Protege los equipos de tu empresa

¿Qué elementos debo proteger de daños o ataques? ¿A qué tipos de daños, ataques o contingencias puedo estar expuesto?

¿Qué posibilidades existen de que sufra esas contingencias?...

En recientes años, la seguridad de información en las organizaciones ha sido uno de los temas más comentados por los ejecutivos y por los empleados, desde qué es realmente hasta cómo podemos saber si la empresa es segura respecto a uno de sus activos más importantes... la información.

En distintas ocasiones, hemos escuchado casos de conocidos o amistades, donde en sus organizaciones han establecido algunas políticas de seguridad, como la prohibición de acceso a determinadas páginas en la Internet o la incapacidad de los empleados de instalar cualquier tipo de software en los equipos de propiedad de la empresa, ya sea desktops o laptops.

Esto ha obedecido a la necesidad de proteger los activos de la empresa y, entonces, recurrir a modelos o estándares que ayuden a los funcionarios responsables de las áreas de tecnologías de información y comunicaciones a implantar políticas de seguridad que ayuden a éste propósito.

Sin embargo, proteger todo es prácticamente imposible además de incosteable, es por esta razón que en años recientes se ha manifestado la pregunta entre los funcionarios de las empresas... ¿Qué es lo que debemos realmente cuidar y proteger de algún tipo de daño o perjuicio?... ¿De quiénes nos debemos proteger?, ¿Cuáles son los daños que realmente se pueden manifestar en la empresa?.

Los cuestionamientos anteriores son referidos expresamente a la vulnerabilidad que puede tener la infraestructura de las tecnologías de información y comunicaciones de una organización, donde para muchas, gran parte de la operación y los procesos de valor están automatizados y utilizan de alguna forma esta infraestructura.

Los métodos y técnicas para realizar análisis de vulnerabilidades permite a las organizaciones identificar a qué elementos se puede llegar a estar expuesto , que nivel de exposición se tiene y cuál es la probabilidad de que se presente una contingencia.

Lo anterior permitirá entonces, ofrecer un panorama amplio a la alta dirección de cualquier empresa, para poder entonces tomar decisiones sobre  la forma en la cual enfrentarán los retos y amenazas que se encontraron.

De esta forma, se puede continuar con el diseño, construcción e implantación de un plan de recuperación de desastres (DRP, por sus siglas en inglés, Disaster Recovery Plan), el cual plasmará de forma precisa y clara las líneas de ejecución de cada pieza de la organización, para enfrentar cualquier contingencia que haya sido identificada en el análisis de vulnerabilidades anteriormente realizado.

Es posible realizar en paralelo -o posteriormente al DRP- el diseño, construcción e implantación de un plan de continuidad del negocio (BCP, por sus siglas en inglés, Business Continuity Plan), el cual permitirá a la empresa asegurar la continuidad en sus operaciones y procesos vitales, en el caso de que se manifieste una contingencia.

Regularmente, cuando se habla de este tipo de planes vienen a la mente terremotos, incendios, inundaciones, etc. Sin embargo, en muchas ocasiones los desastres pueden ser ataques pequeños por su origen, pero de alto impacto en los procesos y operaciones de la empresa.

Considere la posibilidad de que alguien pueda borrar alguna información en el disco local del equipo de cómputo que le fue asignado por la empresa para desempeñar sus funciones, justo después de que le fue informado que sería separado de la organización.

El 76.5% de las áreas de trabajo conocidas como 'Back Office' (Áreas administrativas o de apoyo y soporte a otras áreas como producción, operaciones, ventas, etc.) comparten información a través del uso de "carpetas compartidas" utilizando la red de datos, según reporta Gartner Group en su informe del año 2010 sobre accidentes informáticos de trabajo, donde comparten carpetas entre las desktop y laptop.

Esto nos lleva a reconocer el posible daño a la información de la empresa y su efecto multiplicativo que la acción de borrar información tiene en un disco duro de una desktop o laptop

Esto nos lleva a reconocer lo siguiente: 1) existe un daño potencial a la información de la organización, que 2) puede multiplicarse el efecto a la medida en que se comparte información entre usuarios y que 3) regularmente, las empresas no tienen políticas de respaldo de los discos duros de las desktop y laptop de todos los empleados.

Afortunadamente, se cuenta con metodologías y herramientas que permiten recuperar información en los dispositivos de almacenamiento de información volátil (en la memoria del equipo) y en los dispositivos de almacenamiento de información estática (discos duros internos y externos, memorias USB, discos de estado sólido, etc.).

Es importante considerar, que cada organización durante el análisis de vulnerabilidades, deberá identificar qué equipos son los candidatos a establecerles políticas de seguridad e implantación de herramientas que nos permitan proteger la información de daños como el de borrado, alteración, etc.

También ahora es posible contar con metodologías y técnicas de análisis forense, que nos auxilian a poder identificar mucha más información sobre el tipo de contingencia que se haya presentado, así como la obtención y aseguramiento de evidencia que nos permita llevar ante las autoridades correspondientes a los responsables de perpetrar este tipo de siniestros.

Hoy en día, las empresas deben considerar complementar el conocimiento en sus áreas de tecnologías de información y telecomunicaciones, sobre estos modelos, técnicas, metodologías y herramientas que les permita hacer frente a las nuevas y más complejas amenazas internas y externas que se pueden presentar en la organización.

En el caso de las instituciones que conforman los sistemas financieros de cada país, por regulación internacional y local, están obligados a realizar la evaluación de sus riesgos operativos; dentro de éstos, se encuentran los riesgos tecnológicos, que regularmente son los de mayor incidencia e impacto en la operación y ejecución de la institución financiera, ya que la mayoría de éstas se encuentran altamente automatizadas a través de tecnologías de información y comunicaciones.

Aun cuando estos temas tienen varios años de existencia en países como Estados Unidos de Norteamérica y Canadá, en México, Centro y Sudamérica son relativamente novedosos y con alto potencial de crecimiento.

En México contamos con un grupo de reducido de expertos en estos temas, que se han dado a la tarea de atender a las organizaciones que requieren este tipo de capacitación, diseño e implantación así como a la preparación de las siguientes generaciones de especialistas en la Seguridad de Información e Infraestructuras Tecnológicas.

* José Luis Duarte Alcántara es Doctor en Riesgos Operativos y consultor en temas de Evaluación de Riesgos Operativos y Seguridad de Información en México, Centro y Sudamérica, Docente de la Universidad Anáhuac México Sur.

Email: jduartea68@gmail.com

 Marcos Arturo Rosales García, Maestro en Ciencias Forenses y consultor en temas de Análisis Forense y Seguridad de Información en México, Centro y Sudamérica, Docente del INACIPE y el IPN.

Email: marcosrosales@gmail.com