| 6/11/2004 12:00:00 AM

Prevención, el mejor antivirus

Ante la arremetida de las invenciones dañinas que abundan en internet, queda claro que la seguridad informática basada en estrategias de prevención es más efectiva que el mejor software contra los virus.

Nombres como Sobig, Blaster, MyDoom o Sasser pueden significar solo problemas que se cuelan por el correo electrónico. Para algunos más familiarizados con internet, fallas en los sitios web, sus servidores y para los servicios de la red. Para ingenieros y expertos en tecnología, una mezcla perversa entre genialidad y estupidez que cuesta cientos de horas de trabajo extra.

Pero puede dárseles un significado comprensible para toda persona: son los protagonistas de los ataques informáticos que produjeron en 2003 pérdidas por US$50.000 millones alrededor del mundo, según la empresa de seguridad británica mi2g, a causa de la lentitud de las transmisiones, descensos de la productividad, pérdidas de ventas y costos de mantenimiento informático. Cabe aclarar que aún se desconocen los costos económicos de las pérdidas de información.

Los ataques son cada vez más frecuentes y casi se duplican sus costos año tras año: en 2001 causaron pérdidas a las compañías por US$13.000 millones y de US$20.000 a US$30.000 millones en 2002.

En los primeros tres meses de este año las pérdidas ya rondan los US$26.100 millones, consecuencia del más veloz miembro de la familia virulenta, el gusano MyDoom, sin conocer aún los costos que implicó el fortísimo Sasser.

Según Trend Micro Inc., el tercer fabricante de antivirus a escala mundial, el costo económico y financiero causado por los virus continuará creciendo en el resto de 2004. Se tiene noticia de que 2.600 nuevos virus -500 en enero, 925 en febrero y 1.200 en marzo, según datos de los laboratorios de estudio de empresas como Symantec y Panda- ya corren por internet. El total de maleantes que habitan la gran red oscila entre 50.000 y 70.000.



Ladrones de conocimiento

A esta jungla de fieras que buscan entorpecer el trabajo de las empresas o simplemente servir como impronta a los miles de crackers que matan el tiempo ideando sondas informáticas para ganar un pulso a las multinacionales del software o algunos dólares fácilmente, se le suman prácticas conocidas como 'phishing' -algo así como una pesca en la cibercarretera-, donde con correos electrónicos dudosos o sitios de internet falsos, los delincuentes del ciberespacio buscan que los usuarios den sus datos de cuentas bancarias y contraseñas. Estos ladrones van tras los desprevenidos usuarios de los servicios en línea. Pero otros van tras el premio gordo de las empresas para llegar a sus chequeras: su información y conocimiento.

Los hackers ejercitan neuronas aplicando sus conocimientos de matemáticas avanzadas, en el desarrollo de programas robot productores de algoritmos que descifran las configuraciones y claves para vulnerar los cortafuegos, los IDS de seguridad de los routers y los servidores que administran la red de lugares como el Pentágono, el Banco Mundial o Microsoft, con el fin de bloquearlos, dañar su sistema central o incluso robar información confidencial y cobrar extorsiones para no publicarla en la red.

Cualquier empresa puede ser presa de estos piratas de la información. Se conoce de casos en los que los hackers entran a sitios de apuestas o subastas por internet y exigen dinero para no continuar el ataque cibernético; incluso se han apoderado de la red de algunas empresas de México o Inglaterra, le niegan el acceso a su propietario y piden 'rescates' que han ido desde US$10.000 hasta US$3 millones para liberar la unidad.



Estrategia, no máquinas

Como respuesta a este creciente problema, las compañías han aumentado su gasto en seguridad informática (antivirus, cortafuegos, IDS y routers), de forma significativa. Según datos de la consultora IDC, la inversión en sistemas de seguridad llegó en 2003 a US$70.000 millones y aumentará hasta US$116.000 millones en 2007. En Colombia, el tema se ha asumido con cierta ligereza entre las empresas, limitándose a un asunto de antivirus actualizados y backups constantes.

Pero la seguridad informática, como la mayoría de los aspectos tecnológicos empresariales, más allá de equipos y software, es cuestión de estrategia. Sobre este punto, los expertos de compañías como IBM, Sun, Marconi Wireless, Unisys, HP, Microsoft y consultoras como Afina saben que el principio de toda buena defensa está en la prevención y no en remediar los males.

Ante estos peligros, las organizaciones deben crear políticas de buen uso de las redes, manejo de los equipos, uso del correo electrónico y, ante todo, interiorizarlas en los empleados como parte de la cultura organizacional. "La seguridad en informática es una actitud constante que debe mantenerse como un reflejo", explica Carlos Biscione, Design Authority, de Sun Microsystems.

"La seguridad y privacidad de la información están directamente relacionadas con el negocio de la empresa. No son un tema de quienes se encargan de la informática, sino una necesidad de toda la empresa. La administración del riesgo es tema de discusión en las reuniones de negocio, pues tanto la tecnología como las amenazas cambian rápidamente y su impacto financiero es exponencial", afirma Beatriz Orduz, de la consultora Asic.

"Se necesita una visión corporativa del tema. Eso significa que el manejo de la seguridad se debe centralizar; tener un solo departamento que coordine toda la estrategia y establezca puntos críticos", comenta Jamith Bueno-Abdala, vicepresidente de Global Business Development and CALA Sales/Operations de Marconi Wireless.

"Hay pérdidas reales, reconocibles en robo de identidad, robo de información privada, servicios crediticios reusados, virus, abuso de información dentro de las empresas, fraude financiero, abuso en portátiles, sabotaje, penetración a sistemas, intercepción de comunicaciones; y muchos más casos", complementa Orduz.



Evaluación del riesgo

Para estructurar una buena estrategia de seguridad se debe empezar por un buen análisis de los puntos flacos o atacables de todo el sistema. Así que se deben determinar las necesidades de seguridad y la clase de estrategia que debe seguir una empresa. En este sentido es importante realizar un risk assessment, que además permite establecer el presupuesto justo que se requiere.

"En este inventario de factores, se determina el grado de exposición de una compañía, teniendo en cuenta todos los activos informáticos, las amenazas y riesgos y la vulnerabilidad mediante pruebas y análisis de la infraestructura de una empresa", explica Wilson Barón, director comercial de Afina en Colombia. "Este trabajo es indispensable que lo haga un externo y no el propio equipo de la empresa, para conseguir un diagnóstico más objetivo y crudo", complementa Barón.

Una práctica muy precisa que permite establecer el tipo de vulnerabilidad y las prácticas peligrosas que pueden abrir una puerta a los intrusos es el ethical hacking o pruebas de penetración. De esta forma, se mide la resistencia y efectividad de la estructura de seguridad que se tiene en cualquier empresa.

En este punto entran aspectos que van desde los empleados y sus estaciones de trabajo hasta los celulares, pasando por las redes inalámbricas Wi-Fi para conectarse a internet.

"Si bien un equipo conectado a internet es el principal sospechoso de un fallo de seguridad, como anota el hacker Kevin Mitnick, la peor amenaza para una empresa es un trabajador indisciplinado", subraya Biscione, de Sun Microsystems.

Y precisamente, los golpes de los últimos años han llevado a las empresas a pensar en construir una estructura de prevención que tenga en cuenta el factor humano y su interacción con los dispositivos tecnológicos.



Niveles de seguridad

A Microsoft, sus experiencias con hackers la han obligado a construir una estrategia para sus usuarios, que consta de reconocer la estructura tecnológica de la empresa como un conjunto de anillos que determinan diferentes niveles de seguridad.

"La idea es que se visualice a cada uno de los actores externos e internos, humanos y electrónicos que interactúan en la red, haciendo entendibles los distintos momentos de esta dinámica y en los que se deben tener en cuenta ciertas reglas de seguridad por el bien de toda la organización", expone Helmuth Cepeda, gerente de la unidad de tecnología y soluciones de Microsoft.

El nivel 1, que contiene lo que Cepeda llama "directrices de procedimiento de seguridad", se refiere a normas de educación del personal sobre programas y sitios web prohibidos, tipos de virus existentes y manejo de información interna como contraseñas, documentos confidenciales y relacionados.

En el nivel 2, o de "seguridad física", se cuidan los accesos a los sitios de información y el acceso de equipos se restringe a usuarios autorizados.

En el nivel 3, que se conoce como "perímetro", se tocan aspectos de orden técnico como la configuración y combinación de cortafuegos y IDS, además de los encriptadores y generadores de scrambling.

En el nivel 4 se protege la red interna y se abarcan todos los puntos físicos de entrada que componen los puntos claves del negocio, desde estaciones de trabajo hasta conexiones inalámbricas que deben ser reguladas, esto incluye conexiones externas desde teléfonos móviles.

El nivel 5 habla del tratamiento y refuerzo de los servidores. En este punto empresas como Oracle han hecho nuevos desarrollos. "Hemos mejorado la arquitectura para servidores, que apoyada en Java2EE, refuerza el trabajo de los firewalls y permite que incluso en la última instancia se cuente con un dispositivo seguro", afirma Eduardo Franco, presidente de Colombia y Ecuador de Oracle.

El nivel 6 se refiere a las normas de seguridad en aplicaciones como correo electrónico y chats.

En el nivel 7 se aborda el "acceso de datos", que toca el tema de los archivos y documentos, su manipulación e intercambio en redes.

Sobre este plano general se trazan las estrategias adecuadas conforme a la naturaleza de cada empresa y su negocio.

Invertir en sistemas de seguridad y generar una estrategia integral se convierte en ganancia cuando se presente un ataque y en utilidad cuando su competidor deba gastar en recuperar su operación por no prevenir la llegada de las 'langostas del ciberespacio' mientras usted estaba seguro.
¿Tiene algo que decir? Comente

Para comentar este artículo usted debe ser un usuario registrado.

EDICIÓN 531

PORTADA

La Bolsa de Valores necesita acciones urgentes

Con menos emisores, bajas rentabilidades y desbandada de personas naturales, la Bolsa busca recuperar su atractivo. Finca raíz, su nueva apuesta. ¿Será suficiente?