas políticas de contraseñas.
El volumen de malware que puede alcanzar a las organizaciones hoy en día es realmente elevado. Si las empresas no cuentan con alguna solución antivirus, la seguridad de los ordenadores recaerá en los propios empleados, lo cual no es muy aconsejable. Sin embargo, proteger los ordenadores es sólo una de las prácticas recomendables, ya que la mayoría del malware tiene capacidad para deshabilitar los programas anti-virus, cortafuegos, etc.
La solución radica en desplegar un filtro de contenido en el gateway. Algunos tipos de spam contienen adjuntos maliciosos, por lo que no es una buena idea dejar que el usuario final decida si puede abrir el archivo o no. Al bloquear el malware desde el gateway, se reduce en gran medida la posibilidad de que los usuarios abran por error un adjunto malicioso.
Por otro lado, existe un gran número de ataques que no se basan necesariamente en vulnerabilidades técnicas, sino que lo hacen en la predisposición de las personas de confiar en los demás. Hay que dar a los empleados la oportunidad de trabajar y compartir datos pero al mismo tiempo tienen que ser conscientes de los asuntos de seguridad que resultan de sus acciones. Otro punto clave a destacar es el de las políticas, ya que éstas son la base de cualquier programa de seguridad de la información. Las políticas aclaran lo que está permitido en una organización y define los procedimientos de aplicación en diferentes situaciones.
Y, de nuevo, las copias de seguridad Aunque no suene tan interesante como otros temas relativos a la seguridad de la información, las copias de seguridad siguen siendo una de las soluciones de mayor confianza. Los desastres a veces ocurren y es probable que en algún momento una organización se encuentre con situaciones en las que el hardware falla o un usuario borra información ya sea de manera inintencionada o a propósito. Un sistema de backup bien gestionado quitará muy poco tiempo a la empresa en comparación con otras soluciones de recuperación ante desastres. Por ello es fundamental que los backups no estén sólo pensados para evitar los errores humanos, sino que se prueben periódicamente.
Otra cuestión a tener muy en cuenta son los sistemas de gestión de parches. Existen numerosos avisos publicados diariamente sobre las vulnerabilidades del software en materia de seguridad. En muchos casos no resulta fácil ponerse al día y actualizar el software para solucionar estas vulnerabilidades, por lo que muchas organizaciones usan un sistema de gestión de parches para llevar a cabo esta tarea. Sin embargo, resulta importante evaluar primero el impacto de la vulnerabilidad antes de aplicar el parche, en lugar de aplicar parches religiosamente.
A modo de conclusión
La seguridad en las pymes es algo más que prevenir los virus y bloquear el spam. En 2009, se espera que el cibercrimen aumente a medida que los criminales traten de explotar la debilidad de los sistemas y de las personas. Cada organización es distinta pero en muchos casos las amenazas son comunes para todas. La seguridad es un coste del negocio, pero aquellos que se preparen adecuadamente ante posibles amenazas lo agradecerán a la larga.
Garantizar la seguridad de los sistemas de TI corporativos, de este modo, no sólo requiere de inversiones en productos de hardware y software. Un mayor conocimiento, concienciación y un entendimiento más profundo de las políticas de seguridad existentes resultarán, a veces, suficientes para reducir el riesgo de infecciones por malware, del robo de información y otros fraudes.
Más información: www.gfihispana.com