La mayoría de las empresas en Latinoamérica, aunque no todas, son conscientes de que la información es uno de sus mayores activos, que deben resguardar y proteger. ¿Pero qué pasa cuando los empleados acceden a esa información desde sus dispositivos móviles personales? Sobre este tema hablamos con Camilo Gutiérrez, especialista de Awareness & Research de ESET.
Trabajoso
"Bring your own device" es el nombre de una tendencia ya instalada en la región, mediante la cual los usuarios utilizan sus propios dispositivos electrónicos (computadores portátiles, tablets o smartphones) para realizar tareas laborales, con los que se conectan a la red de la empresa y desde los que acceden a información corporativa.
Consciente de que este es un problema incipiente en materia de seguridad informática, Camilo Gutiérrez, especialista de Awareness & Research de ESET, presentará en el Congreso Segurinfo 2013 una charla titulada "Bring your own... destruction?", analizando esta tendencia, sus peligros y cómo abordarlo desde la perspectiva de la seguridad informática.
Dialogamos con Gutiérrez sobre este tema y sobre otros aspectos vinculados a la seguridad informática en la región.
"Es sabido que la información es el activo más valioso de una compañía, y muchas empresas ya han tomado conciencia de ello y tratan de cuidarlo. Ahora, los usuarios pueden poner en riesgo esa información. ¿Cómo? En primer lugar por un tema de ingeniería social, en que los usuarios entran en una página en Internet, los contactan por correos fraudulentos y van brindando su información personal o confidencial de la compañía. Y en segundo lugar está lo que se llama "Bring your own device", que las personas llevan sus dispositivos personales a la empresa y no sólo para sus actividades personales sino también para realizar tareas del trabajo. Entonces en sus dispositivos tienen configurado el correo electrónico de la empresa, se descargan documentos de la empresa, guardan contactos de clientes u otras personas de la empresa, una cantidad de información sensible y muy importante para las compañías, que está en el dispositivo del usuario", expresó.
"El problema es que las empresas no tienen control, porque es un dispositivo personal, entonces las empresas no pueden saber qué tiene el usuario. Ahí hay que ver qué hacen para garantizar que si los empleados están usando sus dispositivos, estén protegidos y hagan un buen uso de la información", agregó.
Consultado sobre cuán extendida está esta realidad, Gutiérrez recordó los datos de una encuesta realizada por ESET el año pasado que arrojó que el 82% de los encuestados llevaban su computador portátil al trabajo, el 55% llevaban el smartphone y el 45 la tablet. "Ya es una realidad que lo están llevando, porque les es más fácil, se sienten más cómodos, seguramente pueden hacer las cosas más rápido", dijo.
Dialogamos con Gutiérrez sobre este tema y sobre otros aspectos vinculados a la seguridad informática en la región.
"Es sabido que la información es el activo más valioso de una compañía, y muchas empresas ya han tomado conciencia de ello y tratan de cuidarlo. Ahora, los usuarios pueden poner en riesgo esa información. ¿Cómo? En primer lugar por un tema de ingeniería social, en que los usuarios entran en una página en Internet, los contactan por correos fraudulentos y van brindando su información personal o confidencial de la compañía. Y en segundo lugar está lo que se llama "Bring your own device", que las personas llevan sus dispositivos personales a la empresa y no sólo para sus actividades personales sino también para realizar tareas del trabajo. Entonces en sus dispositivos tienen configurado el correo electrónico de la empresa, se descargan documentos de la empresa, guardan contactos de clientes u otras personas de la empresa, una cantidad de información sensible y muy importante para las compañías, que está en el dispositivo del usuario", expresó.
"El problema es que las empresas no tienen control, porque es un dispositivo personal, entonces las empresas no pueden saber qué tiene el usuario. Ahí hay que ver qué hacen para garantizar que si los empleados están usando sus dispositivos, estén protegidos y hagan un buen uso de la información", agregó.
Consultado sobre cuán extendida está esta realidad, Gutiérrez recordó los datos de una encuesta realizada por ESET el año pasado que arrojó que el 82% de los encuestados llevaban su computador portátil al trabajo, el 55% llevaban el smartphone y el 45 la tablet. "Ya es una realidad que lo están llevando, porque les es más fácil, se sienten más cómodos, seguramente pueden hacer las cosas más rápido", dijo.
¿Qué hacer? "Las empresas tienen que tomar una posición clara. Esto es una realidad, entonces tienen que decidir si lo van a prohibir o a permitir. Lo más peligroso hoy es quedarse en la mitad esperando a ver qué pasa".
"Si se va a permitir, lo que van a hacer las empresas es gestionar el uso de esos dispositivos, tener controles de acceso a la información, definir quiénes van a acceder a la información, de qué forma van a ingresar, proveerles soluciones de seguridad, poner políticas de forma que quien ingrese a la información corporativa tenga determinados sistemas de seguridad. Si por el otro lado prohíben el uso de dispositivos móviles, tienen que controlar que esos dispositivos no se puedan conectar a la red de la empresa, que no puedan acceder a los datos o descargar documentos a los dispositivos personales", apuntó.
Según el especialista, las empresas tienen que abordar los temas de seguridad informática en tres ejes: "uno es la tecnología, es decir, tomar medidas de protección adecuadas en cuanto a tecnología (solución de seguridad, firewall, solución antispam); el segundo es la gestión, esto es, tengo mi tecnología y hay que revisarla, actualizarla, monitorear los backups, la información; y el tercero es la concientización a los usuarios, es importante decirles cuáles son las amenazas, que ellos vean realmente cómo pueden verse afectados y qué alcance tienen los ataques, además de informar de cuáles son las medidas para estar seguros".
Amenazas en la red
En otro orden, consultamos a Gutiérrez sobre cuáles son las amenazas informáticas más relevantes en lo que va de este año. ESET realiza todos los meses un reporte sobre las principales amenazas y, ya promediando 2013, es interesante ver cuál es la tendencia.
El experto destacó "los ataques de ingeniería social, que siguen apareciendo bastante. Correos electrónicos de supuestos bancos, páginas falsas, y lo que estamos viendo como una tendencia en cuanto al desarrollo de códigos maliciosos es el crecimiento exponencial que han tenido los códigos maliciosos para dispositivos móviles, particularmente para dispositivos con Android, que es el sistema operativo con mayor cantidad de usuarios en el mundo. Google anunció hace poco que en el día se están activando un millón y medio de dispositivos nuevos, entonces es lógico que para los ciberdelincuentes se vuelva muy atractivo".
Consultado sobre la situación de América Latina en temas de seguridad informática, dijo que "en la región estamos bien en cuanto a la incorporación de controles, a la tecnología, la mayoría de las empresas -sin ser todas, lo cual es preocupante-, tienen una solución de seguridad, son conscientes de hacer backups, de tener firewall, pero la seguridad no solo es tecnología sino también gestión, entonces en lo que tiene que ver con conocer sus activos de información es donde empiezan las falencias entre las empresas, no conocen realmente quiénes están ingresando a su información, cómo, ni hay planes de recuperación de incidentes", concluyó.
Segurinfo 2013 se realizará este jueves desde las 9:00 en la Torre de las Comunicaciones de Antel. Información: http://www.segurinfo.org/detalle.php?t=50&d=214
"Si se va a permitir, lo que van a hacer las empresas es gestionar el uso de esos dispositivos, tener controles de acceso a la información, definir quiénes van a acceder a la información, de qué forma van a ingresar, proveerles soluciones de seguridad, poner políticas de forma que quien ingrese a la información corporativa tenga determinados sistemas de seguridad. Si por el otro lado prohíben el uso de dispositivos móviles, tienen que controlar que esos dispositivos no se puedan conectar a la red de la empresa, que no puedan acceder a los datos o descargar documentos a los dispositivos personales", apuntó.
Según el especialista, las empresas tienen que abordar los temas de seguridad informática en tres ejes: "uno es la tecnología, es decir, tomar medidas de protección adecuadas en cuanto a tecnología (solución de seguridad, firewall, solución antispam); el segundo es la gestión, esto es, tengo mi tecnología y hay que revisarla, actualizarla, monitorear los backups, la información; y el tercero es la concientización a los usuarios, es importante decirles cuáles son las amenazas, que ellos vean realmente cómo pueden verse afectados y qué alcance tienen los ataques, además de informar de cuáles son las medidas para estar seguros".
Amenazas en la red
En otro orden, consultamos a Gutiérrez sobre cuáles son las amenazas informáticas más relevantes en lo que va de este año. ESET realiza todos los meses un reporte sobre las principales amenazas y, ya promediando 2013, es interesante ver cuál es la tendencia.
El experto destacó "los ataques de ingeniería social, que siguen apareciendo bastante. Correos electrónicos de supuestos bancos, páginas falsas, y lo que estamos viendo como una tendencia en cuanto al desarrollo de códigos maliciosos es el crecimiento exponencial que han tenido los códigos maliciosos para dispositivos móviles, particularmente para dispositivos con Android, que es el sistema operativo con mayor cantidad de usuarios en el mundo. Google anunció hace poco que en el día se están activando un millón y medio de dispositivos nuevos, entonces es lógico que para los ciberdelincuentes se vuelva muy atractivo".
Consultado sobre la situación de América Latina en temas de seguridad informática, dijo que "en la región estamos bien en cuanto a la incorporación de controles, a la tecnología, la mayoría de las empresas -sin ser todas, lo cual es preocupante-, tienen una solución de seguridad, son conscientes de hacer backups, de tener firewall, pero la seguridad no solo es tecnología sino también gestión, entonces en lo que tiene que ver con conocer sus activos de información es donde empiezan las falencias entre las empresas, no conocen realmente quiénes están ingresando a su información, cómo, ni hay planes de recuperación de incidentes", concluyó.
Segurinfo 2013 se realizará este jueves desde las 9:00 en la Torre de las Comunicaciones de Antel. Información: http://www.segurinfo.org/detalle.php?t=50&d=214
No hay comentarios:
Publicar un comentario