Digital

Seguridad TI: Principales peligros en 2010

Las empresas y los usuarios particulares no deben tener solo cuidado a la hora de utilizar tarjetas de crédito en Internet, sino también revisar sus sistemas de seguridad de red y sus políticas al respecto. Esta es la principal recomendación de los proveedores de soluciones de seguridad integradas de red de cara a una mayor seguridad TI en 2010.

Según fuentes de Stonesoft, en los próximos meses, los mayores riesgos tendrán su origen en las redes sociales, el cloud computing y la movilidad, según los datos que maneja dicho proveedor de soluciones de seguridad TI, el número de ataques tanto a redes privadas como a corporativas se incrementará en todo 2010.

El outsourcing, las redes sociales y el uso de dispositivos móviles hacen que sea más sencillo que nunca hacerse con los datos y la identidad de un usuario. Además, los límites entre los sistemas corporativos y privados cada vez son más difusos. Los empleados actualizan sus perfiles de Facebook desde el trabajo, contratan sus vacaciones desde el smartphone de la empresa o enlazan sitios web desde blogs internos. Ante este panorama, los expertos de seguridad advierten a empresas y a usuarios sobre la necesidad de tener en mente la seguridad de red, y sobre todo cuando utilicen estas nuevas aplicaciones y servicios.

Cuando las empresas pierden datos de sus clientes, también pierden la confianza externa. No basta con proteger la información de las tarjetas de crédito de los usuarios con un simple firewall, hay que invertir en sistemas de seguridad más completos y equipar sus redes con un Sistema de Prevención de Intrusiones (IPS). Ahora que el estándar PCI-DSS (Payment Card Industry Data Security Standard) ya está vigente, todas las empresas que almacenan, procesan o transmiten datos de tarjetas de crédito están obligadas a cumplirlo.

Un IPS detecta las intrusiones antes de que llegue a áreas críticas de la red, eliminando automáticamente gusanos, spyware y otro tipo de malware. Al mismo tiempo, los informes ayudan a los administradores a determinar quién ha accedido a unos datos determinados en cualquier momento. Todo esto proporciona una mejor defensa frente a los ataques y permite que los departamentos involucrados identifiquen posibles problemas a tiempo. Para protegerse frente a los robos de datos en 2010, las empresas deben disponer de un IPS.

Las redes sociales, debido a la facilidad de uso y a la velocidad a la que se diseminan los mensajes, suponen el origen de nuevos peligros. Y son los propios usuarios los responsables de la mayor parte de estos riesgos. Por ejemplo, una vez se publica cierta información en la red, es imposible borrarla por completo –en buscadores, sin ir más lejos-. En consecuencia, las empresas han de esforzarse para evitar que sus trabajadores hagan un uso inadecuado de estas redes, por lo que es necesario establecer unas bases de actuación.

Una de las mayores amenazas durante 2010 será la ingeniería social. Los atacantes identifican los entornos TI personales de sus víctimas y hacen un uso ilegítimo de sus identidades digitales. Por ello, incluso los mensajes de nuestros amigos y de quienes confiamos pueden contener software dañino, y sin que ellos mismos sean conscientes. La concienciación y la prudencia, en este caso, son la clave.

El cloud computing ofrece atractivos beneficios a las empresas al gestionar costosas operaciones TI y otras tareas a través de proveedores de servicios externos. Pero lo que muchos no tienen en cuenta a la hora de elegir a un proveedor es la seguridad que ofrece en relación a nuestros datos. Este error de base puede entrañar un riesgo enorme a medida que los servicios externalizados crezcan.

Cuando una empresa externaliza sus servicios TI, el proveedor también ha de encargarse de la confidencialidad, integridad y disponibilidad de sus datos. Muchos de estos proveedores venden a sus clientes un pack completo, y los acuerdos SLA raramente atienden a la seguridad de los datos.

Por ello, a la hora de escoger un proveedor, los gestores TI deben prestar atención a los sistemas de seguridad que ofrecen y hacerse las siguientes preguntas: ¿Tal sistema cubre las necesidades específicas de la empresa? ¿Qué tipo de garantías ofrece el proveedor del servicio? ¿El sistema de informes es adecuado? ¿Qué pasa si se pierden datos o se ven comprometidos? ¿Quién es el responsable dado el caso?

Hace tiempo que dispositivos móviles como PDAs y smartphones irrumpieron en el mundo de los negocios, y desde entonces también proporcionan acceso a los datos críticos. Aun así, rara vez ofrecen el mismo nivel de protección que sus ordenadores de escritorio. Por este motivo, los dispositivos móviles cada vez son más atractivos para los hackers.

La amenaza no es nueva: después de todo, son similares a los ataques a los portátiles, solo que en este caso los usuarios asignan contraseñas demasiado simples para entrar en sus dispositivos móviles, al ser más incómodo introducir datos que en un teclado tradicional. Además, los empleados suelen usarlos tanto con fines profesionales como personales, sin actualizar ni el software antivirus ni los firewalls. En consecuencia, un virus puede infectar no solo este sistema, sino toda la red corporativa. Para evitar este problema, las empresas han de ser capaces de administrar estos dispositivos de forma centralizada. Solo así se asegura que los ajustes y las actuaciones de cada PDA estén al día.

Etiquetas: 000000000