Metodología
El presente artículo es producto de la experiencia propia y ajena, en todo lo relacionado a seguridad de la información. Además se hacen referencias a recomendaciones de empresas experimentadas cuyas observaciones han sido de mucho valor a este artículo.
Las fuentes bibliográficas utilizadas son: Publicaciones oficiales en internet.
Texto completo
En un artículo informativo, la empresa de seguridad Kaspersky publicó que (la cantidad de ataques informáticos realizados usando programas maliciosos dirigidos al robo de datos financieros en 2013 creció en un 27,6% y alcanzó los 28,4 millones. La cantidad de usuarios atacados fue de 3,8 millones y el crecimiento en el año de un 18,6%. Y la cantidad de usuarios que se toparon con ataques financieros realizados mediante programas maliciosos en 2013 fue del 6,2% del total de usuarios atacados. En comparación con 2012 este índice ha crecido en 1,3 puntos porcentuales.
Entre los programas maliciosos financieros se desarrollaron más activamente los instrumentos relacionados con Bitcoin, pero el papel principal lo sigue jugando el robo de dinero de cuentas bancarias, por ejemplo el programas malicioso Zeus.
Estos datos muestran una creciente tendencia, sin embargo esto no indica que las empresas de seguridad informática no estén haciendo su trabajo, ya que siempre se logran detectar y erradicar estos entes maliciosos, sin embargo el inconveniente es su constante evolución y persistencia.
Los indicadores de Karspesky también indican que muchos de estos ataques no se hicieron con amplios conocimientos de hacking, sino empleando software malicioso (malware) que un usuario puede aprender a utilizar. Esto demuestra que hay personas capaces de utilizar su conocimiento de programación, para crear aplicaciones dañinas, herramientas del mal.
Por eso hay recomendaciones que se deben tomar en cuenta en una empresa, las cuales no deberían ser vistas como opcionales, si lo que se desea es proteger su negocio de ataques internos y externos. Lo primero es contar con el personal adecuado en el área de tecnología, de los cuales debe haber un comité de seguridad informática especializado en el área.
Estos son los dos entornos que se necesita proteger en toda empresa:
Protección Individual
- Todo proceso dentro de la organización, debe guardar un registro de auditoría que almacene una bitácora de quién, cuándo y dónde hizo un movimiento o transacción en el sistema. Para esto los desarrolladores de software deben asegurarse que en cada INSERT realizado en una tabla de la base de datos, también haya un INSERT en la tabla de auditorías registrando el nombre del usuario, hora, entre otros datos.
- Los equipos informáticos deben estar configurados por perfiles y roles, de igual forma los sistemas que se ejecutan en estos equipos, donde solo se brinden accesos dependiendo del nivel de responsabilidad. Es decir que la recepcionista no tiene por qué tener acceso al TOAD (Manejador de base de datos), o la secretaria del gerente de mercadeo no puede tener acceso a los estados financieros de la empresa, entre otros ejemplos.
- Debe existir un acuerdo de confidencialidad firmado por cada colaborador de la empresa, donde demuestre aceptación de acuerdo a las políticas que existen en la empresa en cuanto a manejo de la información confidencial.
- El personal de seguridad informática debe tener la capacidad de monitorear o auditar los equipos periódicamente (en caso de que sean personas cuyas actividades impliquen alguna sensibilidad para la información, esto no quiere decir que siempre debe estar revisando los equipos de los compañeros de la empresa ya que esto crea incomodidad y desconfianza innecesaria). Para realizar esta tarea puede trabajar con el encargado en redes, que debe tener las herramientas de monitoreo idóneas.
Protección Corporativa
La primera medida con que toda empresa debe contar en materia de seguridad informática es un buen antivirus corporativo y un buen firewall, el antivirus para detectar software malicioso (capaz de borrar datos, contaminar otros equipos, robar información, etc.) y el firewall para evitar que la navegación de internet (la cual es inevitable en la mayoría de las organizaciones) permita el acceso por parte de crackers, espías informáticos, o virus.
El personal de seguridad informática debe ser un personal actualizado en cuanto a los peligros del día a día, y debe ser capaz de mantener las políticas de seguridad actualizadas, y hacerlas saber a los colaboradores de toda la organización. Esto se puede hacer de varias formas, entre ellas:
- Conferencias de seguridad informática dentro de la empresa (trimestral)
- Correos informativos con Tips (Recomendaciones) masivamente enviado a todos los miembros de la empresa.
- Elaboración de boletines impresos con información dirigida a los miembros de la organización.
Si desea ver una lista completa de recomendaciones para mantener los quipos de su negocio seguros, visite el sitio de Microsoft o lea esta recomendada lista de sugerencias proporcionadas en la Universidad Politécnica de Madrid.
Las empresas especializadas en tecnología, o aquellas que manejan información fundamental para sus operaciones en sistemas informáticos, deben tomar medidas aun más eficientes y controles más estrictos, tales como controles biométricos de seguridad (lectores de iris, huellas digitales, entre otros), políticas estrictas de manejo de información (por ejemplo, el departamento de pruebas no utilizará ni verá datos reales, sino datos de prueba), entre otros.
Conclusiones
Ante un mundo que crece en cuanto a avances tecnológicos y donde la tecnología se usa tanto para el bien como para el mal, es nuestra responsabilidad como empresa el tener los controles preventivos necesarios para evitar la intrusión de entes peligrosos en nuestros sistemas, y evitar también el mal uso del mismo por parte de nuestros usuarios.