EXalli

Seguridad

fireampmovilLa seguridad en las empresas ya no se trata únicamente de firewalls o sistemas de prevención de intrusos; actualmente existen otros puntos vulnerables que pueden generar severos riesgos y los teléfonos inteligentes serán el principal blanco de los delincuentes cibernéticos por los próximos años ya que muchos de ellos ingresan sin restricción a las instalaciones de las epresas y tienen acceso a la red corporativa.

Exalli.com platicó con Arturo Barquín, director técnico en Sourcefire para América Latina y el Caribe, empresa desarrolladora de la solución FireAMP Móvil, la cual protege teléfonos inteligentes analizando cada aplicación antes de ser instalada.

Barquín nos explicó que esta solución está basada en la nube, es decir que el análisis no se realiza en el dispositivo sino vía Internet en los servidores de Sourcefire donde la empresa cuenta con todos los recursos e infraestructura para determinar si una aplicación es confiable o contiene código malicioso que comprometa la seguridad de la empresa; aún cuando dichas amenazas no hayan sido catalogadas previamente.

Actualmente – explicó el entrevistado— el desarrollo de aplicaciones es abierto a todos los desarrolladores por lo cual es sencillo subir una aplicación a Google Play (la tienda de aplicaciones para Android), desgraciadamente el usuario no tiene forma de saber si dichas aplicaciones son completamente confiables o pueden representar un riesgo.

Arturo BarquínFireAMP móvil consta de un agente que analiza cada aplicación, aún cuando parezca válida, antes de que sea instalada para determinar si ésta tiene un comportamiento peligroso o si puede extraer información y comunicarla a un tercero sin que el usuario lo sepa. En tal caso dicha aplicación es terminada para impedir que sea ejecutada. “Esto tiene mucho sentido para las empresas, las cuales con mayor frecuencia se están moviendo hacia un modelo de Bring your own device, es decir que cada empleado utiliza su propio dispositivo móvil en vez de que la empresa le proporcione uno. Cuando uno de estos equipos (smartphone, tablet, etc.) es conectado a la red corporativa es indispensable mantener un control sobre las aplicaciones que se ejecutan en tales dispositivos”, explicó Barquín.

Una ventaja de que este servicio esté basado en la nube es que no es necesario descargar aplicaciones al mismo tiempo que se trata de una aplicación muy ligera. Otra ventaja es que FireAMP, no sólo analiza las aplicaciones que son descargadas desde la tienda de aplicaciones de Android, también revisa aquellas que son instaladas vía USB o enviadas por Bluetooth al momento de ser instaladas.

Precio y disponibilidad

Acerca de la disponibilidad de FireAMP, Barquín explicó que por el momento sólo está disponible sólo para Android ya que hasta la fecha es el sistema que presenta mayor número de amenazas al tener un control menos estricto en cuanto a las aplicaciones que son subidas por los desarrolladores, no obstante podría haber en el futuro cercano un desarrollo para iOS. Asímismo, el directivo nos señaló que FireAMP ya es compatibe con Android 4.1 (Jelly Bean).

FireAMP está disponible en un modelo de suscripción anual y su costo dependerá del número de dispositivos que cada empresa necesite proteger. El costo de proteger un solo dispositivo es de $30 dólares y varía conforme aumenta el número de licencias.

aenorEn fechas recientes los titulares de los medios noticiosos de todo el país estuvieron dedicados a la venta de bases de datos oficiales en calles del Distrito Federal. Esto no sólo ha generado gran desconfianza en la manera en que son manejados sus datos por las dependencias responsables de resguardarlos, también ha alertado a muchas empresas sobre posibles fugas de información que de de ocurrir podrían ocasionar severos daños económicos o de imagen.

Por ello Exalli.com platicó con Victor Fernández, director general de AENOR 
México empresa de origen español dedicada a certificar empresas bajo normas internacionales, así como de capacitarlas para lograr dichas certificaciones.

Durante la charla que sostuvimos con el directivo, nos explicó cómo es posible apuntalar la seguridad de una empresa mediante una norma internacional: la ISO 27001 Certificación de los Sistemas de Gestión de Seguridad de la Información.

A este respecto Fernández comentó “La seguridad de la información es de vital importancia sin embargo el panorama de la gobernabilidad es mucho más extenso y se traduce al final en lo que se conoce como Continuidad en el Negocio, que debería ser la meta de todas las empresas, de cualquier ramo”. El entrevistado agregó que para lograr el Business Continuity hay que pasar oir varias etapas, una de ellos es la ISO 27001, pero también se evalúa el software y, por otro lado la ISO 2000 asegura que las áreas de informática que son donde se maneja toda la información de las empresas estén bien  reguladas.

De acuerdo con lo expresado por Fernández, el contar con una certificación  ISO 27001, puede ayudar a las empresas a encontrar los puntos donde son vulnerables, incluso en activos como el mismo nombre de la empresa, sus activos documentales y, el que causa mayor riesgo de daño, el activo de recursos humanos.

Una vez que una empresa decide iniciar el proceso de certificación en ISO 270001, AENOR se encarga de realizar un análisis de la seguridad en la empresa, el cual incluye una prueba de penetración para verificar qué tan posible sería para un atacante tener acceso a los recursos informáticos de la empresa, incluyendo las bases de datos que maneja, datos financieros, etcéterea. De este modo se conocen las vulnerabilidades de alto, mediano y bajo riesgo.

“Una vez que se conocen las vulnerabilidades, la norme prevé 133 controles que se pueden aplicar a dichos puntos de riesgo, así como métricas para determinar qué tan bien se están controlando estos riesgos. Del mismo modo en caso de que alguna de estas condiciones de riesgo no sea contemplada dentro de los controles de seguridad, quizás por tener una probabilidad muy lejana de ocurrir, se le crea un plan de contingencia en caso de presentarse”, explicó.

El directivo habló de la importancia de que en las empresas existan controles de seguridad que contemplen castigos o penalizaciones para quienes las incumplan y destacó que muchas empresas no ponen límites los visitantes que llegan a sus instalaciones o a la manera en que sus empleados utilizan el equipo de cómputo portátil que les ha sido entregado por la empresa. Nos relató cómo es que muchas compañías subcontratan servicios de mantenimiento para sus instalaciones y dicho personal tiene acceso a partes vitales de la empresa sin que le sea retirado el teléfono celular, lo cual pone en riesgo secretos industriales que pueden poner en serios problemas a cualquier empresa. Lo mismo ocurre cuando a un visitante se le permite ingresar a las instalaciones con una computadora portátol y/o memorias USB donde con gran facilidad pueden ser sacados datos vitales.

Fernandez, aclaró que a diferencia de la certificación ISO 9000 que es la más conocida y la cual como parte importante requiere que muchas labores o gestiones dentro de la compañía sean delegadas para poder tener un control sobre los procesos de la empresa, la ISO 27001 se asegura de que absolutamente nadie, excepto el dueño de la empresa sea el único con acceso a toda la información, en tanto que los mandos inferiores van teniendo acceso únicamente a partes de ésta haciendo imposible que alguien externo o de nivel bajo dentro de la organización pueda resolver el crucigrama de la seguridad de los activos.

Al preguntarle acerca de los tiempos que requiere esta certificación, aseguró que una empresa de tamaño mediano puede lograr su certificación  y que debido a que los costos van en función de cuántos empleados hay en cada negocio, las empresas pequeñas o medianas pueden acceder a esta certificación.

Finalmente, el directivo explicó que muchas empresas deciden implantar los controles que manda la norma aún cuando no decidan certificarse de inmediato por motivos económicos. Otra de las ventajas de la ISO 27000 es que se puede ir implantando por áreas.

Para mayor información visita: www.aenormexico.com