Ser más que el enemigo

El consultor independiente y experto en seguridad, Juan Ignacio Cahís enfatizó: “Aquí no es necesario aplicar tecnología de la NASA”.

Por Marina Parisi
Santiago, Chile. 15 julio, 2010. Durante el reciente Novared Security Workshop el experto y consultor independiente, Juan Ignacio Cahís, declaró que la fórmula para asegurar la información es muy simple y está a la vista de todas las empresas. Para conocer más sobre las últimas tendencias de la seguridad de la información conversamos con él.

¿Cuál es la estrategia para asegurar en forma integral los datos?
Aquí no es necesario aplicar tecnología de la NASA, simplemente hay que poner en práctica los principios básicos de la administración para proteger cualquier activo. Lo primero es identificar los datos críticos que hay que asegurar; el problema es que las empresas en Chile no lo hacen, porque no se han sensibilizado lo suficiente y creen que nunca van a ser foco de un ataque informático. Por ejemplo, cuando llega un operador a una compañía de retail, con una flota de camiones para retirar todo el inventario de las bodegas, sin duda el personal de seguridad le va a exigir documentos y, si es necesario, va a realizar llamadas para corroborar el retiro. En cambio, hoy vemos que un programador perfectamente puede conectar su pendrive al PC, robarse toda la base de datos de la empresa y nadie vio nada.

Entonces, el oficial de seguridad -que es una figura independiente del gerente de TI- además de velar porque se apliquen los respectivos resguardos, tiene que estar muy alerta del accionar de los empleados. Uno de los robos más grandes de información relacionada con tarjetas de crédito en Chile, fue protagonizado por el programador estrella de una institución de apoyo al giro financiero, quien posteriormente confesó que cometió el ilícito a raíz de que quería comprarse un yate. Por lo tanto, el oficial de seguridad tiene que entender que el hacker es muy inteligente, y que siendo una “buena persona” puede tener malos momentos.

¿Qué otras competencias debe tener el oficial de seguridad?
No sirve en absoluto que haya tenido la mejor formación, si no se ha quemado las pestañas analizando logs o ha trabajado horas frente a la consola de un servidor o de un firewall. Además, debe conocer bien las características de su enemigo y lo que motiva a un hacker, para así poder enfrentar un robo informático y también prevenirlo.

Adicionalmente, el oficial de seguridad debe estar al día en las vulnerabilidades descubiertas en la tecnología que utiliza su empresa, informándose a diario a través de los boletines provenientes de NIST, CERT, HISPASEC o AVERT. Así, si el oficial se enteró mediante estos boletines que un banco en Malasia -con la misma arquitectura tecnológica que su compañía- fue atacado, deberá seguir las recomendaciones del NIST que alerta que hay que suplir la vulnerabilidad del sistema operativo, instalando X parche. Esta práctica tiene que hacerse todos los días, e incluso, dos veces al día. En consecuencia, el oficial de seguridad debe ser un hombre de terreno.

¿Son eficientes los estándares en la identificación de las vulnerabilidades?
Los estándares son muy buenos, sobre todo la ISO 27.001, pero es una guía que sólo indica cuáles son los tópicos de los que hay que preocuparse. Si se analiza la ISO 27.001 ésta no dice qué es lo que hay que hacer en detalle. Este estándar, por ejemplo, plantea que las cuentas para ingresar a los servidores tienen que tener claves seguras y de responsabilidad compartida, pero ¿cómo aseguro esto?, este es un problema donde cada firma debe aplicar sus criterios y procedimientos.

¿Cuál es la importancia de conocer el negocio para diseñar una estrategia de seguridad?
Es de capital importancia. El perfil del atacante de un banco es completamente diferente al de un hacker del retail, ya que el primero busca intervenir en los saldos de las cuentas corrientes, mientras que el segundo apunta a robar mercadería. Entonces, es evidente que hay que conocer la industria en la cual se opera, para saber con mayor exactitud por dónde lo pueden atacar.

Es importante recalcar que los hackers tienen hasta masters y doctorados en las tecnologías de la información, no se trata de simples ladrones, sino que en muchos casos de mafias que conocen a la perfección el negocio y sus debilidades, y la única forma de combatirlos es teniendo un nivel de conocimiento similar. En este aspecto, el retail es un buen ejemplo de cómo ha logrado conocer bien a su enemigo, reduciendo en forma considerable el “robo hormiga”.

¿Qué otras fórmulas recomendaría para estar actualizado de las últimas amenazas?
El oficial de seguridad debe tener contactos efectivos con los laboratorios de seguridad de todos los productos tecnológicos importantes, que utiliza su organización. En general, todos los grandes fabricantes de software tienen centros de contacto, a través de los cuales ellos mismos advierten a los clientes de lo que ocurre día a día, y a los fabricantes les conviene que nada malo ocurra con alguno de sus clientes, dado que ello afectaría a su imagen.

Otro aspecto a enfatizar es que en el área de la seguridad informática hay mucha cooperación e intercambio de información entre las empresas de un mismo rubro y con la policía, para evitar los ataques informáticos, algo que resulta tranquilizador.

Déjenos su Opinión Cancelar respuesta

DESTACADOS

Sony presenta una batería que funciona con papel

Llega Firefox 9, hasta un 30% más rápido

Google trabaja en Majel, su propio Siri

RIM rechaza oferta de compra de Amazon

ENTREVISTAS

Aquiles Galvez: “Estar informado es fundamental para tomar decisiones”

La revolución digital de Codelco

DESTACADO

India cancela 122 licencias de telefonía por irregularidades

Red

Canales

Entidades Pro TI

Innovación/
Emprendimiento

Secciones

LIBRO

Innpractice Guideline