Enrique Meyer
El ministro de Turismo, Enrique Meyer, dejó inaugurada oficialmente la temporada de verano en Mar del Plata,
con un acto ayer donde se bendijo las aguas y los frutos del mar. La actividad se realizó en el Paseo de las Américas.
Diario BAE Domingo 19 de diciembre de 2010
| SOCIEDAD | 29
www.diariobae.com
Las empresas endurecen sus políticas de seguridad para evitar fugas de información
La seguridad informática, hackeada por Wikileaks A. T.
argentina@buenosaireseconomico.com
Cuando los cables del escándalo Wikileaks comenzaron a conocerse, el mundo entró en convulsión, las relaciones entre países -principalmente Estados Unidos- debieron y deben sortear frentes de tormentas muy fuertes, para tratar de que el sistema diplomático no entre en caos, aunque para ellos responsabilizan a Julian Assange, titular del sitio, y no a sus propias inseguridades internas en materia informática. Sin embargo, también abre un nuevo paradigma en materia de preservación de la información que no hace otra cosa que abrir un debate y obligar a las empresas, ya sean de tecnología como aquellas que manejen datos sensibles en sus bases de datos, empiecen a tomar recaudos a la hora de compartir su "secretos más preciados", por lo que BAE consultó a responsables de empresas dedicadas a la seguridad informática. En tal sentido, Marcos Boaglio, gerente de ingeniería de pre venta de Symantec SOLA (Sur de América Latina), explicó que "la información de las organizaciones es su activo más valioso y está expuesta a múltiples amenazas informáticas. Sin embargo, como no todas las empresas o usuarios están enterados de estos riesgos o han tomado acción para contar con sistemas y/o políticas de seguridad adecuados, aún vemos que algunos de ellos sufren incidentes que les llevan a perder datos". No obstante, comentó que tras un estudio realizado por Symantec, se determinó que "actualmente existe una mayor conciencia sobre los riesgos, la fuga de información y las mejores prácticas en cuestión
ARCHIVO
El escandalo de wikileaks reabrió el debate sobre la seguridad informática en las empresas. Especialistas consultados por BAE explican las medidas que deben tomarse para preservar la información.
El grupo de ciberactivista Anonymous hackeó a Mastercard, en protesta por la presión de Assange.
de protección de información, especialmente entre las pequeñas empresas". Y a su criterio el caso Wikileaks deber servir "como alerta" para las empresas y organizaciones, a quienes recomiendan que sean "proactivos e implementen los procesos adecuados y las soluciones necesarias como aquellas enfocadas en prevenir la pérdida de datos (DLP - Data Loss Prevention) para mantener su información confidencial dentro de la organización". Por su parte, Por Federico Pacheco, Gerente de Educación e Investigación para ESET Latinoamérica, comentó que el caso Wikileaks "las empresas que no estaban prestando suficiente atención a la fuga de información, comenzaron a comprender los peligros que conlleva la falta de procedimientos y preparación adecuada para evitar este tipo de incidentes". "Sin embargo, es importante destacar que en muchos casos las organizaciones, especialmente las grandes corporaciones, ya poseían planificación y metodologías para evitar este tipo de incidentes, dado que las normativas internacionales aconsejan y requieren fuerte-
mente que se tenga en cuenta el peligro", agregó. Marcelo Pizani, Pre Sales & Product Manager de Panda Security, señaló que uno de los puntos que no se tuvo muy en cuenta en el tema Wikileaks y que sí puso un grado de alerta en la red de las empresas fue la reacción del grupo Anonymous (Anónimos), que se autodefinen como "ciberactivistas" y que a tra-
UNA ENCUESTA PRIVADA SEÑALA QUE EL 42% DE LOS EMPLEADOS DESPEDIDOS SE LLEVAN INFORMACIÓN EN USB vés de Internet "bombardeó" los sitios de empresas como MasterCard, que se había negado a continuar pasando los pagos hacia el sitio de Assange, provocando que estuvieran inactivos durante un tiempo, dado la cantidad de personas que intentaron acceder al mismo. "En primer término hay que pensar si los internautas apoyan la causa, o buscan otras cosas. Hay herramientas que no son lícitas de las que utilizan, y en el medio hay herramientas de hacking, las redes sociales, para que la gente se preste
como pasó con Anonymous", afirmó Pizani. Por su parte, Boaglio de Symantec comentó que "las fugas de datos siempre han existido. La buena noticia es que se pueden prevenir y con esto reducir drásticamente el riesgo de perder información. Para ello, las organizaciones deben primero identificar cuál es su información sensible o confidencial y asegurarse que la misma esté disponible sólo para la gente que debe tener acceso a ella, y que los datos sensibles no vayan a donde no deben ir". Según un estudio realizado en 2009 por Symantec y Ponemon Institute, sobre una encuesta a empleados que perdieron o abandonaron sus empleos en 2008, el 53 % de los encuestados dijeron haber descargado los datos en un CD o DVD, 42 % en una unidad USB y 38 % envió archivos a una cuenta personal de correo electrónico. Este mismo consigna que el 59% de los ex empleados admitieron haber robado información confidencial de la compañía, y entre el tipo de datos que se toman más comúnmente destacan las listas de correos electrónicos, registros de
empleados, información de clientes, incluyendo las listas de contactos e información no financiera. Para Pacheco, de Eset, "muchas de las empresas que no lo hacían, es decir, que no tenían tales políticas de prevención, comenzaron a tomar sugerencias e ideas provenientes de las normativas internacionales, para adaptar los procedimientos a entornos reducidos o específicos. Más allá de esto, no hay medidas especiales nuevas surgidas en este tiempo, dado que el tema de la confidencialidad de la información y la pérdida de privacidad asociada a los incidentes de seguridad es moneda corriente en el ámbito de la seguridad de la información a nivel corporativo". A su vez, Pizani de Panda comentó que a su criterio la "tendencia" en cuanto a ataques para el 2011 estará enfocada en grupos de internet que protestarán y también utilizarán las redes sociales. "Esto se volverá a ver y se expandirá a otros horizontes, aunque en Argentina se demorará un tiempo en llegar", agregó. Pizani hizo una aclaración sobre las actividades en la red de los "ciberactivistas" y señaló: "por un lado está la ciberprotesta y luego todavía está la terminología que se utiliza para denominarla. Pero la gente de grupo Anonymous se dice ciberactivistas y si infringen la ley serían para ellos hackactivistas', pero en ese caso estarían cometiendo un delito, aunque no hay una legislación común aún". "La problemática vinculada a la fuga de información y su consecuente pérdida de confidencialidad, no está tan instalado en la conciencia de las personas. Y muchas veces no se suele tomar dimensión de la gravedad de este tipo de asuntos. Es por ello que muchas empresas no llevan a cabo las políticas necesarias para evitar estos incidentes que pueden afectar la reputación de la empresa y poner en riesgo datos sensibles", sentenció Pacheco de Eset.
La batalla por la seguridad informatica en la era wikileaks El análisis de Ricardo Fernandes*
E
l escandaloso episodio de alcance mundial de Wikileaks no sólo tuvo significancia política, sino que también trajo consigo una impactante repercusión en la industria de la seguridad informática, que atraviesa un importante desafío: ofrecer a las empresas medidas de seguridad que protejan el uso y acceso a su información confidencial. Las amenazas internas son un capítulo en el que las empresas deben poner especial atención. El caso Wikileaks puso de manifiesto las graves consecuencias que pueden generarse si no se cuenta con estrategias de seguridad informática que se adapten a las nuevas herramientas del mercado; la informática avanza y se mantiene en constante es-
tado de mutación, y peligro, por lo cual la seguridad debe modificarse al compás. ¿Cómo puede tanta información sensible verse comprometida? En las organizaciones se establecen distintos niveles de seguridad; una de las cláusulas más comunes de la relación empleado - empleador radica en que, en caso de tener acceso a la información sensible o confidencial de la firma, ésta no debe, bajo ningún punto de vista, ser comunicada fuera de la organización. RIESGOS. Usuarios privilegiados. Una de las debilidades más peligrosas de una compañía comienza puertas adentro. La gestión ineficaz de los usuarios privilegiados -que tienen acceso total a los principales sistemas y a todos los entornos de TI- se constituye como el principal riesgo de seguridad. Contraseñas. Las contraseñas compartidas
de administración se convierten en otro factor que podría conducir a un acceso inadecuado a los sistemas y la información; esto genera un condimento extra, resulta imposible identificar específicamente quién realizó la acción que en cada sistema. Roles de usuario. La superposición de funciones y prestaciones duplicadas o inconsistentes, son problemas comunes que pueden conducir al acceso indebido. Débil autenticación de usuario. El acceso a información altamente sensible a menudo sólo requiere autenticación de contraseña simple, y no toma en cuenta otro tipo de información contextual que podría aumentar el riesgo de incumplimiento. Gestión de identidad global. La protección eficaz contra el acceso o uso indebido de la información requiere un fuerte control sobre las identidades de usuario, el acceso y uso de
la información. Auditoría. Muchas empresas no tienen forma de auditoría continua de acceso para garantizar que sólo las personas debidamente autorizadas están accediendo. La protección de información crítica debe ser, en una época donde los fraudes informáticos están a la orden del día, un área prioritaria para las empresas, dado que resulta, ni más ni menos, que defender uno de sus activos más importantes: su información. El incumplimiento Wikileaks es un caso extremo de un riesgo muy común para cualquier organización. Trabajar en estrategias de prevención y fortaleza de los medios de seguridad, se constituyen como una necesidad y un valor agregado del que su empresa no puede prescindir. *VP de Seguridad de CA Technologies para America Latina