Cómo evitar ‘hackeos’ en tu empresa
null
Si un equipo de expertos computacionales quiere vulnerar la red de tu compañía, quizás lo logrará. Pero si algún hacker novato con algo de tiempo puede entrar en tu sistema, ese será un problema. Y el problema no comienza con tecnología de baja calidad, sino con la dirección.
Un ejemplo es la serie de hackeos a Sony que comenzaron el pasado abril: fueron lanzados por un grupo de delincuentes ‘bromistas' llamados LulzSec , quienes usaron un método tan simple que un joven de preparatoria podría conocerlo, dice Phil Blank, analista de seguridad en la firma de investigación Javelin Strategy & Research.
En respuesta al ataque, Sony mejoró su dirección de Seguridad. En mayo, la compañía asignó al presidente de Sony Global Solutions, Fumiaki Sakai, como director de Seguridad de información, un puesto que la compañía no tenía antes. De hecho, muchas compañías han creado puestos de alto nivel para los directores de Seguridad de información, y es un primer paso muy importante, dice Blank.
Aunque los directores de Seguridad no sean capaces de prevenir ataques altamente sofisticados , pueden ayudar a proteger a las empresas en caso de toparse con problemas de seguridad ligeros. Quizás su trabajo más importante, según el director de seguridad de información de AT&T, Edward Amoroso, es integrar el departamento de seguridad con el resto de la compañía, una tarea nada sencilla.
Al igual que los empleados de tecnologías de la información (IT, por sus siglas en inglés), la gente de seguridad de la información suele hablar en un dialecto un poco más complejo y geek que el resto de los ejecutivos de la compañía; algo que, en ocasiones, es poco entendible para muchos ejecutivos.
Pero quizás, a través de la necesidad, los ejecutivos se están volviendo más versados en la jerga de la seguridad, dice Amoroso. "Hemos visto algunos ataques en los últimos seis meses que han alterado la fundación de algunas de las empresas involucradas. No cabe duda que la seguridad de las redes computacionales se está volviendo un problema del nivel de la junta".
Después de poner a alguien a cargo de este esfuerzo, el siguiente paso es incluir al equipo de seguridad en los proyectos. Esto es importante, dice el director de seguridad de AT&T, sobre todo porque las sucursales alejadas de la compañía exploran nuevas tecnologías. Dice que, con frecuencia, los expertos en seguridad descubren un riesgo de seguridad en un proyecto que ni siquiera sabían que existía.
Aunque la administración de la compañía debe tomar la seguridad como prioridad, el personal de seguridad también debe ajustarse a la administración, haciendo que su mensaje sea interesante y accesible, señala Amoroso. "Todos hemos recibido memos enormes de la administración IT, pero en el segundo párrafo ya no sabemos de qué están hablando; esa no es la forma de llamar la atención".
Si se hace de forma efectiva, la atención de los empleados puede ayudar a prevenir ataques básicos. Los trabajadores suelen cometer errores simples como hacer clic en un archivo adjunto desconocido o en una liga con un URL extraño, lo que permite a los hackers tener acceso a la información de la compañía.
Todos estos pequeños errores pueden causar un daño desproporcionado . Una vez dentro del sistema, los piratas cibernéticos pueden recopilar información de forma discreta: números de cuenta, fechas de nacimiento, direcciones de correo electrónico, y ligarlas con ataques complejos, dice Blank. "Ya quedaron atrás los días cuando la gente decidía qué información valía la pena proteger y cuál no". Ahora hay que protegerlo todo.
El analista de Javelin Strategy & Research dice que los gestores pueden ayudar a prevenir ataques menos sofisticados, contratando hackers benévolos o de ‘sombrero blanco' para que intenten entrar al sistema. Eso da al equipo tecnológico el aviso de problemas potenciales antes de ser atacados por delincuentes menos benévolos.
No hay forma de asegurarlo todo, claro, pero las compañías pueden prevenir ataques de bajo nivel tomando algunos pasos simples. Y con las aplicaciones en la web y los aparatos móviles omnipresentes en el mundo corporativo, las discusiones de seguridad deberán ser más comunes entre el set ejecutivo.