Redes protegidas

El año pasado, un hacker penetró los sistemas de una sucursal de Banamex en Chetumal, Quintana Roo, que afectó a más de 300 usuarios, a quienes les vaciaron sus cuentas. En Isla Mujeres, una sucursal de HSBC también fue víctima de un intento de robo de información y gracias a que uno de sus empleados detectó un dispositivo desconocido en un cajero, el delito se pudo evitar.

En todo el mundo, sistemas financieros, industriales, de energía, de agua o hasta el control de transporte público, por mencionar algunos, dependen esencialmente de una buena red de información cuyos niveles de seguridad deben ser muy altos. Esta tarea puede resultar complicada porque, por su naturaleza, las redes son ubicuas, afectan a mucha gente y todos quieren tener acceso a ella, por eso su control y su manejo son un gran reto para cualquier industria en estos tiempos.

Es una situación "crítica e importante porque hoy las redes de información deben ser confiables, consistentes y tener aspectos de seguridad integrados, ya que ahora la productividad de cualquier accesorio computacional depende cada vez más de una red y menos del instrumento mismo.  Ahora la red es la sangre de vida de una aplicación", señala Gary Smith, miembro del comité de seguridad tecnológica del presidente Barack Obama y CEO de Ciena Corporation, empresa especializada en soluciones en infraestructura de redes y software inteligente.

En México, el robo de información no está tipificado. Según la Comisión Federal Para la Defensa de los Usuarios de Servicios Financieros, en 2010 se detectaron 300,000 casos de robo de identidad. Estimaciones del Instituto Politécnico Nacional muestran que nuestro país ocupa el octavo lugar mundial entre los países con alta incidencia de este delito, el cual representa pérdidas económicas por 9 millones de dólares desde 2008.

¿Por qué una red?

Por lo general, las empresas que están considerando contratar servicios de tecnología de redes lo hacen por tres razones principales: 

Poder llegar a la demanda. Esto significa que la infraestructura de redes que contraten sea escalable para que cuando un cliente demande, por ejemplo, más ancho de banda, su tecnología pueda ofrecer lo más actual sin necesidad de constantes remplazos.

Seguridad. Buscan redes robustas por la importancia del contenido que manejan y su disponibilidad. Por ejemplo, en un enlace de México a Monterrey, donde pasan millones de datos, si se llegara a cortar la fibra que los transmite por algún daño externo, se debe tener la tecnología capaz de reenrutar ese tráfico por otro camino para poder salvaguardar la información y que su contenido no corra riesgos.

La mezcla de servicios. Las empresas buscan soluciones que les permitan incorporar nuevos servicios, por ejemplo, proveer cable, teléfono e internet en un solo paquete.

Cada empresa es individual por lo que, antes de adquirir un sistema de seguridad, debe definir qué servicios realmente requieren; cuál es su nivel de disponibilidad; y, sobre todo, la ‘latencia', es decir, el tiempo que tardan en converger la tecnología y el servicio.

Por ejemplo, cuando se tienen operaciones bancarias en las que se tienen millones de transacciones, lo principal es que la información llegue rápido y segura. Ciena trabajó con la Bolsa de Valores de Nueva York, donde la actualización del valor de las acciones de una empresa no se veía reflejada al mismo tiempo en Europa y en Estados Unidos, lo cual podía generarles a los accionistas pérdidas de millones de dólares. La solución fue poner enlaces de 100 gigas para aumentar la velocidad de transferencia de datos.

Amenazas y soluciones

Por lo general, la pérdida de información en una empresa es consecuencia de un error en los sistemas de información, ya sea producto de una falla humana o negligencia en el almacenamiento, transmisión o procesamiento de datos. En México una de cada 10 empresas registra robo de información, lo que representa pérdidas del 35% de sus utilidades según Grupo Multisistemas de Seguridad Industrial. Es necesario que los sistemas de seguridad cuenten con protocolos lo suficientemente fuertes para no ser atacados. Una buena medida es tener la información encriptada o cifrada y sólo accesible mediante códigos de seguridad.

Las empresas con un esquema definido de seguridad gastan 24% menos que las que no lo tienen, informa Carlos Flores, director comercial de ECV Consulting, una firma de soluciones integrales para e-business. Las empresas interesadas en adoptar medidas de seguridad para la protección de su información y sus redes, deben considerar tres aspectos prioritarios:

Seguridad administrativa. La empresa debe fijar políticas de seguridad, como quiénes tienen acceso a los equipos y redes y bajo qué condiciones. La compañía debe ser la primera en mostrar interés en protegerse, "si la empresa no está interesada en este tipo de seguridad, no caminará", explica Flores.

Seguridad física. La protección de los equipos de conexión de dispositivos externos (USB, CD, discos externos, etc.), como también la protección del sitio donde se guarda toda la información en los servidores, los cuales deben tener un control de acceso y respaldo de energía para garantizar la salvaguarda de la información para que, por ejemplo, no se pierda por un corte de energía.

Debido a que las fugas de información son mayormente de origen interno, la empresa debe controlar y reglamentar la información que está disponible para impresión.

Es básico tener disponibles respaldos de datos, ya sea en cinta, CD y discos duros. Entre más tiempo transcurra para recuperar su información, mayores serán las pérdidas. Gartner Group calcula que en México siete de cada 10 negocios que experimentan pérdidas importantes de información quiebran al año siguiente.

Seguridad de software. Corresponde a todo el material virtual, el más delicado. Ésta la comprenden los antivirus provisto por empresas como Kaspersky, Symantec, AVG, Avast, Eset; el firewall (la parte del sistema o red diseñada para bloquear el acceso no autorizado) que puede ser de software, hardware o inalámbrico, el uso de correo electrónico seguro y el filtrado de contenidos. En muchas empresas los empleados trabajan fuera de la oficina con dispositivos móviles, sus accesorios también deben protegerse. Se recomienda utilizar los mismos sistemas de protección de sitios fijos.

Una compañía con problemas financieros puede ver afectada su protección de redes por no contar con recursos para actualizarla. Se puede contratar servicios conocidos como software-as-a-service (SaaS), soluciones a bajo costo que sirven para atender diferentes aspectos de una red de forma individual.

Daños y pérdidas

En México, la industria del software pierde 836 millones de dólares al año como consecuencia de la piratería, revelan datos de Microsoft. Además, 32% de los programas de imitación contienen códigos maliciosos creados para el robo de información y datos personales. Según un estudio realizado por la Software & Information Industry Association, una asociación que agrupa a los editores de programas computacionales, los programas de informática para oficinas y los sistemas operativos pirata son los más usados; éstos representan 34 y 23%, respectivamente, del total de programas pirata usados en las empresas. El estudio precisa que en 2008, los antivirus Norton Symantec Antivirus y Symantec PC Anywhere fueron los más pirateados en el mundo, seguidos por los programas de Adobe: Acrobat y Photoshop.

Diversos estudios señalan que las pérdidas provocadas por el robo de información van directamente relacionados con su valor y tamaño. Cálculos hechos por la Escuela de Negocios y Administración de la Universidad de Pepperdine, Malibú, estiman que el costo promedio por cada megabite de información perdida en una empresa asciende a 10,000 dólares. Otro estudio realizado por el Instituto Ponemon muestra que la suma de pérdidas anuales de una selección de 45 empresas que tuvieron fuga de información en algún nivel, llegó a los 53 millones de dólares. En promedio cada una perdió 1.17 millones de dólares al año y para recuperar su información, gastaron 17,696 dólares diarios. En ocasiones como ésta, es recomendable valorar el costo de continuar trabajando sin la información robada, el costo por recuperarla y el que surge por notificar a sus usuarios la pérdida.

 "Sin un respaldo adecuado, perder información puede representar meses de trabajo para recuperarla, lo cual representa, a la larga pérdidas, en horas hombre y en dinero, el cual varía según la empresa, el daño, el valor y el volumen de la información perdida", puntualiza Flores.

EN PELIGRO DE INFECCIÓN

En los primeros tres meses de 2011, la cantidad de nuevos programas maliciosos o malware liberados en internet afectó seis millones de programas alrededor del mundo, muestra un informe de McAfee. En una encuesta entre sus usuarios en 2011, Kaspersky Lab determinó que para 61% de las empresas, la amenaza más común para el sector operativo es la infección de archivos y virus. Los principales ataques cibernéticos que tuvieron se les transmitieron a través del spam (correo basura), phishing (estafas cibernénicas) e intrusiones a su red. El 9% de empresas admitió que por lo menos una vez detectaron una invasión a su red para robar información, y la tercera parte de los encuestados teme ser objeto de un ataque de cibercriminales.