Si su empresa es de esas que no invierte en seguridad e ignora las fisuras en sus procesos internos, usted podría ser la próxima presa de los ladrones.

Editor: Boris Ríos

Sometieron al único guarda de seguridad del local. Ingresaron armados a la sala de ventas y amenazaron tanto a clientes como al personal de ventas. Los despojaron del efectivo que llevaban para las compras, así como de sus pertenencias personales. La parte que quedó fuera del alcance de los asaltantes fue la caja con el dinero, pues estaba protegida por dos puertas que solo se abren electrónicamente desde el interior, además del vidrio blindado que protegía la ventanilla.

A raíz del atraco, la gerencia de Inversiones Ferreteras, en Honduras, optó por implementar cámaras de vigilancia con monitoreo, detectores de metal en la entrada principal y una mayor presencia de guardas de seguridad privada.

Los asaltantes vieron una gran vulnerabilidad en las instalaciones de la empresa y atacaron. Y es que las empresas son más vulnerables cuando no invierten en sistemas de seguridad y vigilancia. Las oficinas de atención al público y las bodegas son las que reportan mayor incidencia de robos, según el subcomisionado Héctor Iván Mejía, jefe de la Policía Metropolitana en Honduras.

Protejan los datos

La otra área susceptible a ataques es, desde luego, la información, pues las empresas suelen olvidar que la parte más importante dentro de sus operaciones involucra a sus contenidos.

Esto trae consigo muchas implicaciones en la seguridad, pues se deben de crear procesos en donde se establezcan claramente acuerdos de “secretividad”, en donde nadiepueda extraer información por medio de USB, CD y/o cualquier otro mecanismo. “El proceso de la información debe estar debidamente respaldado por un servidor y una excelente plataforma que proteja de cualquier asalto de información. Así lo hemos visto hace unos días en Sony, donde los hackers supieron librar todas las barreras”, explica Tania Martínez, analista de Operaciones de Inter-Con Security.

El acceso no autorizado al sistema de Sony expuso los datos de 77 millones de cuentas de usuarios de PlayStation, donde entre la información extraída se encontraba el nombre, dirección (estado, ciudad y código postal), dirección de correo electrónico, fecha de nacimiento, contraseña y usuarios de PlayStation Network y, posiblemente, datos de tarjetas de crédito.

La información del ESET Security Report 2011 evidencia que una de las principales preocupaciones en materia de seguridad informática de los profesionales latinoamericanos es la pérdida de datos o fuga de información, llegando al 42,5% del total de las respuestas. Y es que tal como lo demuestran los últimos casos de resonancia internacional, este tipo de ataques suelen inquietar profundamente a las organizaciones, no solo por lo que implican los costos asociados, sino también por los riesgos relacionados a la reputación de la empresa.

Sin embargo, este mismo estudio reveló que solo cuatro de cada 10 personas indicaron que cuentan en su empresa con herramientas de detección de incidentes, un valor significativamente bajo si se toma en cuenta la gran preocupación que representa para las empresas la pérdida de datos.

“Seguridad de la información es hacia fuera como hacia adentro, es decir, hacia fuera es protegerse contra aquel potencial malware y hacker que puede hacer mal uso de una aplicación descargada de Internet o creada por el mismo, para ingresar a los servidores de la empresa. Pero es igual de importante proteger de adentro hacia fuera, es decir, hay que proteger el dato del funcionario que ya tiene acceso a ciertos datos y que puede representar información crítica del negocio”, explica Estela Cota, gerente de canales de Websense para Centroamérica.

Un mal uso de la información puede ponerla en un punto vulnerable donde alguien externo puede acceder a la misma sin buenas intenciones.

Es por ello que se debe contemplar los dos lados de la moneda, es decir, en términos de prevención de fuga de información y de amenazas foráneas. En la era post Wikileaks, muchas empresas comenzaron a tomar precauciones en lo que respecta a fuga de información. Según los resultados de una encuesta realizada por ESET Latinoamérica a más de 3000 empresarios en la región, se conoció que las medidas de seguridad más populares en las compañías de Latinoamérica incluyen el uso de software antivirus, firewall, copias de respaldo y herramientas antispam como lo recursos más utilizados para mitigar el robo de información.

Otros controles menos utilizados, son la autenticación de usuarios en la red, las herramientas de detección de incidentes y otras de prevención de intrusos. Según Pablo Ramos, especialista de Awareness & Researh de ESET Latinoamérica, dentro de las empresas las áreas más propensas a los ataques son aquellas donde se encuentra la información.

Con este fin los lugares más amenazados suelen ser la sala de servidores, cualquier medio de comunicación digital (conexión a base de datos, conexiones remotas a los servidores, portales web de la compañía), el departamento de archivos, la oficina del CEO, la recepción de la empresa y en las impresoras.

Examen hacia adentro

“La protección de una empresa puede resultar una tarea difícil, pero lo más importante que deben hacer las empresas para proteger sus activos es hacer un análisis de identificación de riesgos y vulnerabilidades en cada área y tener un plan actualizado de contingencia para cada caso, de tal forma que les ayude a evitar o amortiguar el impacto”, recomienda la Ing. Annie Encarnación, gerente administrativa de Security Plus, República Dominicana.

Dentro de las partes más vulnerables de las empresas generalmente se encuentran: la información, programas y base de datos; las instalaciones, equipo de oficina, vehículos de transporte y de carga. En este sentido, las instalaciones son otra parte sumamente propensa a atracos, lo que vuelve imperante la vigilancia de algunos aspectos como el rubro de la empresa, su ubicación, el flujo de visitas, si estas se permiten o no, entre otros.

Es por eso que se recomienda que toda empresa micro y grande incorpore sistemas de seguridad como oficiales capaces, servicio de alarmas, circuito cerrado de TV y monitoreo, patrullaje, servicio de escoltas, guardaespaldas y todo tipo de seguridad que garantice la protección del inmueble y la seguridad personal.

No invertir en seguridad se constituye en el principal punto de vulnerabilidad de las empresas, desde seguridad de estructura e informática, hasta seguridad personal. El mayor error radica en que las empresas no se den cuenta de que la seguridad es parte del crecimiento, de mejorar procesos, de fortalecer estructuras y evitar pérdidas; y por el contrario lo vean como un costo más que una inversión.

Siendo que la seguridad depende en un 90% de la prevención, 5% de la reacción y 5% de la suerte, las debilidades de cada empresa varían dependiendo del rubro sobre todo. La debilidad de un banco no es la misma que una empresa distribuidora de refrescos o una de seguridad.

En la actualidad, la tendencia es utilizar cada vez más la tecnología. Desde detectores de movimiento, teclados numéricos para abrir puertas, teclados de huellas, cámaras y circuitos cerrados, así como seguimiento por satélite a la flota vehicular, pruebas de polígrafo, administración de controles de acceso; sin obviar las medidas tradicionales, como agentes de seguridad con y sin arma, escolta de mercancías de alto valor, investigaciones y evaluación de riesgos, consultoría, diseño y estructuración de planes de seguridad.

A manera de protección contra atacantes internos, Ramos recomienda que deben existir sitios físicos a los cuáles el acceso debería estar restringido.

Por ejemplo, la sala de servidores a la cual sólo personal autorizado pueda tener acceso y que tal control de ingreso a dicho lugar seaefectuado mediante herramientas biométricas o tarjetas RFID.

Finalmente si se audita y almacena los accesos de los empleados u otro usuario a los diferentes sitios de la organización se podrá detectar cualquier tipo de intrusión no autorizada.

El gran error

El tema de la seguridad debe verse desde un enfoque global. “Inicialmente debemos comprender que las amenazas a las empresas se han incrementado porque Carecer de un departamento de seguridad corporativa que permita proporcionar información constante sobre el comportamiento delincuencial en área de trabajo y/o giro de sus negocios; no designar a personas idóneas para la administración de la seguridad corporativa; no realizar auditorías de seguridad periódicas que les permitan identificar fallas en sus procesos y administración de la cadena de seguridad; así como considerar la seguridad como un gasto, son algunos de los principales errores en que incurren las compañías centroamericanas a la hora de proteger de forma integral lo que pertenece a la empresa. En esta línea, algunas de las fallas que suelen cometer las compañías se ven reflejadas en el ramo del leasing tecnológico.

Cada año, cientos de empresas actualizan equipos que pueden ir tanto desechados como al mercado de segunda mano, a veces sin tomar en cuenta que el simple borrado de los equipos no garantiza el borrado seguro de toda la información contenida en ellos.

Toda empresa quiere tener la seguridad de que la información contenida en los equipos desechados, por depreciación contable o tecnológica, sea borrada en su totalidad y no represente ningún riesgo de fuga de información ni para la empresa ni para sus clientes. No obstante, la información privada podría permanecer en los equipos después del formateo a bajo nivel. Esto es algo que quizás muchas compañías no tenían contemplado. No obstante, algunas empresas como CSI Leasing Inc., especialista en arrendamiento operativo y administradora de activos de tecnología, aplica las normas de limpieza y sanitización de equipos del Departamento de Defensa de EE. UU.

“La mayoría desconoce que probablemente los documentos que las compañías escanean, imprimen, faxean o fotocopian queden almacenados en discos duros que frecuentemente forman parte de las impresoras, copiadoras, scanners o equipos multifuncionales modernos. Hoy por hoy sabemos que para la empresa especializada en los servicios de arrendamiento de equipos de tecnología de la información, la práctica más común de limpiado de datos —el formateo a bajo nivel— no es suficiente para destruir esta información; se requiere de software especializado para un borrado que vuelva los datos originales efectivamente irrecuperables”, explica Carlos Rodríguez, director comercial de CSI Leasing de Centroamérica.

La mejor defensa

La inseguridad de la información en medios electrónicos, como la personal, ha motivado el incremento en los costos de operación de las empresas, que sin embargo son mucho menores que el costo que representaría sufrir una lesión, ya sea física o virtual, que afecte las operaciones de la compañía o ponga en juego la integridad física de sus ocupantes.

Hoy día, la seguridad empresarial se basa en que muchos empresarios solicitan servicios de guardaespaldas y escoltas especialmente cuando se transportan con una gran cantidad de dinero.

A pesar de que estos servicios de seguridad empresarial pueden parecer muy corrientes, actualmente van acompañados de todo tipo de sistemas de comunicación y monitoreo, ya que tanto los guardaespaldas como los escoltas y los vigilantes que son contratados para la seguridad empresarial deben estar comunicados con la central receptora, para informar acerca de algún tipo de siniestro ocurrido en su guardia.

Por otro lado, parte importante de la seguridad empresarial son los sistemas electrónicos, tanto las alarmas, como el monitoreo por cámaras y en algunos casos también artefactos como detectores de metales, bandas con scanner y un software de registro de entradas y salidas, en donde cada vez que una persona entra a una empresa debe registrarse con su número de identificación personal, su nombre y apellido, y de la misma manera a la salida.

Las bandas con scanner y los detectores de metales suelen ser colocados por las empresas en caso de un posible atentado con algún tipo de arma, de esta manera las personas no pueden ingresar con ningún producto metálico que no haya sido revisado y catalogado como no peligroso, caso contrario deberán dejar todo en la recepción de la empresa, para luego poder retirarlo cuando se marchen de las instalaciones.

De acuerdo con Gustavo Paguaga, en el caso de robo de información, la organización debe saber medir el valor de su información ante cualquier posibilidad de ataque intencional, lo que no debe hacerse con respecto al valor que tiene la información para la empresa, sino averiguando el valor que tiene para el tercero que desea robarla.

“Lo más recomendable es que se contrate el servicio de seguridad con entidades de respaldo y especializadas en el tema; sin embargo, como esto no garantiza el éxito del outsourcing de seguridad, se recomienda el uso de los centros de operación de riesgos (ROC), que cuentan con metodologías y prácticas que facilitan el equilibrio entre costos, riesgos y operación para incrementar la certeza gestionando los riesgos de la forma más eficaz posible”, puntualiza. 

Comentarios (0)