ab L y k s r e p a K e d a í orte s c r o p , s a s e r p m e Para pequeña s
a l o o d n a c c i i f f i i l l p m i i S a c c i i t á m r r o o f n i d a d d i i r u g r eg u s e
De la mano de
Georgina Gilmore Peter Beardmore
Accerc A rca a de Kap ape ers rsk ky La Lab b Kapersky Lab es el mayor proveedor privado del mundo, para soluciones de protección de punto final. La compañía se encuentra entre los cuatro líderes mundiales de soluciones de seguridad para usuarios del punto final*. A lo largo de sus más de 15 años de historia, Kapersky Lab ha sido siempr siempre e una empresa innovadora en seguridad informática, proporcionando efectivas soluciones de seguridad digital para grandes empresas, negocios de mediano y pequeño tamaño y usuarios. Actualmente, Kapersky Lab opera en casi 200 países y territorios de todo el planeta, ofreciendo protección a más de 300 millones de usuarios de todo el mundo. Más información en www.kaspersky.ru/business * La empresa ocupó el cuarto puesto en el International Data Corporation’s Worldwide Endpoint Security Revenue by Vendor 2011. El ranking se publicó en el informe IDC “Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares” Shares” (IDC #235930, Julio 2012). Este informe elaboró un ranking de proveedores de software de acuerdo a los beneficios obtenidos por ventas de soluciones de seguridad de punto final en 2011.
Simplificando la Simplificando seeguridad informática s
Kaspersky Lab Edición Limitada
Simplificando la Simplificando seeguridad informática s
Kaspersky Lab Edición Limitada De Georgina Gilmore y Peter Beardmor Beardmore e
Simplificando la seguridad informática para Dummies ®, Kaspersky Lab Edición Limitada Editado por
John Wiley & Sons, Ltd The Atrium, Southern Gate Chichester, West Sussex, PO19 8SQ Inglaterra Si desea información sobre cómo crear un libro Para Dummies a medida para su negocio u organización, pónganse en contacto con
[email protected]. Para información sobre la concesión de licencias de productos o servicios de la marca Para Dummies, póngase en contacto con
[email protected] . Visite nuestra página web www.customdummies.com Copyright © 2014 by John Wiley & Sons Son s Ltd, Chichester, West West Sussex, Inglaterra Reservados todos los derechos. Queda prohibida la reproducción, almacenaje en sistemas de recuperación o transmisión en toda forma o por cualquier medio o soporte (bien electrónico, mecánico, fotocopia, grabación, escaneado o cualquier otro, salvo excepción prevista en las condiciones de la Ley Anglosajona de Derechos de Autor, Diseños y Patentes de 1988 [Copyright, Designs and Patents Act 1988] o de conformidad con los términos y condiciones de licencia expedida por la agencia Copyright Licensing Agency Ltd, 90 Tottenham Court Road, London, Lon don, W1T 4LP, 4LP, Reino Unido, sin el permiso escrito de la Editorial. Toda solicitud deberá dirigirse al Permissions Department, John Wiley & Sons, Ltd, The Atrium, Southern Gate, Chichester,, West Sussex, PO19 8SQ, Inglaterra o por correo electrónico a permreq@ Chichester wiley.com , o por fax al número (44) 1243 770620. Wiley,, logotipo Wiley Publishing, For Dummies, logotipo Dummies Man, Marcas: Wiley A Reference for the Rest of Us!, The Dummies Way Way,, Dummies Daily, The Fun and Easy Way ay,, Dummies.com y diseños comerciales relacionados, son marcas comerciales co merciales o marcas registradas de John Wiley & Sons, Inc. y/o sus socios en los EE. UU. y otros países, y no podrán utilizarse sin previa autorización escrita. El resto de las marcas comerciales son de titularidad de sus respectivos propietarios. Wiley Publishing, Inc., no está asociado con ningún producto o proveedor referido en el presente libro.
LIMITACIÓN DE RESPONSABILIDAD/RESTRICCIÓN DE GARANTÍA: LA EDITORIAL, EL AUTOR Y CUALQUIER OTRA PERSONA INVOLUCRADA EN LA PREPARACIÓN DE LA PRESENTE OBRA NO MANIFIESTAN O GARANTIZAN LA EXACTITUD NI LA COMPLETITUD COMPLETIT UD DEL CONTENIDO DE LA MISMA Y, MÁS CONCRETAMENTE, RESTRINGEN TODA GARANTÍA, SIN LIMITACIÓN, GARANTÍAS ACERCA DE LA IDONEIDAD. NO SE CONSTITUIRÁ O AMPLIARÁ GARANTÍA ALGUNA POR VENTAS O MATERIALES PROMOCIONALES. EL ASESORAMIENTO Y ESTRATEGIAS INCLUIDOS AQUÍ PUEDEN NO SER LOS ADECUADOS PARA PARA CADA SITUACIÓN. LA PRESENTE OBRA SE VENDE ENTENDIENDO QUE LA EDITORIAL NO SE ENCARGA DE FACILITAR SERVICIOS JURÍDICOS, CONTABLES O DEMÁS SERVICIOS PROFESIONALES. SI SE NECESITARA ASISTENCIA PROFESIONAL, DEBERÁN CONTRATARSE CONTRAT ARSE LOS SERVICIOS DE UN PROFESIONAL PROFESI ONAL COMPETENTE. COMPETENT E. NI LA EDITORIAL NI EL AUTOR SERÁN RESPONSABLES EN CONCEPTO DE DAÑOS Y PERJUICIOS DERIVADOS DEL PRESENTE. EL HECHO DE QUE SE HICIERA MENCIÓN A UNA ORGANIZACIÓN O SITIO WEB EN LA OBRA, BIEN MEDIANTE CITA CITA O COMO POSIBLE FUENTE DE INFORMACIÓN AMPLIADA, NO SIGNIFICA QUE EL AUTOR O LA EDITORIAL ENDORSAN LA INFORMACIÓN QUE DICHA ORGANIZACIÓN O SITIO WEB PUDIERAN FACILITAR NI SUS RECOMENDACIONES. ADEMÁS, LOS LECTORES DEBERÁN SERVIRSE NOTAR QUE LOS SITIOS WEB CONSIGNADOS EN LA OBRA PUEDEN HABER CAMBIADO O DESAPARECIDO DESAP ARECIDO EN EL PERIODO ENTRE LA ELABORACIÓN DE LA OBRA Y SU LECTURA. Wiley también edita sus libros en una variedad de formatos electrónicos. Es posible que el contenido impreso no se halle disponible íntegramente en los libros en formato electrónico. ISBN: 978-1-118-84817-3 (tapa blanda); 978-1-118-84816-6 (libro electrónico) Impreso y encuadernado en Gran Bretaña por Page Bros, Norwich.
Introducción
B
ienvenidos a Simplificando la seguridad informática para dummies, dummies, su guía informativa de algunos de los retos de seguridad informática a los que se enfrentan actualmente las empresas de cualquier tamaño, en un mundo conectado a la Red. Lleno de consejos prácticos e indicaciones, la finalidad del presente libro es la de ayudar a su empresa a garantizar la seguridad de la información de carácter confidencial, para así no incurrir en sanciones reglamentarias o legales o evitar que la reputación de su empresa se vea perjudicada. Aunque los logros informáticos informáticos de la última década han ayudado a los empresarios a recortar recortar gastos, a estimular su eficacia y a ofrecer aún mejores mejores niveles de atención al cliente, son esas mismas tecnologías las que dejan la puerta abierta a los ataques de piratas informáticos contra empresas inocentes. inocentes. Las empresas en general deben concienciarse más que nunca de los riesgos y de cómo prevenirlos, incluso aquellas empresas empresas que consideran que no tienen información confidencial que proteger... proteger... Y es por eso que hemos escrito este libro.
Accerca de este libro A Aunque pequeño, el libro está repleto de información para ayudar a empresas en ciernes a establecer la mejor forma de proteger proteger información confidencial, incluida la información delicada relativa a sus clientes, y cómo proteger sus ordenadores ordenadores y dispositivos móviles contra virus, ataques malintencionados y demás.
2 Toda organización, de la más pequeña a la más grande, Toda se encuentra en peligro peligro ante los métodos sofisticados que utilizan los piratas informáticos con el fin de acceder a datos confidenciales y robar dinero dinero de las cuentas bancarias de la empres empresa. a. Mientras que las grandes multinacionales pueden permitirse contratar equipos de especialistas en seguridad informática, es posible que otras más pequeñas no cuenten con equipos de seguridad informática internos. Si Simp mpli lifi fica cand ndo o la se segu guri rida dad d in info form rmát átic ica a para pa ra du dumm mmie iess se propone ayudar a las empres empresas, as, concienciándolas de lo siguiente: ✓
✓
✓
✓
Por qué prácticamente todas las empresas cuentan con información confidencial que deben proteger. Variedad y carácter de los peligros de la seguridad de la información. Medidas sencillas y gratuitas que ayudan a las empresas a proteger datos confidenciales. Productos Produ ctos de fácil uso que pueden mejorar considerablemente la seguridad de la información.
Su S uposiciones obvias A fin de garantizar que este libro le facilite la l a información que necesita, hemos presupuesto lo siguiente sobre Vd.: ✓
✓
✓
La empresa de la que es propiet propietario, ario, administrador o empleado utiliza ordenadores ordenadores portátiles, de sobremesa sobrem esa y/o dispositivos móviles. Tiene que asegurarse de que su empresa no infringe ninguna de las normativas sobre sobre la seguridad de la información. Desea garantizar la confidencialidad de la información confidencial de su empresa.
3 ✓
✓
✓
Le gustaría aprender a prevenir ataques de piratas informáticos que afecten a sus actividades cotidianas. Igual se está planteando el almacenamiento de parte de la información empresarial en la nube. Le gustaría recibir consejos prácticos sobre cómo elegir software de seguridad informática que se ajuste a su empresa.
Cómo está organizado el libro Simpli Simp lifi fica cand ndo o la se segu guri rida dad d in info form rmát átic ica a pa para ra du dumm mmie iess se divide en seis capítulos concisos pero rebosantes rebosantes de información: ✓
✓
✓
✓
✓
Capítulo 1: ¿Por qué necesitan proteger proteger la información confidencial todas las empresas? Explicamos las dificultades, si se cree estar seguro erróneamente. Capítulo 2: ¿Cuáles son las necesidades de su empresa? Aunque todas las empresas necesitan seguridad, este capítulo se plantea la variedad de los posibles requisitos de seguridad. Capítulo 3: Descubrimos Descubrimos la verdad acerca acerca de las amenazas a la seguridad. Descubra por qué la informática actual es más compleja y el peligro para las empresas es mayor. Capítulo 4: Para una mejor información, planificación. Evaluamos los riesgos y, así, aseguramos que su empresa sabe cómo evitarlos. También ofrecemos algunas indicaciones sobre cómo almacenar información de forma segura en la nube. Capítulo 5: Elección de software software de seguridad apto productos en el para su empresa. Con tantos productos mercado, explicamos los factores factores que le pueden ayudar en la elección correcta.
4 ✓
Capítulo 6. Diez preguntas que le ayudarán a identificar cómo proteger a su empresa. Utilice las preguntas como como lista de colación útil a la hora de plantearse lo que necesita para proteger a su empresa.
Iconos utilizados en el libro A fin de facilitarle la localización de la información que necesita, los siguientes iconos destacan el texto clave: JO S E N O
El blanco dirige su atención a consejos de primera calidad.
C
RDA
U E C E R
NC I IA
R T E
E V D
A ¡
El icono de cordel cordel anudado anudado destaca destaca información importante a tener en cuenta. !
¡Atento a estas estas posibles trampas!
¿Y ahora qué? Pues puede consultar el presente libro tantas veces como lo desee o leérselo de portada a contracubierta. ¡Se lee muy rápidamente! Elija lo que elija, estamos seguros que los consejos aquí incluidos le resultarán de mucha utilidad para la protección de la información, y otros datos valiosos de sus clientes, los cuales su empresa almacena y procesa.
Capítulo 1
¿Por qué todas las empresas necesitan proteger proteger la informaciónn confidencial? informació En el presente capítulo ▶ Examinamos la carga adicional para la pequeña empresa ▶ Cómo proteger esa preciada información empresarial ▶ Prevención contra el peligro de sentirse seguro
equivocadamente ▶ Y por qué los ciberdelincuentes ciberdelincuentes atacan a empresas de cualquier tamaño
E
n este primer capítulo examinaremos algunas de las razones por las cuales las empresas se ven expuestas a riesgos que afectan a la seguridad de la información, y de por qué no es aconsejable echar tierra encima de esos problemas de seguridad.
Las empresas se ven atacadas En la era de la información, información, conocer es poder. poder. La información que dispone su empresa, bien sean conocimientos técnicos o sobre productos y clientes, es vital para el éxito continuado de la misma. Si no pudiera acceder a parte de esos valiosos datos, el funcionamiento diario de la empresa se vería afectado. O peor todavía, ¿cuáles serían las consecuencias si esa información cayera
6 en las manos equivocadas, en manos de un delincuente? Además, ¿qué pasaría si un delincuente pudiera acceder a sus ordenadores ordenadores y robar los datos de las cuentas bancarias de su empresa? ¡Ostras! Lamentablemente, empresas de cualquier tamaño se ven atacadas por ciberdelincuentes que emplean gran variedad de métodos para interrumpir las operaciones empresariales, acceder a datos confidenciales y robar dinero. En muchos de los casos la empresa víctima puede no darse cuenta del ataque..., hasta que es demasiado tarde.
Ciberdelincuencia Ciberdelincue ncia y ciberdelincu ciberdelincuentes entes Los delincuentes siempre han sabido dar con nuevas oportunidades para explotar toda debilidad y sacar provecho económico a expensas de terceros. Bien se trate de una cerradura endeble en la ventana de una oficina o una alarma contra ladrones fácil de neutralizar, los delincuentes no pasan por alto oportunidad alguna de sacar provecho de cualquier punto débil. Ahora bien, en el mundo de hoy en día siempre conectado a la Red, ha surgido de las profundidades tenebrosas un nuevo tipo de delincuente, el ciberdelincuente. La ciberdelincuencia cubre un amplio abanico de actividades delictivas que se llevan a cabo mediante sistemas informáticos informáticos y/o la Red. No se debe hacer caso omiso de la amenaza que supone la ciberdelincuencia ciberdelincuenc ia ya que, de esa manera, manera, las empresas se lo ponen más fácil a los ciberdelincuentes. Los ciberdelincuentes están muy bien organizados y poseen grandes habilidades para desarrollar modos sofisticados de atacar a los ordenadores de una empresa, acceder a la información confidencial y robar dinero. A menudo el botín económico es considerable…mientras que el coste de montar el ataque puede ser muy reducido. reducido. Esto ofrece ofrece tal rentabilidad rentabilidad que otros tipos tipos de delincuentes solo pueden soñar con ella. Por ello, el volumen de ciberdelitos sigue en aumento.
7
Cuanto menor la empresa, Maayor la presión M Las pequeñas empresas se enfrentan a diario y en muchos sentidos a casi todos los retos a los que se enfrentan las grandes compañías. Y, Y, además, una multitud de dificultades adicionales. Las empresas tienen que encontrar constantemente formas de responder a las condiciones de un mercando cambiante y de responder a la actividad de la competencia, a la vez que deben ir un paso por delante de las necesidades y preferencias de sus clientes. Además, a la vez que lidian con todos esos factores, la mayoría de las entidades en expansión expansión deben abordar abordar una serie de problemas que van surgien surgiendo do conforme la empresa va creciendo. Esas dificultades pueden incluir las siguientes: ✓ Descubrir el modo de superar un creciente número de clientes y mayores ingresos. ingresos. ✓ Contratación y formación de empleados adicionales de forma regular para que estos se encarguen del incremento en la demanda. ✓ Búsqueda de locales más grandes y organización del traslado, sin interrupción de las operaciones diarias. ✓ Garantizar financiación adicional de cara al crecimiento de la empresa. ✓ Aumento de las delegaciones. ✓ Reservar tiempo para considerar aquello por lo que las grandes empresas ni se preocupan; por ejemplo, cómo proteger los datos de los clientes. clientes. Todas las tareas referidas son necesarias con el objeto de garantizar que la empresa funcione de forma eficaz y que esté preparada para las siguientes fases de crecimiento.
8
¡N ¡ No me corresponde! Luego, tenemos la variedad de responsabilidades de las cuales los fundadores y empleados deben ocuparse. Desde su inicio, trabajar para una empresa pequeña, a título individual o en un grupo reducido de personas muy motivadas, significa por lo general que «todos deben mojarse» y ocuparse de una amplia gama de tareas, más de lo que pudieran haber experimentado en empleos anteriores. Normalmente, no hay equipos de RR. HH., departamentos jurídicos ni personal informático especializado de los que se pueda echar mano. Para que su empresa tenga éxito, todos tendrán que ser algo más que todólogos. Usted y sus compañeros de trabajo saben que deben hacerse expertos en todo aquello que suponga el funcionamiento de la empresa. Sí, personal especializado puede contratarse por horas, pero eso cuesta mucho dinero. Cada dólar, libra, euro o yen que se gaste en actividades periféricas, limita la inversión en otras áreas áreas vitales e incluso puede que ralentice el crecimiento de la empresa.
¿Y por qué es tan importante lo de la informática? Para la mayoría de las empresas, la idea de intentar funcionar sin cosas tan básicas como portátiles es casi impensable. Incluso si tomamos la informática solo como un medio que conduce a un fin, es un instrumento clave que permite impulsar la eficiencia del negocio negocio y mejorar la interacción con los clientes, empleados y proveedores. proveedores. Pero la informática debe estar al servicio de la empresa, y eso significa que tiene que ser fácil de instalar y administrar. De modo parecido, todo software de seguridad que proteja los ordenadores ordenado res e información confidencial de la empresa, tiene que ser fácil de usar.
9
¡EEs la ley de la jungla! ¡ Aquellas empresas que consideran la informática como un mal necesario son las que, seguramente, opinarán lo mismo a la hora de proteger la información almacenada en esos ordenadores. ordenado res. Esa opinión es totalmente comprensible si la informática no es su punto fuerte. No obstante, lo triste es que nunca había sido tan importante como ahora la seguridad en materia de información empresarial, para empresas de cualquier tamaño. Con el elevado nivel de riesgo actual y los ciberdelincuentes que utilizan la conexión a la Red, frecuentemente para infiltrarse en los ordenadores de la empresa, nadie puede permitirse el pasar por alto la seguridad. Aunque su empresa implantara solamente una serie de medidas preventivas, tales precauciones podrían servir para ahorrarle muchos quebraderos de cabeza y gran cantidad de dinero. RDA
U E C E R
NC IA ! R T E I E V
D
A ¡
Es totalmente normal considerar la seguridad informática y la seguridad de los datos como males necesarios, siempre siempre y cuando se haga énfasis en lo de «necesario». Por tanto, lo de un «mal» es tan solo un recordatorio del tipo de ciberdelincuentes que lanzan ataques contra empresas inocentes. Un comerciante minorista ni soñaría con dejar la caja registradora abierta para que cualquier caco deambulante que pasara, pasara, se llevara un puñado de billetes. De manera similar, similar, toda empre empresa sa que haga uso de ordenadores, dispositivos móviles o de Internet tiene que asegurarse de que su sistema informático no está expuesto a posibles ataques. Es sumamente fácil convertirse en la víctima involuntaria de un ciberdelincuente que ataca los puntos débiles y ocultos de la seguridad informática de sus portátiles, tabletas y teléfonos inteligentes. Por tanto, tiene que hacer todo lo posible para
10 asegurarse de que los ciberdelincuentes no puedan sustraer información confidencial o robar de sus cuentas bancarias en línea.
Un poco de seguridad da mucho de sí La diferencia entre no hacer nada y adoptar sencillas medidas de seguridad puede ser abismal. En primera instancia, tan solo algunas medidas básicas serán suficientes para hacer que el ciberdelincuente se vaya en busca de otra víctima más fácil y le deje en paz. El gráfico le muestra cómo, con un poco de inversión en seguridad, puede reducir de forma drástica la posibilidad de un ataque de malware con éxito. Invertir para proteger
e r a w l a m l e d o t i x é e d a s a T
Según su empresa aumenta la inversión en seguridad, las posibilidades de infección por malware se ven reducidas exponencialmente
Inversión en seguridad
11
La seguridad no debería reducir la marcha dee su empresa d ¡El tiempo es oro! Bien, ya lo hemos dicho. Es un cliché, por supuesto, pero es verdad. Toda Toda actividad periférica que le distraiga de la principal actividad empresarial que le genera ingresos, le cuesta tiempo, oportunidades y dinero. Ante todo, ser hábil y estar centrado le ha brindado la oportunidad de establecerse en los negocios y, y, por eso, lo último que necesita es que la seguridad informática se interponga en el camino de su espíritu emprendedor (por importante que pueda ser dicha seguridad informática). Todo aquello que le haga reducir la velocidad, podría significar que pasa menos tiempo en las actividades clave que le proporcionan una ventaja competitiva y le ayudan a impulsar su empresa hacia delante. Un planteamiento erróneo ante la seguridad informática y las tecnologías de protección no aptas, podría hacer que su labor empresarial se viera entorpecida por aquello que se supone tiene que ayudar a defenderla.
Sii se lo pone muy fácil a los ciberdelincuentes S Debido a las preocupaciones relativas a la complejidad y el rendimiento, no es de sorprender que haya tantas pequeñas empresas que hagan caso omiso de la seguridad informática. Sin embargo, aunque las empresas pequeñas y aquellas en ciernes podían permitirse el lujo de tener esa actitud hace unos años, los niveles actuales de ciberdelincuencia indican que no es un buen consejo a seguir. seguir. A esto hay que añadir que los ciberdelincuentes consideran a la pequeña empresa como una presa más fácil de atacar que las organizaciones más grandes, por lo que es obvio que una estrategia de seguridad informática eficaz ya no es una opción.
12 La buena noticia es que su empresa puede adoptar varias medidas sencillas sencillas para proteger la información información confidencial. confidencial. Asimismo, algunos de los productos de software de seguridad más recientes, han sido desarrollados específicamente para ayudar a las empresas más pequeñas y con menos tiempo para dedicarlo a la protección de sus sistemas e información. Esos productos de seguridad significan que ya no tiene que escatimar en cuanto a protección se refiere, refiere, o perder el tiempo intentando administrar software de seguridad complejo que es difícil de gestionar. NC I IA
R T E
E V D
A ¡
!
Es posible que, que, incluso incluso organizacio organizaciones nes enormes, no cuenten con la escala y recursos necesarios para recuperarse de una violación de sus sistemas de seguridad, y los daños causados por esta. Así que, a las pequeñas les puede resultar casi imposible seguir en funcionamiento, después de un incidente de seguridad.
¿Y esa falsa sensación de seguridad? Algunas empresas se auto convencen de que los ciberdelincuentes solo persiguen a las más grandes. «Eso es», se dice el empresario, « ¿Quién va a querer atacar a una empresa pequeña como la mía cuando existen presas más grandes? Simplemente no estamos en el punto de mira de ningún ciberdelincuen ciberdelincuente». te». Aunque es cierto que el radar no va a ayudar a un ciberdelincuente a identificar a la próxima víctima empresarial, estos cuentan con todo tipo de herramientas para rastrear y descubrir las empresas vulnerables, y todo eso lo pueden hacer a través de la Red. Con esas herramientas de rastreo, los ciberdelincuentes pueden encontrar las brechas de seguridad de los ordenadores. ordenadores.
13 En un abrir y cerrar de ojos, esos instrumentos pueden dar con la próxima víctima del ciberdelincuente y señalar cómo la empresa se expone al ataque. Aunque parezca una trama de ciencia-ficción es verdad. Cada día se emplean esos y otros métodos sofisticados para atacar a la pequeña empresa. Como promedio diario, Kaspersky Lab identifica unos 12.000 ataques de malware (software (softwar e malintencionado) y ese número va en aumento.
Las empresas más pequeñas pueden ser objetivos más fáciles para el delito Por lo general, la mayoría de los ciberdelincuentes buscan sacar el máximo beneficio económico a su actividad delictiva y emplear el mínimo esfuerzo y tiempo para generar esos beneficios. Por Por ello, aunque podría ser muy lucrativo lucrativo sangrar las finanzas de una multinacional, no es una apuesta segura ya que el ciberdelincuente tendría que esforzarse mucho para superar el sofisticado sistema de defensa que ese tipo de empresas suelen tener. Como alternativa, el ciberdelincuente preferirá tener como objetivo un grupo de empresas más pequeñas. Y, sí, el producto de cada ataque individual puede ser menos sustancioso pero, pero, si esas empresas disponen de defensas inadecuadas, o ninguna defensa, podría ser dinero fácil para el ciberdelincuente. Ataques lanzados contra diez o veinte empresas pequeñas podría suponer el mismo dinero que un solo ataque a una grande, y mucho más fácil de lograr. JO S E N O
C
Visto que a muchas empresas empresas más pequeñas pequeñas puede resultarles difícil reservar tiempo para plantearse la seguridad, algunos ciberdelincuentes se centran en ellas como víctimas fáciles. No deje que su empresa se encuentre entre las víctimas del próximo botín.
14
El ciberdelincuente puede puede utilizar a las empresas más pequeñas como puente El ciberdelincuente reconoce reconoce que las empresas más pequeñas suelen ser las proveedoras de empresas grandes, y este es otro motivo por el que se producen ataques contra las más pequeñas. Un ataque contra tales empresas puede ayudar al ciberdelincuente a sustraer información de utilidad para lanzar un ataque ulterior contra una corporación más grande. Puede que el ciberdelincuente escoja ese negocio por por su relación con otras corporaciones más grandes. Por otro lado, un ciberdelincuente oportunista puede simplemente darse cuenta de dicho potencial mientras roba la información de los clientes de las empresas más pequeñas. Huelga decir que si el segundo ataque contra la empresa grande tiene éxito y el papel desempeñado por la empresa pequeña en el ataque se hace patente, esto podría conllevar graves consecuencias para la empresa pequeña. A pesar de que la empresa pequeña es inocente de todo acto ilícito directo, sí habría sido la carencia de seguridad adecuada la que facilitara la vía de entrada y permitiera el ataque contra el cliente más grande. Si el papel de la pequeña en ello se pone de manifiesto, es posible que eso tuviera consecuencias tales como una acción judicial contra ella, indemnización, sanciones, pérdida de clientes y perjuicio para la reputación de la empresa pequeña.
15 Este barco hace agua por ambos extremos Imagínese el supuesto de una empresa pequeña que compra materias primas a un gran proveedor corporativo y luego vende el producto acabado a una multinacional. En aras de la eficacia, el proveedor esperará que sus clientes, incluida la empresa pequeña, se relacionen y soliciten los pedidos a través de los propios sistemas en la red. De manera similar, el cliente multinacional esperará de la empresa pequeña que le presente las facturas en formato electrónico y las envíe directamente a sus sistema de contabilidad interno. Esto significa que la pequeña cuenta con vínculos electrónicos directos con los sistemas informáticos de su proveedor corporativo y los sistemas informáticos del cliente multinacional. Si un ciberdelincuente se infiltrara en los ordenadores de la empresa pequeña, aquel podría recabar información con vistas a atacar a la empresa multinacional cliente y al proveedor corporativo. Aunque no tuvieran éxito los ataques posteriores, la pequeña empresa tendría mucho que explicar… y es posible que tan ta nto el pr pro ove veed edor or co como mo el cl cliien ente te la bl blo oqu que ear aran an el elec ectr tró óni nic cam amen ente te.. Esto podría impactar negativamente en el rendimiento y márgenes de la empresa pequeña, especialmente si sus competidores pasaran a beneficiarse de una interacción más estrecha con el mismo proveedor y cliente.
16
Capítulo 2
¿Cuáles son las necesidades necesidades de su empresa? En el presente capítulo ▶ Exponemos sus obligaciones en materia legal y normativa ▶ Evaluamos lo que se espera en su sector ▶ Nos concienciamos sobre el verdadero peligro peligro de las
amenazas actuales ▶ Planteamos cómo pueden variar las necesidades de
seguridad
E
n este capítulo, examinaremos más de cerca cómo algunos requisitos de seguridad pueden ser semejantes para diversas empresas y también, cómo pueden variar de una a otra.
Algunas necesidades de seguridad son Al válidas para empresas de todos los tamaños Muchas empresas se equivocan al pensar que no poseen información que pueda resultarle valiosa a un ciberdelincuente. Además, el fundador puede creer que un incidente que provoca la pérdida de datos no causaría
18 grandes perjuicios a su empresa. Lamentablemente, y para cualquier tipo de empresa, empresa, esa creencia pocas veces es cierta. Incluso una sencilla base de datos con los datos personales de los clientes tiene su valor para una amplia variedad de personas (ciberdelincuentes cuyo propósito es utilizar esos datos para suplantar identidades o competidores que intentan robarle los clientes).
Obligaciones en materia legal de protección de datos En muchos países, las empresas se ven sujetas a normativas rigurosas sobre cómo deben tratar la información de carácter personal. El incumplimiento de la misma puede derivar en sanciones de gran cuantía para la empresa. En algunas ocasiones, los directivos o propietarios de la empresa pueden ser objeto de enjuiciamiento, y algunos delitos incurren en condenas privativas de la libertad. Para algunos países, la legislación y normativa de cumplimiento sobre cómo procesar y almacenar datos personales identificables, puede acarrear obligaciones más onerosas para las organizaciones más grandes. No obstante, incluso si la autoridad pertinente exige que las grandes corporaciones apliquen medidas de seguridad sofisticadas, la ley espera que las más pequeñas actúen de forma responsable y tomen medidas prudentes con el fin de proteger la información importante. NC IA ! R T E I E V
D
A ¡
Si una empresa no adoptara las medidas que se esperan para ese tipo de empresa y tamaño, dentro de lo razonable, puede que dicha empresa tenga que hacer frente a problemas serios.
Expectativas de seguridad aún mayores Muchas jurisdicciones instan a todas las empresas a ser muy cautelosas en cuanto al tratamiento de material confidencial
19 específico, o de otro tipo de datos, que pudiera ocasionar graves perjuicios a un tercer tercero, o, si dichos datos se revelaran. Asimismo, puede darse el caso de que determinados sectores del mercado y la industria estén sujetos a requisitos de seguridad de la información mucho más estrictos que otros. Por ejemplo, las empresas que operan en el sector de la atención sanitaria y en el jurídico-legal, seguramente deban ejercer una mayor cautela en lo referente a la información que manejan, almacenan y procesan. Sin embargo, aunque no se le aplique ninguna de las anteriores «esperadas expectativas» a su empresa, la pérdida de información confidencial puede tener consecuencias nefastas.
¿Catástrofe de confidencialidad? ¿Hay negocio menos involucrado con la informática que una gatera o albergue para gatos? ¿Es necesaria la seguridad informática en este caso? Veamos, ¡pues sí! Simplemente tenga presente la información que retiene este tipo de negocio, nombres y domicilios de los clientes, y un diario electrónico para saber cuándo los peludos felinos se quedan en las instalaciones. ¿Y si esa información cayera en las manos equivocadas? Es bastante evidente que no habrá nadie en casa cuidando de los mininos y eso es información muy valiosa para los ladrones. Con ese tipo de información privilegiada sobre la ausencia del propietario del inmueble y la duración de la misma, los ladrones pueden permitirse el lujo de tomarse tiempo de sobra sustrayendo sustrayendo objetos de valor del inmueble del dueño del gato.
20
Diversos niveles de comprensión comprensión y recursos A pesar de las similitudes entre algunas de las obligaciones exigidas a empresas de cualquier tamaño, existen variaciones claras en cuanto a cómo dichas empresas abordan las cuestiones de seguridad y lo que opinan sobre ellas.
Las cosas no son como antes Los ataques actuales a la seguridad informática son tan sofisticados e incesantes que el peligro de hoy en día es mucho mayor que la amenaza que un ataque suponía hace apenas unos años. El no darse cuenta de ello puede dejar a una empresa con las puertas abiertas. En cuanto a la seguridad de la información se refiere, las grandes empresas pueden permitirse contratar a expertos en seguridad informática a tiempo completo. Sin embargo, los propietarios de empresas más pequeñas no pueden permitirse ese lujo.
¿Importa el tamaño? Evidentemente, la disponibilidad de recursos es un factor que diferencia a las empresas de menor tamaño de las más grandes. Las empresas grandes cuentan con expertos internos que pueden tomar decisiones bien fundadas sobre el tipo de tecnología tecnología de defensa en el que invertir. invertir. Y también, cuentan con los recursos económicos a su disposición para desplegar la solución elegida. Además, su equipo interno está formado por personas con experiencia, que saben cómo desarrollar y sintonizar constantemente los planes de seguridad y políticas de seguridad de la empresa para que esta se mantenga un paso adelante de los ciberdelincuentes, y no haya brechas abiertas en las defensas de la organización por las que puedan colarse.
21 A diferencia de las grandes, las empresas pequeñas no siempre cuentan con un equipo interno de expertos. Además, para una empresa en crecimiento, siempre existen multitud de exigencias enfrentadas entre sí para obtener el dinero disponible (vaya…, el concepto de dinero disponible es interesante aunque no es algo que ninguno de los autores recuerde haber vivido hasta la fecha). Por tanto, la seguridad informática tiene que esperar su turno y justificar plenamente la necesidad de dicho gasto.
Cómo entender los diversos requisitos de seguridad Aunque existen muchos puntos comunes, cada tipo de empresa tendrá requisitos de seguridad informática diferentes, e incluso puede que se den criterios dispares en cuanto al nivel de seguridad necesario. Asimismo, a medida que crece la empresa, las necesidades de seguridad de la información pueden cambiar. ¿Reconoce alguno de los siguientes perfiles empresariales y su opinión en cuanto a seguridad informática?
La empresa que se acaba de poner en marcha A los 36 años «Serge el Incipiente» deja una gran empresa en la ciudad y establece un bufete de abogados por su cuenta con dos de sus colegas. Cómo pretende la empresa utilizar la informática: ✓ Serge y sus colegas dependen en gran medida de los ordenadores portátiles, tabletas y los teléfonos inteligentes que les brindan la flexibilidad de trabajar desde cualquier lugar. ✓ El equipo utiliza mucho el correo electrónico para comunicarse con los clientes y los ordenadores para redactar cartas, propuestas y notas.
22 La actitud de la empresa con respecto a la seguridad: ✓ El carácter tan confidencial de los datos de los clientes, incluidos datos financieros, significa que la protección de toda la información confidencial es de vital importancia. ✓ Toda filtración o pérdida de información daría lugar a una situación muy embarazosa y repercutiría mucho en la reputación personal de Serge y la del bufete. Incluso Serge podría ser demandado. ✓ La salvaguarda de la empresa es de vital importancia y Serge es consciente de que el software antivirus ordinario no ofrece una protección adecuada. Serge dice: «Tenemos «Tenemos que comprar un nuevo equipo de informática e instalarlo todo. A la vez, tenemos que empezar a generar ingresos tan pronto como sea posible, por lo tanto, el software de seguridad que elijamos tiene que ofrecernos el nivel adecuado de protección. Al mismo tiempo, tiene que ser de fácil instalación, gestión y mantenimiento. Además, el proveedor de software de seguridad tiene que brindarnos la asistencia técnica necesaria, cuando haga falta, para así nosotros concentrarnos en nuestros clientes. Y conforme crece la empresa, la solución de software tiene que ser capaz de adaptarse a las nuevas exigencias».
Empresa en expansión «Ahmed el Ambicioso» ha cosechado muchos éxitos a los 48 años. Es el propietario de una cadena de sastrería para hombres, que da empleo a 19 personas, y es un negocio en expansión. Cómo pretende la empresa utilizar la informática: ✓ Al igual que la apertura de una nueva tienda, la empresa está dando los primeros pasos con el comercio minorista en la Red; es decir decir,, la venta de trajes a través de su sitio web.
23 ✓ Con la ampliación la empresa, tiene que comprar mucha más tecnología, incluidos terminales de punto de venta, más ordenadores de sobremesa, el encaminador de redes inalámbricas y un nuevo servidor. ✓ Aunque Ahmed no depende del todo de la informática, le resulta útil su nuevo teléfono inteligente para acceder a su correo electrónico. La actitud de la empresa ante la seguridad: ✓ La empresa utiliza un producto antivirus que el sobrino de Ahmed, entendido en cosas de tecnología, compró compró en una tienda de informática. No obstante, Ahmed sabe que este producto no basta para proteger la información de su empresa, en particular ahora que la empresa se expande con tanta rapidez. Ahmed no desearía ver a su competidor local hacerse con su lista de clientes habituales y modelo de precios. ✓ Debido a los requisitos de cumplimiento con la norma de seguridad para la industria de la tarjeta de pago (PCI, por sus siglas en inglés), Ahmed sabe que la empresa debe desplegar un software de seguridad y mantenerlo al día para gestionar cualquier vulnerabilidad. Ahmed comenta lo siguiente: «La sastrería es mi verdadera pasión y no la informática. No obstante, es hora de invertir un poco más en software profesional para la seguridad informática, aunque solo sea por estar tranquilo. Necesitamos un sistema de seguridad informática que nos brinde la protección necesaria pero que sea fácil de instalar y administrar. administrar. Estoy buscando un paquete que haga todo por sí solo, para que yo pueda dedicarme a lo mío. Desde que asumí el mando del negocio de mi padre, hemos alcanzado unas cotas de crecimiento increíbles. Estamos a punto de abrir una quinta tienda y estamos desarrollando ventas por
24 Internet, con lo cual necesitamos una solución de seguridad informática que pueda crecer con nosotros».
La empresa que está cambiando de seguridad «La Irritada Dra. Ivana» es socia de antigüedad en un ambulatorio de atención primaria local que incluye a otros dos médicos, a un fisioterapeuta y a tres recepcionistas/ administrativos a tiempo parcial. Cómo pretende el ambulatorio utilizar la informática: ✓ Cada uno de los médicos tiene un ordenador de sobremesa y hay otro en la sala que usa el fisioterapeuta. En recepción hay otros dos ordenadores de sobremesa y otro en la oficina de administración. ✓ Los PC e Internet han cambiado la forma en la que se trabaja en el ambulatorio, han facilitado la consulta de los expedientes de los pacientes, la consulta sobre nuevos medicamentos, y procedimientos en general, para mantenerse actualizado. La actitud del ambulatorio ante la seguridad: ✓ Dado que el ambulatorio depende de la informática y dado el carácter confidencial de los ficheros y datos que se manipulan, la Dra. Ivana no ha dudado nunca en comprar software de seguridad informática. ✓ No obstante, el software de seguridad informática actual es una molestia para todos los empleados. El ordenador tarda mucho en iniciarse y cuando el software hace un barrido en busca de malware, el PC parece bloquearse. La Dra. Ivana opina: «La confidencialidad del paciente es de suma importancia. Por ello nunca hemos dudado en instalar software de seguridad. Sin embargo, el software que utilizamos en la actualidad tiene un impacto notable y negativo en el rendimiento de nuestros ordenadores. ordenadores.
25 Ahora que se acerca la fecha de renovación de la licencia, es el momento ideal para pasarnos a un producto que no afecte al funcionamiento del equipo, para así ser más eficaces en la forma de tratar con los pacientes. Queremos algo que proteja la información más delicada sin entorpecer el esfuerzo por ofrecer el mejor cuidado posible a nuestros pacientes».
La empresa que se ha pillado los dedos «La Dolorida Suzie» de 32 años es la propietaria de una agencia de marketing de éxito con una plantilla de 22 empleados. La empresa de Suzie ha crecido rápidamente, sus habilidades de venta y marketing le han servido para hacerse con nuevos clientes. Cómo pretende la empresa utilizar la informática: ✓ El equipo principal de Suzie está en la oficina. Sin embargo, embarg o, muchos de los gestores de clientes visitan a los clientes en sus lugares de trabajo. ✓ Aunque el equipo de diseño trabaja con ordenadores Apple Mac, el resto utiliza una mezcla de ordenadores ordenadores personales y portátiles, además de teléfonos inteligentes. ✓ Muchos miembros del equipo también utilizan tabletas. Puesto que las tabletas son de propiedad de los empleados, no forman parte del equipo de la empresa. A pesar de ello, a Suzie no le importa que los empleados las utilicen, en especial porque piensa que hace que la agencia parezca vanguardista. La actitud de la empresa ante la seguridad: ✓ Lamentablemente, la agencia sufrió recientemente un incidente importante de seguridad. Después de una reunión con un cliente, uno de los gestores de clientes de Suzie se llevó el portátil a un bar y se lo robaron.
26 El dispositivo contenía ficheros muy confidenciales, incluidos planes secretos para el lanzamiento de un nuevo producto que iba a proporcionar al cliente una verdadera ventaja en el mercado. ✓ Suzie tuvo que informar al cliente, quien se enojó mucho. El incidente ha pasado al departamento jurídico del cliente y parece que también se va a romper la relación con la agencia. Por tanto, la agencia de Suzie está a punto de perder a un cliente muy importante, con posibles consecuencias jurídicas también. Suzie comenta: «Todavía «Todavía estamos calculando lo que nos va a costar el incidente. Pero mi prioridad ahora es la de asegurarme de que este tipo de problema de seguridad no se repite. Tenemos Tenemos que adquirir una solución de protección completa lo antes posible. Y asegurarnos de que sea de fácil manejo para que nuestros diseñadores, que poseen un talento asombroso en cuanto a todas las cosas técnicas, puedan administrarla y mantenerla».
La empresa que cruza los dedos «El Arriesgado Raúl» de 53 años es propietario de una empresa de contabilidad que emplea a 5 personas. Se trata de una empresa establecida que nunca se ha tomado en serio las amenazas contra la seguridad. Raúl siempre ha vivido con la idea de que «a mí no me pasaría eso». Cómo pretende la empresa utilizar la informática: ✓ Raúl y otros dos asesores contables pasan mucho tiempo con los clientes y el uso de portátiles les da la flexibilidad de trabajar fuera de la oficina. ✓ Los dos administrativos de la empresa utilizan ordenadores ordenador es de sobremesa.
27 ✓ La empresa también cuenta con un servidor que funciona con CRM (por sus siglas en inglés) o software de gestión de relaciones con el cliente La actitud de la empresa ante la seguridad: ✓ Raúl leyó un artículo recientemente en una revista del gremio sobre una empresa rival que sufrió una violación de los sistemas informáticos muy grave. Uno de los administradores descargó un fichero adjunto que contenía malware, que a su vez accedió a los ficheros confidenciales de los clientes. El problema solo se descubrió cuando un cliente encontró sus datos confidenciales a la venta en la Red. ✓ El artículo hizo que Raúl se pusiera muy nervioso sobre la seguridad informática de su propia empresa, empresa, y ya reconoce que el software de seguridad gratuito que estaba usando es probablemente inadecuado. Raúl refiere lo siguiente: «La industria ha cambiado mucho en los últimos años. En la actualidad hay mucha más normativa. Al mismo tiempo, la naturaleza del peligro que está al acecho significa que tenemos que instalar un sistema de seguridad informática mucho más sólido».
La variedad de necesidades requiere requiere sooluciones distintas s Aunque todas las empresas de las que hemos hablado en el presente capítulo están en mercados diferentes y cada una tiene expectativas distintas en materia de informática, todas tienen algo en común; es decir, decir, la necesidad de proteger información valiosa. Sin embargo, al contar cada empresa con niveles de sistemas y de conocimientos de informática diversos, tienen necesidades de seguridad distintas. distintas.
28 Las empresas ejemplo, evidentemente, se basan en generalizaciones sobre cómo los diversos tipos de empresas pueden tener necesidades de seguridad informática distintas. Pero, al igual que las variaciones de modelo y tamaño de empresas son casi infinitas, así también lo son las exigencias informáticas. Es perfectamente posible que una empresa pequeña, digamos, con una plantilla de 3 a 5 empleados, funcione utilizando procesos informáticos de gran intensidad. En ese caso, la empresa tendrá seguramente una red informática mucho más extensa y variada que otra empresa del mismo tamaño. Por tanto, ese tipo de empresa necesita una solución de seguridad que cubra todas las complejidades de su entorno informático, incluidos portales de Internet, servidores intermediarios y sistemas virtuales.
Capítulo 3
Descubrimos la verdad Descubrimos verdad acerca de las amenazas a la seguridad En el presente capítulo ▶ Entendemos cómo la complejidad de la informática añade
nuevas cargas ▶ Descubrimos por qué la protección antivirus no es
suficiente ▶ Aprendemos sobre los peligros en la Red ▶ Cómo proteger operaciones bancarias en la Red
E
n el presente capítulo, nos planteamos cómo la creciente complejidad de las soluciones informáticas para empresas y la sofisticación de los virus informáticos, malware, y los ataques de ciberdelincuentes, ciberdelincuentes, dificultan mucho el funcionamiento de todas las empresas.
Todo es más complejo Apenas hace unos años todo líder empresarial podía simplemente alcanzar y tocar cualquier dispositivo informático que tuviera que protegerse dentro de la empresa. También También era algo muy sencillo el imaginarse un cerco imaginario alrededor alrededor de la red informática de la
30 empresa. Si uno envolvía con un cortafuego todo lo que estuviese dentro dentro de ese cerco, y se aseguraba de tener un software softwar e de seguridad adecuado en todos los ordenadores, ordenadores, uno era prácticamente intocable. Pero eso era en los días cuando la movilidad era limitada y no se podía acceder a los datos empresariales desde fuera de la oficina. También fue mucho antes de que las empresas pasaran a ser tan dependientes de la TI.
Las empresas no pueden existir sin la TI Hoy en día, ¿consideraríamos gestionar una empresa, sin todas esas aplicaciones tan imprescindibles, y sin acceso móvil, desde cualquier lugar lugar,, a la información empresarial esencial? Bien, pues no… porque en ese caso la competencia se reiría en su cara. Sin embargo, los avances tecnológicos han traído consigo consecuencias. La comodidad del acceso desde cualquier lugar ha incrementado la complejidad informática. Si usted y sus empleados van a acceder a datos mediante portátiles, tabletas y teléfonos inteligentes, ¿dónde está ese cerco imaginario que ha de aplicarse a las medidas de seguridad?
BYOD agrega otro nivel de complejidad Para complicar las cosas aún más, las iniciativas de BYOD (Traiga (Tr aiga su propio dispositivo, BYOD por sus siglas en inglés) que permiten a los empleados hacer uso de sus propios dispositivos para acceder a los datos y sistemas de la empresa, suponen suponen el «más difícil difícil todavía». Con BYOD la seguridad de su empresa tiene que lidiar con el acceso «desde cualquier lugar y con cualquier dispositivo». Las empresas han reconocido reconocido rápidamente las posibles ventajas económicas y operativas que ofrece la iniciativa. Aunque BYOD también significa que tendrá que vérselas con la aplicación de medidas de seguridad en un casi infinito
31 número de dispositivos móviles, incluida una gran gama de número dispositivos Androide, iPhone, BlackBerry BlackBerr y, Symbian, Windows Mobile y Windows Phone, que puede que ni siquiera pertenezcan a la empresa. Afortunadamente, algunos proveedores proveedores de produ productos ctos de seguridad han reconocido la creciente complejidad que la TI supone, además de los quebraderos quebraderos de cabeza en materia de seguridad. Por tanto, han sido tan amables de crear nuevas soluciones de seguridad innovadoras, que simplifican en gran medida la tarea de proteger proteger una compleja red informática que incluye dispositivos móviles y BYOD. JO S E N O
C
Para más más información información sobre seguridad móvil, problemas y soluciones, el libro Seguridad móvil para dummies & BYOD está disponible en todas las librerías buenas. En realidad, no, no en tienda, pero puede obtener un ejemplar gratuito gratuito en el sitio www.kaspersky.com/business .
¿Antivirus o antimalware? Algunas empresas caen en la trampa de pensar que los virus y el malware son lo mismo y eso les hace creer que no existe diferencia alguna entre los productos antivirus y antimalware. Sin embargo, esto no es verdad y, de hecho, es un error que puede resultar caro. La mayoría de las personas estarán familiarizadas con los tipos de virus que pueden propagarse de ordenador a ordenador. No obstante, el malware , que es software malintencionado, es el nombre que se da a un tipo más amplio de software hostil que incluye virus, gusanos, caballos de Troya, ransomware , keyloggers 1, spyware y y muchas otras amenazas. Es por eso que un producto de software que ofrece capacidad antimalware protege los ordenadores y la información de su empresa frente a muchas más cosas que simplemente los virus. 1
Registradores de teclas.
32
Las amenazas actuales son cada vez más peligrosas Prácticamente todo el mundo tiene cierto nivel de conocimiento sobre sobre los virus informáticos. La mayoría de las personas han sido víctimas de una infección virulenta (y con ello queremos decir que su PC ha sido víctima, sin ánimo de ofender) o conoce a alguien que ha sufrido un ataque de ese tipo con anterioridad. Pero Pero gran parte de esa vivencia, y las anécdotas que nos cuentan amigos y familia, pueden datar de la era del cibervandalismo, cuando programar malware se hacía por diversión. Hoy por hoy, los ciberdelincuentes utilizan el malware con la idea de obtener un beneficio económico.
Los años de poco riesgo quedaron atrás Hace años, los cibervándalos solían ser estudiantes y alumnos de colegio que querían presumir de su destreza informática y de piratería. Así, creaban y distribuían virus que provocaban un determinado grado de interrupción al funcionamiento de los aparatos infectados. Quizás el virus consiguiera borrar unos cuantos ficheros ficheros o dejaba el ordenador orden ador de la víctima «colgado». Aunque se trataba principalmente de travesuras en muchos de los casos por parte de los creadores creadores de los virus, los programas causaban algo más que unas cuantas molestias. Sin embargo, los virus raramente causaban constantes problemas a las empresas y no se dedicaban a robar fondos fondos de las cuentas bancarias de particulares o de empresas. Asimismo, el software antivirus más sencillo resultaba a menudo medida suficiente para repeler casi todas aquellas agresion agresiones. es.
33
El simple vandalismo abre la puerta al ciberdelito grave En los últimos años, jóvenes fanáticos fanáticos de la informática se han centrado en los videojuegos en red que les han brindado la oportunidad de presumir de sus destrezas. Al mismo tiempo, y lo que es más importante, con el imparable aumento del uso de proceso procesoss empresariales por Internet y las operaciones financieras en línea, todos nos hemos hecho más dependientes de la Red y del comercio electrónico. electrónico. Esto ha atraído la atención de los delincuentes. La era del cibervandalismo relativamente inocente ya ha pasado y ahora merodea por la Red algo mucho más peligroso peligroso.. Los ciberdelincu ciberdelincuentes entes han sido sido rápidos rápidos en reconocer recon ocer las oportunidades que brinda el desarrollo de malware y estafas por Internet, los que hacen mucho más daño que los anticuados virus. Los nuevos ataques se centran en robar información, dinero dinero y todo aquello que result resulte e de valor al ciberdelincuente. No se engañe, no son aficionados sin más. Los ciberdelincuentes con habilidades técnicas considerables están constantemente desarrollando desarrollando nuevas formas de ataque contra las empresas. En la mayoría de los casos, lo que les motiva es el provecho económico, bien directamente directamen te robando dinero dinero de la cuenta bancaria de la empresa, o los datos confidenciales de esta para venderlos en el mercado negro u obteniendo dinero de la empresa de algún otro modo ilícito. Asimismo, al «recoger» los datos personales de los portátiles, servidores y dispositivos móviles de la empresa, los ciberdelincuentes pueden llevar a cabo estafas de suplantación de identidad y robar dinero dinero de individuos relacionados relacionados con la empresa. NC I IA
R T E
E V D
A ¡
!
34 Nuestra dependencia informática ha dado pie a que se interrumpan los sistemas de la empresa como protesta protesta social o política (el denominado «pirateo militante»).
Conozca al enemigo y sus métodos La amenaza procedente del malware y contra la seguridad informática puede resultar nociva para el resultado final de cualquier empresa, y para una empresa pequeña esto podría ser terminal. Mientras que lo siguiente no es una lista exhaustiva en cuanto a todos los tipos de amenazas, esta sección es indicativa de algunos de los peligros contra la seguridad que las empresas deben abordar.
Virus, gusanos y troyanos Los virus y los gusanos informáticos son programas malintencionados que se multiplican en los ordenadores, ordenadores, sin que la víctima sea consciente de ello, hasta que el dispositivo se haya infectado. Los troyanos efectúan acciones malintencionadas que no han sido autorizadas por el usuario. Aunque estos no pueden auto replicarse, la conectividad que facilita la Red ha facilitado su propagación por parte de los ciberdelincuentes. Si estos programas malintencionados malintencionados atacan a su red pueden borrar, borrar, modificar o bloquear el acceso a los datos; interrumpir el funcionamiento de sus ordenadores, y robar información confidencial.
Backdoor Trojan2 Estos los utilizan los ciberdelincu ciberdelincuentes entes para controlar a distancia los aparatos que han infectado. Un ordenador infectado pasa a formar parte de una red maliciosa, denominada botnet , que puede emplearse con muchas finalidades ciberdelictivas. 2
Troyano Tr oyano que se cuela por la puerta trasera.
35
Keyloggers Estos son programas malintencionados que registran las teclas pulsadas en el teclado del ordenador. Los ciberdelincuentes utilizan los keyloggers para captar información confidencial como contraseñas, números números de cuentas de banco y códigos de acceso, datos de tarjetas de crédito y más. A menudo forman un tándem con los backdoor Trojans.
Correo no solicitado Aunque es el menos dañino, el corr correo eo no solicitado es una versión electrónica electrónica del correo basura. No obstante, puede resultar result ar muy peligroso si se utiliza como parte par te de una phis ishi hing ng 3 o si incluye enlaces a sitios web campaña de ph infectados que descargan virus, gusanos o troyanos al ordenador orden ador de la víctima.
Phishing Se trata de un sofisticado método de agresión malintencionada mediante la cual los ciberdelincuentes crean una versión falsa de un sitio web genuino por ejemplo, un servicio de banca por Internet o una red red social. Cuando la víctima visita el sitio web falso, el sitio utiliza métodos de ingeniería social con el fin de extraerle información valiosa a Phis ishi hing ng se la víctima. Ph se utiliza para suplantar la identidad y robar dinero dinero de cuentas bancarias y tarjetas de crédito.
Ransomware Los troyanos ransomware están diseñados para obtener dinero mediante chantaje. Normalmente, el troyano cifra los datos del ordenador ordenador de la víctima en el disco duro del ordenador, para que la víctima no pueda acceder a esos datos, o bloquea totalmente el acceso al ordenador. El troyano ransomware exige entonces dinero para deshacer los cambios. 3
Suplantación de la identidad.
36 Este tipo de infecciones pueden contagiarse mediante phis ishi hing ng o mensajes de correo electrónico tipo ph o cuando el usuario visita un sitio web que contiene un programa programa malintencionado. Puesto que los sitios web infectados pueden incluir sitios legítimos donde se han infiltrado los ciberdelincuentes, ciberdelincuen tes, el peligro de coger una infección de ransomware no está, ni mucho menos, solamente limitado a visitas a sitios web sospechosos.
Ataque distribuido de denegación At dee servicios (DDoS d oS) ) Los ciberdelincuentes ciberdelincuentes utilizan los DDoS (por sus siglas en inglés) con el fin de eliminar la disponibilidad de uso de un ordenador orden ador o red. El blanco de este tipo de agresiones puede variar. Sin embargo, un sitio web de una empresa suele ser el principal foco de atención de este tipo de ataques. Visto que la mayoría de las empresas dependen de su sitio web para atraer e interactuar con los clientes, todo malfuncionamiento,, desaceleración o bloqueo al acceso del malfuncionamiento cliente puede resultar muy dañino para el negocio. Existen muchas formas de DDoS. Por ejemplo, el ciberdelincuente puede infectar ingentes cantidades de ordenadores orden adores de usuarios inocentes y luego emplearlos para bombardear bombard ear el sitio web de la empresa con un volumen de tráfico inútil. Esto puede sobrecargar los ordenadores con los que funciona el sitio web de la empresa víctima y provocar provo car la ralentización de la misma o que el sitio deje de funcionar.
37 JO S E N O
C
¿Qué bicho le ha picado a la empresa? Prácticamente cada aplicación de software y sistema operativo de su empresa puede contener «bichos». A menudo son errores del código informático del ordenador y no causan ningún daño directo. Sin embargo, algunos generan puntos débiles que los ciberdelincuentes pueden explotar a fin de obtener acceso no autorizado a esos ordenadores. Tal vulnerabilidad actúa como si se dejara la puerta de la oficina abierta, excepto que los ciberdelincuentes no irrumpen en la recepción recepci ón de su empresa, sino que entran en el epicentro de su ordenador. Aprovechar esos puntos débiles para instalar malware está a la orden del día, por ello es importante mantener los programas actualizados o arreglados (no haga caso omiso de los recordatorios de actualización del software y los demore como si fueran f ueran algo molesto). Algunas soluciones de software de seguridad incluyen prestaciones para el escaneo de vulnerabilidades con el objeto de identificar todo programa o sistema operativo con puntos débiles en la red informática de su empresa, y pueden ser útiles para aplicar «parches» a esos puntos débiles y evitar que los ciberdelincuentes los exploten.
Conocer otros peligros contra la seguridad Además de los tipos concretos de ataque ya referidos en el apartado anterior, su empresa tiene que protegerse de otros peligros.
38
Riesgos al utilizar redes inalámbricas públicas Con el acceso inalámbrico gratuito a Internet en los l os hoteles, aeropuertos, aeropu ertos, y restau restaurantes, rantes, es muy fácil acceder al correo electrónico electrón ico y a los datos de la empresa mientras mientras se está fuera. Sin embargo, también es muy sencillo para los ciberdelincuentes ciberdelincuen tes espiar las redes públicas de Wi-Fi y captar la información que ha enviado o los datos a los que ha accedido. Eso podría significar que los ciberdelincuen ciberdelincuentes tes obtienen acceso directo a sus cuentas de correo electrónico, electrónico, a la red informática de su empresa, y a las contraseñas que utiliza en operaciones financieras. NC I IA
R T E
E V D
!
A ¡
Los servicios de banca electrónica y la necesidad de controles de seguridad adicionales Las operaciones bancarias en red se han convertido en una herramienta importante para muchas empresas. Son cómodas y ahorran tiempo, pero, es en ese momento de la operación en red, cuando más vulnerable se está. Los ciberdelincuentes quieren vigilar los ordenadores y dispositivos móviles de sus víctimas con el fin de saber cuándo visita la víctima el sitio web de un banco o un servicio de pagos por Internet. Es entonces cuando los programas especiales de keylogger pueden captar toda la información que se introduzca. Esto significa que el ciberdelincuente puede robar su contraseña sin ser detectado, y así acceder a su cuenta y sacarle todos los fondos sin que usted sea consciente de ello. Afortunadamente, algunos productos de software de seguridad contienen tecnologías que facilitan capas adicionales de protección cuando lleva a cabo una operación financiera.
39
Sppear phishing S Spearr ph Spea phis ishi hing ng es es otra forma sofisticada de ataque. El ciberdelincuente ciberdelincuen te intenta captar datos personales, quizás al espiar a través de una red pública de conexión inalámbrica a Internet, y luego utiliza esos datos para dar una pátina de phis ishi hing ng credibilidad a un mensaje de correo electrónico electrónico de ph cuyo objetivo es una empresa. Por ejemplo, si el ciberdelincuente lograra acceder al perfil de uno de sus empleados en una red social y descubriera información sobre sobre unas recientes vacaciones de ese empleado, el ciberdelincuente podría utilizar esa información más tarde en un mensaje de correo electrónico phis ishi hing ng . Y si el empleado recibe un mensaje de alguien de ph que finge ser un compañero de trabajo, y ese mensaje mencionara datos sobre esas vacaciones, seguramente ese mensaje parecería genuino. Y, si el mensaje pidiera al empleado que pinchara en un enlace con el fin de confirmar el acceso a la red de la empresa, el ciberdelincuente podría obtener las contraseñas de acceso necesarias.
Ordenadores portátiles extraviados Todos hemos leído acerca de esos pobres desafortunados que se dejan portátiles portátiles en taxis, trenes o restaurantes. restaurantes. La posibilidad de que la información confidencial de una empresa cayera en las manos equivocadas es alarmante. Cuando esto sucede, puede dañar gravemente la reputación de una organización comercial y ocasionar sanciones gravosas. Una solución sería la de elegir una solución de software de seguridad que cifrara toda la información de la empresa y así, incluso si se perdiera el portátil o alguien lo sustrajera, sería casi imposible para el ciberdelincuente acceder a los datos del disco duro duro..
40
Qué es el cifrado El cifrado es una forma especialmente astuta de ganarle al ciberdelincuente la partida. Al igual que los espías en las películas de cartelera codifican mensajes para que solamente el destinatario elegido pueda entenderlos, el cifrado le permite a usted codificar los datos confidenciales de su empresa para que la información no pueda ser descodificada sin la clave de descifrado. Eso significa que si el ciberdelincuente accediera a la información confidencial de su empresa, no podrían leerla, salvo que contaran con la clave secreta de descifrado que usted tiene. En el supuesto de que uno de sus empleados perdiera su ordenador portátil o extraviara un dispositivo USB de almacenamiento de datos repleto con información confidencial, si la información del portátil o USB ha sido cifrada, podrá evitarse la embarazosa situación de una filtración de datos.
Am A menazas móv óviiles Tanto los particulares como las empresas pueden equivocarse y creer que los teléfonos inteligentes y los iPhone son únicamente teléfonos. No es así. Son ordenadores ordenadores potentes que pueden almacenar mucha información confidencial de negocios. Por tanto, la pérdida o hurto de un dispositivo móvil puede suponer una grave violación de la seguridad. Si un teléfono inteligente, perdido o robado, no estuviera protegido prot egido mediante un PIN (o, mejor todavía, una contraseña más larga), quienquiera que accediese al dispositivo podría conectar a la cuenta en red utilizada por este.
41 Sin embargo, algunas soluciones de seguridad incluyen prestaciones prestacio nes de activación a distancia, como la posibilidad de conectar con el teléfono perdido/robado perdido/robado y «borrar» toda la información que contiene. Si la solución de seguridad que ha elegido también también incluye la capacidad de cifrar datos, esto puede agregar otro otro nivel de prot protección. ección. Incluso si un delincuente da con el teléfono antes de que usted se haya percatado de que lo ha perdido, y aún no ha tenido ocasión de borrar los datos, el hecho de que la información del teléfono ha sido cifrada garantiza que el delincuente no podrá leer esos datos. Asimismo, ya que hoy en día los teléfonos inteligentes y las tabletas son realmente ordenadores, son vulnerables a un ingente volumen de malware y ataques comunes contra ordenadores orden adores y portátiles. Entre estos se incluyen virus, phis ishi hing ng . Así pues, gusanos, troyanos, correo no solicitado y ph es indispensable utilizar software de seguridad para proteger los dispositivos móviles (para más información, obtenga un ejemplarr gratuito de Seguridad móvil para dummies & BYOD ejempla del sitio www.kaspersky.com/business ). JO S E N O
C
42
Capítulo 4
Planificación para una mejor seguridad seguri dad de la información información En el presente capítulo ▶ Explicamos el beneficio de una sencilla evaluación sobre
los riesgos de su empresa ▶ Mejoramos la concienciación de los empleados en
materia de seguridad ▶ Apren Aprendemos demos cómo la informática en la nube puede
afectar a la seguridad ▶ Evaluamos a los proveedores proveedores de servicios ser vicios de informática
en la nube
C
uando se trata de seguridad informática, algunos piensan que el tema es demasiado abrumador y que mejor sería cruzar los dedos y tener esperanza. Pues les deseamos buena suerte con ese planteamiento. Sin embargo, embargo, cuando sus clientes y socios los demanden como consecuencia de un incidente de pérdida de datos, la empresa no tendrá tendrá mucho en lo que basarse para su defensa. Por ello, en el present presente e capítulo, examinaremos algunas medidas de seguridad sencillas que se pueden introducir sin gastarse nada en software o hardware. Y consideraremos como la informática informática en la nube puede afectar a la estrategia de seguridad del negocio.
44
¿Negocio arriesgado? Una evaluación de riesgo suena una tarea gravosa que es mejor que la realice un equipo de cerebrit cerebritos os con batas blancas y carpeta sujetapapeles. No obstante, si desea mejorar la seguridad de la información, en este apartado le presentamos present amos algunos conceptos que forman los cimientos de una evaluación de los riesgos, a los que se enfrenta su empresa, que merece la pena hacer. Empiece por formularse algunas preguntas fundamentales: ✓ ¿Dónde se almacena la información de mi empresa?
✓ ¿Cuál es el valor de esa información tanto para mi negocio como para un posible asaltante? • ¿Cuáles serían las consecuencias para mi empresa si cualquier dato confidencial cayera en las manos equivocadas? • ¿Cómo podría afectar una filtración de información a las relaciones comerciales con clientes, empleados y socios? • ¿Cuál sería el posible coste en términos económicos de la pérdida/sanciones y en términos de la reputación de la empresa?
✓ ¿Qué hace la empresa para proteger proteger la información confidencial? ✓ ¿Son las disposiciones de seguridad de la información de mi empresa las adecuadas? • ¿Son comparables esas disposiciones de seguridad a la norma esperada en el sector de mercado y son aptas para el tamaño de la empresa? (No se olvide, conforme crezca su negocio, seguramente necesitará aplicar niveles más elevados de seguridad de la información). información).
45 • ¿Estaría de acuerdo un tribunal en que la seguridad de la empresa es la adecuada? (Una respuesta franca a esta pregunta puede destapar a aquellas empresas que intenten intenten echar tierra encima de la cuestión, presuponiendo presuponiendo que está bien, aunque la seguridad sea inadecuada).
✓ ¿Cuáles son las probabilidades de que mi empresa sufra una fuga de información confidencial? (Recuerde, (Recuer de, eso podría darse tras un incidente como la pérdida de un ordenador portátil o un teléfono inteligente. Sin tener en cuenta lo diligente que sea usted, ¿son cuidadosos sus empleados?) Las respuestas respuestas serán útiles y le ayudarán a decidir cómo mejorar la seguridad de la información en su empresa.
Educación para empleados empleados soobre el arte de la seguridad s Cuando se trata de proteger información valiosa ‘más vale prevenir que curar’ (la cura instantánea ayudaría pero, a menos que su empresa esté en el sector farmacéutico, no va a suceder). Por ello, es indispensable asegurarse de que usted y sus empleados están concienciados sobre los posibles riesgos en materia de seguridad y cómo prevenirlos. Sorprende el númer Sorprende número o de empresas que no dedican suficiente esfuerzo a transmitir entre entre sus empleados cómo cumplir con las mejores prácticas en materia de seguridad, a pesar de que educarlos sobre los riesgos de seguridad y cómo prevenirse prevenirs e contra ellos puede ser la forma más rentable de ponérselo difícil a los ciberdelincuentes. ciberdelincuentes. No tiene por qué ser difícil que los empleados asuman su responsabilidad respon sabilidad en este tema:
46 ✓ Considere Considere todos los posibles peligros de malware y ciberdelincuencia que puedan afectar a su empresa y decida cómo sus empleados pueden contribuir para evitar el peligro. A pesar de la sofisticación de los peligros actuales, muchos de los ataques comienzan al engañar a alguien para que haga algo que pone en peligro la seguridad de la empresa, tal como pinchar en un enlace de un correo electrónico con contenido spear phishing. ✓ Elabore y comparta una política de seguridad que defina claramente cómo espera que se comporten sus empleados en lo concerniente al mantenimiento de la seguridad y la eliminación eliminación de riesgos innecesarios. ✓ Realice sesiones de concienciación de los empleados de forma regular. Tenga por meta la sensibilización en materia de cuestiones clave, como las siguientes: • La necesidad de utilizar contraseñas distintas para cada programa y cuenta. • El peligro de la conexión inalámbrica pública y cómo evitarlo. • Cómo identificar intentos de spear phishing. • Las consecuencias para la seguridad de la pérdida de un dispositivo móvil.
✓ Refuerce la política de seguridad de la empresa. Por ejemplo, asegurándose de que todos utilizan contraseñas muy seguras para proteger proteger el acceso a la información de la empresa, a las cuentas bancarias y más (véase en la barra lateral, ¿Qué hace más segura una contraseña? si desea algún consejo práctico al respecto). ✓ Revise su política de seguridad según vayan surgiendo nuevos riesgos o adoptando nuevos procesos de trabajo.
47 ✓ Organice Organice cursillos recor recordatorios datorios para que los empleados mantengan «frescas» «frescas» las cuestiones de seguridad. ✓ Asegúr Asegúrese ese de que los nuevos empleados reciben sesiones de concienciación sobre seguridad como parte de su iniciación. JO S E N O
C
¿Qué hace más segura una contraseña? Si uno de sus empleados crea una contraseña relacionada con una palabra que se recuerde fácilmente o simplemente una secuencia numérica, un ciberdelincuente puede adivinarla con facilidad. Las contraseñas seguras utilizan una combinación de letras mayúsculas y minúsculas, números y símbolos y tienen un mínimo de 8 caracteres. Asegúrese de que ninguno de sus empleados utiliza la misma contraseña para diversos programas y/o cuentas web. Si un ciberdelincuente logra descifrar la contraseña del perfil de Facebook de un empleado, esa no debería ser la misma que le dé el acceso al ciberdelincuente para entrar en el sistema de correo electrónico de la empresa.
Alllí arriba en las nubes A En los últimos años, el concepto de la informática en la nube se ha puesto de moda. Las empresas de todo tamaño y forma han estado examinando el potencial de la nube para así simplificar el almacenamiento de información y recortar en gastos de explotación. En muchos casos la pequeña y mediana empresa ha estado al frente del traslado a la nube. A veces algunas de las organizaciones organizaciones más pequeñas pueden ser más rápidas que las más grandes a la hora de adoptar
48 nuevas estrategias empresariales. empresariales. A su vez, las más pequeñas suelen ser más conscientes de la necesidad de centrarse en las actividades principales del negocio. Por tanto, todo aquello que les permita subcontratar actividades informáticas secundarias a un tercero, puede considerarse ventajoso.
Con nube o sin ella, sus datos son su responsabilidad Si está planteándose utilizar la informática en la nube, recuerde recuer de que transferir el almacenamiento de la información de su empresa (y la entr entrega ega de alguna o todas sus aplicaciones) no absuelve a la empresa de sus responsabilidades responsabilidades en materia de seguridad. Tampoco garantiza automáticamente que la información confidencial de la empresa esté completamente protegida. protegida. Sigue siendo la información de su empresa, sin tener en cuenta dónde se halle guardada. Por ello, la protección de dicha información sigue siendo su responsabilidad respon sabilidad y así es exactamente cómo la ley considera sus obligaciones. Asimismo, plantéese cómo va a acceder a la información a diario. Aunque el proveedor proveedor de los servicios servicios en la nube tenga credenciales impecables y una seguridad rigurosa, tiene que asegurarse de que todos los dispositivos de su empresa, empleados para acceder a esa información, cuentan con medidas adecuadas de seguridad. Tendrá Tendrá que implantar una solución de seguridad in situ que proteja todos los ordenadores de sobremesa, portátiles, servidores y dispositivos móviles que se utilicen en su empresa.
Necesidad constante de ser consciente en Ne materia de seguridad Aún con una solución en la nube, tiene que asegurarse de que usted y sus empleados cumplen con las mejores
49 prácticas de seguridad dispuestas en la política de seguridad de la empresa. Por ejemplo, seguirá necesitando contraseñas seguras para prevenir el acceso no autorizado autorizado a la información y sus empleados tendrán que seguir siendo cautelosos y no perder los dispositivos móviles. Además, tendrá que evaluar todos los posibles riesgos de seguridad y asegurarse de que los empleados conocen las precauciones precaucion es básicas de seguridad. De hecho, lo único que cambia con la nube es que la información se deposita en manos de un tercero, tercero, fuera de la oficina.
Cautela con las trampas de los contratos por seervicios en la nube s El mercado de la informática en la nube está bastante establecido, con algunos proveedores proveedores de servicios en la nube muy capaces. Sin embargo, muchas de las soluciones de almacenamiento en la nube han sido desarrolladas para los clientes. En algunos casos, la seguridad es poco más que un «por si acaso» y para los usuarios empresariales podría resultar result ar insuficiente. Plantéese las siguientes preguntas al seleccionar al proveedor:
✓ ¿Quién será el titular de la información de mi empresa cuando esté almacenada en la nube? ✓ ¿Qué pasa si el proveedor de servicios en la nube cierra? • ¿Podré seguir accediendo a la información depositada? • ¿Habrá un periodo de no disponibilidad mientras la información se traslada a otr otro o proveedor para su almacenamiento?
50 • ¿El proveedo proveedorr inicial seguirá guardan guardando do copias de la información? ¿Existe la forma de garantizar que se borren esas copias? ✓ ¿Cómo rescindo el contrato? • Si rescind rescindo o el contrato, ¿cómo traslado la información de la empresa? • ¿Existe un proceso sencillo y rápido para trasladar la información almacenada a un nuevo proveedor? ✓ ¿Son suficientemente capaces los orden ordenadores adores donde el proveedor almacena mi información, así como los sistemas de comunicación que el proveedor emplea, para que mi información sea accesible cuando la necesito? • ¿Garantiza el proveedo proveedorr una accesibilidad constante para la información de mi empresa (para que pueda acceder a los datos importantes cuando lo necesite y no verme afectado por las excusas del proveedor de que el sistema no está en funcionamiento)? • ¿Cuenta el proveedo proveedorr con la tecnología adecuada para garantizar una recuperación rápida en el caso de avería, o ataque grave a su sistema de ordenadores, orden adores, sin que afecte a la seguridad y accesibilidad de mi información? • ¿Qué nivel de seguridad ofrece el proveedo proveedorr para proteger prot eger mi información frente frente a pérdidas y accesos no autorizados? (Recuerde (Recuerde que necesitará instalar software softwar e de seguridad en todos los orden ordenadores adores y dispositivos móviles que utilice para acceder a la información). ✓ ¿Dónde se almacenará la información? • ¿Sería un problem problema a desde el punto de vista legal o de cumplimiento, si se usa almacenamiento offshore?
51 Nunca se plantearía plantearía dejar a sus hijos al cuidado de alguien cuyas credenciales no hubiera comprobado compro bado de antemano o de quien no se fiara del todo. Del mismo modo, si su empresa es como su «hijo», tendrá que indagar y evaluar los posibles servicios en la nube a fin de garantizar que la información confidencial de su empresa cumplimiento, en manos seguras.
JO S E N O
C
Existen argumentos argumentos convincentes a favor del almacenamiento de la información y algunos programas de software en la nube. Sin embargo, tiene que ir con los ojos bien abiertos. Aunque la informática en la nube puede ayudarle a simplificar algunos aspectos de sus necesidades informáticas, también puede añadir un nivel de complejidad a la hora de seleccionar y administrar al proveedor de servicios en la nube. NC I IA
R T E
E V D
A ¡
!
La informática informática en la nube nube no reduce las obligaciones que debe cumplir para prot proteger eger los datos confidenciales. Es responsabilidad suya proteger prot eger la información sensible, y también si elige a un proveedor que le defrauda debido a un sistema de seguridad inadecuado.
52
Capítulo 5
Elección de software de seguridad apto para su empresa En el presente capítulo ▶ Cómo elegir el proveedo proveedorr de software de seguridad
apropiado para usted ▶ Cómo conseguir la asistencia técnica necesaria ▶ Cómo pueden cambiar las necesidades de seguridad
informática ▶ Elección del nivel idóneo de seguridad informática
B
ien, pues ya ha evaluado los riesgos de seguridad para su empresa y ha formado al personal sobre sobre la importancia de la seguridad informática (y si usted es la suma total de sus empleados, habrá sido un curso de formación bastante corto). Ahora ha llegado el momento de escoger la solución de software de seguridad que mejor pueda ayudarle ayudarle a proteger su empresa. empresa.
Elección del proveedor adecuado Cuando elija entre varios productos de software de seguridad informática disponibles en el mercado, intente elegir uno que pueda adaptarse a sus necesidades futuras.
54 O S E J N O
C
¡Que le den apoyo! Pregunte a los proveedores sobre el nivel de asistencia técnica que ofrecen si surge algún problema al utilizar su software o si su empresa sufre un ataque o un fallo de seguridad. El poder llamar por teléfono y tener a alguien que ayude en temas peliagudos no es solo conveniente y tranquilizador, también puede ahorrarle mucho tiempo y ayudarle a que sus ordenadores y procesos informáticos estén operativos de nuevo lo antes posible. Por el contrario, si un proveedor espera que se dedique a buscar en sus páginas de información en Internet y que encuentre su propia solución, eso le puede robar un tiempo importante que debería estar dedicando a sus actividades empresariales. Además, ¿a que es increíble que este tipo de problemas siempre surjan cuando uno está más ocupado, cuando se acaba el plazo de entrega de esa propuesta detallada para el negocio de su vida? Intente elegir un proveedor que ofrezca soporte local. . .en su idioma. . .en su huso horario.
Elegir un proveedor de seguridad que le ayude, es una parte muy importante del proceso de selección. Aunque en el mercado hay algunos paquetes de seguridad estupendos que le proporcionan proporcionan una serie de tecnologías antimalware y de seguridad en Internet, piense qué pasará cuando su empresa crezca crezca y ese paquete se le quede pequeño. ✓ ¿Será capaz el proveedor que ha elegido de ofrecer otros paquetes más completos para que pueda cambiar?
55 ✓ ¿El producto le permite añadir más funciones para que pueda proteger cosas nuevas que haya añadido a su sistema informático, como por ejemplo servidores virtualizados, sin tener que cambiar su producto de seguridad y sin tener que pedir ayuda a un profesional profesion al que dedique tiempo a integrarlo? Quizás ahora esas preguntas no le parezcan importantes. No obstante, cuando su empresa crezca, pueden ayudarle a evitar trastornos y costes asociados al cambio de un proveedor de seguridad a otro.
Conseguir más, en menos tiempo Para todas las empresas, es importante identificar soluciones de software sencillas de usar. usar. Al fin y al cabo, ¿quién quiere pasarse horas interminables montando y gestionando software software de seguridad cuando hay soluciones mejores que pueden automatizar los procesos procesos de seguridad y dejar más tiempo para dedicarse a otras actividades empres empresariales? ariales? La facilidad de uso es esencial, sobre todo si no tiene expertos en seguridad en plantilla. Incluso cuando su negocio crezca y contrate informáticos y personal de seguridad, el tener un software fácil de usar ayudará a mejorar su prod productividad. uctividad.
Siimplificar la gestión de la seguridad S La interfaz de usuario en casi todo software de seguridad se llama consola de gestión. Es parecida al salpicadero de un coche, le ofrece información visual sobre el funcionamiento del producto, producto, le indica si hay algún problema problem a del que deba ser consciente y le permite hacer ajustes. Suena fácil, pero algunos proveedores proveedores de software no hacen las cosas tan sencillas como debieran.
56 NC IA ! R T E I E V
D
A ¡
Algunos proveed proveedores ores de software de seguridad esperan que sus clientes usen varias consolas de gestión para controlar las diferentes tecnologías de protección que proporciona proporciona el paquete de seguridad. A veces, esto se debe a que el proveedor de seguridad ha adquirido varias tecnologías según iba comprando empresas de seguridad. Sea cual fuere la razón, el tener que usar varias consolas puede llevarle mucho tiempo, y puede ser muy confuso para el operario.
Por el contrario, hay algunas soluciones de seguridad que le permiten visualizar, controlar, y establecer políticas de seguridad para todas las tecnologías, a través de una única consola de gestión. Esto significa que solo tiene que familiarizarse con una interfaz, fácil fácil de usar, usar, que le proporciona propo rciona una visión clara de todas las tecnologías de seguridad utilizadas por el proveedor y que están operando en su red informática. Si usted es el responsable del software de seguridad de su empresa, el que sea fácil de usar y gestionar significa que tendrá más tiempo para dedicarlo a otros aspectos aspectos mucho más importantes en el día a día de su empresa. Incluso si trabaja con un informático interno o externo para ayudarle con el software de seguridad, el tener una única consola de gestión, fácil de usar, usar, le puede ayudar a controlar los gastos y a incremen incrementar tar su eficiencia.
Que le informen Los productos de seguridad que le ofrecen la flexibilidad de generar una gran variedad de informes sobre el estado de su seguridad y sus vulnerabilidades informáticas, incluyendo los dispositivos móviles y BYOD, pueden ayudarle a identificar mejor cualquier problema.
57
Altos vuelos o un estilo de vida: Al Identifique las necesidades de seguridad Dedicar un poco de tiempo a evaluar con sinceridad su empresa y sus aspiraciones merece la pena. Puede ser tentador tener una visión excesivamente entusiasmada y aventurera de su empresa empresa e imaginar que un día será una multinacional capaz de medirse con los grupos empresariales más grandes. Sin embargo, embargo, no todo empresario ambiciona eso. Obviamente, muchas compañías tienen unos comienzos modestos, en la mesa de la cocina o en un garaje, garaj e, y después han llegado a ser líderes mundiales. No obstante, si lo suyo es un “estilo de vida”, donde su objetivo principal es incrementar los ingresos de su empresa hasta un nivel en el que pueda mantener un buen estilo de vida para usted y su familia, esto no debería avergonzarle. Reconocer lo que uno quiere puede ayudarle a tomar la mejor decisión cuando invierte en TI y seguridad. El truco está en averiguar lo siguiente: ✓ Qué tipo de empresa tiene. ✓ Cómo podría ser la empres empresa a dentro de un año. . . y después de un año. Cuando lo haya averiguado, estará en una mejor posición para decidir cómo pueden cambiar sus necesidades de seguridad. Es entonces cuando puede centrarse en elegir un software de seguridad acorde con su empresa tal y como es hoy, hoy, y que tenga suficiente flexibilidad y posibilidad de ampliación para adaptarse a las nuevas necesidades de su empresa según vaya creciendo.
58 NC IA ! R T E I E V
D
A ¡
Aunque elegir la solución de seguridad equivocada quizás no sea catastrófico, puede costarle tiempo y dinero en el presente o en el futuro.
De la seguridad para un usuario paarticular a la protección empresarial p Hay productos de software software de seguridad para empresas de todo tamaño. La solución adecuada para usted depende de varias cosas.
Productos de seguridad para particulares Si su sistema informático empezó siendo su portátil particular,, es muy probable que ya tuviera soluciones de particular seguridad para particulares. Hay algunos paquetes de seguridad excelentes para particulares que combinan antimalware con innovadoras tecnologías de seguridad en Internet. Algunos, incluso ofrecen niveles de protección para banca por Internet y para otras operaciones financiaras por Internet. Para empresas con pocos empleados, un producto producto para usuarios particulares puede ser una solución ideal. No obstante, dado que hay tantos productos para consumidores consumidor es en el mercad mercado, o, debe dedicar algo de tiempo a evaluar las características y funciones de cada uno de ellos. Una solución que solo ofrezca protección protección antivirus no es suficiente en el entorno actual de alto riesgo. Habitualmente, un software de seguridad destinado al usuario particular está bien para empresas de una a cuatro personas, siempre siempre y cuando la licencia de software permita que lo utilicen empresas. Sin embargo, embargo, la mayor parte de los paquetes para particulares son difíciles de gestionar cuando hay cinco personas o más usándolos. Ese tipo de
59 paquetes no hacen que sea fácil o rápido aplicar la l a misma configuración y opciones de seguridad en todos los portátiles, ordenadores ordenadores de mesa y dispositivos móviles. NC IA ! R T E I E V
D
A ¡
Si quiere que su empres empresa a crezca considerablemente, pronto pronto podría acabar con una infraestructura informática compleja y extensa. Por ello, escoger un producto de seguridad para particulares que no pueda crecer con su empr e mpresa esa podría ser una decisión costosa y disruptiva en un momento crítico para el crecimiento de su empresa.
Sooftware antivirus gratuito S Si usa un software antivirus gratuito, quizá tenga la idea de seguir usándolo cuando empiece a crecer su empresa. Aunque esta puede ser una solución razonable en algunos casos, vale la pena averiguar qué proporciona exactamente el software y qué no. ¿Ofrece todas las tecnologías necesarias para defenderle de las últimas amenazas de seguridad y de los novedosos y sofisticados métodos usados por los ciberdelincuentes para robarle información valiosa? Si solo incluye un antivirus y unas pocas opciones de seguridad en Internet, puede que no sea el adecuado para protegerle de una gran variedad de amenazas. Muchos de los paquetes de software software gratuitos no se han creado para ser usados por empresas. Las condiciones de las licencias gratuitas normalmente no permiten su uso a empresas. Por lo tanto, usar software gratuito puede que sea ilegal. En otros casos, el proveedor del software gratuito puede cobrar algo extra cuando lo vaya a utilizar una empresa.
60 E JO N S
O
C
Cachorro gratis busca un buen hogar... ¡Menudo negocio! negocio! Siempre quiso tener un sabueso fiel a su lado y lo ha conseguido sin tener que pagar honorarios a los criadores de perros. Vale, resulta que es un chucho, pero es su chucho y, lo que es mejor, le salió gratis. Gratis. . .aparte de todo el trabajo que conlleva, la suciedad (siento mencionarlo, pero es su perro, así que va a tener que limpiar su suciedad) y todos los gastos. Sí, tuvo en cuenta el coste de las vacunas y las revisiones pero, ¿alguna vez pensó que iba a morder su preciado sofá? Lo cierto es que hay muy pocas cosas en la vida que sean gratis de verdad. Al igual que su cachorro gratis, el software de seguridad gratuito puede tener costes ocultos. ocultos. Quizás sea que la versión gratuita del software no haga más que mostrar anuncios de productos de terceros o dedicar tiempo a mostrar las virtudes de su versión premium, de pago. Sea cual sea, tanto si se trata de una barra con anuncios o de sus esfuerzos en venderle la versión mejorada de su software, esas distracciones podrían afectar su productividad o la de sus empleados. Incluso si el software no hace nada de lo antes mencionado, puede que, cuando necesite soporte del proveedor de software, le salga muy caro.
Solluc So ucio ionnes de se seggur uriida dadd par araa emp mpre resa sass gra rannde des s Al tener ya un mejor conocimiento de las amenazas que existen, puede que decida ir al grano y comprar la solución más completa del mercado. Muchas empresas empresas no se dan cuenta de que, para la mayoría de los productos de software, hay una relación
61 inversa entre funcionalidad y facilidad de uso. Los productos produ ctos que incluyen funciones que sólo van a usar empresas grandes pueden pueden ser más difíciles de configurar y gestionar que otros productos que han sido desarrollados teniendo en mente las pequeñas empresas. Así que, las empresas pequeñas que deciden simplificar simplificar el proceso de selección comprando el prod producto ucto de software más completo pueden estar haciéndose la vida incluso más difícil, hasta que llegue ese momento específico en un futuro lejano. . . ¡cuando la empresa crezca lo suficiente como para adaptarse al software de seguridad elegido! Por otro lado, también debe saber que, según va creciendo la empresa, su vendedor vendedor de seguridad puede ayudarle a gestionar sus nuevas necesidades de seguridad sin tener que retirar completamente el producto usado hasta el momento y empezar de nuevo. NC IA ! R T E I E V
D
A ¡
Puede que las soluciones de seguridad para empresas empr esas grandes incluyan tecnologías avanzadas que protejan entornos complejos. No obstante, si su red informática es relativamente sencilla, y es probable que lo siga siendo, puede que acabe pagando por cosas que nunca va a usar. Además, una solución de seguridad demasiado compleja puede ser mucho más difícil de manejar. . . en todas las etapas de la vida. Desde la configuración inicial, hasta la gestión diaria, diaria, una solución corporativa puede requerir capacidades y tiempo que las empr empresas esas pequeñas no pueden dedicar. En resumidas cuentas, las soluciones corporativas corporativa s suelen dar por hecho que se van a utilizar profesionales informáticos corporativos y recursos corporativos.
62
Seeguridad de prosumidor S ¿Seguridad de prosumidor? Sí, es uno de esos términos que han soñado gente del tipo publicitario con trajes estilosos, pero, ¿qué significa realmente? (Por cierto, si tiene una agencia de publicidad. . . ¡solo quería decirle lo bien que le queda ese traje!). Las soluciones de seguridad para prosumidores prosumidores más efectivas y útiles salvan la brecha entre los productos fáciles de usar desarrollados para particulares y los productos produ ctos corporativos que dan funcionalidades extra pero que pueden ser más complejos de instalar y gestionar. Los productos para prosumidores prosumidores intentan combinar las necesidades extras que tienen las empresas y la facilidad de uso necesaria en caso de que la empresa no tenga un equipo de informáticos expertos en seguridad en su plantilla. Cuando los proveedores proveedores de seguridad consiguen el equilibrio perfecto, los productos de prosumidor ofrecen una combinación irresistible para muchas empresas. Hay una diferencia clara entre entre un produ producto cto de seguridad desarrollado de forma ascendente para satisfacer las necesidades de las empresas pequeñas y los productos corporativos que simplemente han sido rediseñados para el mercado de las pequeñas empresas. empresas. Si un proveedorr simplemente disfraza su producto proveedo corporativo para hacerlo pasar por un producto para prosumidores, prosumidores, puede encontrarse con un producto produ cto demasiado complejo que conlleva demasiado tiempo. Sea cual sea el tamaño de su negocio, asegúrese de que elige un proveedor que ha invertido tiempo en tener en cuenta los retos a los que se enfrentan las empresas de su tamaño y ha desarrollado una solución de software optimizada para empresas como la suya. NC IA ! R T E I E V
D
A ¡
63
Cuando lo corporativo se acerca al prosumidor Para complicar las cosas aún más, no todos los productos de seguridad de grandes empresas son inapropiados para las empresas más pequeñas. Es cierto que los productos productos que se han desarrollado sin tener en mente los retos específicos a los que se enfrentan las empresas pequeñas, pequeñas, seguramente no sean adecuados para organizaciones que no tengan esos recursos informáticos informáticos en plantilla. No obstante, hay también un tipo de productos de seguridad para empresas basado en una arquitectura sencilla y modular. En ese caso, el proveedor puede ofrecer varios niveles de paquetes de software, y cada nivel proporciona una combinación diferente de tecnologías de protección. El nivel más bajo puede ofrecer una protección básica que encaje bien con las redes informáticas sencillas que tienen las empresas más pequeñas. Los niveles más altos añaden tecnologías de protección, y el nivel más alto proporciona proporciona seguridad para los entornos informáticos más complejos, incluyendo soporte para sistemas operativos y para múltiples plataformas de dispositivos móviles, seguridad hecha a medida para entornos virtualizados y tecnologías especiales para proteger portales de Internet, servidores de correo, etc. Con estos produ productos ctos modulares, las empresas ambiciosas pueden beneficiarse de una solución de seguridad lista para adaptarse a entornos más complejos, sin que el negocio sufra los trastornos de tener que migrar de una solución de seguridad relativamente pequeña pequeña a una solución corporativa.
64 RDA
U E C E R
Si le parece que tiene demasiadas demasiadas opciones, recuerde recuer de que los tipos de empres empresas as son casi ilimitados, y todos tienen necesidades de seguridad diferentes. Por lo tanto, tener opciones es algo bueno. Incluso si conlleva algo de tiempo reflexionar sobre sobre las ventajas e inconvenientes de las diversas opciones, esa reflexión le permitirá seleccionar la solución de seguridad que mejor se adapte a sus necesidades.
Capítulo 6
Diez preguntas preguntas que le ayudarán a identificar cómo proteger su empresa En el presente capítulo ▶ Evaluamos lo que necesita su empresa ▶ Evaluamos sus obligaciones legales ▶ Cómo tomar decisiones en materia de política de
seguridad
A
continuación, le planteamos 10 sencillas preguntas que le ayudarán a descubrir lo que se necesita para proteger su empresa contra la ciberdelincuencia, malware y demás peligros que atentan contra la seguridad:
✓ ¿Ha evaluado los posibles riesgos contra la seguridad de su empresa e identificado la información y los ordenadores que tiene que proteger? ✓ ¿Además de proteger los ordenadores, necesita proteger dispositivos móviles y un programa BYOD? ✓ ¿Conoce las obligaciones legales y normativas que son de aplicación a su empresa, en cuanto a la seguridad de información confidencial se refiere?
66 ✓ ¿Ha definido políticas de seguridad fundamentales, que la empresa pueda utilizar, para mantener la información, los ordenadores y otros dispositivos seguros? ✓ ¿Ha establecido un sencillo programa educativo, que mejore la sensibilización en materia de seguridad y consiga motivar a los empleados, para que se eviten posibles violaciones de la seguridad? ✓ ¿Ha evaluado los productos de software de seguridad disponibles, según su facilidad de uso, niveles de protección que ofrecen y su capacidad para adaptarse a las necesidades cambiantes? ✓ ¿Ofrece, el proveedor de software de seguridad que ha seleccionado, el nivel de asistencia técnica que necesita, en su idioma y en su franja horaria? ✓ ¿Se beneficiaría de unas prestaciones adicionales de seguridad, que proporcionaran un nivel de protección adicional, para las operaciones bancarias y financieras en red? ✓ ¿Si se decanta por la informática en la nube, ¿ha comprobado la idoneidad de los servicios del proveedor elegido, y las condiciones del contrato? ✓ ¿El producto de software que ha elegido, es capaz de proteger todos los ordenadores y dispositivos móviles que utiliza su empresa para acceder a la información almacenada en la nube? Las consecuencias de las violaciones que afectan a la seguridad de la información y los ataques de ciberdelincuentes pueden ser devastadoras. Por lo tanto, asegúrese de que los sistemas informáticos de su empresa quedan protegidos con un producto de software de seguridad serio. Pase página para obtener más información...
La seguridad de la que su empresa puede depender Si las galardonadas tecnologías de seguridad de Kapersky Lab se encargan de proteger tanto sus ordenadores como la información de su empresa y sus dispositivos móviles, podrá invertir más tiempo en las actividades centrales de su negocio... y menos tiempo preocupán preocupándose dose por los ciberdelincu ciberdelincuentes entes y el software malintencionado.
Soluciones de seguridad para empresas en desarrollo Kapersly Endpoint Security for Business ofrece un producto a su medida para satisfacer las necesidades exclusivas de su empresa. Simplemente, Simplemente, elija el nivel que mejor se adapta a los requisitos de su empresa. A medida que su negocio va creciendo y su red informática se va haciendo más compleja, podrá pasar al siguiente nivel... y así, hasta nuestra mayor solución de seguridad: Kapersky Total Security for Business. Kapersky Total Security for Business combina una seguridad exhaustiva con unas funciones esenciales de gestión de sistemas, para ayudarle a gestionar y proteger todos sus terminales: ✓
PC de Windows, Mac y ordenadores ordenadores Linux
✓
Máquinas físicas físicas y virtuales virtuales
✓
Dispositivos móviles: Androide, Androide, iOS, Windows Phone, Phone, Windows Mobile, BlackBerry y Symbian
✓
Servidores de archivos, archivos, correo, correo, Internet y colaboración
Si desea saber más sobre Kapersky Endpoint Security for Business y Kapersky Total Security for Business, visite www. kapersky.com/business-security.
Soluciones de seguridad para pequeñas empresas Kapersky Small Office Security 3 ha sido diseñado específicamente para empresas que necesitan seguridad de categoría mundial... sin las complicaciones ni la necesidad de contratar personal informático especialista especialista en seguridad. Protege sus PC Windows, W indows, ordenadores portátiles, servidores de archivos y dispositivos Android, de las amenazas más complejas de hoy en día. Con Kapersky Small Office Security le resultará rápido y sencillo protegerr sus sistemas informáticos, su información de banca protege online y la información confidencial de su empresa, incluyendo los datos confidenciales que le confían sus clientes: • Protección en tiempo real, líder en el mercado, para PCs de Windows y servidores de archivos • Las tecnologías tecnologías Safe Safe Money Money y Virtual Keyboar Keyboard d le proporcionan seguridad adicional para la banca en red • Gestión de contraseñas: le le ayuda a utilizar contraseñas contraseñas más más complejas y a mantenerlas seguras. • Encriptación Encriptación:: para que su información información condencial condencial sea sea verdaderamente... confidencial. • Control web: mejora la productividad restringiendo páginas web y bloqueando contenidos maliciosos. • Seguridad móvil: protege protege los los teléfonos teléfonos inteligentes inteligentes Android y las tabletas frente al software malintencionado. Para descubrir cómo Kapersky Small Office Security puede proteger su empresa, visite www.kapersky.com/protectmybusiness.
Consejos esenciales para defender su Consejos empresa del software malintencionado y de la ciberdelincuencia. Desde las empresas de nueva creación hasta las multinacionales: todas las empresas dependen cada vez más de los ordenadores y los dispositivos móviles, lo que las vuelve cada vez más vulnerables a los ataques maliciosos. Este libro, sencillo de leer leer,, le ofrece consejos sobre cómo proteger la información de su empresa (incluyendo información confidencial sobre sus clientes) y sobre cómo proteger sus ordenadores y dispositivos móviles contra virus y otros tipos de software malintencionado,, para que pueda invertir malintencionado menos tiempo en seguridad y más en dirigir su empresa.
• Comprenda los riesgos: descubrir qué es lo que está en juego en las empresas
Abra el libro y encontrará: •
•
•
Un resumen de los típicos métodos de ataque de la ciberdelincuencia Sencillas maneras de mejorar la seguridad de su información Cómo elegir el software de seguridad adecuado para su empresa
• Conozca las amenazas: sa amenazas: sabe berr cóm cómo o lo loss criminales buscan empresas a las que atacar • Planifique para proteger: evitando los riesgos a la seguridad más comunes • Defienda sus datos: con un software de segu se gurid ridad ad fá fácil cil de ut utili iliza zar r
Georgina Gilmore tiene más de 20 años de experiencia en el sector de TI. Georgina es Directora jefe de Marketing para Cliente y Socio de B2B Global, de Kapersky Lab. Peter Beardmore se sumó a Kapersky en 2008 con una vasta experiencia en marketing de TI y competencias competencias en gestión de productos. Es el Director jefe de Marketing de Productos.
Making Everything Easier! ™
¡Visite Dummies.com® encontrará vídeos, ejemplos paso a paso, artículos explicativos, y podrá hacer sus compras!
ISBN: 978-1-118-84817-3 Prohibida su venta