Opinarg

Lo que falla no es la seguridad sino las políticas de las compañías


01 de noviembre de 2017

Click en la foto para ver galería

A partir del renombrado  caso de Equifax y Deloitte, quedó al descubierto que a la hora de un ataque informático, todo tipo de empresa u organismo es vulnerable si no se toman las medidas de protección correctas.

 

“Ciberataque gigante”; “Hackeo total al sistema informático de…”; “Robo de información sensible”… son algunos de los titulares en la prensa mundial que dos grandes compañías como Equifax y Deloitte no imaginaron ver jamás en relación a sus respectivas marcas. Sin embargo, tuvieron que hacer frente a tamaño escándalo por haber sido víctimas de ataques a sus sistemas de seguridad informática. Si bien ambos casos ya son bastantes conocidos por su alta trascendencia mediática, vale la pena recordar brevemente lo sucedido.

En septiembre de 2017, la empresa Equifax difundió públicamente  que fueron víctimas de un acceso no autorizado a su infraestructura, realizado el día 29 de julio de este año. La información descargada por los atacantes incluyó, entre otros datos, nombres completos, direcciones, números telefónicos, historial crediticio, números de tarjetas de crédito y hasta números de licencias de conducir 143 millones de usuarios, en su mayoría de Estados Unidos, Canadá y Reino Unido.

Por su parte, también en septiembre de 2017,  Deloitte hizo público un ataque que recibió la empresa, dejando al descubierto emails de clientes y secretos comerciales. El incidente fue descubierto en marzo de este año, sin embargo se estima que fue realizado durante octubre y noviembre de 2016.

Dicho esto, la pregunta parece obvia: ¿Por qué fallan los procesos de seguridad de semejantes empresas? Quien la responde es  Arturo Busleiman, Chief Strategy Officer de Mkit, una compañía global, destacada en el ámbito de servicios de seguridad informática tanto para empresas como para gobiernos.

“Para ser exactos, no son los procesos de seguridad los que fallan. Falla la implementación de los controles establecidos por la política de seguridad de cada compañía. La misma es diseñada e implementada por un grupo central al que se denomina "Comite de Seguridad", que es un cuerpo interdisciplinario integrado tanto por personal jerárquico como técnico y administrativo de cada empresa u organismo en cuestión. En resumidas cuentas: son acciones que no dependen únicamente del área técnica, y por tal motivo, al no implementarse  una efectiva política de seguridad, es que aparecen los problemas”, afirma Busleiman .

Ya se trate de una pequeña empresa o de una gran corporación multinacional, los procesos de protección, detección y corrección nunca son un 100 % efectivos. Para Busleiman es necesario el mismo nivel de protección para cualquier tipo de compañía: “Muchas veces, conversando con gente alejada de la temática de seguridad de la información, me dicen- ´Pero yo no soy importante/ no tengo información importante, ¿Por qué me van a atacar? ¿Por qué preocuparme?´. La respuesta es muy simple: los ataques son complejos. Y tal vez atacar a  una PYME sea uno de los pasos necesarios para poder tomar control de la multinacional. En ese sentido, el nivel de protección es el mismo. El nivel de protección no significa cantidad sino calidad".

A medida que pasa el tiempo y los avances tecnológicos, los niveles de  sofisticación a la hora de vulnerar medidas de seguridad parece complejizarse.  Técnicas de ataque y explotación que no estaban consideradas  o siquiera se conocían al momento de implementar medidas de seguridad, parecen cobrar una  relevancia sin igual. Es por ello que según este especialista de Mkit, “las auditorías y revisiones regulares, así como la actualización de los controles cobran especial importancia para mantener un alto nivel de seguridad”.

A esta altura del Siglo XXI, los vectores de ataque informático crecen, se sofistican y no discriminan.  Sea una multinacional, un organismo público o una pequeña empresa. La correcta combinación de procesos defensivos, junto a la planificación de pruebas constantes y de mecanismos de detección de ataque puede generar una diferencia relevante en el nivel de exposición de cualquier tipo de organización.  Como antes mencionó el experto entrevistado, “es cuestión de cuidar la política de seguridad de cada compañía”.

Compartir esta nota en