Actualmente, los sistemas de información son un fundamento casi imprescindible para el desarrollo de cualquier actividad empresarial. Estos sistemas han evolucionado muy rápidamente de la mano de las innovaciones tecnológicas aumentando la capacidad de gestión, el almacenamiento y el procesado de información, etc. Pero los propios avances tecnológicos, el acceso masivo a Internet o los usuarios con información y formación insuficientes, han contribuido a generar nuevas amenazas y vulnerabilidades para las empresas. A menudo, las consecuencias de un incidente de seguridad son importantes, lo que ha provocado que la difusión de noticias relacionadas con la seguridad informática haya trascendido los ámbitos técnicos y sea frecuente en la prensa y, por tanto, motivo de tratamiento social.
Un incidente de seguridad informática podría definirse como cualquier acontecimiento adverso en que algún aspecto de la seguridad de un ordenador está amenazado, por ejemplo: la pérdida de confidencialidad de los datos, interrupciones del sistema, interrupción o denegación de servicios, etc. Algunos ejemplos pueden ser: el borrado no autorizado o accidental de un archivo; caídas en el suministro eléctrico; llamadas telefónicas o correos electrónicos donde se intercambian contraseñas; ataques por virus y similares; intrusiones en los sistemas por parte de personas no autorizadas; etc. Por otro lado, dependiendo de los efectos que puedan tener para la empresa, los incidentes suelen clasificarse de acuerdo con las siguientes categorías: Integridad comprometida: como cuando un virus altera un programa, informa un usuario externo de vulnerabilidades en un sistema , corrompe archivos, etc. Denegación de servicio: como cuando un volumen inusual de consultas a una página web satura los servidores y no permite que ningún usuario pueda ver la página Abuso: como cuando un empleado realiza un uso no autorizado de una cuenta de usuario o unos privilegios que no le corresponden Daños: como cuando un virus borra archivos Intrusiones: como cuando un usuario externo penetra en los sistemas de la empresa
Todos estos incidentes pueden producirse tanto por causas externas como por causas internas, lo que conlleva la necesidad de una visión integral de la seguridad (véase la imagen sobre las amenazas de seguridad que rodean la pyme). ¿Cuáles son pues las amenazas y qué otros factores a tener en cuenta?
Amenazas externas. Si bien el ataque de los (mal llamados) hackers a través de Internet para robar secretos de una empresa es un hecho no demasiado habitual entre las pymes no quiere decir que no tengamos que pensar, ya que muchos de hackers se divierten simplemente contabilizando la cantidad de sistemas que son capaces de vulnerar y comprometer. Además, dada la globalidad de Internet, la cantidad de usuarios malintencionados en la red no es despreciable. Todo ello provoca casos frecuentes de varios fenómenos, tales como ataques de virus informáticos y similares. Un virus informático es un programa que se copia y distribuye automáticamente, alterando el funcionamiento normal del ordenador sin el permiso o el conocimiento del usuario. Habitualmente, modifican los programas infectando los mismos con el código del virus, por lo que el virus se activa cada vez que se ejecuta el programa en cuestión. Los virus pueden destruir datos almacenados en un ordenador, aunque también hay virus no destructivos que únicamente molestan al usuario. Las formas en que un ordenador se puede infectar son variadas, pero por citar algunas citaremos las siguientes: Mensajes que ejecutan programas automáticamente (como el programa de correo electrónico que abre directamente un archivo adjunto) Mensajes que nos invitan a ejecutar un programa adjunto para optar a un premio Intercambio de archivos a través de los programas de mensajería instantánea o peer-to-peer
La suplantación de identidad (phishing) es un tipo de fraude que se hace con un correo electrónico o mediante mensajería instantánea, con el que se piden datos sobre las tarjetas de crédito, claves bancarias, etc. Los mensajes emplean argumentos relacionados con la seguridad de la entidad (falsa) para justificar la necesidad de introducir los datos de acceso. Si bien algunos navegadores y programas de correo electrónico ya incorporan filtros anti-phishing la vulnerabilidad se encuentra en la reacción del propio usuario, por lo tanto hay que tener presentes algunas recomendaciones: No responder correos electrónicos escritos en idiomas que no se hablen, y su entidad financiera no le enviará un comunicado en este idioma si no lo ha indicado previamente No responder correos electrónicos enviados por entidades con las que no tiene relación en la que le pidan datos íntimos o que afecten a la seguridad No atender impulsivamente correos electrónicos que hablen de sorteos u ofertas que no ha solicitado No atender correos electrónicos sospechosos, a pesar de provenir de un origen (aparentemente) conocido, sin confirmar por teléfono o personalmente
Inserción de otros tipos de malware a partir de la visita a páginas web, por ejemplo. El término proviene de la contracción de las palabras en inglés (malicious software -software malintencionat-) y se refiere a toda la variedad de programas con propósitos hostiles, intrusivos y / o molestos. Excluyendo los virus, que son una forma particular de malware, estaríamos hablando de programas malintencionados tales como gusanos, troyanos, spyware, adware, etc. (Ver glosario). Muchas páginas web almacenan pequeños archivos en nuestro ordenador para poder hacernos ofrecer una mejor experiencia de usuario la próxima vez que visitamos la llanura, o nos piden permiso para ejecutar ciertos programas con la intención de mostrarnos contenidos sofisticados y atractivos. En la mayor parte de los casos el uso de estos mecanismos es lícito, pero sin duda el propio mecanismo constituye una vía de entrada para programas malintencionados. Debe tenerse muy en cuenta qué páginas web visitamos y qué permisos otorgamos a dichas páginas para ejecutar programas en nuestro ordenador, y más si tenemos en cuenta que buena parte del malware está destinado a revelar información de nuestro sistema, como todo lo que escribimos (contraseñas, números de tarjeta de crédito, etc.), o controlar remotamente el comportamiento de nuestro ordenador.
Amenazas internas. Buena parte de las amenazas externas se materializan en incidentes de seguridad a causa de actuaciones poco cuidadosas o simple desconocimiento de los usuarios. De hecho, los propios usuarios junto con la falta de procedimientos de uso de los sistemas y la falta de políticas de seguridad configuran el más alto número de incidentes. Por ejemplo: los accesos no autorizados a la información; la pérdida de datos por negligencia; intercambio de disquetes, discos removibles o llaves USB de usuarios infectados; instalación de software pirata; o todos los incidentes derivados de la llamada ingeniería social.
La ingeniería social consiste, por ejemplo, obtener información confidencial manipulando sus usuarios legítimos. Un «ingeniero social» utilizará Internet o el teléfono para engañar a sus víctimas. Pretende que le revelen información confidencial o hagan algo fuera de la ley para su interés. Con ello se explota la tendencia natural de muchas personas a creerse la palabra del «ingeniero» más que explotar las posibles vulnerabilidades informáticas que pudieran existir en el ordenador de la víctima. Generalmente se considera que los usuarios son «el eslabón más débil» dentro de los esquemas de seguridad, por lo que es posible la ingeniería social.
Pero, como perciben las pymes toda esta problemática? Un estudio (McAfee 2007) sobre una muestra de 600 directivos de informática de pymes europeas indica, entre otros temas, que: el 47% piensa que la ciberdelincuencia es sólo un problema de grandes empresas; 45% piensa que una pyme nunca será un objetivo por ser poco conocida; 58% no se ven como un objetivo interesante o valioso; etc. De hecho, según el estudio, la mayoría de las pymes dedican menos de una hora semanal a gestionar proactivamente su seguridad informática, aunque un 20% de las encuestadas son conscientes de que un ataque contra la seguridad de su información podría arruinarse las, y que otro 20% (que ya han sufrido algún ataque) han tardado una semana entera a recuperar la situación. Así pues, es curioso como a pesar de conocer las amenazas y los riesgos (pérdida de datos, pérdida de ingresos, gastos para restaurar la situación, sobrecarga de trabajo, responsabilidades legales, etc.) la dedicación y la inversión en sistemas y políticas de seguridad informática en las pymes es ciertamente insuficiente.
Como resultado de dicha falta de inversión en seguridad las pymes suelen presentar deficiencias típicas en materia de seguridad como: Las relativas al hardware y otros sistemas: La ubicación de los servidores es inapropiada No existen sistemas de alimentación ininterrumpida (SAI) Los dispositivos de acceso a Internet a través de ADSL o los dispositivos Wi-Fi no están bien configurados y no protegen la red local No se hace copia de seguridad, se hace pero no se comprueba, se hace pero no se protege o no se guarda en un local diferente de donde se encuentran los servidores, etc. Las relativas al software: No se emplea software de protección de ordenadores personales ni servidores, contra virus, correo electrónico no deseado (spam), spyware, malware, etc., o bien los antivirus no están actualizados Los sistemas operativos y las aplicaciones no se encuentran actualizados No se emplea software legal Las relativas a la gestión de la seguridad: No hay un responsable de informática ni un responsable de la seguridad No existen políticas de seguridad ni manuales de procedimientos relacionados con la seguridad: contraseñas, uso de medios extraíbles, cifrado en las comunicaciones, etc. No se hace un análisis periódico de vulnerabilidades a posibles ataques No existe un plan de contingencia y / o continuidad de negocio Las relativas al comportamiento del personal y la actitud ante las normativas: No hay acuerdos de confidencialidad con el personal Falta de cumplimiento con las regulaciones: LOPD, LSSI, etc. Falta de formación de los usuarios pues la gestión de la seguridad puede llegar a ser compleja y requerir de ciertos conocimientos y habilidades para implementar o gestionar algunas de las soluciones requeridas (eg comunicaciones cifradas entre sus). Por otra parte, existe un buen número de soluciones de muy fácil acceso (eg antivirus) de las que nadie debería prescindir. Podríamos agrupar los diferentes medios para mejorar la seguridad de la siguiente manera: Software y hardware de seguridad: cortafuegos que aíslen la red interna de Internet; antivirus; filtros de correo electrónico y navegación Web (spam, phishing, …); comunicaciones seguras en el comercio electrónico; copia de seguridad; configuración segura de equipos; cifrado de las comunicaciones, etc. Políticas de seguridad: control de quien accede a los sistemas y en qué momentos; gestión de contraseñas fijando un mínimo de complejidad; trazabilidad de los accesos de usuarios y programas; políticas de uso de medios extraíbles y dispositivos móviles, etc. Seguridad de los datos: auditoría periódica; procedimientos para el día a día en la gestión de la información; fijar figuras de responsabilidad; etc.
En todo caso, y para terminar este punto, cabe destacar que la seguridad informática no trata tanto de conseguir la ausencia de vulnerabilidades y de incidentes, algo muy poco probable. Por el contrario, trata de generar confianza por el hecho de saber que los posibles incidentes están bajo control. Es decir, se estudian las vulnerabilidades y se conocen los potenciales incidentes, se evalúa el riesgo y se calcula el impacto que tendrían en la empresa, para finalmente diseñar un plan de actuaciones en caso de que un incidente acabe sucediendo. Este enfoque preventivo de la seguridad contrasta con el de la seguridad reactiva, que se basa en la suposición de que «no debe pasar nada». Por lo tanto, pretende un falso ahorro de costes mientras «no pasa nada», pero queda a expensas de lo que realmente acabe sucediendo si finalmente «pasa algo». En estos casos suele ser necesario recurrir a profesionales altamente cualificados en informática forense para que intenten recuperar alguna información, seguir la pista de qué usuario ha actuado de mala fe, descubrir el origen de un ataque, etc. Al margen de que estos servicios son ciertamente costosos, no hace falta decir que la probabilidad de éxito es relativa y que, quizás, ya es demasiado tarde para encontrar soluciones.
VENTAJAS
Las ventajas de seguir el camino de la seguridad preventiva son variadas dependiendo del grado de implantación de las medidas de seguridad. En todo caso, se puede decir que en general se mejorará en todos o algunos de los siguientes aspectos: Integridad de los sistemas y la información Protección de uno de los activos más importantes de la empresa: los datos Protección de información sensible y / o sujeta a regulaciones como la LOPD; evitar sanciones Incremento de la calidad en la gestión de los sistemas y los datos; mejor servicio Ahorro de tiempo y dinero en caso de incidente; garantía de continuidad del negocio
Finalmente, cabe destacar que una gestión adecuada de la seguridad de los sistemas y de la información contribuirá a disminuir los riesgos que soporta la empresa ya minimizar el daño en los activos de información y conocimiento, en caso de que alguno de los riesgos acabe materializándose.