07 Sep Líderes en seguridad de la información
Por Debora Slotnisky
El concepto “Industria 4.0” se refiere a una tendencia que cambia la manufactura convirtiéndola en procesos inteligentes y conectados, mediante el aumento de la interconectividad de los dispositivos de producción, incluyendo aparatos, robots autónomos y sensores inteligentes que intercambian constantemente una enorme cantidad de información digital. “Como resultado, la manufactura se convierte en un proceso ciberfísico que expone a la compañía de forma masiva a ciberataques potenciales. Esto significa que un incidente de seguridad informática puede llegar a ser mucho más que una simple violación de datos, ya que puede causar daño físico, e incluso terminar con la pérdida de vidas humanas”, explica a IT Business Eugene Kaspersky, CEO de la empresa que lleva su nombre. Se trata de un proveedor de software de seguridad para endpoints de origen ruso y presencial global.
En las oficinas centrales del proveedor global de soluciones antimalware ESET, en Bratislava, Eslovaquia, IT Business es recibido en exclusiva por Richard Marko, CEO de la firma, para hablar acerca de los desafíos que una empresa debe tener en cuenta antes de embarcarse a correr tras las promesas de mayor productividad que proponen la “Industria 4.0” y la transformación digital, según la cual la tecnología se integra al negocio atravesándolo por completo: “A medida que una empresa avanza en ambos aspectos, debe preocuparse cada vez más por tener una infraestructura mejor protegida, ya que no es cuestión de ‘conectar y usar’. Por eso, las organizaciones que no estén dispuestas en invertir en seguridad no deben subirse a la ola de utilizar tantos dispositivos online”.
Ambos CEO indican que uno de los principales retos relacionados con la seguridad informática es que las tecnologías que son la base de la “Industria 4.0” no son nuevas, aunque el concepto esté de moda ahora. Además, los sistemas que funcionan dentro de las nuevas estructuras no se rediseñaron a partir de cero. “Gran parte de estos nuevos sistemas conectados se ejecutan mediante software vulnerable, y los protocolos y estructuras se diseñan a menudo sin la noción de que trabajarán en un entorno conectado. Planear la seguridad informática para dicha fabricación inteligente es muy difícil, pero es vital que tales sistemas sean sustentables”, agrega Eugene Kaspersky.
En el día de la inauguración del nuevo centro de operaciones de Avast en Praga, República Checa (que hace poco cambio su nombre oficial por Chequia), IT Business se reúne a solas con el CEO Vincent Steckler: “Los usuarios empresariales que quieran implementar la Internet de las Cosas (IoT) deben saber que estarán expuestos a mayores preocupaciones de privacidad y seguridad, ya que para los ciberdelincuentes es fácil instalar malware o ransomware en redes privadas o robar información. Mi consejo es que los CIO deben tomar todas las medidas necesarias para proteger el punto de acceso a la red y adoptar contraseñas fuertes. Aunque parezca mentira, aún muchos eligen 123456 o qwerty”, dice. Y agrega: “No es futurismo, ya existen casos de malware que ingresan a la red y atacan los dispositivos conectados”. Para citar un ejemplo, menciona el caso de la cadena de productos para el hogar Home Depot, que ya en 2014 confirmó haber sufrido un ataque informático en su base de datos de tarjetas de pago, afectando a los clientes de sus tiendas en los Estados Unidos y Canadá.
Qué hacer con los smartphones
Proteger al máximo los dispositivos móviles de los empleados es uno de los principales desafíos de los CIO. Con respecto a este tema, Steckler recomienda que, aunque una organización lleve a cabo la política del Bring your own device (BYOD), “todos los dispositivos deben tener instalado un antivirus para móviles”. Hay opciones que pueden comprarse o descargarse sin costo.
“Otra alternativa es virtualizar el móvil. Para eso, las aplicaciones empresariales no están instaladas en los equipos, sino que los empleados acceden a los recursos que necesitan desde cualquier teléfono inteligente de forma remota. De esta manera, en caso de que el smartphone se pierda o sea robado, nadie puede acceder a la información empresarial. Al mismo tiempo, las compañías tienen la visibilidad y seguridad necesarias para garantizar la integridad de sus datos y la conformidad corporativa”.
En ESET son más conservadores y no admiten la política del BYOD dentro de su organización. Su Chief Information Security Officer (CISO), Daniel Chromek, lo justifica: “Cada empresa debe analizar las regulaciones vigentes en su país. En Eslovaquia, si el dispositivo de un empleado contiene malware y por este motivo se propaga información confidencial de la compañía, el propietario de teléfono no tiene obligación de entregar su smartphone para que sea analizado. Por eso cada compañía en cualquier país debe abordar la cuestión de la seguridad de la información junto con el equipo de legales”.
Consejos finales
“Los CIO deben recordar que la seguridad es un proceso y no un estado de cosas. Por eso, lo mejor que pueden hacer es crear diferentes reglas de seguridad para los datos más críticos y menos críticos dentro de su sistema y protejan a estos últimos como las ‘joyas de la corona’. Es importante realizar auditorías de seguridad regulares con pruebas de penetración, y contratar inteligencia de amenazas de empresas de seguridad con el fin de estar al tanto de lo que está sucediendo ahora mismo en esta área. También ayuda siempre estar preparados para lo peor, y tener todos los protocolos de respuesta de emergencia disponibles inmediatamente en caso de una violación de datos. El personal de seguridad informática debe saber lo que estarían haciendo justo después de haber estado expuestos”, finaliza Kaspersky.
Marko insiste: “Si bien parece un consejo muy básico, las personas suelen ser el eslabón más débil de la cadena, por eso es importante recordarles con insistencia cuáles son las buenas prácticas en términos de seguridad de la información”.
La Federal Trade Commission (FTC) de los Estados Unidos, una organización que trabaja para prevenir las prácticas comerciales anticompetitivas, engañosas o desleales hacia los consumidores, entre otras tareas, emitió un reporte en enero último en el que recomienda una serie de pautas a los fabricantes de dispositivos que se conectan: que cuando se identifica un riesgo de seguridad, consideren una estrategia de “defensa en profundidad”, que controlen los dispositivos conectados a través de su ciclo de vida útil y que, cuando sea posible, proporcionen parches de seguridad para cubrir los riesgos conocidos.
EL CRONISTA