Un hacker en tu compañía.
Lo que suena como la peor pesadilla, puede ser la real solución a los problemas de seguridad informática de muchas empresas: un asesor cuyos conocimientos tecnológicos son tan específicos y de punta, que puede identificar las mayores vulnerabilidades de los sistemas operativos de ese negocio. Aquellas que podrían generar el peor impacto financiero, operacional o de reputación. Incluso hacerlo desaparecer.
Son tres los factores que se deberían proteger en una organización. El primero de ellos es el hecho que la información esté disponible cuando la necesitamos. El segundo consiste en velar para que aquella que es considerada sensible, en realidad sea confidencial. Por último, es fundamental que cualquier información que es modificada y enviada de un sistema a otro, sólo pueda ser alterada por personas autorizadas. “En toda corporación hay información que si sale a la luz pública o es conocida por cualquier persona fuera del círculo confidencial, podría generar un impacto muy negativo en el negocio”, explica Irwin Samos, gerente del área Consulting de Widefense,
A eso se suma que hoy, nuestros sistemas informáticos ya no se quedan bajo llave en la oficina. Los llevamos en el bolsillo o maletín en forma de Tablet o Smartphone. Nuestra más valiosa información puede estar ahí, o en un servidor o una solución en la nube.
¿Cómo protegernos?
Hay muchos niveles de riesgo: un impacto menor podría ser, por ejemplo, que un atacante descubra el sistema operativo que poseemos, si tiene o no alguna base de datos o si posee algún servicio publicado. Otras vulnerabilidades mayores permitirían a un hacker lanzar un ataque dirigido tan severo que deje colgado a un sistema informático, haciendo que deje de funcionar por completo. Irwin Samos explica que Widefense cuenta con la metodología adecuada para preparar a sus clientes ante todas esas eventualidades.
Paso 1: Evaluación.
Para conocer el eslabón más débil de la organización, lo primero es evaluar a cabalidad sus sistemas informáticos. Lo más común es hacer un “Análisis de Vulnerabilidades” y hasta existen herramientas gratuitas que lo ofrecen, pero hay que tener cuidado, pues suelen limitarse a escanear los sistemas, compararlos con una base de datos de debilidades e indicar a cuál sistema ellas podrían afectar. Widefense ofrece un análisis que promete ir mucho más allá: “Nos especializamos en algo que llamamos ‘Ethical Hacking’, usando una metodología propia que reúne varias metodologías reconocidas en el mundo. Con ella logramos una radiografía completa sobre qué tan débil es el sistema informático que estamos evaluando y si esas vulnerabilidades encontradas se pueden explotar o son falsos positivos”.
Paso 2: Planificación
En esta etapa, lo que hace Widefense es dividir por categorías todas las debilidades que se han encontrado, según el impacto que puedan tener en un sistema informático. “Acá uno tiene que preguntarse dónde se centrarán los primeros esfuerzos y, obviamente, debe ser en las debilidades de alto impacto que se han encontrado. Para enfrentarlas se realiza un plan de trabajo y se dan recomendaciones sobre qué pasos seguir, ya sea para mitigarlas o remediarlas. Y aquí hay que hacer una diferencia. Mitigar significa que posiblemente no exista una remediación como tal, porque ésta implicaría cambios en la configuración del sistema que puedan ponerlo en peligro de no funcionar correctamente. Pero eso no implica dejarlo vulnerable, sino tomar una medida para no ser explotada. Y eso significa mitigación. Cuando eliminamos por completo la vulnerabilidad, entonces podemos hablar de remediación. Sobre eso se hace la planificación para asegurar los sistemas informáticos”, indica Samos.
Paso 3: Diagnóstico.
En esta fase se vuelve a hacer un análisis, pero más dirigido, pues ya se conocen los riesgos de los sistemas informáticos estudiados. Continúa Samos: “Entonces lanzamos un ‘Ataque Ético’ al cliente, que no busca causar daño sino ver, realmente, si se remediaron y mitigaron esas debilidades. Si es así, se emite un informe en donde se señala de 1 a 100, por ejemplo, cuál es el nivel de riesgo que sufre”.
Paso 4: Plan Estratégico de Corto, Mediano y Largo Plazo.
Esta etapa considera la tecnología, personas, infraestructura física y los procesos y procedimientos de negocio. “Existen dos tipos de personas –indica Samos- las que administran los sistemas informáticos y las que son usuarios de ellos. Uno de nuestros desafíos, además de proteger la tecnología, es proveer la cultura de seguridad a todas esas personas para que conozcan las mejores prácticas en seguridad informática. Así, se elabora un plan estratégico a corto, mediano y largo plazo, tendiente a proteger la información”.
El lema: Widefense se encarga de la seguridad de las organizaciones, mientras las organizaciones se encargan de su negocio. “Esto significa que durante la implementación de las distintas medidas de seguridad hacia los sistemas informáticos, personas, infraestructura física y procesos de negocio nosotros vamos a estar, permanentemente, asesorando y guiando al cliente“, finaliza Samos.