EN ESTE NÚMERO

El empleado, principal protagonista de los ataques informáticos
leer más »

Los usuarios de smartphones no son conscientes de los riesgos que tienen
leer más »

Cuáles son los beneficios de administrar adecuadamente el parque informático
leer más »

¿Cuánto cuesta a una firma un desastre en TI?
leer más »

¿Los activos digitales de su empresa están seguros?

Mantengase actualizado con las últimas novedades referidas a seguridad informática y prevención de incidentes visitando:

riesgosinformaticos.com.ar

El empleado, principal protagonista de los ataques informáticos

Cuando se habla de ataques informáticos, en líneas generales se menciona el accionar de hackers. Sin embargo, los riesgos a la seguridad de la información de una empresa son notoriamente más altos a nivel interno.

En este sentido, y tal como afirman los especialistas, “es aún mayor el daño que un empleado descuidado o un ex empleado herido puede ocasionar comparado con el que puede ejecutar un virus, un gusano o un exploit dirigido desde el exterior”. Al respecto, un estudio realizado recientemente por MaTTica ha concluido que el 80% de los casos de incidencias a la información se realiza desde el interior de la organización. “Además, la investigación pudo identificar que el 82% de estos casos son efectuados por empleados con dolo, es decir, con conocimiento de que están causando un daño a la empresa”, afirma Andrés Velázquez, Director de investigaciones digitales de MaTTica.

La situación en las pymes

La realidad indica que las medidas de seguridad informática que toman las grandes empresas difieren con respecto a lo que suceden en las pymes. Mauricio Heidt, Director Comercial de RH Pro, explica qué pasa en las pequeñas y medianas empresas: “Por lo general, este tipo de compañía no cuentan con mucha información expuesta. De hecho, la tienen muy concentrada en pocas personas y, en todo caso, lo que sucede es una “violación de confidencialidad” de la persona que maneja el dato, que luego ‘se filtra’ internamente.

Según Heidt, los tipos de ataques a la seguridad de la información más frecuentes que un empleado realiza contra una pyme son: Acceso a información a la cual no tiene autorización; Extracción de información para uso personal o profesional en futuros trabajos; Manipulación de datos de dinero para beneficio personal y exposición de la información confidencial para la organización.

En tanto, Pablo Silberfich, Socio de BDO Becher, agrega que también son numerosos los casos en los cuales “hay alteración de la información y uso indebido de infraestructura de la empresa con fines personales”.

¿Qué hacer?

Si bien la seguridad absoluta no existe, lo cierto es que pueden tomarse una serie de medidas tendientes a minimizar el riesgo de sufrir ataques internos. Existen en el mercado soluciones de software que permiten bloquear los dispositivos. También hay algunos que pueden discriminar entre información confidencial y aquella que no lo es para evitar la fuga.

Es importante destacar que no todos los ataques son voluntarios. Joel Bo, Gerente de Operaciones de Trend Argentina, señala que también los hay de tipo involuntarios: “En estos casos, el empleado es solo una víctima más, ya que carece de la capacitación adecuada sobre los riesgos que conlleva el uso de medios digitales y las buenas prácticas que deben tenerse en cuenta”. Por tal motivo, la concientización y un sistema de monitoreo, ajustado a las políticas de seguridad son -según Velázquez- las mejores medidas que pueden tomarse para asegurar la información empresarial.

En este punto, los expertos coinciden en señalar que las empresas deben definir una Política de Acceso a la Información correcta, y revisarla periódicamente para determinar si necesita mejoras. “Además, se deben implementar mecanismos de control de acceso a la información y hacer firmar contratos de confidencialidad con los empleados y proveedores”, acota Heidt.

Desde hace algún tiempo resuena en los medios la existencia de cursos de capacitación a empleados en seguridad informática, donde se explica cuáles son las debilidades del sistema y se enseña a reducir el umbral de vulnerabilidad en beneficio de la compañía. Si bien la mayoría de los expertos señala que estas jornadas son útiles para concientizar a los empleados, Silberfitch enfatiza que, para aumentar su efectividad debe proveerse de un plan de actualización y refresco continuo de los conocimientos ofrecidos a los empleados.

Bo señala que, a la hora de contratar a un proveedor que dicte tales capacitaciones, hay que tener en cuenta a qué tipo de público está dirigido “ya que la mayoría de los cursos se encuentran enfocados únicamente a los administradores de sistemas, posición que muchas veces ni siquiera existe en las pequeñas empresas, ya que optan por utilizar los servicios de administración de terceros (personal que usualmente solo visita la empresa algunas horas a la semana o cuando se presenta algún inconveniente especifico). En segundo lugar, la capacitación, aunque esté diseñada para los empleados, tiene un efecto que se va diluyendo en el tiempo. “Entonces la opción más adecuada se denomina concientización o “awareness”, que implica una combinación de cursos de capacitación y acciones on-site que ayudan al empleado a recordar las buenas prácticas en todo momento y establecen un sistema vivo, que permite actualizar dichas prácticas en la medida que es requerido por el dinámico escenario de riesgos que representan las amenazas informáticas”, detalla.

Últimos consejos

Antes de que su empresa sufra un ataque interno, los expertos entrevistados ofrecen una serie de recomendaciones para implementar ya mismo, tales como:

• Definir muy bien la organización y publicación de los archivos o sistemas en la red;
• Definir los perfiles de acceso a la información; Automatizar los procesos de desvinculaciones de los empleados de la organización;
• Determinar password “duros”;
• Obligar la renovación de contraseñas periódicamente;
• Auditar las políticas aplicadas y los accesos permitidos a cada usuario;
• Dejar pistas de auditoría de las acciones tomadas por el usuario;
• Tratar de evitar o limitar al mínimo el uso de discos de almacenamiento local en las PCs;
• Utilizar back-up encriptadas;
• y almacenar los back-up en forma replicada externamente.

(información publicada originalmente en la Revista EXpandIT)

Recuerde que en SCD Servicios Informáticos nos encontramos a su disposición para establecer la mejor política de seguridad informática adaptada a su presupuesto.

« volver al índice

Los usuarios de smartphones no son conscientes de los riesgos que tienen

A pesar de que el correo electrónico, Internet y la descarga de contenidos web sean algunas de las funcionalidades más utilizadas por los usuarios de smartphones, éstos no parecen estar muy preocupados ante la posibilidad de sufrir ataques de phishing o de páginas web maliciosas, tal y como concluye un estudio de Trend Micro.

Para los usuarios de smartphones, la pérdida o sustracción de su teléfono con información de contactos u otros datos personales es más alarmante que ser víctimas de amenazas web o ataques de phishing, según revela un informe de Trend Micro en el que han participado 1.000 usuarios de smartphones e iPhones mayores de 18 años.

De hecho, el 44% de los encuestados tiene la sensación de que navegar por Internet desde sus smartphones es tan seguro, si no más, como navegar desde su PC.

Según el informe, sólo el 23% de los usuarios de smartphones utiliza software de seguridad ya integrado en sus teléfonos inteligentes, mientras que uno de cada cinco considera que instalar un programa de software de seguridad en sus teléfonos no resulta muy efectivo, puesto que, en su opinión, el riesgo al navegar con un smartphone es limitado.

A pesar de este prejuicio, la mayoría de los usuarios de smartphones están familiarizados con los diferentes tipos de amenazas web que podrían infectar sus terminales y casi de la mitad de los encuestados han sido infectados por malware.

Según constata el informe, el 80% de los usuarios sabe en qué consiste y el 20% de los mismos se han encontrado con algún fraude de phishing, que está diseñado para que las víctimas proporcionen información de su ID, números de cuentas, nombres y claves respondiendo a mensajes de email.

El spam, por su parte, representa otra amenaza muy frecuente para los usuarios de estos dispositivos, casi la mitad de los encuestados han recibido spam en sus teléfonos en los últimos tres meses, y el 17% afirma que el número de spam en sus correos electrónicos se ha incrementado. Por otro lado, la mitad de los participantes en el estudio reconocen haber abierto los archivos adjuntos en el email desde su smartphone durante el último mes, mientras que casi el 40% ha hecho clic en el link de la URL recibida en el email desde su teléfono.

No sea la próxima víctima de un ataque a su dispositivo móvil y proteja correctamente la información valiosa que almacena en el mismo. Consúltenos y recibirá el mejor asesoramiento sobre las buenas prácticas para evitar dichos inconvenientes.

« volver al índice

Cuáles son los beneficios de administrar adecuadamente el parque informático

En los actuales momentos de crisis económica global, contar con una adecuada gestión en la administración de los activos de la empresa, permite obtener importantes ventajas en el entorno tecnológico. Además, ofrece un retorno de inversión adecuado y fomenta la productividad del negocio.

IT Asset Management (ITAM) o Sistemas de Control de Inventario, son un grupo de herramientas que permiten llevar un registro completo, una “fotografía” en línea de todos los elementos del parque informático de una empresa. Asimismo, brindan un control en los cambios del mismo y sus tendencias diarias. Además, ofrecen a los usuarios internos, una mesa de ayuda oportuna y rápida, ante eventuales problemas, reduciendo los tiempos de respuesta y aumentando, no solo el control de los equipos de cómputo, sino su estabilidad a favor de una mayor productividad y eficiencia del funcionario, entre otras oportunidades. En este orden, se pronostica que durante los próximos cinco años, habrá una penetración de estas soluciones en el mercado regional cercana al setenta por ciento.

De igual forma, los departamentos de IT logran el control total del software instalado en todos los computadores de la empresa, permitiendo reconocer el que no está autorizado, el software malicioso y más importante aún, las tendencias reales de uso de cada aplicativo que aportarán a la toma de futuras decisiones sobre compras o reasignaciones.

Oportunidades de ayuda

Definitivamente, en los actuales momentos hay que pensar en cómo las inversiones ofrecen más beneficios a las organizaciones, de esta manera, al implementar soluciones de este tipo, los departamentos de IT y las organizaciones en general, se pueden beneficiar de muchas formas, entre ellas, y basados en la experiencia de algunas compañías regionales que las han implantado, tenemos:

Este tipo de solución permite tomar decisiones más precisas con relación a la inversión que se realiza en tecnología. Ya no solo se adquiere tecnología porque sí, los sistemas de control de inventario permiten medir las necesidades reales de una empresa y garantizan su seguimiento y control.

Del anterior beneficio se desprende que las organizaciones adquieren tecnología a la medida. A cada funcionario se le asigna, no lo que quiere o lo que se puede, sino lo que su ocupación dentro del negocio exige, lo cual marca el horizonte real del negocio.

Los ahorros son substanciales y comprobables, ya que no se realizan inversiones innecesarias. Todo se puede medir y cuantificar sin ser intrusivos en el trabajo normal dentro de las empresas.

Otro beneficio clave, es que un buen sistema de control de inventario, ayuda a la seguridad de las compañías, ya que se cuida la inversión realizada, debido a la capacidad de estas soluciones de poder auditar el buen uso de los recursos informáticos.

Además, cuida frente a eventuales problemas legales, ya que se monitorea la instalación de software ilegal y la incidencia de programas que puedan afectar las condiciones normales de ejecución de los procesos o poner en riesgo la valiosa información.

En concreto, frente a la mesa de ayuda que ofrece la solución, podemos decir que mejora los tiempos de respuesta, permite una atención inmediata y ayuda a la interacción del usuario con el servicio, ya que se puede seguir, calificar y cuantificar el servicio de soporte.

Oportunidades de negocio

La tecnología debe ser un potenciador de nuevos negocios, no solo un implemento de ayuda. En este orden, con relación a las herramientas de control de inventario, se puede afirmar que permiten una asignación adecuada de los recursos, atención en su orden más crítico, lo que ofrece efectivos procesos de solución y atención al usuario externo. Algunas compañías han logrado incrementos en su productividad destacados, que las reafirmaron en su mercado y con sus clientes.

Finalmente, vale la pena destacar la importancia de contar con soluciones de esta naturaleza, que permiten controlar la gestión al administrar los activos de una empresa, y ofrecen beneficios a nivel seguridad, inversión y proyectan los diferentes negocios, “en este sentido, muchas de la empresas que han implementado soluciones como las que ofrece LeverIT, han logrado certificaciones que posicionan sus marcas en el mercado y han aumentado su productividad, responder a tiempo a exigencias de seguridad, han descongestionado las tareas de soporte que les ha permitido encaminar recursos que ahora se dedican a generar nuevas oportunidades de negocios.

Claves para elegir

Al seleccionar una solución de administración de inventario, es importante tener en cuenta:

• Que ayude a hacer un conteo correcto del recurso (equipos, contenidos y programas) sin duplicar elementos.
• Debe estar preparado para la dinámica del inventario. Y seguir el ritmo de todo en su ciclo de vida. Debe crecer o cambiar según la realidad y necesidades de la infraestructura tecnológica.
• No debe generar ruido, debe ser una solución muy silenciosa en el sistema, no ser invasiva para el usuario.
• Este tipo de soluciones normalmente llegan a funcionar sobre infraestructuras ya congestionadas. Es importante que utilicen entonces el mínimo recurso posible sin afectar la capacidad del mismo.
• Que su implementación se pueda realizar sobre el recurso ya existente y no cause traumatismos o exigencia de mayores de recursos.
• Verifique los alcances y limites de crecimiento de las soluciones, la capacidad para crear nuevas soluciones y adecuar las que vienen por defecto sin intervención del fabricante. Creación y modificación de reportes, vistas asignables a administradores o distintos perfiles, nuevas tablas de información, tareas inteligentes, alarmas, entre otros.
• La solución debe permitir evaluaciones en demo completas, para comprobar su correcto funcionamiento sobre la infraestructura en producción y evaluar costos ocultos. Compruebe en los demos todo lo que la publicidad de las soluciones ofrece. Haga un listado de sus objetivos a cumplir en cuanto a informes e indicadores y revise cómo la solución cubre y cumple cada uno de ellos.

En SCD Servicios Informáticos SRL estamos a su servicio para proveer la mejor solución de administración de su parque informático.

« volver al índice

¿Cuánto cuesta a una firma un desastre en TI?

Si su empresa se queda sin email, la pérdida por el tiempo de inactividad podría ser de hasta unos US$1.000 por hora.

Pero si el desastre impacta aplicaciones como bases de datos, servidores Web, entre otras, el costo por un incidente podría representar cientos de miles de dólares, según revela un estudio sobre “Recuperación de Desastres” presentado por Symantec.

Según la investigación, las compañías están invirtiendo más en recuperación de desastres, aunque siguen siendo vulnerables en los entornos virtuales y de pruebas. Además, se espera que los presupuestos del sector permanezcan igual en los próximos años, lo cual requiere que los profesionales produzcan más resultados con el mismo o menor presupuesto.

Según el resultado de la encuesta, realizada en 24 países, el costo promedio de ejecutar / implementar los planes de recuperación de desastres para cada incidente de inactividad a nivel mundial es de US$287.600. En promedio, en Brasil y México, el costo por cada incidente de inactividad puede alcanzar los US$297.500. Sin embargo, a nivel mundial, el costo promedio por un incidente es más alto para las organizaciones de servicios financieros y de salud; en América del Norte, el costo promedio para las instituciones financieras es de US$650.000.

Los encuestados también informaron que después de un corte de luz o energía eléctrica se gastan en promedio tres horas para realizar operaciones básicas y cuatro horas para operar óptimamente. Esta situación mejoró notablemente en comparación de los resultados del estudio de 2008 cuando solamente 3% de los encuestados reportó que podía realizar operaciones clave en 12 horas y 31% creía que tendría operaciones básicas en un día.

“El elevado costo de la inactividad pone mayor énfasis en el negocio, lo que significa más presión en las divisiones de TI”, dijo Rob Soderbery, vicepresidente senior del Grupo de Administración de Disponibilidad y Almacenamiento de Symantec.

La investigación muestra que, a nivel global, el presupuesto anual promedio para iniciativas de recuperación de desastres es de US$50 millones, lo cual incluye actividades como: respaldos, clustering, archivado, servidores de reserva, réplicas, cinta, servicios, desarrollo de planes de recuperación de desastre y costos externos en los centros de datos.

De acuerdo con los encuestados, esta cifra continuará creciendo en el 2009, aunque más de la mitad (52%) cree que los presupuestos seguirán igual en el 2010, lo cual representa un desafío para que las organizaciones de TI utilicen mejor recursos como el hardware, software y maximicen la productividad de su personal.

Otros hallazgos

El estudio también encontró que, a nivel mundial, más de la mitad de los encuestados estima que la falta de herramientas de administración de almacenamiento es el mayor desafío de la protección de datos y aplicaciones de uso crítico en entornos virtuales.

Además, la limitación de recursos como el personal, el presupuesto y el espacio son los principales retos de los respaldos de equipos virtuales, lo que sugiere que se necesita mayor automatización y capacidad para utilizar las inversiones de TI actuales para reducir costos.

Recomendaciones

Como la falta de recursos continúa siendo un problema, las empresas pueden disminuir los costos al implementar más herramientas de automatización que minimicen la implicación humana y que hagan frente a otra de sus debilidades en sus planes de recuperación de desastres.

Puesto que la evaluación de la recuperación de desastres es invaluable y puede afectar significativamente a la empresa, las organizaciones deben buscar caminos para mejorar el éxito de evaluación mediante la prueba e implementación de métodos de evaluación que no sean perjudiciales.

Finalmente, es importante que las organizaciones incluyan a los responsables de la virtualización en el desarrollo de los planes de recuperación de desastres, especialmente en las iniciativas de evaluación y de respaldos.

Ninguna organización está exenta de un infortunio informático, por eso desde SCD Servicios Informáticos SRL estamos a disposición de las PYMES para asegurarles la continuidad de su negocio de acuerdo a su presupuesto.

« volver al índice