“La seguridad desde un enfoque proactivo”
 La seguridad de los sistemas está en peligro constante debido a que las formas de ataque combinan diversos medios como el e-mail, la ingeniería social y el engaño para lograr sus objetivos. Es por eso que cada vez hay que tener mayores cuidados al momento de brindar seguridad a los sistemas. Por otra parte, deben tomar en cuenta que además de implementar las soluciones tecnológicas más modernas, los Profesionales de TI deben dar a conocer las políticas de seguridad en sus organizaciones y empresas. Pablo Anselmo, Gerente de Seguridad Informática de Microsoft Cono Sur, cuenta cual es la visión de Microsoft en temas de seguridad y ofrece una serie de pautas de trabajo muy útiles al momento de proteger los sistemas. ¿Cuáles son las principales problemáticas de seguridad este año? Las problemáticas continúan relacionadas al correo no deseado (spam) y los riesgos asociados al mismo. Por ejemplo, los virus, troyanos e intentos de phishing o robo de identidad que suelen ser comunes en los correos spam que hoy circulan por Internet. Adicionalmente, la educación y concientización del usuario para no ser víctima de ataques basados en Ingeniería Social (actividad de hacking basada en el uso de información personal o de comportamiento del usuario), resulta claramente un problema que hay que atender. ¿Qué cambió respecto del año anterior? Principalmente, la tasa de efectividad en la apertura y direccionamiento de los mensajes no deseados utilizando técnicas de ingeniería social. Vale decir, hacer referencia a ofertas laborales en español, o la posibilidad de acceder a videos o notas exclusivas de sucesos de gran magnitud ocurridos en la región (por ejemplo, videos exclusivos de un accidente o la declaración no oficial de una figura política, etc). ¿Cuáles son los ataques que se incrementaron? Además de los ataques de virus que estamos acostumbrados a escuchar, lo que aumentó en igual manera es el correo spam (correo no deseado) sobre tres frentes principales: • El correo spam en español para las regiones de habla hispana, que aumentó su índice de apertura y efectividad. Esto último se debe a que la gente estaba acostumbrada a desconfiar de un correo en ingles con ofertas extrañas y mal presentadas, pero una propuesta laboral en un correo escrito en español resultaba ser más creíble para un usuario. • El spam basado en mensajes de texto SMS utilizados por los teléfonos celulares de hoy, que ofrecen descuentos, promociones e incluso ofertas laborales. • El spim o spam para mensajería instantánea: básicamente son mensajes con promociones, ofertas o bien mensajes que en forma automática aparecen en los sistemas de mensajería instantánea. ¿Qué modalidades de ataque disminuyeron? No hay un tipo de ataque que haya disminuido más que otro, sino que por contrario, lo que está sucediendo es una combinación de distintos tipos de ataques, lo cual da la percepción errónea que un determinado ataque ahora es menos visto que antes, y en realidad sigue existiendo pero con otras modalidades. Un ejemplo son los troyanos, que antes infectaban la máquina mediante un virus especifico y hoy lo siguen haciendo pero a través de un correo no deseado que simula dar acceso a un video exclusivo de un accidente y al ejecutarlo o descargarlo, instala un troyano en nuestra PC. ¿Qué porcentaje de recursos económicos se destina a resolver problemas de seguridad? La seguridad de la información no es una ciencia exacta y debe ser gestionada como un proceso más del negocio. Es decir, buscar la manera que aporte valor a la organización entregando información confiable que habilite a los decisores del negocio tomar decisiones más acertadas. Ahora bien, en seguridad de la información, la inversión de recursos debe estar alineada con la sensibilidad de los datos que queremos proteger, esto significa que no sea más costoso el remedio que la misma enfermedad. Para lograr esto, es vital que la organización tenga claro primero, que es lo que desea proteger y cómo piensa hacerlo a un costo razonable, no es solo una cuestión de eficiencia sino también de eficacia lo que evidencia una gestión adecuada de la seguridad de la información. ¿Cuáles son los nuevos enfoques sobre este tema? Sin lugar a duda es trabajar en un modelo proactivo de la gestión de la seguridad que permita hablar a la organización en términos de inversión y no de un modelo reactivo, donde estaremos hablando de gastos porque el incidente de seguridad ya se materializó. Adicionalmente este modelo de gestión debe considerar tres pilares básicos: 1. Tecnologías, lo que usamos para protegernos; 2. Procesos, cómo hacemos uso de esa tecnología adecuadamente; 3. Personas, como el principal eslabón de este modelo. En función de lo anterior, vale destacar a las Personas como el pilar que hoy hace de los modelos de gestión de la seguridad el desafío más importante, ya que capacitarlos y concientizarlos suele ser un objetivo muchas veces difícil de alcanzar. Un ejemplo de esto es que de nada sirve tener la mejor tecnología de seguridad y los mejores procesos para utilizarla, si un usuario deja su clave escrita debajo del teclado o al costado del monitor (porque alega no recordar su clave). Entonces, encontramos que la concientización y capacitación de los usuarios en materia de seguridad resulta hoy tan importante como contar con las tecnologías y procesos adecuados. ¿Hay una valorización de los profesionales dedicados al tema o aún no se nota en nuestros mercados? Hay muchas certificaciones relacionadas con el tema de seguridad a nivel mundial, e incluso muchas relacionadas con una tecnología en particular. Para mí, lo fundamental y esencial está dado por la experiencia de años trabajando en seguridad. La teoría es una base fundamental como base de partida pero la experiencia en el campo de batalla resulta ser clave al momento de interpretar mejor como implementar de manera más adecuada las mejores prácticas de seguridad. ¿Cuál es la visión de Microsoft en el tema seguridad? Microsoft es una organización muy responsable en materia de seguridad de la información. En línea con eso, hace mas de cinco años que viene trabajando muy fuerte en el modelo de Computación Confiable (Trustworthy Computing), que principalmente se enfoca en el desarrollo de tecnología cada vez más segura (SDL: Secure Development Life Cycle) y en la gestión proactiva de la seguridad (Iniciativas de Seguridad). Es por eso que mensualmente vemos los boletines de seguridad que emite Microsoft en pos de notificar con la mayor antelación posible a los usuarios que cuestiones hay sensibles de mejora y como implementar dichas actualizaciones. Respecto a las iniciativas, Microsoft ayuda en la educación y concientización de los usuarios a través de programas y acciones concretas como; la Semana de la Seguridad (dedicada a tocar los temas de seguridad a todas las audiencias y especialistas), Portales de capacitación e información como Navegaprotegido y otras tantas iniciativas en el ámbito gubernamental y educativo. ¿Cómo se traduce eso en productos? Básicamente en trabajar con un enfoque más de soluciones que de productos, donde dichas soluciones son concebidas desde sus inicios con todos los aspectos de seguridad y controles necesarios para hacer de los usuarios una experiencia más segura en el desarrollo de su potencial a través de la tecnología de Microsoft. Hoy por hoy, la disminución de aspectos sensibles de mejora en términos de seguridad se ha reducido drásticamente y cada vez son más las tecnologías de Microsoft que obtienen certificaciones de prestigiosos laboratorios de seguridad y criterios de evaluación como TCSEC (Trusted Computer Security Evaluation Criteria), ITSEC (Information Technology Security Evaluation Criteria) y CC (Common Criteria). Links para tomar la seguridad proactivamente: Home page seguridad para Profesionales de Tecnología Suscripción al newsletter de seguridad Registración al próximo Microsoft TechNet & MSDN Briefing en Chile sin cargo – 4Sep2007 Registración al próximo Microsoft TechNet & MSDN Briefing en Argentina sin cargo – 20Sep2007 www.microsoft.com/conosur/proseguridad |
