Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Presentado por Georgina Gilmore Peter Beardmore Cómo simplificar la seguridad de la TI Para las pequeñas em presas, con los cumpl idos de Kaspersky Lab Acerca del Kaspersky Lab Kaspersky Lab es el mayor proveedor mundial privado de soluciones de protección para endpoints. La compañía se encuentra entre los cuatro primeros proveedores del mundo de soluciones de seguridad para usuarios de endpoints.* A lo largo de su historia de más de 15 años, Kaspersky Lab ha seguido siendo un innovador en la seguridad de la TI, y proporciona soluciones de seguridad digital efectivas para grandes empresas, pequeños y medianos negocios y consumidores. Kaspersky Lab opera en casi 200 países y territorios de todo el mundo, suministrando protección a más de 300 millones de usuarios. Conozca más en www.kaspersky.com/business. * La empresa fue clasificada cuarta en Worldwide Endpoint Security Revenue by Vendor, 2011, de la International Data Corporation. La clasificación se publicó en el informe de la IDC ‘Worldwide Endpoint Security 2012–2016 Forecast y 2011 Vendor Shares’ (IDC #235930, Julio de 2012). El informe clasificó a los proveedores de software de acuerdo a las ganancias obtenidas de las ventas de soluciones de seguridad de puntos terminales en 2011. CÓMO SIMPLIFICAR LA SEGURIDAD DE TI Kaspersky Edición limitada Por Georgina Gilmore y Peter Beardmore CÓMO SIMPLIFICAR LA SEGURIDAD DE TI Kaspersky Edición limitada Cómo simplificar la seguridad de TI Para Dummies® Publicado por John Wiley & Sons, Ltd The Atrium Southern Gate Chichester West Sussex PO19 8SQ Inglaterra Si desea recibir detalles sobre cómo crear un libro personalizado Para Dummies para su empresa u organización, comuníquese con CorporateDevelopment@wiley.com. Para obtener información sobre la autorización de la marca Para Dummies para productos o servicios, comuníquese con BrandedRights&Licenses@Wiley.com. Visite nuestra página en www.customdummies.com Copyright © 2014 por John Wiley & Sons Ltd, Chichester, West Sussex, Inglaterra Todos los derechos reservados. Ninguna parte de esta publicación puede reproducirse, almacenarse en sistemas de recuperación o transmitirse de ninguna forma o por cualquier medio, electrónico, mecánico, fotocopiado, grabación, escaneo u otro, excepto en los términos de la ley de Derecho de autor, diseños y patentes de 1988 o en los términos de una licencia expedida por la Copyright Licensing Agency Ltd, 90 Tottenham Court Road, Londres, W1T 4LP, Reino Unido, sin el permiso por escrito del editor. El pedido de permiso al editor deben dirigirse al Departamento de permisos, John Wiley & Sons, Ltd, The Atrium, Southern Gate, Chichester, West Sussex, PO19 8SQ, Inglaterra, o por correo electrónico a permreq@wiley.com, o por fax a (44) 1243 770620. Marcas comerciales: Wiley, el logo Wiley Publishing, Para Dummies, el logo Dummies Man, A Reference for the Rest of Us!, The Dummies Way, Dummies Daily, The Fun and Easy Way, Dummies.com e imágenes comerciales son marcas comerciales o marcas registradas de John Wiley & Sons, Inc. y/o sus filiales en los Estados Unidos y otros países, y no pueden utilizarse sin la autorización escrita. Todas las demás marcas comerciales son propiedad de sus respectivos dueños. Wiley Publishing, Inc. no está asociada con ningún producto o proveedor mencionados en este libro. LÍMITE DE RESPONSABILIDAD/EXCLUSIÓN DE GARANTÍA: LA EDITORIAL, EL AUTOR, Y CUALQUIER OTRA PERSONA IMPLICADA EN PREPARAR ESTA OBRA NO REPRESENTAN O GARANTIZAN LA PRECISIÓN O INTEGRIDAD DEL CONTENIDO DE ESTA OBRA Y ESPECÍFICAMENTE EXCLUYEN TODAS LAS GARANTÍAS, INCLUYENDO SIN LIMITACIÓN A LAS GARANTÍAS DE IDONEIDAD PARA UN PROPÓSITO PARTICULAR. NO SE PUEDE CREAR O EXTENDER NINGUNA GARANTÍA POR VENTAS O MATERIALES PROMOCIONALES. LOS CONSEJOS O ESTRATEGIAS QUE SE INCLUYEN AQUÍ PUEDEN NO SER ADECUADOS PARA CADA SITUACIÓN. ESTA OBRA SE VENDE CON EL ENTENDIMIENTO DE QUE LA EDITORIAL NO SE COMPROMETE A SUMINISTRAR SERVICIOS LEGALES, CONTABLES, U OTROS SERVICIOS PROFESIONALES. SI SE REQUIERE ASISTENCIA PROFESIONAL, SE DEBEN BUSCAR LOS SERVICIOS DE UN PROFESIONAL COMPETENTE. NI LA EDITORIAL NI EL AUTOR SON RESPONSABLES POR DAÑOS DERIVADOS DEL PRESENTE CONVENIO. EL HECHO DE QUE SE HAGA REFERENCIA A UNA ORGANIZACIÓN O SITIO WEB EN ESTA OBRA COMO CITA Y/O POSIBLE FUENTE DE INFORMACIÓN NO SIGNIFICA QUE EL AUTOR O LA EDITORIAL SUSCRIBAN LA INFORMACIÓN QUE LA ORGANIZACIÓN O SITIO WEB PUEDAN PROPORCIONAR O LAS RECOMENDACIONES QUE PUEDAN HACER. ADEMÁS, LOS LECTORES DEBEN SER CONSCIENTES DE QUE LOS SITIOS DE INTERNET EN ESTA OBRA PUEDEN HABER CAMBIADO O DESAPARECIDO ENTRE EL MOMENTO EN QUE SE ESCRIBIÓ ESTA OBRA Y EL MOMENTO EN QUE SE LEE. Wiley también publica sus libros en una variedad de formatos electrónicos. Parte del contenido que aparece impreso puede no estar disponible en los libros electrónicos. ISBN: 978-1-118-84810-4 (ebook) Impreso y encuadernado en Gran Bretaña por Page Bros, Norwich mailto:CorporateDevelopment@wiley.com mailto:BrandedRights&Licenses@Wiley.com http://www.customdummies.com mailto:permreq@wiley.com Introducción B ienvenido a Cómo simplificar la seguridad de TI Para Dummies: su guía para superar algunos de los desafíos de seguridad de la información que enfrentan los negocios de todos los tamaños en el mundo actual conectado por Internet. Con valiosos consejos y sugeren- cias, este libro tiene como propósito ayudar a que su negocio garantice que la información confidencial continúe siéndolo, de manera que sea menos posible que sufra penalizaciones regulatorias o legales, o bien que la reputación de su negocio resulte perjudicada. Si bien los avances en la computación de la última década han ayudado a los propietarios de negocios a reducir costos, mejorar la eficiencia y brindar un nivel aún mejor de servicio al cliente, esas mismas nuevas tecnologías han creado oportunidades para que los piratas cibernéticos o hackers ataquen a negocios inocentes. Mucho más que antes, todos los negocios, incluso aquellos que piensan que no tienen información confidencial que proteger, deberían estar al tanto de los riesgos y de cómo evitarlos... así que es por eso que escribimos este libro. Acerca de este libro Si bien es pequeño, este libro está lleno de información para ayudar a las empresas en crecimiento a encontrar la mejor manera de proteger la información confidencial: incluso la información privada de sus clientes, y cómo asegurar sus computadoras y dispositivos móviles contra virus, ataques maliciosos y más. 2 Desde las pequeñas empresas hasta las grandes corpora- ciones, cada organización está en riesgo de padecer los sofisticados métodos que los hackers utilizan para acceder a la información confidencial y robar dinero de las cuentas bancarias de los negocios. Si bien las grandes multinacio- nales pueden costear un equipo de especialistas en seguri- dad de TI, es menos probable que las pequeñas empresas tengan un experto en seguridad de TI. Cómo simplificar la seguridad de TI Para Dummies se presenta para ayudar a las empresas al crear conciencia sobre: ✓ La razón por la que casi todos los negocios tienen información confidencial que deben proteger. ✓ La variedad y la naturaleza de los riesgos de seguridad de la información. ✓ Las medidas simples y “sin costo” que ayudan a los negocios a proteger la información confidencial. ✓ Los productos fáciles de usar que pueden mejorar notablemente la seguridad de la información. Suposiciones sin sentido Para ayudarlo a asegurarse de que este libro tiene la información que necesita, hemos hecho algunas suposiciones sobre lo que sucede en su negocio: ✓ El negocio que tiene, administra o en el que trabaja utiliza computadoras portátiles, de escritorio o dispositivos móviles. ✓ Debe asegurarse de que su negocio no infrinja ninguna reglamentación sobre la seguridad de la información. ✓ Usted es capaz de garantizar que lainformación confidencial de su negocio siga siéndolo. 3 ✓ Es probable que aprenda cómo prevenir ataques de hackers que puedan afectar la actividad diaria de su negocio. ✓ Tal vez esté considerando guardar parte de la información de su negocio en “la nube”. ✓ Agradecería recibir algunos consejos sobre cómo elegir el software de seguridad de TI que se adapte a su negocio. Cómo se organiza este libro Cómo simplificar la seguridad de TI Para Dummies se divide en seis capítulos concisos, llenos de información: ✓ Capítulo 1: Por qué todos los negocios deben proteger la información confidencial. Explicamos los obstáculos de tener una falsa sensación de seguridad. ✓ Capítulo 2: Cómo lograr lo que su negocio necesita. Incluso aunque todos los negocios necesitan seguridad, este capítulo considera cómo pueden variar los requisitos de seguridad ✓ Capítulo 3: Descubrir la verdad sobre las amenazas a la seguridad. Aprenda por qué la TI actual es más compleja y las amenazas a los negocios son más peligrosas. ✓ Capítulo 4: Planificar una mejor seguridad de la información. Evalúe los riesgos y luego asegúrese de que su negocio sepa cómo evitarlos. También le damos algunos aspectos a considerar para almacenar con seguridad información en “la nube”. ✓ Capítulo 5: Elegir el software de seguridad que se adapte a su negocio. Con tantos productos en el mercado, explicamos los factores que pueden ayudarlo a tomar la decisión correcta. 4 ✓ Capítulo 6: Diez preguntas para que usted sepa cómo proteger su negocio. Use estas preguntas como una lista útil cuando necesite saber cómo proteger su negocio. Íconos que se utilizan en este libro Para que sea aún más fácil encontrar la información que necesita, estos íconos resaltan el texto clave: CO NS EJO El objetivo llama su atención hacia los consejos de vanguardia. RE CU ERDE El ícono de la cuerda con nudos resalta información importante a tener en cuenta. AD VE RTENCIA ¡Cuidado con estos posibles obstáculos! Hacia dónde ir ¡Este libro es una lectura rápida y fácil! Puede empezar y dejar el texto cómo desee, o bien puede leerlo de principio a fin. Lo que sea que decida hacer, le aseguramos que lo encontrará lleno de grandes consejos sobre cómo proteger la información de sus clientes y los demás datos valiosos que almacena y procesa su negocio. Capítulo 1 Por qué todos los negocios deben proteger la información confidencial En este capítulo ▶ Evaluar las cargas extra de las pequeñas empresas ▶ Asegurar la valiosa información comercial ▶ Evitar los riesgos de una falsa sensación de seguridad ▶ Comprender por qué los ciberdelincuentes atacan nego- cios de todos los tamaños E n este primer capítulo veremos algunas de las razones por las que los negocios están sujetos a riesgos de la seguridad de la información y por qué es poco aconsejable intentar mantener esos problemas de seguridad bajo la alfombra. Las empresas están siendo atacadas En la era de la información, el conocimiento es poder. La información que tiene su empresa, en cuanto a su conocimiento especializado, sus productos y sus clientes es vital para su éxito continuo. Si ya no pudiera acceder a parte de esa información más preciada, podría afectar el funcionamiento diario de su empresa. Incluso peor, ¿cuáles serían las consecuencias si dicha información cayera en las manos equivocadas, en las manos de un delincuente? Por otra parte, ¿qué sucedería si un delincuente pudiera 6 acceder a sus computadoras y robar los datos de la cuenta bancaria en línea de su empresa? ¡Horror! Desafortunadamente, compañías de todos los tamaños están siendo atacadas por ciberdelincuentes que usan una amplia variedad de métodos para desbaratar las operaciones comerciales, acceder a información confidencial o robar dinero. En muchos casos, la compañía que es víctima podría ignorar completamente que ha sufrido un ataque... hasta que sea demasiado tarde. Ciberdelincuencia y ciberdelincuentes Los delincuentes siempre han sido buenos para detectar nuevas oportunidades para aprovechar las debilidades y ganar algo de dinero, a costa de alguien más. Ya sea una cerradura débil en la ventana de una oficina o una alarma comercial fácil de burlar, los criminales aprovechan cualquier oportunidad para tomar ventaja de una debilidad. Sin embargo, en la era actual que vive conectada a Internet, ha surgido una nueva raza de delincuentes desde las oscuras profundidades... los ciberdelincuentes. La ciberdelincuencia cubre una amplia variedad de actividades criminales que se realizan por medio de sistemas de TI o Internet. Es demasiado fácil la amenaza de la ciberdelincuencia, y esa es una de las maneras en las que los negocios hacen que sea más fácil que los ciberdelincuetes se se aprovechen. Los ciberdelincuentes son sumamente organizados y tienen grandes habilidades para desarrollar métodos sofisticados para atacar las computadoras comerciales, acceder a información confidencial y robar dinero. A menudo, las recompensas financieras son considerables... mientras los costos de efectuar un ataque pueden ser muy bajos. ¡Esto brinda una tasa de rentabilidad con la que muchos otros tipos de criminales sólo pueden soñar! Así que, el volumen de la ciberdelincuencia sigue aumentando. 7 Pequeñas empresas, mayores presiones En muchos aspectos, las pequeñas empresas enfrentan casi todos los problemas cotidianos que deben superar los grandes negocios... además de otros tantos desafíos adicionales. Todas las empresas deben continuar buscando maneras para lidiar con las condiciones cambiantes del mercado y responder a las actividades de la competencia, mientras se adelantan a los cambios en las necesidades y preferencias de sus clientes. Sin embargo, mientras hacen frente a todos estos factores, la mayoría de los negocios en desarrollo también tienen que lidiar con una amplia variedad de otros problemas que continúan surgiendo como resultado del crecimiento continuo de la compañía. Estos desafíos adicionales pueden incluir: ✓ Hallar maneras de lidiar con un número creciente de clientes, y mayores ingresos. ✓ Reclutar y capacitar regularmente personal adicional para satisfacer las demandas crecientes. ✓ Hallar instalaciones más grandes y organizar la mudanza, sin interrumpir las operaciones cotidianas. ✓ Garantizar financiamiento adicional para el crecimiento del negocio. ✓ Agregar nuevas oficinas en distintas ubicaciones. ✓ Hallar el tiempo para considerar las cosas que las grandes empresas integran en su quehacer, como por ejemplo, mantener segura la información de los clientes. Todas estas tareas son necesarias para asegurarse que el negocio continúe funcionando de manera eficiente y esté listo para los próximos pasos de su crecimiento. 8 ¡Ese no es mi trabajo! Luego existe el rango de responsabilidades que los funda- dores y empleados deben cubrir. Desde el principio, así como un solo hombre (o mujer) o bien un pequeño grupo de individuos sumamente motivados, trabajar en pequeñas empresas en general significa que “todos se ponen manos a la obra”, es decir que todos deben ocuparse de una variedad mucho mayor de tareas de la que podrían haber tenido en su trabajo anterior. En general, no hay equipos de RR. HH., departamento legal o personal especialista en TI a los que recurrir. Si su negocio tiene éxito, todos deben lograr más que convertirse en un milusos. Usted y sus colegas saben que deben dominar todo lo que implica el funcionamiento del negocio. Sí, es posible recurrir a un especialista y pagarle por hora, pero eso cuesta precioso dinero en efectivo. Cada dólar, libra, Euro o yen que gaste en actividades comerciales secundaria limita la inversión en otras áreas fundamentales e incluso puede limitar el crecimiento de su negocio. ¿Cuál es la importancia de la TI? Para la mayoría de las empresas, la idea de intentar funcionar sin TI básica (como computadorasportátiles) es casi impensable. Incluso si la TI es sólo un medio para lograr un fin, es una herramienta clave que ayuda a fomentar la eficiencia comercial y mejorar la interacción con los clientes, empleados y proveedores. Sin embargo, la TI debe estar al servicio del negocio; y eso significa que debe ser fácil de instalar y administrar. De manera similar, cualquier software de seguridad que proteja las computadoras y la información comercial de su negocio debe ser fácil de usar. 9 Hay una jungla allí afuera... ¡así que salga armado! Los negocios que consideran a las computadoras como un mal necesario probablemente tengan la misma percepción cuando se trata de mantener segura la información alma- cenada en dichas computadoras. Esa visión es comprensible si la TI no es su fuerte. No obstante, lo triste es que la seguridad de la información comercial nunca ha sido más importante, para negocios de todos los tamaños. Con los niveles de amenazas actuales, y los ciberdelincuentes que utilizan regularmente las conexiones de Internet para hackear las computadoras comerciales, ninguna compañía puede permitirse ignorar la seguridad. Incluso si su negocio sólo aplica algunas medidas de protección, esas precauciones podrían ser suficientes para evitarse muchos dolores de cabeza y una importante suma de dinero. RE CU ERDE Está perfecto si considera la seguridad de TI y la seguridad de los datos como males necesarios... ¡siempre que haga hincapié en la palabra “necesarios”! En ese caso, la palabra “males” es solamente un recordatorio del tipo de ciber- delincuentes que lanzan ataques contra negocios inocentes. AD VE RTENCIA Un vendedor minorista ni siquiera soñaría con dejar la caja registradora abierta para que cualquier criminal que pase tome un puñado de su dinero. De manera similar, cualquier negocio que usa computadoras, dispositivos móviles o Internet debe asegurarse de que su TI no esté abierta para recibir ataques. Es demasiado fácil convertirse en una víctima involuntaria de un ciberdelincuente que ataca las vulnerabilidades ocultas en sus computadoras portátiles, tablets y smartphones. Es por eso que debe hacer todo lo posible por 10 Un poco de seguridad puede ser fundamental La diferencia entre no hacer nada y aplicar algunas medidas simples de seguridad puede ser impresionante. Al principio, sólo implemente unas medidas básicas de seguridad que sean suficientes para asegurarse de a que los ciberdelincuentes promedio les resulte más fácil elegir otro negocio... y deje a su empresa en paz. En el gráfico, verá cómo una pequeña inversión en la seguridad puede reducir dramáticamente la posibilidad de que el malware genere un ataque exitoso. asegurarse de que los ciber-delincuentes no puedan robar la información confidencial, ni robar de sus cuentas bancarias en línea. Invierta en protección A medida que su negocio invierte en seguridad... las posibilidades de sufrir una infeccion por malware se reducen exponencialmente Ín di ce d e éx ito d el m al w ar e Inversión en seguridad 11 La seguridad no debería frenar su negocio ¡El tiempo es dinero! Listo, lo hemos dicho. Claro que se trata de un cliché, pero es cierto. Cualquier actividad no prioritaria que evita que se dedique a las principales actividades que generan ingresos para su negocio le cuestan dinero, y oportunidades . Para comenzar, ser ágil y mantenerse enfocado es lo que le brindó la oportunidad de establecer su negocio. Así que lo último que necesita es seguridad de TI sea un obstáculo para su espíritu empresarial: sin importar cuán importante pueda ser la seguridad de TI. Cualquier cosa que lo haga trabajar más lento podría significar que pasa menos tiempo en las actividades clave que le brindan una ventaja sobre la competencia y le ayudan a impulsar a su negocio. Con el enfoque equivocado, la seguridad de la información y las tecnologías de protección inadecuadas, podría notar que las mismas cosas que se suponía deben proteger a su negocio, en realidad constituyen una amenaza. La presa fácil de los ciberdelincuentes Con preocupaciones sobre la complejidad y el desempeño, no nos extraña que tantos pequeños negocios se hagan de la vista gorda en lo que respecta a seguridad de TI. No obstante, incluso aunque las nuevas empresas y los pequeños negocios podrían haberse salido con la suya desde esa perspectiva hace algunos años, dados los niveles actuales de ciberdelincuencia esa no es la mejor estrategia. Si consideramos además el hecho de que algunos ciber- delincuentes consideran a las pequeñas empresas como la presa más fácil a atacar que las grandes organizaciones, es evidente que tener una seguridad de TI efectiva ya no es opcional. 12 La buena noticia es que su negocio puede hacer algunas cosas simples para ayudar a proteger la información confidencial. Por otra parte, algunos de los más recientes productos de software de seguridad han sido desarrollados específicamente para las pequeñas compañías que no disponen de mucho tiempo para proteger sus sistemas e información. Tener estos productos de seguridad significa que usted no tiene que comprometer la seguridad ni perder tiempo tratando de ejecutar un software de seguridad complejo que es difícil de manejar. AD VE RTENCIA Incluso las grandes organizaciones podrían no tener la escala y los recursos necesarios para recuperarse de una violación a la seguridad que le produjera daños. Es por eso que para las pequeñas empresas podría parecer imposible continuar en actividad después de un incidente con la seguridad ¿Falsa sensación de seguridad? Algunos negocios tienen una falsa sensación de seguridad, con la creencia errónea de que los ciberdelincuentes solamente están detrás de los peces gordos. —Así es—, dice el propietario del negocio—. ¿Quién querría atacar a una pequeña empresa como la mía, cuando hay objetivos más grandes y acaudalados allí afuera? Simplemente no estamos en el radar de los ciberdelincuentes. Bueno, es cierto que un radar no ayudará a los ciberdelincuentes a identificar el comercio que será su próxima víctima. No obstante, los ciberdelincuentes utilizan todo tipo de herramientas de escaneo para encontrar empresas vulnerables: y pueden hacerlo por Internet. Con estas ingeniosas herramientas de escaneo, los ciberdelincuentes pueden identificar negocios que tienen brechas de seguridad dentro de sus computadoras. 13 En un lapso casi ínfimo, los escáneres pueden detectar la próxima víctima de los ciberdelincuentes e indicar de qué manera el negocio está vulnerable ante un ataque. Esto puede sonar como una elaborada trama de ciencia ficción, pero es real. Cada día, se utilizan métodos como éste y otros más sofisticados para atacar a las pequeñas empresas. Un día cualquiera, Kaspersky Lab identifica aproximadamente 12.000 ataques de malware (software malicioso) y ese número continúa creciendo. Las pequeñas empresas pueden ser objetivos fáciles para cometer un delito En general, la mayoría de los ciberdelincuentes están buscando aumentar la rentabilidad financiera de sus activi- dades ilegales y minimizar el esfuerzo y el tiempo necesario para obtener dicha rentabilidad. Así que, si bien acceder a las finanzas de una multinacional sería sumamente lucrativo, es casi seguro que al ciberdelincuente le costaría bastante superar las sofisticadas defensas de seguridad que probable- mente tendría una empresa de este tipo. Como alternativa, el ciberdelincuente podría elegir un puñado de pequeñas empresas. Sí, los beneficios de cada ataque individual serían mucho menores, pero si las pequeñas empresas tienen una defensa deficiente o inexistente, podría ser dinero fácil. Lanzar ataques en diez o veinte pequeñas empresas podría generar tanto dinero como un único ataque a una empresa más grande: y ser mucho más fácil de lograr. CO NS EJO Dado que a las pequeñas empresas les podría costar destinar tiempo a pensaren la seguridad, algunos cibercriminales deliberadamente se concentran en las presas fáciles que representan. No permita que su negocio esté entre las próximas víctimas 14 Los ciberdelincuentes pueden usar las pequeñas empresas como trampolín Los ciberdelincuentes saben que a menudo las pequeñas empresas son proveedores de las grandes compañías y esa es otra razón para que sean el blanco de sus ataques. Un ataque a una empresa de este tipo puede ayudar al ciber- delincuente a robar información que podría resultarle útil al permitirle un ataque posterior contra una corporación más grande. El cibercriminal podría elegir deliberadamente a la pequeña empresa dada su relación con las grandes corporaciones. Por otra parte, un ciberdelincuente oportunista podría simplemente detectar el potencial cuando roba la información de los clientes de la pequeña empresa. No hace falta decir que, si el próximo ataque a la organi- zación más grande es exitoso y el papel de la pequeña empresa se vuelve necesaria, le podría traer graves dificultades a esta última. Incluso si la pequeña empresa no cometió directamente ninguna mala conducta, la seguridad inadecuada permitió que se infiltraran en sus propios sistemas, y eso ayudó a hacer posible el ataque contra el cliente corporativo. Si se conoce la función de la pequeña empresa en el contrato, es probable que tenga consecuencias, como acciones legales, compensación, multas, la pérdida de clientes y el daño a la reputación de la pequeña empresa. 15 Salir perdiendo... desde ambos lados. Imagínese el caso de una pequeña empresa que compra materias primas de una gran corporación y luego vende productos terminados a empresas multinacionales. Con el fin de lograr una mayor eficiencia, el proveedor podría esperar que sus clientes (incluso la pequeña empresa) interactúen y envíen los pedidos por medio de sus propios sistemas en línea. De manera similar, el cliente multinacional podría esperar que la pequeña empresa envíe facturas electrónicas directamente a sus propios sistemas de contabilidad interna. Esto significa que la pequeña empresa tiene vínculos electrónicos directos con el sistema de computadoras de su proveedor corporativo y con el sistema de computadoras de su cliente multinacional. Si un ciberdelincuente se infiltrara en las computadoras de la pequeña empresa, podría reunir información que le ayudara a atacar tanto al proveedor como al cliente de la empresa. Incluso si los siguientes ataques no resultaran exitosos, la pequeña empresa tendría que dar explicaciones... incluso podría bloquear las interacciones electrónicas con sus proveedores y clientes. Eso podría afectar negativamente la eficiencia de la pequeña empresa y sus márgenes de rentabilidad: especialmente si la competencia se beneficia al lograr una interacción más cercana con los mismos proveedores y clientes. 16 Capítulo 2 Cómo lograr lo que su negocio necesita En este capítulo ▶ Conocer sus obligaciones legales y reglamentarias ▶ Evaluar lo que se espera en su industria ▶ Darse cuenta de que las amenazas actuales son más peligrosas que nunca ▶ Considerar cómo pueden variar las necesidades de seguridad V eremos con mayor detalle cómo algunos requisitos de seguridad pueden ser similares para diferentes empresas... y también cómo pueden variar. Algunas necesidades de seguridad que se aplican a empresas de todos los tamaños Muchas empresas caen en la trampa de pensar que no tienen información valiosa para un ciberdelincuente. Por otra parte, el fundador podría pensar que un incidente de pérdida de información no podría provocarle un daño importante a la compañía. Desafortunadamente, para empresas de todos los tamaños, estas creencias rara vez son ciertas. 18 Incluso una simple base de datos con los detalles de contacto de los clientes tienen un valor para una amplia variedad de personas distintas: desde ciberdelincuentes que buscan utilizar esos detalles como parte de estafas de robo de identidad, hasta la competencia que quiere robarle los clientes. Obligación legal de asegurar la información En muchos países, las empresas están sujetas a estrictas regulaciones sobre cómo deberían manejar la información de los individuos. El no cumplirlas puede provocar grandes multas para la empresa. En algunos casos, los directores o propietarios de la empresa pueden ser procesados judicial- mente, por algunos delitos que incluyen condenas en prisión. Para muchos países, la legislación y las regulaciones de cumplimiento sobre cómo se procesa y almacena la información personalmente identificable podría resultar en obligaciones aún más onerosas para organizaciones más grandes. Sin embargo, incluso si las autoridades correspon- dientes exigen que las grandes corporaciones implementen medidas de seguridad mucho más sofisticadas, la ley aún espera que las pequeñas empresas actúen de manera responsable y apliquen las acciones razonables para asegurar toda información relevante. Si una empresa no adopta medidas que se esperaría que aplicara para ese tipo y tamaño de compañía, podría encontrarse en graves problemas. Importantes expectativas de seguridad Muchas jurisdicciones obligan a todas las compañías a tener un mayor grado de cuidado en cómo manejan cualquier material particularmente confidencial o 19 ¿Una Catástrofe de confidencialidad? ¿Existe algún negocio que requiera menos TI que una residencia o un criadero de gatos? ¿Realmente se necesitaría seguridad de TI para operaciones de este tipo? Bueno, ¡sí! Tan sólo piense en la información que la empresa tiene: el nombre y la dirección de sus clientes, más la agenda electrónica de la fecha en que los peludos felinos estarán en las instalaciones. ¿Qué sucedería si esta información cayera en manos equivocadas? Es bastante obvio que no habrá nadie en casa para cuidar de Bigotes y Guantes; y eso es una información valiosa para los ladrones. Con el dato de la fecha en que el propietario no estará en casa (y por cuánto tiempo no estará), los ladrones podrían darse el lujo de robar los objetos valiosos de la propiedad del dueño del gato. cualquier otra información que podría provocar un daño significativo a un tercero si se filtraran los datos. Asimismo, industrias y sectores de mercado específicos podrían estar sujetos a requisitos de información mucho más estrictos que las demás industrias. Por ejemplo, las empresas que operan en el sector legal y de la salud probablemente deban tener un mayor cuidado con la información que usan, almacenan y procesan. No obstante, incluso si ninguna de estas “expectativas adicionalesx” se aplica a su negocio, la pérdida de información confidencial podría tener consecuencias directas. 20 Diferentes niveles de entendimiento y recursos A pesar de las similitudes con algunas de las obligaciones de seguridad que están en vigencia para empresas de todos los tamaños, aquí hay algunas variaciones claras sobre cómo organizaciones de distinto tipo perciben y resuelven los problemas de seguridad. Las cosas ya no son como antes La sofisticación y la naturaleza implacable de los ataques modernos a la seguridad de TI significa que las amenazas actuales son muchísimo más peligrosas que las amenazas de hace algunos años. El no darse cuenta de esto puede dejar a una empresa en situación de vulnerabilidad. Cuando se trata de la seguridad de la información, las grandes compañías pueden costear expertos en seguridad de TI a tiempo completo. Sin embargo, los propietarios de pequeñas empresas no pueden darse ese lujo. ¿El tamaño importa? La disponibilidad de recursos obviamente es un factor que diferencia a las pequeñas empresas de las grandes corporaciones. Los grandes negocios tienen expertos locales para tomar decisiones informadas al momento de invertir en tecnologías de defensa. También tienen los recursos financieros y de respaldo necesarios para implementar la soluciónelegida. Por otra parte, su equipo local tiene experiencia en cómo desarrollar y afinar constante- mente los planes y la política de seguridad de la compañía, de manera que el negocio siga estando un paso más adelante que los ciberdelincuentes y no existan grandes brechas en las defensas de la organización. 21 En contraste, las pequeñas empresas probablemente no tengan un experto en TI. Además, para un negocio en crecimiento, existe una gran variedad de demandas que compiten por cualquier dinero en efectivo sobrante (bueno, efectivo sobrante es un concepto interesante, pero no uno que los autores recuerden haber experimentado). Así que, la seguridad de las computadoras debe ocupar su lugar en la fila y justificar completamente el gasto necesario. Comprender los distintos requisitos de seguridad Incluso aunque existe una base en común, los distintos tipos de negocio probablemente tendrán algunas diferencias en sus requisitos de seguridad de TI... y también pueden tener visiones distintas sobre el grado de seguridad necesario. Además, a medida que una empresa crece, sus necesidades de seguridad de la información pueden cambiar. ¿Reconoce alguno de los siguientes perfiles comerciales y sus visiones sobre la seguridad de TI? La nueva empresa A la edad de 36 años, “Sergio, el emprendedor” dejará un gran estudio de ciudad y creará una nueva firma de abogados con dos de sus colegas. Cómo planea el negocio utilizar la TI: ✓ Sergio y sus colegas dependen mucho de las computadoras portátiles, las tablets y los smartphones que les dan la flexibilidad de trabajar casi en cualquier lugar. ✓ El equipo utilizará mucho el correo electrónico para comunicarse con clientes y utilizará sus 22 computadoras para generar cartas, propuestas y notas. La postura del negocio en cuanto a la seguridad: ✓ La naturaleza altamente confidencial de la informa- ción del cliente que manejarán, incluso los datos financieros, significa que la protección de toda la información sensible es de vital importancia. ✓ Cualquier filtración o pérdida de información podría ser sumamente embarazosa y podría tener graves consecuencias en términos de la reputación personal de Sergio y de la firma. Incluso podría significar que lo demanden. ✓ Salvaguardar el negocio es de vital importancia y Sergio sabe que el software antivirus estándar no brinda la protección adecuada. Sergio dice: —Tenemos que comprar un nuevo paquete de TI e instalarlo. Al mismo tiempo, debemos poder comenzar a generar ingresos cuanto antes, así que el software de seguridad que elijamos debe brindar el nivel de protección adecuado, ser fácil de instalar, administrar y mantener. Asimismo, el proveedor del software de seguridad debe brindarnos el soporte que necesitemos, cuando lo necesitemos; de manera que podamos concentrarnos en prestar servicio a nuestros clientes. Luego, a medida que el negocio crezca, nuestra solución de seguridad debe ser capaz de adaptarse para satisfacer las nuevas demandas. La empresa en expansión “Ahmed, el ambicioso” ha logrado mucho en sus 48 años. Es el propietario de una cadena de confección de ropa para hombres que emplea a dieciocho personas; y el negocio está en expansión. 23 Cómo planea el negocio utilizando la TI: ✓ Además de abrir una nueva tienda, la empresa se lanzará a la venta en línea: venderá trajes desde su sitio Web. ✓ Con la expansión, la empresa tiene que adquirir mucha más tecnología, incluso más terminales de punto de venta (PoS, en inglés), más computadoras, enrutadores para redes Wi-Fi y un nuevo servidor. ✓ Si bien Ahmed no está concentrado en la TI, descubre que su nuevo smartphones resulta útil para acceder a su correo electrónico. La postura del negocio en cuanto a la seguridad: ✓ La empresa usa un producto de software antivirus que el sobrino de Ahmed que entiende de tecnología compró en la tienda de computación que está en la misma calle. No obstante, Ahmed sabe que este producto no es suficiente para mantener segura la información de su negocio, especialmente ahora que se está expandiendo tan rápidamente. Ahmed odiaría ver que su competidor local se apoderara de su lista de clientes regulares y su modelo de fijación de precios. ✓ Debido a los requisitos estándar de la industria de las tarjetas, de pago (PCI, sigla en inglés), Ahmed sabe que su negocio debe instalar un software de seguridad y mantenerlo actualizado para ocuparse de las vulnerabilidades. Ahmed dice: —La sastrería es mi pasión, no la TI. Sin embargo, es el momento indicado para invertir en un software de seguridad de TI profesional, al menos para estar tranquilo. Necesitamos seguridad de TI que nos brinde la protección que necesitamos, pero sea fácil de instalar y administrar. Busco un paquete que cumpla con su trabajo 24 y me permita hacer el mío. Dado que heredé el negocio de mi adre, he logrado un crecimiento impresionante. Estamos a punto de abrir nuestra quinta tienda y estamos creando nuestras ventas basadas en la Web; así que necesitamos una solución de seguridad de TI que pueda crecer con nosotros. La empresa que cambiará su seguridad La ‘irritada doctora Ivana’, 40, es una socia principal en un consultorio médico que incluye a otros dos médicos, una fisioterapeuta y tres recepcionistas/personal administra- tivo de medio tiempo. Cómo planea el negocio utilizando la TI: ✓ Cada doctor tiene una computadora de escritorio y hay una computadora en la sala que utiliza la fisioterapeuta. Hay otras dos computadoras en el escritorio de la recepcionista y una más en la oficina de administración. ✓ Internet y las computadoras han cambiado la manera en que funciona el consultorio: es más fácil tener un registro de los antecedentes de los pacientes, informarse sobre nuevos procedimientos y medica- mentos, y generalmente mantenerse actualizados. La postura del consultorio en cuanto a la seguridad: ✓ Dado que el consultorio depende de la TI y de la naturaleza sensible de los archivos y la información que se manipula, la doctora Ivana nunca ha dudado en comprar software de seguridad de TI. ✓ No obstante, el software actual resulta irritante para todo el personal. A las computadoras les toma mucho tiempo encenderse y, entonces, cuando el software de seguridad busca malware, la computadora parece pararse. 25 La doctora Ivana dice: — La confidencialidad del paciente tiene la máxima importancia. Es por eso que nunca dudé en instalar software de seguridad. No obstante, nuestro software actual ha tenido un efecto negativo evidente sobre el desempeño de nuestras computadoras. Con la licencia a punto de vencer, es el momento perfecto para cambiar a un software de seguridad que no afecte el desempeño de nuestras computadoras, de manera que podamos ser más eficientes en nuestro trato con los pacientes. Simplemente queremos algo que asegure la información delicada sin interponerse en nuestros intentos por brindar la mejor atención a los pacientes. La empresa que lo vivió en carne propia La “angustiada Suzie” es la propietaria de 32 años de una exitosa agencia de marketing que emplea a 22 personas. El negocio de Suzie ha crecido rápidamente, sus ventas y habilidades de marketing le han asegurado ganarse nuevos clientes rápidamente. Cómo planea el negocio utilizando la TI: ✓ El equipo principal de Suzie está en la oficina. Sin embargo, muchos de sus gerentes de cuentas visitan las oficinas de sus clientes. ✓ Si bien el equipo de diseño utiliza computadoras Mac de Apple, el resto del negocio utiliza una combinación de computadoras portátiles y de escritorio, como así también smartphones. ✓ Muchos integrantes del equipo también usan tablets. Dado que las tablets son propiedad del personal, no son parte del equipo de trabajo oficial. No obstante, Suzie está feliz de que el personal use estos disposi- tivos, ya que considera que hace que la agencia luzca de vanguardia. 26La postura del negocio en cuanto a la seguridad: ✓ Desafortunadamente, hace poco la agencia sufrió un incidente de seguridad grave. Luego de reunirse con un cliente, uno de los directores de cuenta de Suzie llevó su computadora portátil a un bar y se la robaron. La computadora portátil tenía archivos con información sensible, incluso planes confidenciales para el lanzamiento de un nuevo producto que le darían al cliente una verdadera ventaja en el mercado. ✓ Suzie tuvo que informarle al cliente, quien se enojó mucho. El incidente había llegado al equipo legal del cliente. También parece ser que el cliente cortará el vínculo con la agencia. Es así que la agencia de Suzie está a punto de perder un negocio de suma importancia... y podría haber consecuencias legales. Suzie dice: — Aún estamos pagando el precio de aquel incidente con la seguridad. Ahora la máxima prioridad es asegurarme de que no exista ninguna posibilidad de sufrir ese problema otra vez. Debemos implementar una solución de seguridad integral tan pronto como sea posible. Sin embargo, también debemos asegurarnos de que sea simple de administrar, de modo que uno de nuestros diseñadores, que tiene un gran conocimiento de todas las cuestiones técnicas, pueda administrarla y mantenerla. La empresa que tiene los dedos cruzados El ‘arriesgado Raúl’ tiene 53 y es el propietario de una firma contable integrada por cinco personas. Se trata de un negocio establecido que nunca se ha tomado en serio las amenazas a la seguridad. Raúl siempre pensó que “eso no me pasará a mí”. Cómo planea el negocio utilizar la TI: 27 ✓ Raúl y otros dos asesores contables pasan mucho tiempo con clientes. Usar computadoras portátiles les brinda a los asesores la flexibilidad para trabajar fuera de la oficina. ✓ Las dos personas encargadas de la administración usan computadoras de escritorio. ✓ El negocio también tiene un servidor de archivos que ejecuta el software de gestión de relaciones comerciales (CRM). La postura del negocio en cuanto a la seguridad: ✓ Raúl leyó recientemente un artículo, en una revista especializada, acerca de una firma rival que sufrió una grave violación a la seguridad de TI. Un administrador descargó un archivo adjunto que contenía algún tipo de malware que accedió a los archivos confidenciales de los clientes. La violación a la seguridad se descubrió solamente cuando un cliente encontró sus propios datos confidenciales a la venta en Internet. ✓ Ese artículo hizo que Raúl se pusiera extremadamente nervioso por la seguridad de TI de su propia firma. Ahora Raúl reconoce que el software de seguridad gratuito que la firma había estado utilizando probablemente sea inadecuado. Raúl dice: — La industria ha cambiado mucho en los últimos años. Ahora existe una mayor regulación. Al mismo tiempo, la naturaleza de las amenazas a la seguridad que están al acecho significa que debemos implementar una seguridad de TI más resistente. 28 Diversas necesidades exigen soluciones diversas Si bien todos los negocios a los que hicimos referencia en este capítulo integran diferentes mercados y cada uno tiene expectativas distintas para su TI, todos tienen algo en común: la necesidad de proteger la preciada información. No obstante, dado que cada empresa tiene diferentes grados de sistemas de computación y de experiencia en TI, tienen diferentes necesidades de seguridad. Las compañías de los ejemplos obviamente se basan en generalizaciones sobre cómo diferentes tipos de negocios pueden tener distintas necesidades de TI. Sin embargo, así como las variaciones en los modelos y tamaños de las empresas son casi infinitas, también son infinitas las vari- aciones en los requisitos de TI. Es perfectamente posible que una pequeña empresa (con, digamos, tres o cinco empleados) realice procesos que requieran grandes cómputos. En tales casos, probable- mente la empresa tenga una red de TI mucho más amplia y diversa que otras de tamaño similar. Es por eso que este tipo de negocio requiere una solución de seguridad que pueda abarcar todas las complejidades de su entorno de TI; entre ellos gateways de Internet, servidores proxy y sistemas virtuales. Capítulo 3 Descubrir la verdad sobre las amenazas a la seguridad En este capítulo ▶ Comprender cómo la complejidad de TI añade nuevas cargas ▶ Saber por qué la protección antivirus no es suficiente ▶ Aprender sobre las amenazas en línea ▶ Proteger sus transacciones bancarias en línea E n este capítulo consideraremos cómo la creciente complejidad de las soluciones típicas de computación para negocios y la sofisticación de los virus de computa- dora, el malware y los ataques de la ciberdelincuencia están haciendo que la vida sea mucho más difícil para todos los negocios. Todo se ha vuelto más complejo Apenas hace algunos años, cualquier líder de una empresa podría simplemente mover el brazo y alcanzar cada uno de los dispositivos de TI que debía estar protegido dentro de la organización. También era fácil pensar en dibujar un anillo imaginario alrededor de la red de computación de la 30 empresa. Si fuese envuelto en una protección todo lo contenido en el anillo, y se asegurara de tener un software de seguridad adecuado ejecutándose en todas las computadoras, sería intocable. Pero eso era en la época de la movilidad limitada y de no poder acceder a la información en cualquier momento en que estuviera lejos de la oficina. También ha pasado mucho tiempo desde que los negocios han comenzado a depender tanto de la TI. Las empresas no funcionan sin TI Hoy en dia , ¿acaso podría considerar tener una compañía sin ninguna de esas aplicaciones comerciales fundamen- tales y sin acceso móvil “desde cualquier lugar” a la información comercial esencial? Bueno, no... porque la competencia se burlaría Sin embargo, estos avances tecnológicos han tenido consecuencias. La conveniencia de tener acceso desde cualquier lugar ha aumentado la complejidad de la TI. Si usted y sus empleados acceden a la información utilizando computadoras portátiles, smartphones y tablets, ¿dónde está ese anillo imaginario dentro del cual tiene que aplicar medidas de seguridad? BYOD agrega otra capa de complejidad Las empresas han reconocido rápidamente el posible costo y los beneficios operativos que puede brindar una iniciativa de BYOD. No obstante, BYOD también implica que debe aplicar la seguridad entre una variedad casi ilimitada de dispositivos móviles, entre ellos una amplia gama de dispositivos Android, iPhone, BlackBerry, Symbian, Windows Mobile y Windows Phone que tal vez no pertenezcan a la empresa. 31 Afortunadamente, algunos proveedores de seguridad han reconocido que una TI cada vez más compleja se suma a las pesadillas de seguridad. Es así que amablemente han desarrollado nuevas soluciones de seguridad que simplifican en gran medida la tarea de asegurar la TI compleja, incluso dispositivos móviles y BYOD. CO NS EJO Para obtener más información sobre problemas y soluciones de seguridad móvil, Seguridad de dispositivos móviles y BYOD Para Dummies está disponible en las mejores librerías. Bueno, en realidad no está en todos los comercios, pero puede obtener una copia gratuita en http://latam.kaspersky.com/mx/ productos-para-empresas. ¿Antivirus o antimalware? Algunas empresas caen en la trampa de pensar que los virus y el malware son lo mismo: y eso los lleva a pensar que no existe diferencia alguna entre los productos antivirus y antimalware. Sin embargo, eso simplemente no es cierto, y de hecho es un error que puede resultar muy caro. La mayoría de las personas están familiarizadas con los tipos de virus de computadora que pueden propagarse de computadora a computadora. No obstante, el malware, que es un tipo se software malicioso, es el nombre que se le da a una variedad mucho más amplia de software hostil. El malware incluye virus de computadora, gusanos, caballosde troya, ransomware, keyloggers, spyware y muchas otras amenazas. Es así que un producto de software que ofrece capacidades antimalware protege sus computadoras e información de mucho más que un simple virus. 32 Las amenazas actuales son cada vez más peligrosas Casi todas las personas tienen cierto grado de conoci- miento sobre el virus de computadora. La mayoría de las personas han sufrido una desagradable infección por un virus (nos referimos a su computadora, no lo estamos llevando a nivel personal), o conocen a alguien que haya sufrido un ataque de ese tipo en el pasado. No obstante, muchas de estas experiencias (y las anécdotas que los familiares y amigos recuerdan) pueden ser de la época del cibervandalismo, cuando el desarrollo de malware tenía como fin la diversión. En la actualidad, los ciber- delincuentes usan el malware para obtener ganancias financieras. Los años de bajo riesgo han terminado Hace años atrás, los cibervándalos a menudo eran estudia- ntes y niños de escuela que buscaban presumir de sus habilidades para la computación y el hackeo. Crearon y distribuyeron virus que provocaron un nivel de trastorno en las máquinas infectadas. Quizás el virus eliminaba algunos archivos para que la computadora de la víctima “se suspendieran”. Incluso aunque en gran medida se trataba de actitudes maliciosas por parte de los desarrolla- dores de virus, sus programas podían provocar algunos inconvenientes. Sin embargo, esos virus rara vez provocaban problemas significativos y constantes para los negocios y no intentaban robar fondos de las cuentas bancarias de individuos o empresas. Además, en general el software de antivirus básico era suficiente para evitar la mayoría de estos ataques. 33 El simple vandalismo dio origen a la ciberdelincuencia grave En los últimos años, los jóvenes geek de la computación dirigieron su atención a juegos en línea que les daban la oportunidad de presumir de sus destrezas. Al mismo tiempo, y aún más importante, con el aumento ininterrum- pido en el uso de los procesos comerciales basados en Internet y las transacciones financieras en línea, todos dependemos mucho más de Internet y el comercio en línea. Esto atrajo la atención de los delincuentes. La era del cibervandalismo relativamente inocente ha terminado y una presencia mucho más amenazante está al acecho en Internet. AD VE RTENCIA Los ciberdelincuentes han reconocido rápida- mente las oportunidades para desarrollar malware y estafas basadas en Internet que hacen mucho más daño que los antiguos virus. En lugar de eso, estos nuevos ataques están enfocados en robar información, dinero y cualquier otra cosa de valor para el ciberdelincuente. No se equivoque, no son meros aficionados. Los ciberdelincuentes con considerables habilidades técnicas constantemente están desarrollando nuevos métodos para atacar los negocios. En la mayoría de los casos, están motivados por la ganancia financiera, ya sea por robar dinero directamente de la cuenta bancaria de la empresa, robar información sensible para vender en el mercado negro o extorsionar a la empresa para obtener pagos por otros medios. Además, al “recolectar” información personal de las computa- doras portátiles, servidores y dispositivos móviles de una compañía, los ciberdelincuentes pueden realizar estafas de 34 robo de identidad y robar dinero de los individuos relacionados con la empresa. Nuestra dependencia de las computadoras también ha hecho que sea más fácil para los atacantes desbaratar los sistemas comerciales, como una forma de protesta social o política (el llamado “hacktivismo”). Conozca al enemigo y conozca sus métodos El malware y las amenazas a la seguridad de TI pueden tener un efecto dañino sobre las finanzas de cualquier empresa. Para las pequeñas empresas, los resultados pueden ser fatales.Si bien lo que sigue no es una lista exhaustiva de todos los tipos de amenazas, esta sección brinda una idea de algunos de los riesgos de seguridad que deben enfrentar los negocios. . . Virus, gusanos y troyanos Los virus de computadora y los gusanos son programas maliciosos que pueden copiarse automáticamente sin que la víctima sepa que su dispositivo se ha infectado. Los troyanos realizan acciones maliciosas que no fueron autorizadas por el usuario. Los troyanos no pueden replicarse, pero la conectividad que brinda Internet hace que a los ciberdelincuentes les resulte fácil esparcirlos. Si estos programas maliciosos atacan a su red, pueden eliminar, modificar o bloquear el acceso a los datos, desbaratar el desempeño de sus computadoras y robar información confidencial. Troyanos de puerta trasera Las puertas traseras a menudo son utilizadas por los ciberdelincuentes para controlar las máquinas que han 35 infectado. Usualmente, las computadoras comprometidas se vuelven parte de una red maliciosa (conocida como botnet) que se puede utilizar para una amplia variedad de objetivos cibercriminales. Keyloggers Los keyloggers son programas maliciosos que registran las teclas que presiona en el teclado de su computadora. Los cibercriminales usan los keyloggers para captar información confidencial como contraseñas, números de cuentas bancarias y códigos de acceso, detalles de tarjetas de crédito y más. A menudo los keyloggers trabajan en tándem con los troyanos de puerta trasera. Spam En el caso menos dañino, el spam simplemente es la versión electrónica del correo basura. No obstante, el spam puede ser muy peligroso si se le utiliza como parte de una campaña de phishing o si incluye enlaces a sitios Web infectados que descargan virus, gusanos o troyanos a la computadora de la víctima. Phishing El phishing es una forma sofisticada de ataque malicioso en la que los criminales crean una versión falsa de un sitio web como un servicio bancario en línea o un sitio de redes sociales. Cuando la víctima visita el sitio falso, el sitio utiliza métodos de ingeniería social para obtener información valiosa de la víctima. El phishing a menudo se utiliza para estafas de robo de identidad y para robar dinero de cuentas bancarias y tarjetas de crédito. Ransomware Los troyanos ransomware están diseñados para obtener dinero por medio de la extorsión. Habitualmente, el troyano 36 codifica los datos en el disco duro de la computadora de la víctima (de manera que no pueda acceder a su informa- ción), o bloquea completamente el acceso a la computa- dora. El troyano ransomware entonces exige un pago para deshacer estos cambios. Las infecciones por troyanos ransomware pueden esparcirse a través de correos electrónicos de phishing o pueden producirse si un usuario visita un sitio Web que contenga un programa malicioso. Dado que las páginas Web infectadas pueden incluir sitios legítimos que han sido infiltrados por los ciberdelincuentes, el riesgo de sufrir una infección por ransomware de ninguna manera se limita a las visitas a sitios Web sospechosos. Ataque de denegación de servicio distribuido (DDoS, sigla en inglés) Los ciberdelincuentes utilizan los ataques de denegación de servicio distribuido para hacer que una computadora o red no esté disponible para usarla. Los objetivos de este tipo de ataques pueden variar. Sin embargo, a menudo el sitio Web de una empresa es el primer objetivo de un ataque. Dado que la mayoría de las empresas dependen de su sitio Web para atraer e interactuar con los clientes, cualquier cosa que provoque un mal funcionamiento, una ejecución lenta o no les permita a los clientes acceder al sitio puede ser sumamente perjudicial para el negocio. Existen muchas formas diferentes de ataque DDoS. Por ejemplo, los ciberdelincuentes pueden infectar una gran cantidad de computadoras de usuarios inocentes y luego usarlas para bombardear el sitio Web de la empresa objetivo con una grandísima cantidad de tráfico inútil. Esto puede sobrecargar las computadoras que ejecutan el sitio Web de la empresa víctimay provocar que el sitio corra con lentitud o falle por completo. 37 Comprender otros riesgos de seguridad Además de los tipos de ataque específicos que explicamos en la sección anterior, su negocio necesita protegerse contra otros peligros. ¿Qué afecta a los negocios? Casi todas las aplicaciones de software y sistemas operativos que utiliza su empresa tienen “errores informáticos”. A menudo, estos errores en el código de la computadora no provocan ningún daño directo. No obstante, algunos crean vulnerabilidades que los ciberdelincuentes pueden aprovechar para obtener acceso no autorizado a sus computadoras. Estas vulnerabilidades actúan como si dejara la puerta de la oficina abierta; excepto que los ciberdelincuentes no irán a la zona de la recepción, sino que se meterán en el corazón de su computadora. El uso de este tipo de vulnerabilidades para instalar malware ahora está ampliamente difundido, por lo que es importante mantener las aplicaciones actualizadas o parcheadas (no ignore los recordatorios de actualización del software para posponerlos como si fueran una molestia). Algunas soluciones de software de seguridad incluyen características de “escaneo de vulnerabilidades”, para identificar cualquier vulnerabilidad en la aplicación o en el sistema operativo en la red de TI de su negocio, y puede ayudarlo a aplicar “parches” que resuelven la vulnerabilidad para que los ciberdelincuentes no puedan aprovecharlas. CO NS EJO 38 Los riesgos de la Wi-Fi pública Con los hoteles, aeropuertos y restaurantes que ofrecen a los clientes acceso a una conexión Wi-Fi pública y gratuita, es fácil revisar su correo electrónico y acceder a información comercial cuando está fuera. Sin embargo, también es muy fácil para los ciberdelincuentes espiar las redes de Wi-Fi pública y capturar la información que envía o a la que accede. Esto podría significar que los ciber- delincuentes obtienen acceso directo a su cuenta de correo electrónico comercial, su red de TI comercial y su contraseña para transacciones financieras. La banca en línea y la necesidad de seguridad adicional La banca en línea se ha convertido en una función importante para muchos negocios. Es conveniente y permite ahorrar tiempo. No obstante, siempre que realice transacciones financieras en línea, podría ser más vulnerable. Los ciberdelincuentes quieren monitorear las computadoras y los dispositivos móviles de sus víctimas para descubrir cuándo la víctima visita un sitio Web bancario o un servicio de pago en línea. Entonces programas keyloggers especiales pueden capturar la información que introduce. Eso significa que los ciberdelincuentes pueden robar sigilosamente su contraseña, de manera que puedan acceder a su cuenta y vaciar sus fondos, sin que usted lo sepa. Afortunadamente, algunos productos de software de seguridad incluyen tecnologías que brindan capas de protección extra cuando realice transacciones financieras en línea. AD VE RTENCIA 39 Spear phishing El spear phishing es otra forma sofisticada de ataque. El ciberdelincuente busca capturar la información personal, quizás espiando una conexión Wi-Fi pública. Después, usa la información personal para añadir una apariencia de credibilidad a un correo de phishing que está destinado a negocios. Por ejemplo, si el ciberdelincuente logra acceder a la publicación de uno de sus empleados en un sitio Web social y descubre algunos detalles sobre las vacaciones recientes del empleado, podrá usar esa información en un correo de phishing. Cuando el empleado recibe un correo electrónico de alguien que se hace pasar por un colega, y el correo menciona algunos detalles sobre las vacaciones del empleado, es más probable que luzca como un correo electrónico genuino. Y, si el mensaje le solicita al empleado que haga clic y confirme el acceso a la red comercial, el ciberdelincuente puede capturar las contraseñas de acceso necesarias. Computadoras portátiles perdidas Todos hemos leído sobre esos desafortunados individuos que han olvidado la computadora portátil en taxis, trenes o restaurantes. El potencial de que información comercial sumamente sensible caiga en las manos equivocadas es alarmante. Cuando esto sucede, puede dañar gravemente la reputación comercial de una organización y puede producir multas elevadas. Una solución es elegir una solución de seguridad que encripte su información comercial, de manera que, incluso si le robaran la computadora portátil, es casi imposible que los ciberdelincuentes puedan acceder a la información que hay en el disco duro. 40 Amenazas móviles Tanto los negocios como los individuos pueden caer en la trampa de pensar que sus iPhones y smartphones son sólo teléfonos. No lo son. Son potentes computadoras que pueden almacenar gran cantidad de información confidencial, así que si pierde o le roban un dispositivo móvil puede haber graves violaciones a la seguridad. Si un teléfono inteligente robado o perdido no está protegido con un PIN (o, incluso mejor, con un código más extenso), quienquiera que lo obtenga podrá simplemente acceder a cualquier cuenta en línea que utilice el dispositivo. Comprender la encriptación La encriptación es una manera ingeniosa de ganarles a los ciberdelincuentes en su propio juego. Así como los espías en los más recientes estrenos cinematográficos codifican mensajes para que sólo los destinatarios los reciban, la encriptación le permite codificar la información confidencial de su negocio; de modo que no se le pueda decodificar sin la clave de decodificación necesaria. Esto significa que si los ciberdelincuentes accedieran a cualquier información confidencial de su empresa, no podrán verla en forma legible; a menos que tengan su clave de decodificación secreta. En el caso de que algún miembro de su personal pierda su computadora portátil o extravíe una memoria USB con información confidencial, si los datos están encriptados puede evitar la vergüenza de información filtrada. 41 Sin embargo, algunas soluciones de seguridad incluyen características de seguridad que se activan de manera remota, como darle la capacidad de comunicarse con su teléfono y eliminar todos los datos. CO NS EJO Si la solución de seguridad que ha elegido también incluye la capacidad de encriptación, esto puede brindarle mayor seguridad. Incluso si un delincuente encuentra el teléfono antes de que usted note que lo ha perdido, y aún no ha podido eliminar los datos, el hecho de que la información en el teléfono esté encriptada garantiza que el delincuente no podrá leer la información. Asimismo, dado que los smartphones y las tablets de la actualidad son realmente computadoras, eso significa que son vulnerables a un volumen creciente de malware y ataques que se han vuelto comunes en las computadoras de escritorio y portátiles, entre ellos virus, gusanos, troya- nos, spam y phishing. Es por eso que resulta fundamental utilizar software de seguridad para proteger a los disposi- tivos móviles (para conocer más, obtenga su copia gratuita de Seguridad de dispositivos móviles y BYOD Para Dummies en http://latam.kaspersky.com/mx/ productos-para-empresas). 42 Capítulo 4 Planificar una mejor seguridad de la información En este capítulo ▶ Beneficiarse con una evaluación simple de sus riesgos comerciales ▶ Mejorar la conciencia del personal sobre los problemas de seguridad ▶ Comprender cómo la computación en la nube puede afectar la seguridad. ▶ Evaluar a los proveedores de servicio de computación en la nube C uando se trata de tecnología de TI, algunas personas piensan: “Eso me supera. Cruzaré los dedos para esperar lo mejor.” Les deseamos suerte con esa estrategia. Sin embargo, cuando sus clientes y socios comerciales comiencen a demandar al negocio como resultado de un incidente de pérdida de datos, la compañía no le dará al abogado defensor mucho material con el que trabajar. Así que en este capítulo veremosalgunas medidas simples de seguridad que puede poner en práctica sin gastar un centavo en software o en hardware, y analizaremos cómo puede afectar la computación en la nube a la estrategia de seguridad de una empresa. 44 ¿Actividad de riesgo? Realizar una evaluación de riesgos puede parecer una tarea costosa que mejor debe estar en manos de un equipo de cerebritos con abrigos blancos y portapapeles. No obstante, si está decidido a mejorar la seguridad de la información, en esta sección compartimos algunos conceptos simples que forman la base de una evaluación necesaria de los riesgos que enfrenta su negocio. Comience haciéndose algunas preguntas básicas: ✓ ¿Dónde se almacena la información de mi negocio? ✓ ¿Cuál es el valor de dicha información para mi negocio y para un posible atacante? • ¿Cuáles serían las consecuencias para mi negocio si cualquier tipo de información confidencial cayera en las manos equivocadas? • ¿Cómo afectaría una pérdida de información a mi relación comercial con los clientes, empleados y socios comerciales? • ¿Cuál sería el costo posible, en términos de pérdida o penalización financiera y una reputación comercial dañada? ✓ ¿Qué hace mi empresa para proteger la información confidencial? ✓ ¿Son adecuadas las previsiones de seguridad que aplica mi negocio? • ¿Cómo se comparan esas previsiones de seguridad con la norma esperada dentro de mi sector de mercado y el tamaño de mi empresa? (No lo olvide, a medida que su negocio crece, probablemente necesite implementar mayores grados de seguridad de la información). 45 • ¿Un tribunal estaría de acuerdo con que la seguridad de mi negocio es suficiente? (¡Una respuesta honesta a esta pregunta puede hacer reaccionar a cualquier negocio que quiera poner el asunto bajo la alfombra al engañarse de que está bien tener una seguridad inadecuada!) ✓ ¿Cuál es la probabilidad de que mi negocio sufra una pérdida de información confidencial? (Recuerde, esto podría ser el resultado de un evento simple, como la pérdida de una computadora portátil o un teléfono inteligente. Si importar cuán diligente sea, ¿qué tan cuidadosos son sus empleados?) Sus respuestas serán útiles para ayudarlo a decidir cómo proceder para mejorar la seguridad de la información. Educar a los empleados en el arte de la seguridad Cuando se trata de proteger valiosa información, “hombre prevenido vale por dos” (valer por dos también lo ayudaría a aprovechar mejor su día de trabajo; sin embargo, a menos que su negocio esté en la industria de los biónicos, ¡eso no va a pasar!) Así que, resulta esencial que usted y sus empleados sepan la amplia variedad de riesgos para la seguridad y cómo evitarlos. Es sorprendente la cantidad de empresas que no dedican el esfuerzo suficiente a transmitir las novedades sobre las mejores prácticas de seguridad entre su personal, aún cuando capacitar a los empleados sobre los riesgos de seguridad y cómo evitarlos puede ser una de las maneras más efectivas en cuanto al costo de complicarles la vida a los ciberdelincuentes. No debería ser difícil obtener el apoyo de los empleados en la batalla por la seguridad: 46 ✓ Considere todos los posibles riesgos de malware y ciberdelincuencia que podrían afectar a su negocio y decida cómo sus empleados pueden ayudar a evitarlos... A pesar de la naturaleza sofisticada de las amenazas actuales, muchos ataques comienzan con apenas engañar a alguien para que haga algo que ponga en riesgo la seguridad de su negocio, como hacer clic en un enlace de un correo electrónico de spear phishing. ✓ Diseñe y comparta una política de seguridad que defina claramente cómo espera que se comporte el personal con respecto a mantener la seguridad y eliminar los riesgos innecesarios. ✓ Realice sesiones para generar conciencia en el personal de forma regular. El objetivo es generar conciencia sobre problemas clave, como por ejemplo: • La necesidad de usar diferentes contraseñas para cada aplicación y cuenta. • Los peligros de las redes de Wi-Fi públicas y cómo evitarlos. • Cómo detectar intentos de spear phishing. • Las consecuencias para la seguridad de perder un dispositivo móvil. ✓ Refuerce la política de seguridad de su compañía (por ejemplo, asegúrese de que todos usen contraseñas seguras para proteger el acceso a la información comercial, cuentas bancarias y más [vea la barra lateral “¿Qué hace más segura a una contraseña?” para ver consejos sobre este tema]). ✓ Revise su política de seguridad a medida que surjan nuevos riesgos o usted adopte nuevos procesos de trabajo. 47 En las nubes En los últimos años, han crecido los rumores sobre la computación en la nube. Los negocios de todas formas y tamaños han evaluado el potencial de la nube para simplificar el almacenamiento de información y reducir los costos operativos. En muchos casos, las pequeñas y medianas empresas han sido las primeras en mudarse a la nube. ¿Qué hace más segura a una contraseña? Si alguno de sus empleados crea una contraseña basada en una palabra fácil de recordar o en una simple secuencia de números, un ciberdelincuente podría adivinarla fácilmente. Las contraseñas más seguras utilizan una combinación de letras mayúsculas y minúsculas, números y símbolos especiales. Como mínimo, deberían tener ocho caracteres de longitud. Asegúrese de que ninguno de sus empleados usa la misma contraseña para varias aplicaciones o cuentas Web diferentes. Si un ciberdelincuente logra descubrir la contraseña de Facebook de un empleado, no debería ser la misma contraseña que le permita acceder al sistema de correo electrónico de la empresa. CO NS EJO ✓ Realice cursos renovados para mantener los problemas de seguridad en la mente de sus empleados. ✓ Asegúrese de que el personal nuevo reciba sesiones de capacitación sobre la conciencia de la seguridad como parte de su introducción. 48 A veces las organizaciones más pequeñas pueden adoptar nuevas estrategias comerciales de forma más rápida que las compañías más grandes. Al mismo tiempo, los pequeños negocios a menudo están más conscientes de la necesidad de concentrarse en sus actividades comerciales. Así que, se puede considerar beneficiosa cualquier opción que le permita a la empresa subcontratar actividades de TI que no son centrales a un tercero. Con o sin nube, su información es su responsabilidad Si está considerando utilizar la computación en la nube, tenga en cuenta que arrendar el almacenamiento de su información comercial (y el suministro de algunas o todas las aplicaciones) no exime a su negocio de las responsabili- dades de seguridad. Tampoco garantiza automáticamente que la información confidencial de su negocio esté completa- mente protegida. Sigue siendo la información de su compa- ñía, sin importar dónde esté almacenada. Es por eso que proteger esa información sigue siendo su responsabilidad, y es así exactamente como la ley ve sus obligaciones. También considere cómo accederá a esa información en las actividades cotidianas. Incluso si el proveedor de servicios en la nube tiene credenciales impecables y una seguridad rigurosa, aún tendrá que asegurarse de que cada dispositivo que use su negocio para acceder a la información tenga una seguridad adecuada. Tendrá que ejecutar una solución de seguridad local que proteja cada computadora de escritorio, servidor y dispositivo móvil que utilice su empresa. Una necesidad constante es estar consciente de la seguridad. Con una solución en la nube, aún tendrá que asegurarse de que usted y sus empleados cumplan con las mejores 49 prácticas de seguridad que han definido en su política de seguridad. Por ejemplo, aún se necesitan contraseñas seguras para ayudar a evitar el acceso no autorizado a su información y sus empleados deben seguir siendo precavidos para no perder sus dispositivos móviles. También tiene que evaluar todos los posibles riesgos de la seguridadde la información y asegurarse de que su personal esté al tanto de las simples precauciones de seguridad. De hecho, lo único que cambia con la nube es que su información está almacenada en otro lugar, por parte de un tercero que le presta un servicio. Precaución con las trampas de contratos en la nube El mercado de la computación en la nube se encuentra relativamente establecido con algunos proveedores de servicio muy capaces. Sin embargo, muchas soluciones de almacenamiento en la nube se han desarrollado para los consumidores. En algunos casos, la seguridad es algo que se añadió de manera tardía, por lo que podría ser insuficiente para los usuarios comerciales. Considere las siguientes preguntas cuando seleccione un proveedor: ✓ ¿Quién será el propietario de la información de mi negocio cuando lo almacene en la nube? ✓ ¿Qué sucede si el proveedor de servicios en la nube deja de brindar el servicio? • ¿Aún podré acceder a mi información? • ¿Habrá un período de cese de la actividad mientras traslado mi información a otro proveedor de servicios para que la almacene? • ¿El proveedor original aún tendrá copias de mi información, y habrá alguna manera de asegurarme de que se eliminen estas copias? 50 ✓ ¿Cómo puedo rescindir el contrato? • Si rescindo el contrato, ¿cómo transfiero la información de mi negocio? • ¿Existe algún proceso simple y fácil para trasladar la información almacenada a un nuevo proveedor? ✓ ¿Cuán resistentes son las computadoras que el proveedor utiliza para almacenar mi información y los sistemas de comunicación que utiliza para que la información esté disponible cuando la necesito? • ¿El proveedor garantiza la accesibilidad continua a mi información (de manera que pueda tener acceso a la información importante cuando la necesito y no me afecte que el proveedor afirme constantemente que “no hay sistema”)? • ¿El proveedor tiene una tecnología adecuada para garantizar una recuperación rápida de una falla importante o de un ataque a sus sistemas de computación, sin que afecte la seguridad y accesibilidad de mi información? • ¿Qué nivel de seguridad ofrece el proveedor para proteger mi información contra pérdida y acceso no autorizado? (Teniendo en cuenta que también necesitaré un software de seguridad en todas las computadoras y dispositivos móviles que uso para acceder a dicha información.) ✓ ¿Dónde se almacenará mi información? • ¿El almacenamiento en el exterior puede provocar algún problema legal o de cumplimiento para mi negocio? 51 CO NS EJO Usted nunca pensaría en dejar a su hijo al cuidado de alguien a quien no ha investigado y en quien no confía totalmente. De manera similar, su empresa es su “bebé”, y debe invertir algo de tiempo para evaluar cualquier proveedor de servicios en la nube para asegurarse de que la información confidencial y sensible de su negocio esté segura bajo su cuidado Puede haber algunos argumentos muy convincentes para trasladar el almacenamiento de la información (y de algunas aplicaciones de software) a la nube. No obstante, debe hacerlo con los ojos bien abiertos. A pesar de que la computación en la nube ayuda a simplificar algunos aspectos de sus operaciones, la nube también puede añadir un nuevo grado de complejidad cuando se trata de elegir y administrar al proveedor de servicios en la nube. AD VE RTENCIA La computación en la nube no disminuye su obligación de proteger la información sensible. Es su responsabilidad proteger la información confidencial; y es su responsabilidad si elige un proveedor que lo decepcione al brindar una seguridad inadecuada 52 Capítulo 5 Elegir el software de seguridad que se adapte a su negocio En este capítulo ▶ Seleccionar al proveedor de software de seguridad perfecto para usted ▶ Asegurarse de recibir el soporte que necesita ▶ Pensar en cómo podrían cambiar sus necesidades de seguridad de la información ▶ Decidir cuál es el nivel ideal de software de seguridad A sí que ha evaluado los riesgos de seguridad de su negocio y ha capacitado a su personal sobre la importancia de la seguridad de la información (por supuesto, si usted es todo el personal, habrá sido un curso bastante breve). Ahora es el momento de elegir la solución de software de seguridad que esté mejor ubicada para ayudar a proteger su negocio. Seleccionar el proveedor adecuado Cuando intente elegir entre los distintos productos de seguridad de TI disponibles comercialmente, busque elegir uno que sea capaz de adaptarse a los posibles cambios en sus necesidades cuando el negocio crezca. 54 ¡Necesitamos su ayuda! Pregúnte a los proveedores qué grado de soporte recibirá si surgiera algún problema mientras opera el software o si su negocio sufre un ataque o una violación a la seguridad. Poder levantar el teléfono y que alguien lo guíe para resolver cualquier problema complejo no solamente resulta conveniente y oportuno, también podría ahorrarle muchísimo tiempo y ayudarlo a que sus procesos comerciales y de computación vuelvan a funcionar tan pronto como sea posible. Por otra parte, si un proveedor espera que usted se sumerja en la base de conocimiento que ofrece en línea y encuentre usted mismo la solución al problema, eso podría evitar que se dedique a las actividades comerciales importantes durante un tiempo considerable. ¿No le sorprende que este tipo de incidentes parezcan esperar hasta el momento en que usted está más ocupado, con un plazo ajustado para completar esa propuesta detallada para el negocio más importante de su empresa? Intente elegir un proveedor que ofrezca asesoramiento local... en su idioma materno... y en su zona horaria. CO NS EJO Elegir a un proveedor de seguridad que lo apoye es una parte importantísima del proceso de selección. Si bien el mercado incluye algunos excelentes paquetes de productos de software de seguridad que brindan una variedad de tecnologías de seguridad de Internet y antimalware, considere lo que ocurriría si su negocio necesita un paquete más grande que el que ha adquirido: ✓ ¿Podrá el proveedor elegido ofrecerle otros paquetes, más completos a los que pueda cambiarse? ✓ ¿El producto le permite agregar características extra de modo que pueda proteger las nuevas 55 incorporaciones a su TI, como servidores virtuali- zados, sin cambiar el producto de seguridad o sin tener que recurrir a un experto para que resuelva los problemas de integración que demandan mucho tiempo? Estas preguntas tal vez no le parezcan fundamentales ahora. No obstante, cuando su negocio crezca, podrían ayudarlo a evitar la interrupción y los costos asociados con tener que cambiar su proveedor de seguridad. Lograr más en menos tiempo Para cualquier negocio es importante identificar soluciones de software que sean fáciles de usar. Al fin y al cabo, ¿quién quiere pasar horas interminables configurando y gestionando el software de seguridad, cuando una solución mejor podría automatizar muchos procesos de seguridad y permitirle dedicar más tiempo a otras actividades comerciales? La facilidad de uso es fundamental, especialmente si no tiene expertos en seguridad de TI. Sin embargo, incluso con el crecimiento de su empresa y la posible incorporación de personal especializado en TI, un software de seguridad fácil de usar ayuda a impulsar su productividad. Simplificar la gestión de la seguridad En la mayoría del software de seguridad, se hace referencia a la interfaz del usuario como consola de gestión. Así como los distintos relojes, luces e interruptores en el tablero de un auto, la consola debería darle una vista rápida de cómo está funcionando el producto, indicar cualquier problema del que deba estar al tanto y permitirle hacer ajustes. Suena bastante simple, pero algunos proveedores de software no hacen las cosas tan fáciles como podrían ser. 56 Algunos proveedores de software de seguridad esperan que sus clientes usen varias consolas
Compartir