|
|
 |
|
|
|
||||||||||||||||||
|
|
La seguridad como estrategia organizacional  Uno de los mayores retos y peligros con los que tienen que lidiar las empresas es la seguridad en redes. La falta o mala de administración de ella, en muchas ocasiones ha conllevado a la pérdida de millones de pesos en inversión y capitales, o en el peor de los casos ha terminado en la quiebra y cierre de las actividades de la compañía.
Ante este panorama, los directores y gerentes de sistemas, y hasta los mismos dueños de las empresas se están preguntando ¿Cómo manejarla, administrarla y sobre todo cómo integrarla al resto de los procesos del negocio para que esta no se vuelva un impedimento y traba en el crecimiento empresarial ? Con el fin de dar respuestas a estas y a otras preguntas sobre el buen manejo de seguridad, InfoWorld México reunió a una serie de expertos en seguridad para participar en el Seminario “Seguridad en Redes 2006”, que tuvo verificativo el 10 de noviembre pasado en el Centro de Convenciones Banamex, de la ciudad de México. A lo largo de medio día, los expertos y analistas abordaron temas referentes a la seguridad con la finalidad de considerarla no “como una serie de software y herramientas que simplemente instalados protegen a las empresas”, sino como un área integral en los procesos de la empresa, que “la gran mayoría de las veces depende de las personas y no de la tecnología”. Los principios de la seguridad  Luego de la bienvenida de la editora de Infoworld México, Claudia Mercado Arceo, se dio paso a la primera presentación del día a cargo de Jaime Oliva Garduño CPP, PSP, vicepresidente del Sector Privado de la Asociación Latinoamericana de Seguridad (ALAS México), quien habló de la importancia y los riesgos de no contar con niveles de seguridad física dentro de las empresas.
Hoy en día, explicó Garduño, se tiene como punto de referencia a la seguridad como la protección contra las amenazas virtuales, sin embargo enfatizó que existen otros niveles de vulnerabilidad en los que es necesario prepararnos para evitar pérdidas de información o paros en el funcionamiento de la compañía como los peligros y amenazas físicas.
En ese sentido, Garduño expresó la importancia de contar con sistemas de seguridad física, divida en dos segmentos: la externa (cercados, sistemas de alarma antirrobos, tecnología de CCTV) y la interna (detectores de humo, sistema de supresión, cajas fuertes y bóvedas) para garantizar una protección basada en niveles de protección.
Del mismo, reconoció que es importante “no poner todos los huevos en la misma canasta”, pues ante la posibilidad de catástrofes naturales es importante contar con respaldos resguardados en otras áreas o locaciones.
“Hay que tomar en cuenta que la pérdida de información no sólo se da por la falta de protecciones de antivirus y la generación de respaldos, hay cientos de factores externos que pueden detener o hasta estropear nuestro funcionamiento como accidentes, robos, desastres naturales, por mencionar algunos. La seguridad física se debe considerar como un complemento de la seguridad informática”.
. Seguridad: habilitador de los negocios  Una empresa que goza de una buena y bien administrada seguridad, comentó Jorge Antonio Plascencia Zurita, Business Technologist, CA México, es aquella que tiene la capacidad de ser auditada y comprobada ante la dirección del negocio.
“Es necesario contar con la herramientas para saber qué es lo que está pasando en nuestros sistemas, conocer que sucede en nuestra red, detectar nuestras vulnerabilidades y con ello tener la capacidad de generar reportes que le den un valor a la seguridad, hay que auditar nuestra seguridad para ver qué sí está funcionando adecuadamente”, afirmó.
Plascencia consideró que el punto de partida para hacer funcional a la seguridad es considerarla como “un habilitador en los procesos del negocio” y no como simple software, firewalls o antivirus dentro de una caja o aparato por lo tanto los empleados como los administradores de la red debe ser “proactivos” y no esperar a que los errores sucedan para repararlos.
Los departamentos de TI y los gerentes de sistemas, explicó, tienen la tarea de construir la seguridad de manera modular y en niveles con la posibilidad crear accesos restringidos y monitoreados, en donde cada usuario “tenga sólo acceso a ciertas aplicaciones con base en sus funciones”, reiteró.
Mi infraestructura es mi seguridad  Cerca de las 10 de la mañana inició la tercera presentación del día, la cual estuvo a cargo de Arturo Maqueo, System Engineer de APC México, quien profundizó sobre la importancia de contar con una infraestructura y arquitectura “planeadas, soportables y especializadas”, con la finalidad de proteger nuestra información.
Normalmente, expresó, la planeación de la infraestructura del sistema como lo es el centro de cómputo pasa a un segundo plano y se deja en manos del mantenimiento, lo que genera muchos problemas en su administración y cuidado.
Como expertos en energía, afirmó, “conocemos que los centros de cómputo constantemente están en crecimiento y avance, por lo que es necesario contar con buenos sistemas de enfriamiento y soporte de energía”.
De no ser así, agregó, las empresas se pueden ver envueltas en problemas como la pérdida de información, el paro de labores y el no crecimiento de la productividad, pérdida de la reputación y costos de complejidad, de mantenimiento o pérdida total de los equipos o servidores.
“No tiene sentido invertir en seguridad digital, informática, con herramientas o aplicaciones y software, si no se planea una inversión en seguridad física y en infraestructura capaz de soportar los errores tanto humanos como naturales”.
El elemento más preciado  Justo antes de dar paso a la cuarta conferencia del día a cargo de Carlos Guzmán, gerente de Canales de Distribución de MGE México y cuando el reloj marcaba las once de la mañana se dio la oportunidad, a los más de 150 asistentes al Seminario en Seguridad en Redes de InfoWorld México, de degustar bocadillos, café y fruta.
En México, comenzó Guzmán, las grandes empresas representan tan sólo el 3% del total y que sin embargo generan cerca del 21% de los empleos y más del 37% en el Producto Interno Bruto (PIB), estas cifras nos dicen la importancia de la información dentro de estos negocios y lo peligroso que puede llegar a ser el perderla.
Hoy en día, continuó, el recurso más preciado de una empresa sin importar su tamaño es la información, es esta la que dota de facilidad para mover a las empresas y hacerlas más productivas y para contar con una información veraz, precisa y en el momento oportuno, lo anterior hace imposible prescindir de los avances tecnológicos.
Dentro de estos avances Guzmán resaltó la importancia de contar con sistema de protección contra la mala energía como los UPS. “Cerca del 43% de la pérdida de información se da por descargas provenientes de una mala calidad en la energía, son 5 veces más comunes que el resto de los riesgos en los sistemas y la mayor parte de estas fallas se deben a fenómenos naturales imparables.
Al hablar de la utilización de los avances tecnológicos, como el Internet y cualesquiera de las plataformas para enviar, recibir o compartir información, necesariamente tenemos que pensar en la infraestructura informática que nos permitirá soportar estos servicios y, más importante aún, tenemos que pensar en cómo protegerla”, finalizó.
La seguridad holística  La seguridad, expresó Cristina Rivas, consultora del Mercado de Software de IDC México, no implica firewalls, antivirus o el sistema de seguridad más avanzando del mercado.
“En IDC consideramos que la seguridad es tener un serie de procedimientos bien establecidos, de medición de manejo del riesgo, que puedan dar a la organización todos los elementos para hacer de la continuidad del negocio algo realista”, concepto que definió como un enfoque “holístico” del tema.
Rivas, apuntó la importancia de los gerentes o jefes del departamento de sistemas, al ser capaces de conocer las necesidades de sus negocios con el fin de justificar y dar a entender a los ejecutivos el por qué de la inversión en sistemas de seguridad.
“Es un combinación del proveedor, los usuarios y el entorno, en donde el primero debe de evitar hablar de equipos y software y enfocarse en cuestiones y lenguaje de negocios, es decir políticas, procesos o reglas; por otro lado el usuario debe estar conciente de que la seguridad también implica procesos y nuevas tendencias como ISO 1779, CNBV, ITIL, COBIT, Sarbanes Oxley, Ley de Transparencia; y por último también debe existir una sensibilización y mayor entendimiento por parte de los directivos que no son de TI, y considerar a la seguridad como una inversión y no como un gasto”.
Una buena recomendación es integrar a la seguridad las 3 “P” del negocio, definió Rivas: Personas, Procesos y Productos, y no sólo tecnología. El primero para generar conciencia del tema entre los usuarios; el segundo para reducir los tiempos de administración y el tercero con la finalidad de estar preparados para las regulaciones mediante el conocimiento de los casos de éxito o fracaso de otros.
Somos cola de rata…  “Se los voy a decir sin rodeos, el principal problema de la seguridad es el factor humano”, comenzó Carlos Ramírez Acosta sexto conferencista del día y criminólogo y criminalista especialista en delitos cibernéticos.
“México está lejos en materia de seguridad, somos muy dados a verla como un producto y no como un proceso, anteriormente éramos “cabeza de león” en aspectos como este y hoy ante países latinoamericanos como Brasil, Chile y Argentina somos “cola de rata”.
El problema, analizó Acosta, es que el siglo XXI “demanda gente proactiva” con la finalidad de que todas las áreas: empresas, gobierno y personas trabajan en el mejoramiento de la seguridad.
El reto enfatizó, es “buscar un equilibrio entre control y servicio, pues no por tener la mejor seguridad debemos restringir ciertos servicios del negocio, hay que nivelar”.
La falta de leyes penales es otro problema que complica la regulación y sanción de delitos cibernéticos, afirmó el experto. En México “no hay códigos penales, pues un 60% de ellos no tienen ninguna referencia en las leyes y más de un 40% tienen un vacío legal al no contemplar castigos.
“Mientras exista impunidad, inequidad e ilegalidad en el sistema, los ataques se seguirán repitiendo y con mayor constancia y peligrosidad. Hoy en día tenemos que hacer consenso sobre los creadores de los ataques, y los tipos de tecnología que nos puede dañar. Conociendo el tipo de ataque que se perpetuó sabremos de dónde vino”.
La capacitación lleva al éxito  Antes de pasar al panel de discusión se invitó a Jorge Torres, Jefe de Informática de Tecnofarma y uno de los 100 líderes TI de InfoWorld 2006, para hablar de su caso de éxito en la regulación y establecimiento de la política de seguridad en su empresa.
Para entender la seguridad, empezó Torres, es necesario tomar en cuenta que ésta no sólo está dentro de la empresa sino en el hogar y los hábitos de las personas, hay conocer los puntos débiles para estar concientes del peligro que estos representan.
Estas vulnerabilidades pueden ir desde puertos abiertos, antivirus no actualizados, apertura de cualquier tipo de e-mail, hasta la falta de instalación de las actualizaciones del sistema, el desconocimiento de la gente, falta de filtros y la facilidad para proporcionar información a extraños.
Factores que, como explicó Torres, aprovechan los atacantes para robar información o dañar a los sistemas. “Hoy los cibercriminales tienen tantas herramientas tecnológicas para vulnerar nuestra red que pueden entrar desde puertos abiertos, con un mapeo de los mismos o a través de malware como caballos de Troya, IP falsos o el famoso Ping de la muerte”.
Jorge Torres, comentó que una buena política de seguridad tiene dos factores: los internos como son el software y hardware, y el externo y más complejo, pues consiste en la educación de los usuarios, la creación de niveles de seguridad, lineamientos internos y la suscripción a sistemas de información.
Una de las soluciones que él tomó como encargado de sistemas en la empresa fue remover todas las unidades de CD y Diskette de las máquinas, crear filtros de seguridad y el más importante de ellos, la capacitación de los usuarios.
“No hay mejor solución que demostrarles a los usuarios cómo pueden perder la información. Como departamento de sistemas debemos hacerles entender que la medidas tomadas no son para perjudicar a los empleados, sino al contrario tienen la finalidad de mejorar la calidad, productividad y eficiencia de su trabajo”.
No nos sentemos a ver qué pasa  El reloj ya marcaba cerca de la una y media de la tarde. Luego de siete presentaciones en donde los expertos compartieron sus conocimientos para mejorar la seguridad en la red de la empresa se dio paso a las inquietudes de los asistentes.
Se abrió el Panel de discusión al que se invitó a Jaime Oliva Reyes, Presidente de ALAS y de nueva cuenta a Carlos Ramírez Acosta (criminólogo), Jorge Antonio Plascencia (de CA) y Jorge Torres (Tecnofarma), quienes durante más de 40 minutos atendieron la preguntas de los presentes con la finalidad de ser lo más claros posibles.
Los cuatro concordaron en dos puntos clave. Uno que las empresas y negocios deben dejar de ver a la seguridad como una herramienta o producto más de la tecnología e integrarla a los procesos del negocio, tratarla como un habilitador de sus funciones y servicios. Dos el mayor peligro que enfrentan en cuanto a seguridad muchas veces es interno y es humano antes que informático.
“Las irregularidades varían de empresa a empresa, comentó Oliva Reyes, sin embargo el factor humano es todavía el más importante de ellos, uno que muchas veces puede impactar o frenar los servicios de la empresa”.
Por su parte, Plascencia agregó que una buena solución para controlar el factor humano interno “es colocar políticas de seguridad alineadas a negocio, con la finalidad y objetivo de hacerla ver como un valor agregado que ayuda a la productividad de la empresa”.
Ramírez Acosta completó con la necesidad de analizar “vale la pena que cada uno de ustedes analice tanto servicios internos y externos, como al personal contratado mediante una investigación de sus antecedentes”.
Otra de las dudas fue el porcentaje de inversión en seguridad que se debía realizar. Tanto Plascencia como Torres concordaron que un buen inicio consiste entre un 10% del total del valor de los activos de la empresa. Sin embargo, ambos afirmaron que esta inversión se debe planificar y comenzar con puntos bien definidos para así realizar una inversión paulatina y más eficiente.
Al final del día, la seguridad dentro de las empresas se debe considerar como una parte sustancial para los negocios no sólo por la necesidad de asegurar nuestra información sino por mejorar la calidad, productividad y capacidad de cumplimiento de las regulaciones y estándares del mercado.
Ramírez Acosta sentenció que “el siglo XXI demanda gente proactiva” para mejorar los problemas de seguridad.
Por último, y retomando una cita que durante su presentación Cristina Rivas dijo citando al científico alemán Albert Einstein, “La vida es muy peligrosa. No por las personas que hacen el mal, sino por las que se sientan a ver lo que pasa”, por ende no nos quedemos a ver que es lo que pasa, hagamos algo para mejorar la seguridad de nuestra empresa.
|
|
|
<
||||||||||||||||||
