A pesar de que las compañías aplican mecanismos de seguridad para mantener a los que las atacan lejos de sus redes, es probable que algunos consigan entrar. La gran mayoría de las empresas tienen implementaciones de distintas soluciones para proteger los datos que se encuentran distribuidos en diversos equipos, normalmente en la red corporativa, pero ahora con la gran cantidad de dispositivos móviles, la información crítica y sensible esta fuera del alcance de la protección perimetral y las políticas se seguridad interna. Ricardo Vera Falcón, director de Information Security Services, explicó al respecto que las empresas que tienen una estrategia concreta de seguridad han implementado diversas soluciones para evitar los ataques o el acceso de personas no autorizadas, como ser antivirus, antispam, firewall (tanto del perímetro como en las estaciones), VPNs para conexión segura, prevención de intrusos, etc., pero todo esto no es suficiente para nuestra realidad actual.
“Debemos partir de la premisa que nunca se debe considerar que tenemos una protección total. La realidad nos demuestra que hoy todo es tan dinámico que siempre se generan nuevos tipos de ataques, por lo tanto los administradores deben estar actualizados”, agregó.
Vera indicó que las capas de seguridad que complementan a las citadas más arriba son la autenticación robusta y la encriptación. Nos percatamos que la mayoría de las empresas locales tienen pendiente de implementar estos niveles de seguridad de la información, para garantizar la confidencialidad de los datos.
En ese sentido, mencionó que uno de los controles de seguridad de la información clave es la autenticación, que permite identificar efectivamente a quién intenta acceder a la información de sistemas. El mecanismo más tradicional, la clave ha demostrado a través del tiempo ser frágil para aplicaciones sensibles. Como respuesta surgió el concepto de autenticación robusta.
Todos los beneficios, en un solo lugar Descubrí donde te conviene comprar hoy
La autenticación robusta se encuentra basada en dos factores, que son una combinación de algo que uno sabe, algo que uno tiene o algo que uno es. Ejemplo: la autenticación del cajero automático requiere de la tarjeta (algo que uno tiene) y la clave (algo que uno sabe).
Actualmente se ofrecen diversas alternativas para cumplir con este nivel de seguridad, como ser los Tokens de Aladdin, el servicio de Verisign llamado Identity Protection, infraestructura de clave pública (basado en certificados digitales) o llaves electrónicas.
Con respecto a la capa de encriptación, el entrevistado señaló que se debe implementar una infraestructura de cifrado y autentificación capaz de mantener la seguridad de los datos, independiente donde se encuentre (estática en los discos de las notebooks, servidores, dispositivos USB; moviéndose por medio del correo electrónico o mensajería instantánea y las transacciones electrónicas).
“Hoy existe una amplia gama de aplicaciones individuales e integradas para asegurar la confidencialidad de datos corporativos. Se pueden cifrar emails, los discos de los notebooks, desktops, mensajería instantánea, smartphones, almacenamiento de red, transferencia de ficheros, procesos automatizados y backups. Además, es posible montar una infraestructura de administración centralizada de claves y directivas”, aseguró.
Finalmente, Vera resaltó que la seguridad y privacidad deben ser asuntos prioritarios para los responsables de TI hoy en día, siendo que cada vez más empresas y profesionales independientes utilizan soluciones móviles, principalmente laptops y/o notebooks, además los utiliza en viajes o reuniones fuera de la oficina, por lo tanto, el robo o pérdida es un riesgo muy alto para estos equipos, y casualmente son los que tienen los datos más críticos de las compañías.
“Es indispensable tener una estrategia concreta para proteger esos datos. En caso que estos equipos caigan en manos de extraños, encriptar discos, almacenamiento externo, correo electrónico, etc., es la tendencia del momento y exigida por normas internacionales para mantener la conformidad con el Estándar de Seguridad de Datos del Sector de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS)”, concluyó.