Personas. Esta es laprimera respuesta que muchos institutos de investigaciones y especialistas de seguridad utilizaron cuando fueron cuestionados sobre la principal amenaza a las transacciones corporativas.
Soluciones tecnológicas sofisticadas, integradas a asociados, clientes y proveedores, la última palabra en herramientas de gestión empresarial, informes detallados, etc. Nada de eso tiene valor si no hay restricciones, políticas y procesos que establezcan y organicen la conducta del profesional dentro de la corporación.
La mayoría de las veces, se verifica que los problemas relacionados a la interferencia humana no están directamente relacionados a acciones fraudulentas u otras situaciones en las que el empleado tiene el objetivo de perjudicar a su empresa. Por lo contrario. La gran mayoría de los incidentes de seguridad se produce por falta de información, falta de procesos y orientación (no) dada al recurso humano.
Otro factor determinante en esa ecuación está vinculado a la evolución rápida y continua de las tecnologías. El instituto Gartner, por ejemplo, estima que una simple computadora hogareña tendrá, en el 2008, procesadores de 40 GHz y 1.3 Tbytes de capacidad de almacenamiento. Esa potencia, al mismo tiempo que proporcionará innumerables beneficios, también se encargará de generar nuevos riesgos e intereses. Ese escenario, que estará presente en muchos hogares, indica lo que vendrá en el ambiente corporativo.
Pero las cuestiones de seguridad relacionadas a la gestión de personal son solamente una parte de los retos que las empresas deben enfrentar en la actualidad. Antes de eso, y no menos críticas, están las vulnerabilidades tecnológicas, renovadas a cada instante.
Especialistas en identificar y estudiar esas brechas vienen esforzándose en el sentido de alertar sobre aquellas que hoy en día son consideradas las principales amenazas para las transacciones electrónicas. System Administration, Networking and Security (SANS) y National Infrastructure Protection Center (NIPC/FBI) son buenos ejemplos de esa realidad. A continuación detallaremos algunas de las fallas más comúnmente identificadas, independientemente del porte o del área de actuación de la compañía, así como de la complejidad de su infraestructura tecnológica y de los sistemas que utiliza.
Contraseñas débiles
Muchas veces, las contraseñas de un empleado se pueden descubrir fácilmente, al mezclar ítems comunes tales como nombre y apellido, fecha de cumpleaños, nombre de la esposa, hijo, etc. La administración de esos accesos también se da de forma desordenada, el usuario generalmente no tiene educación para lidiar con su código de acceso. Actualmente, las empresas cuentan con el beneficio de establecer una autenticación fuerte, o sea, mezclar algo que el usuario sabe (memoria), con algo que él tiene (token) y algo que él es (biometría).
Algunas herramientas hacen posible que la corporación verifique el grado de seguridad de las contraseñas de sus empleados. Utilizar uno de esos recursos para descubrir contraseñas puede ser un buen camino para identificar cuentas con contraseñas débiles o sin contraseña.
Sistemas de backups que fallan.
Muchas empresas afirman que realizan backups diarios de sus transacciones, pero ni siquiera hacen mantenimiento para verificar si el trabajo realmente se está haciendo. Es necesario mantener backups actualizados y métodos de recuperación de los datos previamente probados. Muchas veces, una actualización diaria es poco ante las necesidades de la empresa, en el caso de sufrir algún daño. También es recomendable tratar la protección física de esos sistemas, que a veces quedan relegados al mantenimiento precario.
Ya son comunes, después de septiembre del 2001, sitios de backup en los que los datos se duplican y, en el caso de una catástrofe, los sistemas se utilizan para la continuidad de los negocios.
Puertas abiertas
Las puertas abiertas son invitaciones para invasiones. Buenas herramientas de auditoría de servidores o de scan pueden ayudar a la empresa a identificar cuáles son sus brechas en los sistemas. Para no ser sorprendido, se recomienda hacer una auditoría regular de esas puertas. Independientemente de la herramienta utilizada para realizar esa operación, es necesario que escanee todas las portas UDP y TCP del sistema, en las cuales se encuentran los blancos atacados por invasores. Además, esas herramientas verifican otras fallas en los sistemas operativos tales como servicios innecesarios y aplicaciones de patches de seguridad requeridos. Brechas de instalaciones de sistemas operativos estándares (default) y aplicativos.
Muchos proveedores de software ofrecen una versión estándar y de fácil instalación para sus clientes. Creen que es mejor habilitar funciones que no son necesarias, que hacer que el usuario tenga que instalar funciones adicionales cuando lo necesita. Aunque ese posicionamiento sea conveniente para el usuario, acaba abriendo espacio para vulnerabilidades, ya que no mantiene, ni corrige componentes de software no usados.
Sobre los aplicativos, es común que instalaciones default incluyan scripts o programas de ejemplos, que muchas veces son dispensables. Se sabe que una de las vulnerabilidades más serias relacionadas a servidores web se refiere a los scripts de ejemplo, los cuales son utilizados por invasores para invadir el sistema. Las recomendaciones básicas son la remoción de softwares innecesarios, la inhabilitación de servicios fuera de uso y bloqueo de puertas no usadas.
Falla en sistemas de logs
En el caso de que la empresa sufra un ataque, el sistema de registro de logs será el responsable por dar las pistas básicas para identificar el acontecimiento, saber cómo sucedió y lo que es necesario para resolverlo. Los logs son responsables por proveer detalles sobre lo que está sucediendo en la red, qué sistemas están siendo atacados y los que han sido, de hecho, invadidos. Es recomendable realizar backup de logs.
Transacción inalámbrica desprotegida
Los equipos móviles son tecnologías emergentes. Sin embargo, los estándares de comunicación utilizados actualmente requieren una configuración minuciosa para presentar un mínimo de seguridad (más detalles en el próximo módulo de este curso). Nuevos estándares como, por ejemplo, el WPA (que sustituye el WEP, quebrado en 2001), prometen más tranquilidad a la comunicación de redes inalámbricas. Sin embargo, es recomendable tener cautela en la adopción de esos recursos, conforme el grado de confidencialidad de lo que está siendo transmitido por el canal inalámbrico.
Falla en la actualización de etapas de seguridad y sistemas operativos
La falta de administración de cada herramienta de seguridad y la corrección de software puestos a disposición por los proveedores están entre los factores más críticos en la gestión corporativa. Para muchos, ese es un reto constante, visto el volumen de “patches” anunciado por diversos proveedores, así como la velocidad con que se actualizan los softwares de seguridad. Ya existen, inclusive, empresas especializadas en suministrar herramientas que cumplen la función específica de automatizar la actualización de patches de seguridad. Un Plan Director de Seguridad debe contemplar y explicar, en detalles, cómo se deben realizar esos procesos.
Fuente: Nextgeneration
