Hablar de empresas 100% seguras es imposible. De hecho, aquellas que proveen este servicio, siempre dan al cliente una efectividad que bordea el 99% o menos. Sin embargo, las organizaciones pueden tomar ciertas precauciones que reduzcan el efecto de los hackers en sus sistemas.

Si bien la seguridad en la red no ayuda al crecimiento de la empresa, es determinante a la hora de hablar de continuidad del servicio. El desarrollo de una red corporativa saludable evitará que las empresas, tanto públicas como privadas, sean proclives a ataques que impliquen la pérdida o filtración de datos sensibles tanto de la organización, como de los clientes.

Algunas medidas simples, van desde la implementación de contraseñas y la realización de copias de seguridad. Otras acciones tienen como sentido el disminuir el riesgo de invasiones.

Sin embargo, una de las principales preocupaciones tiene que ver con los propios trabajadores. Sobre todo ahora, que al menos las dos terceras partes de los propietarios de negocios y empleados en todo el mundo utilizan sus propios dispositivos móviles en el trabajo. Sin embargo, la actitud  respecto a proteger los datos está muy lejos de ser una preocupación de seguridad ideal. La encuesta sobre riesgos de seguridad de los consumidores encontró que el 60% de los encuestados están preocupados acerca de la amenaza de vigilancia y robo de información mediante dispositivos móviles, pero no se protegen activamente y dependen de sus empleados en este aspecto.

Equipos actualizados y un buen antivirus

Según IDC, el 59% de software en Chile es ilegal. Ese mismo estudio reveló que un 65% de las empresas aplica políticas informales de licenciamiento o no cuenta con una política de informática. “Muchos de los ataques hacia las organizaciones se originan a partir del aprovechamiento de alguna vulnerabilidad en los programas que se utilizan en la organización. Un alto porcentaje de estos ataques se evitarían con tan solo tener los equipos actualizados y con una solución de protección antimalware. El de software no legal muchas veces viene implantado con troyanos o queda impedido de ser actualizado”, señala Roberto Martinez, analista de seguridad en Kaspersky Lab.

Una de  las medidas  más básicas tiene que ver con tener los equipos con su software actualizado. El contar con ello a todo nivel de la empresa evita, por ejemplo, que el computador sea más vulnerable a ataques externos. De paso,  conviene tener un buen antivirus con todas las funcionalidades actualizadas y funcionando. “En vista de que aparecen muchas vulnerabilidades en el mes, un buen antivirus es clave. Dado que la mayoría de las empresas cuenta con muchos  computadores y hacerles el upgrade a veces toma tiempo, un buen antivirus permite prevenir ataques, mientras se parchan con calma los equipos. así, si me demoro un mes en parcharlos, el uso de un antivirus compensa esos espacios de tiempo”, explica Jorge Rojas, gerente de servicios de NovaRed Chile. Similar es la opinión de Martínez. “El antivirus es uno de los controles básicos que deben tener las corporaciones para que el entorno corporativo no sea afectado”.

Segmentación de acceso a la información 

Es muy importante identificar y clasificar la información de acuerdo a su nivel de sensibilidad. Esto ayudará a tener bien definido el uso que se le dará a los datos y la forma en cómo se compartirá y distribuirá la información hacia dentro o fuera de la organización. También, es importante utilizar alguna herramienta que permita el monitoreo y control de los datos; por ejemplo, al enviar un correo electrónico que éste no pueda reenviarse o imprimirse si el nivel de sensibilidad no lo permite.  En las organizaciones es muy importante contar con herramientas que permitan identificar, desde un equipo configurado para ese fin, cualquier patrón malicioso en los dispositivos o la red de la empresa. Esto permitirá tener una capacidad de respuesta temprana en caso de presentarse un compromiso de seguridad. En las organizaciones debe existir una buena segmentación de la redes corporativas. Dentro de las corporaciones hay distintos tipos de activos informáticos. Y, por supuesto, hay unos que son más importantes que otros. “Lo ideal es que cada red  se pueda agrupar en distintos segmentos y que esos tengan controles de acceso, de modo que la información más importante de la empresa, por ejemplo, donde pueden estar los datos de los clientes de una empresa, esté resguardada y que no todos puedan acceder a esa información en cualquier momento, sino  que realmente uno pueda  controlar que sólo gente que necesita acceder a esa información, tenga acceso”, cuenta Jorge Rojas de NovaRed Chile.Después se empieza a escalar dependiendo de lo crítico que sea la información. Pero hay que tener presente que no todos los activos valen lo mismo.

Implementar soluciones y políticas para el uso de BYOD 

Una de las tendencias que ha llegado con más fuerza  a las empresas es el Bring Your Own Device (BYOD). Implica que los trabajadores utilicen sus propios dispositivos para fines personales y corporativos. Si bien se estima que cerca del 97% de las compañías permiten a menor o mayor escala  que sus empleados usen sus dispositivos, establecen que al menos la mitad de ellas  carece de una estrategia sobre BYOD. Sin duda, su llegada al mundo corporativo implica grandes desafíos.

El aumento de esta tendencia se explica principalmente por dos razones: los trabajadores pueden utilizar los dispositivos propios a su gusto y las empresas ahorran costos de compra o leasing en el equipamiento informático. El poder de conectividad y procesamiento de smartphones y tablets está acelerando la incorporación de este tipo de política de trabajo. Todo esto, bajo el paraguas de acceso a servicios de cloud computing. La esfera tecnológica personal se empalma con la corporativa.

El Estudio de Movilidad en las Empresas, realizado por la compañía tecnológica Nubison a casi 100 empresas chilenas, reveló que un 31,5% de los consultados aún no ha definido una política respecto a BYOD, mientras que un 29,6% ya ha autorizado a todos sus empleados a utilizarla. En cuanto a los riesgos, la seguridad e información de las redes es clave para el 61,1% de las empresas y la complejidad en la administración de la plataforma móvil para un 48,1%.

Por ello es que resulta clave implementar herramientas que ayuden a controlar y monitorear el uso de estos dispositivos ya que esto evitará que se fugue información sensible o que alguno de los dispositivos pueda, por medio de algún malware, comprometer la red corporativa.

Controles y encriptación de datos 

Una de las formas para mantener redes seguras es la implementación de controles para evitar ataques. Existen herramientas como Intrusion Prevention System (IPS) que lo que hacen es detectar patrones de comportamiento en la red de la misma forma que un antivirus. Entonces lo que hace es prevenir y detectar si es que hay un hacker dentro de la red. “Hoy hay controles de acceso muy granular que permiten saber qué hace una persona dentro del sistema, cuándo se conecta y qué cosas llegó a hacer dentro del sistema. Mientras más controles incorporo, más exhaustivo podré ser  a la hora de buscar información que pueda representar un ataque”, señala Rojas de Novared.

La idea de poner controles es clave, pero casi tan importante como eso es observar constantemente estos controles.

“Hay empresas que invierten mucho en herramientas que permiten gestionar la información, pero esto no sirve de nada si no lo voy a estar chequeando. Si no la miro de forma habitual, pueden haber hackeado el sistema hace seis meses y jamás me voy a enterar. Es muy importante que de la mano del control, exista un  monitoreo 24/7. Ese es uno de los grandes desafíos para las empresas” agrega Rojas.

Hoy se habla mucho de la encriptación de datos. Esto permite que si el dato es robado, sólo la persona que cifró el dato pueda abrir esa información. Por lo tanto,  se enfoca más en quién accede al dato que en lograr leerlo.

El cifrado de información sensible es otra forma en que se puede evitar que personas no autorizadas tengan acceso a información confidencial.

Crear una cultura de seguridad dentro de la organización

Es muy importante que cualquier iniciativa de seguridad vaya acompañada de una adecuada concientización hacia los usuarios de todos los niveles de la organización e involucrarlos en el uso responsable de los recursos tecnológicos de la empresa. De hecho, “los empleados son la primera línea de defensa cibernética para una organización. Se pueden crear campañas en donde se transmita a los usuarios la importancia de contar con contraseñas robustas, ser cuidadosos en la navegación a internet, respaldar su información regularmente, evitar usar redes públicas para realizar operaciones financieras o conectarse remotamente a la empresa sin la protección de una VPN, cifrar sus datos sensibles, mantener su software y herramientas antimalware actualizadas, etc”,dice Roberto Martínez, analista de seguridad en Kaspersky Lab.

El contar con una política de seguridad que determine qué activos hay que proteger y cuáles no, permite implementar un proceso de mejora continua, orientando a controles que lleven a proteger información que es crítica para la organización.

“A veces, lo más básico resulta lo más complejo en las empresas. Esto ayuda a determinar cuáles son los activos más importantes y cuáles no. Además, de hacer que los controles funcionen de manera óptima. La seguridad es una de las áreas más dinámicas. Avanza a pasos agigantados y de una forma muy rápida. Como todos los días salen vulnerabilidades, la gente encargada de la seguridad debiera trabajar todos los días en corregirlo y mitigar las vulnerabilidades que pueden afectar a la organización”, enfatiza Martínez.