Cómo simplificar la seguridad de la TI - Proyecta4

spersky Lab
los cumplidos de Ka
n
co
,
as
es
pr
em
as
Para las pequeñ
a
l
r
a
c
i
f
i
l
p
m
i
s
Cómo
I
T
a
l
e
d
d
a
d
i
r
u
g
e
s
Presentado por
Georgina Gilmore
Peter Beardmore
Acerca del Kaspersky Lab
Kaspersky Lab es el mayor proveedor mundial privado de
soluciones de protección para endpoints. La compañía se
encuentra entre los cuatro primeros proveedores del mundo
de soluciones de seguridad para usuarios de endpoints.*
A lo largo de su historia de más de 15 años, Kaspersky Lab
ha seguido siendo un innovador en la seguridad de la TI,
y proporciona soluciones de seguridad digital efectivas
para grandes empresas, pequeños y medianos negocios
y consumidores. Kaspersky Lab opera en casi 200 países y
territorios de todo el mundo, suministrando protección a más
de 300 millones de usuarios.
Conozca más en www.kaspersky.com/business.
* La empresa fue clasificada cuarta en Worldwide Endpoint Security Revenue
by Vendor, 2011, de la International Data Corporation. La clasificación se
publicó en el informe de la IDC ‘Worldwide Endpoint Security 2012–2016
Forecast y 2011 Vendor Shares’ (IDC #235930, Julio de 2012). El informe clasificó
a los proveedores de software de acuerdo a las ganancias obtenidas de las
ventas de soluciones de seguridad de puntos terminales en 2011.
CÓMO SIMPLIFICAR
LA SEGURIDAD DE TI
Kaspersky Edición limitada
CÓMO SIMPLIFICAR
LA SEGURIDAD DE TI
Kaspersky Edición limitada
Por Georgina Gilmore
y Peter Beardmore
Cómo simplificar la seguridad de TI Para Dummies®
Publicado por
John Wiley & Sons, Ltd
The Atrium
Southern Gate
Chichester
West Sussex
PO19 8SQ
Inglaterra
Si desea recibir detalles sobre cómo crear un libro personalizado Para Dummies para
su empresa u organización, comuníquese con CorporateDevelopment@wiley.com.
Para obtener información sobre la autorización de la marca Para Dummies para productos
o servicios, comuníquese con BrandedRights&Licenses@Wiley.com.
Visite nuestra página en www.customdummies.com
Copyright © 2014 por John Wiley & Sons Ltd, Chichester, West Sussex, Inglaterra
Todos los derechos reservados. Ninguna parte de esta publicación puede reproducirse,
almacenarse en sistemas de recuperación o transmitirse de ninguna forma o por cualquier
medio, electrónico, mecánico, fotocopiado, grabación, escaneo u otro, excepto en los
términos de la ley de Derecho de autor, diseños y patentes de 1988 o en los términos de
una licencia expedida por la Copyright Licensing Agency Ltd, 90 Tottenham Court Road,
Londres, W1T 4LP, Reino Unido, sin el permiso por escrito del editor. El pedido de permiso
al editor deben dirigirse al Departamento de permisos, John Wiley & Sons, Ltd, The
Atrium, Southern Gate, Chichester, West Sussex, PO19 8SQ, Inglaterra, o por correo
electrónico a permreq@wiley.com, o por fax a (44) 1243 770620.
Marcas comerciales: Wiley, el logo Wiley Publishing, Para Dummies, el logo Dummies Man,
A Reference for the Rest of Us!, The Dummies Way, Dummies Daily, The Fun and Easy Way,
Dummies.com e imágenes comerciales son marcas comerciales o marcas registradas de
John Wiley & Sons, Inc. y/o sus filiales en los Estados Unidos y otros países, y no pueden
utilizarse sin la autorización escrita. Todas las demás marcas comerciales son propiedad
de sus respectivos dueños. Wiley Publishing, Inc. no está asociada con ningún producto o
proveedor mencionados en este libro.
LÍMITE DE RESPONSABILIDAD/EXCLUSIÓN DE GARANTÍA: LA EDITORIAL, EL AUTOR, Y CUALQUIER
OTRA PERSONA IMPLICADA EN PREPARAR ESTA OBRA NO REPRESENTAN O GARANTIZAN LA
PRECISIÓN O INTEGRIDAD DEL CONTENIDO DE ESTA OBRA Y ESPECÍFICAMENTE EXCLUYEN TODAS
LAS GARANTÍAS, INCLUYENDO SIN LIMITACIÓN A LAS GARANTÍAS DE IDONEIDAD PARA UN
PROPÓSITO PARTICULAR. NO SE PUEDE CREAR O EXTENDER NINGUNA GARANTÍA POR VENTAS O
MATERIALES PROMOCIONALES. LOS CONSEJOS O ESTRATEGIAS QUE SE INCLUYEN AQUÍ PUEDEN
NO SER ADECUADOS PARA CADA SITUACIÓN. ESTA OBRA SE VENDE CON EL ENTENDIMIENTO DE
QUE LA EDITORIAL NO SE COMPROMETE A SUMINISTRAR SERVICIOS LEGALES, CONTABLES, U
OTROS SERVICIOS PROFESIONALES. SI SE REQUIERE ASISTENCIA PROFESIONAL, SE DEBEN BUSCAR
LOS SERVICIOS DE UN PROFESIONAL COMPETENTE. NI LA EDITORIAL NI EL AUTOR SON
RESPONSABLES POR DAÑOS DERIVADOS DEL PRESENTE CONVENIO. EL HECHO DE QUE SE HAGA
REFERENCIA A UNA ORGANIZACIÓN O SITIO WEB EN ESTA OBRA COMO CITA Y/O POSIBLE FUENTE
DE INFORMACIÓN NO SIGNIFICA QUE EL AUTOR O LA EDITORIAL SUSCRIBAN LA INFORMACIÓN QUE
LA ORGANIZACIÓN O SITIO WEB PUEDAN PROPORCIONAR O LAS RECOMENDACIONES QUE PUEDAN
HACER. ADEMÁS, LOS LECTORES DEBEN SER CONSCIENTES DE QUE LOS SITIOS DE INTERNET EN
ESTA OBRA PUEDEN HABER CAMBIADO O DESAPARECIDO ENTRE EL MOMENTO EN QUE SE ESCRIBIÓ
ESTA OBRA Y EL MOMENTO EN QUE SE LEE.
Wiley también publica sus libros en una variedad de formatos electrónicos. Parte del
contenido que aparece impreso puede no estar disponible en los libros electrónicos.
ISBN: 978-1-118-84810-4 (ebook)
Impreso y encuadernado en Gran Bretaña por Page Bros, Norwich
Introducción
B
ienvenido a Cómo simplificar la seguridad de TI Para
Dummies: su guía para superar algunos de los
desafíos de seguridad de la información que enfrentan los
negocios de todos los tamaños en el mundo actual
conectado por Internet. Con valiosos consejos y sugerencias, este libro tiene como propósito ayudar a que su
negocio garantice que la información confidencial continúe
siéndolo, de manera que sea menos posible que sufra
penalizaciones regulatorias o legales, o bien que la
reputación de su negocio resulte perjudicada.
Si bien los avances en la computación de la última década
han ayudado a los propietarios de negocios a reducir
costos, mejorar la eficiencia y brindar un nivel aún mejor
de servicio al cliente, esas mismas nuevas tecnologías han
creado oportunidades para que los piratas cibernéticos
o hackers ataquen a negocios inocentes. Mucho más que
antes, todos los negocios, incluso aquellos que piensan
que no tienen información confidencial que proteger,
deberían estar al tanto de los riesgos y de cómo evitarlos...
así que es por eso que escribimos este libro.
Acerca de este libro
Si bien es pequeño, este libro está lleno de información
para ayudar a las empresas en crecimiento a encontrar
la mejor manera de proteger la información confidencial:
incluso la información privada de sus clientes, y cómo
asegurar sus computadoras y dispositivos móviles contra
virus, ataques maliciosos y más.
2
Desde las pequeñas empresas hasta las grandes corporaciones, cada organización está en riesgo de padecer los
sofisticados métodos que los hackers utilizan para acceder
a la información confidencial y robar dinero de las cuentas
bancarias de los negocios. Si bien las grandes multinacionales pueden costear un equipo de especialistas en seguridad de TI, es menos probable que las pequeñas empresas
tengan un experto en seguridad de TI. Cómo simplificar la
seguridad de TI Para Dummies se presenta para ayudar
a las empresas al crear conciencia sobre:
✓La razón por la que casi todos los negocios tienen
información confidencial que deben proteger.
✓La variedad y la naturaleza de los riesgos de
seguridad de la información.
✓Las medidas simples y “sin costo” que ayudan a los
negocios a proteger la información confidencial.
✓Los productos fáciles de usar que pueden mejorar
notablemente la seguridad de la información.
Suposiciones sin sentido
Para ayudarlo a asegurarse de que este libro tiene la
información que necesita, hemos hecho algunas
suposiciones sobre lo que sucede en su negocio:
✓El negocio que tiene, administra o en el que trabaja
utiliza computadoras portátiles, de escritorio o
dispositivos móviles.
✓Debe asegurarse de que su negocio no infrinja
ninguna reglamentación sobre la seguridad de la
información.
✓Usted es capaz de garantizar que la información
confidencial de su negocio siga siéndolo.
3
✓Es probable que aprenda cómo prevenir ataques de
hackers que puedan afectar la actividad diaria de su
negocio.
✓Tal vez esté considerando guardar parte de la
información de su negocio en “la nube”.
✓Agradecería recibir algunos consejos sobre cómo
elegir el software de seguridad de TI que se adapte
a su negocio.
Cómo se organiza este libro
Cómo simplificar la seguridad de TI Para Dummies se divide
en seis capítulos concisos, llenos de información:
✓Capítulo 1: Por qué todos los negocios deben
proteger la información confidencial. Explicamos los
obstáculos de tener una falsa sensación de seguridad.
✓Capítulo 2: Cómo lograr lo que su negocio necesita.
Incluso aunque todos los negocios necesitan
seguridad, este capítulo considera cómo pueden
variar los requisitos de seguridad
✓Capítulo 3: Descubrir la verdad sobre las amenazas
a la seguridad. Aprenda por qué la TI actual es más
compleja y las amenazas a los negocios son más
peligrosas.
✓Capítulo 4: Planificar una mejor seguridad de la
información. Evalúe los riesgos y luego asegúrese de
que su negocio sepa cómo evitarlos. También le
damos algunos aspectos a considerar para almacenar
con seguridad información en “la nube”.
✓Capítulo 5: Elegir el software de seguridad que se
adapte a su negocio. Con tantos productos en el
mercado, explicamos los factores que pueden
ayudarlo a tomar la decisión correcta.
4
✓Capítulo 6: Diez preguntas para que usted sepa
cómo proteger su negocio. Use estas preguntas como
una lista útil cuando necesite saber cómo proteger su
negocio.
Íconos que se utilizan en este libro
NS
EJ O
ERDE
CU
ADV
RE
CO
Para que sea aún más fácil encontrar la información que
necesita, estos íconos resaltan el texto clave:
TENCIA
ER
El objetivo llama su atención hacia los consejos
de vanguardia.
El ícono de la cuerda con nudos resalta
información importante a tener en cuenta.
¡Cuidado con estos posibles obstáculos!
Hacia dónde ir
¡Este libro es una lectura rápida y fácil! Puede empezar y
dejar el texto cómo desee, o bien puede leerlo de principio
a fin. Lo que sea que decida hacer, le aseguramos que lo
encontrará lleno de grandes consejos sobre cómo proteger
la información de sus clientes y los demás datos valiosos
que almacena y procesa su negocio.
Capítulo 1
Por qué todos los negocios deben
proteger la información confidencial
En este capítulo
▶ Evaluar las cargas extra de las pequeñas empresas
▶ Asegurar la valiosa información comercial
▶ Evitar los riesgos de una falsa sensación de seguridad
▶ Comprender por qué los ciberdelincuentes atacan nego-
cios de todos los tamaños
E
n este primer capítulo veremos algunas de las razones
por las que los negocios están sujetos a riesgos de la
seguridad de la información y por qué es poco aconsejable
intentar mantener esos problemas de seguridad bajo la
alfombra.
Las empresas están siendo atacadas
En la era de la información, el conocimiento es poder.
La información que tiene su empresa, en cuanto a su
conocimiento especializado, sus productos y sus clientes es
vital para su éxito continuo. Si ya no pudiera acceder a parte
de esa información más preciada, podría afectar el
funcionamiento diario de su empresa. Incluso peor,
¿cuáles serían las consecuencias si dicha información cayera
en las manos equivocadas, en las manos de un delincuente?
Por otra parte, ¿qué sucedería si un delincuente pudiera
6
acceder a sus computadoras y robar los datos de la cuenta
bancaria en línea de su empresa? ¡Horror!
Desafortunadamente, compañías de todos los tamaños están
siendo atacadas por ciberdelincuentes que usan una amplia
variedad de métodos para desbaratar las operaciones
comerciales, acceder a información confidencial o robar
dinero. En muchos casos, la compañía que es víctima podría
ignorar completamente que ha sufrido un ataque... hasta que
sea demasiado tarde.
Ciberdelincuencia y ciberdelincuentes
Los delincuentes siempre han sido buenos para detectar nuevas
oportunidades para aprovechar las debilidades y ganar algo de
dinero, a costa de alguien más. Ya sea una cerradura débil en la
ventana de una oficina o una alarma comercial fácil de burlar, los
criminales aprovechan cualquier oportunidad para tomar ventaja
de una debilidad. Sin embargo, en la era actual que vive conectada
a Internet, ha surgido una nueva raza de delincuentes desde las
oscuras profundidades... los ciberdelincuentes.
La ciberdelincuencia cubre una amplia variedad de actividades
criminales que se realizan por medio de sistemas de TI o Internet.
Es demasiado fácil la amenaza de la ciberdelincuencia, y esa es
una de las maneras en las que los negocios hacen que sea más
fácil que los ciberdelincuetes se se aprovechen.
Los ciberdelincuentes son sumamente organizados y tienen
grandes habilidades para desarrollar métodos sofisticados para
atacar las computadoras comerciales, acceder a información
confidencial y robar dinero. A menudo, las recompensas
financieras son considerables... mientras los costos de efectuar
un ataque pueden ser muy bajos. ¡Esto brinda una tasa de
rentabilidad con la que muchos otros tipos de criminales sólo
pueden soñar! Así que, el volumen de la ciberdelincuencia sigue
aumentando.
7
Pequeñas empresas, mayores presiones
En muchos aspectos, las pequeñas empresas enfrentan casi
todos los problemas cotidianos que deben superar los
grandes negocios... además de otros tantos desafíos
adicionales. Todas las empresas deben continuar buscando
maneras para lidiar con las condiciones cambiantes del
mercado y responder a las actividades de la competencia,
mientras se adelantan a los cambios en las necesidades y
preferencias de sus clientes. Sin embargo, mientras hacen
frente a todos estos factores, la mayoría de los negocios en
desarrollo también tienen que lidiar con una amplia variedad
de otros problemas que continúan surgiendo como resultado
del crecimiento continuo de la compañía.
Estos desafíos adicionales pueden incluir:
✓Hallar maneras de lidiar con un número creciente de
clientes, y mayores ingresos.
✓Reclutar y capacitar regularmente personal adicional
para satisfacer las demandas crecientes.
✓Hallar instalaciones más grandes y organizar la
mudanza, sin interrumpir las operaciones cotidianas.
✓Garantizar financiamiento adicional para el
crecimiento del negocio.
✓Agregar nuevas oficinas en distintas ubicaciones.
✓Hallar el tiempo para considerar las cosas que las
grandes empresas integran en su quehacer, como
por ejemplo, mantener segura la información de
los clientes.
Todas estas tareas son necesarias para asegurarse que el
negocio continúe funcionando de manera eficiente y esté
listo para los próximos pasos de su crecimiento.
8
¡Ese no es mi trabajo!
Luego existe el rango de responsabilidades que los fundadores y empleados deben cubrir. Desde el principio, así
como un solo hombre (o mujer) o bien un pequeño grupo de
individuos sumamente motivados, trabajar en pequeñas
empresas en general significa que “todos se ponen manos a
la obra”, es decir que todos deben ocuparse de una variedad
mucho mayor de tareas de la que podrían haber tenido en su
trabajo anterior. En general, no hay equipos de RR. HH.,
departamento legal o personal especialista en TI a los que
recurrir.
Si su negocio tiene éxito, todos deben lograr más que
convertirse en un milusos. Usted y sus colegas saben que
deben dominar todo lo que implica el funcionamiento del
negocio.
Sí, es posible recurrir a un especialista y pagarle por hora,
pero eso cuesta precioso dinero en efectivo. Cada dólar,
libra, Euro o yen que gaste en actividades comerciales
secundaria limita la inversión en otras áreas fundamentales e
incluso puede limitar el crecimiento de su negocio.
¿Cuál es la importancia de la TI?
Para la mayoría de las empresas, la idea de intentar
funcionar sin TI básica (como computadoras portátiles) es
casi impensable. Incluso si la TI es sólo un medio para lograr
un fin, es una herramienta clave que ayuda a fomentar la
eficiencia comercial y mejorar la interacción con los clientes,
empleados y proveedores. Sin embargo, la TI debe estar al
servicio del negocio; y eso significa que debe ser fácil de
instalar y administrar. De manera similar, cualquier software
de seguridad que proteja las computadoras y la información
comercial de su negocio debe ser fácil de usar.
9
Hay una jungla allí afuera... ¡así que salga armado!
ADV
RE
Los negocios que consideran a las computadoras como un
mal necesario probablemente tengan la misma percepción
cuando se trata de mantener segura la información almacenada en dichas computadoras. Esa visión es comprensible
si la TI no es su fuerte.
No obstante, lo triste es que la seguridad de la información
comercial nunca ha sido más importante, para negocios de
todos los tamaños. Con los niveles de amenazas actuales,
y los ciberdelincuentes que utilizan regularmente las
conexiones de Internet para hackear las computadoras
comerciales, ninguna compañía puede permitirse ignorar la
seguridad. Incluso si su negocio sólo aplica algunas medidas
de protección, esas precauciones podrían ser suficientes
para evitarse muchos dolores de cabeza y una importante
suma de dinero.
Está perfecto si considera la seguridad de TI y la
ERDE
CU
seguridad de los datos como males necesarios...
¡siempre que haga hincapié en la palabra
“necesarios”! En ese caso, la palabra “males”
es solamente un recordatorio del tipo de ciberdelincuentes que lanzan ataques contra negocios
inocentes.
NCIA
E
Un vendedor minorista ni siquiera soñaría con
T
ER
dejar la caja registradora abierta para que
cualquier criminal que pase tome un puñado de su
dinero. De manera similar, cualquier negocio que
usa computadoras, dispositivos móviles o Internet
debe asegurarse de que su TI no esté abierta para
recibir ataques. Es demasiado fácil convertirse en
una víctima involuntaria de un ciberdelincuente
que ataca las vulnerabilidades ocultas en sus
computadoras portátiles, tablets y smartphones.
Es por eso que debe hacer todo lo posible por
10
asegurarse de que los ciber-delincuentes no
puedan robar la información confidencial, ni robar
de sus cuentas bancarias en línea.
Un poco de seguridad puede ser fundamental
Índice de éxito del malware
La diferencia entre no hacer nada y aplicar algunas medidas
simples de seguridad puede ser impresionante. Al principio, sólo
implemente unas medidas básicas de seguridad que sean
suficientes para asegurarse de a que los ciberdelincuentes
promedio les resulte más fácil elegir otro negocio... y deje a su
empresa en paz.
En el gráfico, verá cómo una pequeña inversión en la seguridad
puede reducir dramáticamente la posibilidad de que el malware
genere un ataque exitoso.
Invierta en protección
A medida que su negocio
invierte en seguridad... las
posibilidades de sufrir una
infeccion por malware se
reducen exponencialmente
Inversión en seguridad
11
La seguridad no debería frenar su negocio
¡El tiempo es dinero! Listo, lo hemos dicho. Claro que se trata
de un cliché, pero es cierto. Cualquier actividad no
prioritaria que evita que se dedique a las principales
actividades que generan ingresos para su negocio le cuestan
dinero, y oportunidades . Para comenzar, ser ágil y
mantenerse enfocado es lo que le brindó la oportunidad de
establecer su negocio. Así que lo último que necesita es
seguridad de TI sea un obstáculo para su espíritu
empresarial: sin importar cuán importante pueda ser la
seguridad de TI.
Cualquier cosa que lo haga trabajar más lento podría
significar que pasa menos tiempo en las actividades clave
que le brindan una ventaja sobre la competencia y le ayudan
a impulsar a su negocio. Con el enfoque equivocado, la
seguridad de la información y las tecnologías de protección
inadecuadas, podría notar que las mismas cosas que se
suponía deben proteger a su negocio, en realidad
constituyen una amenaza.
La presa fácil de los ciberdelincuentes
Con preocupaciones sobre la complejidad y el desempeño,
no nos extraña que tantos pequeños negocios se hagan
de la vista gorda en lo que respecta a seguridad de TI.
No obstante, incluso aunque las nuevas empresas y los
pequeños negocios podrían haberse salido con la suya
desde esa perspectiva hace algunos años, dados los niveles
actuales de ciberdelincuencia esa no es la mejor estrategia.
Si consideramos además el hecho de que algunos ciberdelincuentes consideran a las pequeñas empresas como
la presa más fácil a atacar que las grandes organizaciones,
es evidente que tener una seguridad de TI efectiva ya no
es opcional.
12
ADV
La buena noticia es que su negocio puede hacer algunas
cosas simples para ayudar a proteger la información
confidencial. Por otra parte, algunos de los más recientes
productos de software de seguridad han sido desarrollados
específicamente para las pequeñas compañías que no
disponen de mucho tiempo para proteger sus sistemas e
información. Tener estos productos de seguridad significa
que usted no tiene que comprometer la seguridad ni perder
tiempo tratando de ejecutar un software de seguridad
complejo que es difícil de manejar.
Incluso las grandes organizaciones podrían no
TENCIA
ER
tener la escala y los recursos necesarios para
recuperarse de una violación a la seguridad que le
produjera daños. Es por eso que para las pequeñas
empresas podría parecer imposible continuar en
actividad después de un incidente con la seguridad
¿Falsa sensación de seguridad?
Algunos negocios tienen una falsa sensación de seguridad,
con la creencia errónea de que los ciberdelincuentes
solamente están detrás de los peces gordos.
—Así es—, dice el propietario del negocio—.
¿Quién querría atacar a una pequeña empresa como la mía,
cuando hay objetivos más grandes y acaudalados allí afuera?
Simplemente no estamos en el radar de los
ciberdelincuentes.
Bueno, es cierto que un radar no ayudará a los
ciberdelincuentes a identificar el comercio que será su
próxima víctima. No obstante, los ciberdelincuentes utilizan
todo tipo de herramientas de escaneo para encontrar
empresas vulnerables: y pueden hacerlo por Internet. Con
estas ingeniosas herramientas de escaneo, los
ciberdelincuentes pueden identificar negocios que tienen
brechas de seguridad dentro de sus computadoras.
13
En un lapso casi ínfimo, los escáneres pueden detectar la
próxima víctima de los ciberdelincuentes e indicar de qué
manera el negocio está vulnerable ante un ataque.
Esto puede sonar como una elaborada trama de ciencia
ficción, pero es real. Cada día, se utilizan métodos como éste
y otros más sofisticados para atacar a las pequeñas
empresas. Un día cualquiera, Kaspersky Lab identifica
aproximadamente 12.000 ataques de malware (software
malicioso) y ese número continúa creciendo.
Las pequeñas empresas pueden ser
objetivos fáciles para cometer un delito
CO
En general, la mayoría de los ciberdelincuentes están
buscando aumentar la rentabilidad financiera de sus actividades ilegales y minimizar el esfuerzo y el tiempo necesario
para obtener dicha rentabilidad. Así que, si bien acceder a
las finanzas de una multinacional sería sumamente lucrativo,
es casi seguro que al ciberdelincuente le costaría bastante
superar las sofisticadas defensas de seguridad que probablemente tendría una empresa de este tipo.
Como alternativa, el ciberdelincuente podría elegir un
puñado de pequeñas empresas. Sí, los beneficios de cada
ataque individual serían mucho menores, pero si las
pequeñas empresas tienen una defensa deficiente
o inexistente, podría ser dinero fácil. Lanzar ataques en
diez o veinte pequeñas empresas podría generar tanto
dinero como un único ataque a una empresa más grande:
y ser mucho más fácil de lograr.
NS
EJ O
Dado que a las pequeñas empresas les podría
costar destinar tiempo a pensar en la seguridad,
algunos cibercriminales deliberadamente se
concentran en las presas fáciles que representan.
No permita que su negocio esté entre las próximas
víctimas
14
Los ciberdelincuentes pueden usar las
pequeñas empresas como trampolín
Los ciberdelincuentes saben que a menudo las pequeñas
empresas son proveedores de las grandes compañías y esa
es otra razón para que sean el blanco de sus ataques. Un
ataque a una empresa de este tipo puede ayudar al ciberdelincuente a robar información que podría resultarle útil al
permitirle un ataque posterior contra una corporación más
grande.
El cibercriminal podría elegir deliberadamente a la pequeña
empresa dada su relación con las grandes corporaciones.
Por otra parte, un ciberdelincuente oportunista podría
simplemente detectar el potencial cuando roba la
información de los clientes de la pequeña empresa.
No hace falta decir que, si el próximo ataque a la organización más grande es exitoso y el papel de la pequeña
empresa se vuelve necesaria, le podría traer graves
dificultades a esta última.
Incluso si la pequeña empresa no cometió directamente
ninguna mala conducta, la seguridad inadecuada permitió
que se infiltraran en sus propios sistemas, y eso ayudó a
hacer posible el ataque contra el cliente corporativo. Si se
conoce la función de la pequeña empresa en el contrato, es
probable que tenga consecuencias, como acciones legales,
compensación, multas, la pérdida de clientes y el daño a la
reputación de la pequeña empresa.
15
Salir perdiendo... desde ambos lados.
Imagínese el caso de una pequeña empresa que compra
materias primas de una gran corporación y luego vende
productos terminados a empresas multinacionales. Con el
fin de lograr una mayor eficiencia, el proveedor podría
esperar que sus clientes (incluso la pequeña empresa)
interactúen y envíen los pedidos por medio de sus propios
sistemas en línea. De manera similar, el cliente multinacional
podría esperar que la pequeña empresa envíe facturas
electrónicas directamente a sus propios sistemas de
contabilidad interna.
Esto significa que la pequeña empresa tiene vínculos
electrónicos directos con el sistema de computadoras de su
proveedor corporativo y con el sistema de computadoras de
su cliente multinacional.
Si un ciberdelincuente se infiltrara en las computadoras de
la pequeña empresa, podría reunir información que le
ayudara a atacar tanto al proveedor como al cliente de la
empresa. Incluso si los siguientes ataques no resultaran
exitosos, la pequeña empresa tendría que dar
explicaciones... incluso podría bloquear las interacciones
electrónicas con sus proveedores y clientes. Eso podría
afectar negativamente la eficiencia de la pequeña empresa
y sus márgenes de rentabilidad: especialmente si la
competencia se beneficia al lograr una interacción más
cercana con los mismos proveedores y clientes.
16
Capítulo 2
Cómo lograr lo que su
negocio necesita
En este capítulo
▶ Conocer sus obligaciones legales y reglamentarias
▶ Evaluar lo que se espera en su industria
▶ Darse cuenta de que las amenazas actuales son más
peligrosas que nunca
▶ Considerar cómo pueden variar las necesidades de
seguridad
V
eremos con mayor detalle cómo algunos requisitos
de seguridad pueden ser similares para diferentes
empresas... y también cómo pueden variar.
Algunas necesidades de seguridad que se
aplican a empresas de todos los tamaños
Muchas empresas caen en la trampa de pensar que no
tienen información valiosa para un ciberdelincuente. Por
otra parte, el fundador podría pensar que un incidente
de pérdida de información no podría provocarle un daño
importante a la compañía. Desafortunadamente, para
empresas de todos los tamaños, estas creencias rara vez
son ciertas.
18
Incluso una simple base de datos con los detalles de
contacto de los clientes tienen un valor para una amplia
variedad de personas distintas: desde ciberdelincuentes
que buscan utilizar esos detalles como parte de estafas de
robo de identidad, hasta la competencia que quiere robarle
los clientes.
Obligación legal de asegurar la información
En muchos países, las empresas están sujetas a estrictas
regulaciones sobre cómo deberían manejar la información
de los individuos. El no cumplirlas puede provocar grandes
multas para la empresa. En algunos casos, los directores o
propietarios de la empresa pueden ser procesados judicialmente, por algunos delitos que incluyen condenas en
prisión.
Para muchos países, la legislación y las regulaciones de
cumplimiento sobre cómo se procesa y almacena la
información personalmente identificable podría resultar en
obligaciones aún más onerosas para organizaciones más
grandes. Sin embargo, incluso si las autoridades correspondientes exigen que las grandes corporaciones implementen
medidas de seguridad mucho más sofisticadas, la ley aún
espera que las pequeñas empresas actúen de manera
responsable y apliquen las acciones razonables para
asegurar toda información relevante.
Si una empresa no adopta medidas que se
esperaría que aplicara para ese tipo y tamaño
de compañía, podría encontrarse en graves
problemas.
Importantes expectativas de seguridad
Muchas jurisdicciones obligan a todas las compañías
a tener un mayor grado de cuidado en cómo manejan
cualquier material particularmente confidencial o
19
cualquier otra información que podría provocar un daño
significativo a un tercero si se filtraran los datos.
Asimismo, industrias y sectores de mercado específicos
podrían estar sujetos a requisitos de información mucho
más estrictos que las demás industrias. Por ejemplo,
las empresas que operan en el sector legal y de la salud
probablemente deban tener un mayor cuidado con la
información que usan, almacenan y procesan.
No obstante, incluso si ninguna de estas “expectativas
adicionalesx” se aplica a su negocio, la pérdida de
información confidencial podría tener consecuencias
directas.
¿Una Catástrofe de confidencialidad?
¿Existe algún negocio que requiera menos TI que una
residencia o un criadero de gatos? ¿Realmente se
necesitaría seguridad de TI para operaciones de este tipo?
Bueno, ¡sí! Tan sólo piense en la información que la empresa
tiene: el nombre y la dirección de sus clientes, más la
agenda electrónica de la fecha en que los peludos felinos
estarán en las instalaciones.
¿Qué sucedería si esta información cayera en manos
equivocadas? Es bastante obvio que no habrá nadie en casa
para cuidar de Bigotes y Guantes; y eso es una información
valiosa para los ladrones. Con el dato de la fecha en que el
propietario no estará en casa (y por cuánto tiempo no
estará), los ladrones podrían darse el lujo de robar los
objetos valiosos de la propiedad del dueño del gato.
20
Diferentes niveles de
entendimiento y recursos
A pesar de las similitudes con algunas de las obligaciones
de seguridad que están en vigencia para empresas de
todos los tamaños, aquí hay algunas variaciones claras
sobre cómo organizaciones de distinto tipo perciben
y resuelven los problemas de seguridad.
Las cosas ya no son como antes
La sofisticación y la naturaleza implacable de los ataques
modernos a la seguridad de TI significa que las amenazas
actuales son muchísimo más peligrosas que las amenazas
de hace algunos años. El no darse cuenta de esto puede
dejar a una empresa en situación de vulnerabilidad.
Cuando se trata de la seguridad de la información, las
grandes compañías pueden costear expertos en seguridad
de TI a tiempo completo. Sin embargo, los propietarios de
pequeñas empresas no pueden darse ese lujo.
¿El tamaño importa?
La disponibilidad de recursos obviamente es un factor que
diferencia a las pequeñas empresas de las grandes
corporaciones. Los grandes negocios tienen expertos
locales para tomar decisiones informadas al momento de
invertir en tecnologías de defensa. También tienen los
recursos financieros y de respaldo necesarios para
implementar la solución elegida. Por otra parte, su equipo
local tiene experiencia en cómo desarrollar y afinar constantemente los planes y la política de seguridad de la compañía,
de manera que el negocio siga estando un paso más
adelante que los ciberdelincuentes y no existan grandes
brechas en las defensas de la organización.
21
En contraste, las pequeñas empresas probablemente no
tengan un experto en TI. Además, para un negocio en
crecimiento, existe una gran variedad de demandas que
compiten por cualquier dinero en efectivo sobrante (bueno,
efectivo sobrante es un concepto interesante, pero no uno
que los autores recuerden haber experimentado). Así que,
la seguridad de las computadoras debe ocupar su lugar en
la fila y justificar completamente el gasto necesario.
Comprender los distintos requisitos
de seguridad
Incluso aunque existe una base en común, los distintos
tipos de negocio probablemente tendrán algunas
diferencias en sus requisitos de seguridad de TI...
y también pueden tener visiones distintas sobre el grado
de seguridad necesario. Además, a medida que una
empresa crece, sus necesidades de seguridad de la
información pueden cambiar.
¿Reconoce alguno de los siguientes perfiles comerciales
y sus visiones sobre la seguridad de TI?
La nueva empresa
A la edad de 36 años, “Sergio, el emprendedor” dejará un
gran estudio de ciudad y creará una nueva firma de
abogados con dos de sus colegas.
Cómo planea el negocio utilizar la TI:
✓Sergio y sus colegas dependen mucho de las
computadoras portátiles, las tablets y los
smartphones que les dan la flexibilidad de trabajar
casi en cualquier lugar.
✓El equipo utilizará mucho el correo electrónico para
comunicarse con clientes y utilizará sus
22
computadoras para generar cartas, propuestas
y notas.
La postura del negocio en cuanto a la seguridad:
✓La naturaleza altamente confidencial de la información del cliente que manejarán, incluso los datos
financieros, significa que la protección de toda la
información sensible es de vital importancia.
✓Cualquier filtración o pérdida de información podría
ser sumamente embarazosa y podría tener graves
consecuencias en términos de la reputación personal
de Sergio y de la firma. Incluso podría significar que lo
demanden.
✓Salvaguardar el negocio es de vital importancia y
Sergio sabe que el software antivirus estándar no
brinda la protección adecuada.
Sergio dice: —Tenemos que comprar un nuevo paquete de
TI e instalarlo. Al mismo tiempo, debemos poder comenzar
a generar ingresos cuanto antes, así que el software de
seguridad que elijamos debe brindar el nivel de protección
adecuado, ser fácil de instalar, administrar y mantener.
Asimismo, el proveedor del software de seguridad debe
brindarnos el soporte que necesitemos, cuando lo
necesitemos; de manera que podamos concentrarnos en
prestar servicio a nuestros clientes. Luego, a medida que el
negocio crezca, nuestra solución de seguridad debe ser
capaz de adaptarse para satisfacer las nuevas demandas.
La empresa en expansión
“Ahmed, el ambicioso” ha logrado mucho en sus 48 años.
Es el propietario de una cadena de confección de ropa para
hombres que emplea a dieciocho personas; y el negocio
está en expansión.
23
Cómo planea el negocio utilizando la TI:
✓Además de abrir una nueva tienda, la empresa se
lanzará a la venta en línea: venderá trajes desde su
sitio Web.
✓Con la expansión, la empresa tiene que adquirir
mucha más tecnología, incluso más terminales de
punto de venta (PoS, en inglés), más computadoras,
enrutadores para redes Wi-Fi y un nuevo servidor.
✓Si bien Ahmed no está concentrado en la TI, descubre
que su nuevo smartphones resulta útil para acceder
a su correo electrónico.
La postura del negocio en cuanto a la seguridad:
✓La empresa usa un producto de software antivirus
que el sobrino de Ahmed que entiende de tecnología
compró en la tienda de computación que está en la
misma calle. No obstante, Ahmed sabe que este
producto no es suficiente para mantener segura la
información de su negocio, especialmente ahora que
se está expandiendo tan rápidamente. Ahmed odiaría
ver que su competidor local se apoderara de su lista
de clientes regulares y su modelo de fijación de
precios.
✓Debido a los requisitos estándar de la industria de las
tarjetas, de pago (PCI, sigla en inglés), Ahmed sabe
que su negocio debe instalar un software de seguridad
y mantenerlo actualizado para ocuparse de las
vulnerabilidades.
Ahmed dice: —La sastrería es mi pasión, no la TI.
Sin embargo, es el momento indicado para invertir en un
software de seguridad de TI profesional, al menos para estar
tranquilo. Necesitamos seguridad de TI que nos brinde la
protección que necesitamos, pero sea fácil de instalar
y administrar. Busco un paquete que cumpla con su trabajo
24
y me permita hacer el mío. Dado que heredé el negocio de
mi adre, he logrado un crecimiento impresionante. Estamos
a punto de abrir nuestra quinta tienda y estamos creando
nuestras ventas basadas en la Web; así que necesitamos una
solución de seguridad de TI que pueda crecer con nosotros.
La empresa que cambiará su seguridad
La ‘irritada doctora Ivana’, 40, es una socia principal en un
consultorio médico que incluye a otros dos médicos, una
fisioterapeuta y tres recepcionistas/personal administrativo de medio tiempo.
Cómo planea el negocio utilizando la TI:
✓Cada doctor tiene una computadora de escritorio
y hay una computadora en la sala que utiliza la
fisioterapeuta. Hay otras dos computadoras en el
escritorio de la recepcionista y una más en la oficina
de administración.
✓Internet y las computadoras han cambiado la manera
en que funciona el consultorio: es más fácil tener un
registro de los antecedentes de los pacientes,
informarse sobre nuevos procedimientos y medicamentos, y generalmente mantenerse actualizados.
La postura del consultorio en cuanto a la seguridad:
✓Dado que el consultorio depende de la TI y de la
naturaleza sensible de los archivos y la información
que se manipula, la doctora Ivana nunca ha dudado
en comprar software de seguridad de TI.
✓No obstante, el software actual resulta irritante para
todo el personal. A las computadoras les toma
mucho tiempo encenderse y, entonces, cuando el
software de seguridad busca malware, la
computadora parece pararse.
25
La doctora Ivana dice: — La confidencialidad del paciente
tiene la máxima importancia. Es por eso que nunca dudé
en instalar software de seguridad. No obstante, nuestro
software actual ha tenido un efecto negativo evidente
sobre el desempeño de nuestras computadoras. Con la
licencia a punto de vencer, es el momento perfecto para
cambiar a un software de seguridad que no afecte el
desempeño de nuestras computadoras, de manera que
podamos ser más eficientes en nuestro trato con los
pacientes. Simplemente queremos algo que asegure la
información delicada sin interponerse en nuestros intentos
por brindar la mejor atención a los pacientes.
La empresa que lo vivió en carne propia
La “angustiada Suzie” es la propietaria de 32 años de una
exitosa agencia de marketing que emplea a 22 personas.
El negocio de Suzie ha crecido rápidamente, sus ventas
y habilidades de marketing le han asegurado ganarse
nuevos clientes rápidamente.
Cómo planea el negocio utilizando la TI:
✓El equipo principal de Suzie está en la oficina. Sin
embargo, muchos de sus gerentes de cuentas visitan
las oficinas de sus clientes.
✓Si bien el equipo de diseño utiliza computadoras Mac
de Apple, el resto del negocio utiliza una combinación
de computadoras portátiles y de escritorio, como así
también smartphones.
✓Muchos integrantes del equipo también usan tablets.
Dado que las tablets son propiedad del personal, no
son parte del equipo de trabajo oficial. No obstante,
Suzie está feliz de que el personal use estos dispositivos, ya que considera que hace que la agencia luzca
de vanguardia.
26
La postura del negocio en cuanto a la seguridad:
✓Desafortunadamente, hace poco la agencia sufrió un
incidente de seguridad grave. Luego de reunirse con
un cliente, uno de los directores de cuenta de Suzie
llevó su computadora portátil a un bar y se la robaron.
La computadora portátil tenía archivos con
información sensible, incluso planes confidenciales
para el lanzamiento de un nuevo producto que le
darían al cliente una verdadera ventaja en el mercado.
✓Suzie tuvo que informarle al cliente, quien se enojó
mucho. El incidente había llegado al equipo legal del
cliente. También parece ser que el cliente cortará el
vínculo con la agencia. Es así que la agencia de Suzie
está a punto de perder un negocio de suma
importancia... y podría haber consecuencias legales.
Suzie dice: — Aún estamos pagando el precio de aquel
incidente con la seguridad. Ahora la máxima prioridad es
asegurarme de que no exista ninguna posibilidad de sufrir
ese problema otra vez. Debemos implementar una solución
de seguridad integral tan pronto como sea posible. Sin
embargo, también debemos asegurarnos de que sea simple
de administrar, de modo que uno de nuestros diseñadores,
que tiene un gran conocimiento de todas las cuestiones
técnicas, pueda administrarla y mantenerla.
La empresa que tiene los dedos cruzados
El ‘arriesgado Raúl’ tiene 53 y es el propietario de una firma
contable integrada por cinco personas. Se trata de un
negocio establecido que nunca se ha tomado en serio las
amenazas a la seguridad. Raúl siempre pensó que “eso no
me pasará a mí”.
Cómo planea el negocio utilizar la TI:
27
✓Raúl y otros dos asesores contables pasan mucho
tiempo con clientes. Usar computadoras portátiles
les brinda a los asesores la flexibilidad para trabajar
fuera de la oficina.
✓Las dos personas encargadas de la administración
usan computadoras de escritorio.
✓El negocio también tiene un servidor de archivos
que ejecuta el software de gestión de relaciones
comerciales (CRM).
La postura del negocio en cuanto a la seguridad:
✓Raúl leyó recientemente un artículo, en una revista
especializada, acerca de una firma rival que sufrió
una grave violación a la seguridad de TI. Un
administrador descargó un archivo adjunto que
contenía algún tipo de malware que accedió a los
archivos confidenciales de los clientes. La violación
a la seguridad se descubrió solamente cuando un
cliente encontró sus propios datos confidenciales
a la venta en Internet.
✓Ese artículo hizo que Raúl se pusiera
extremadamente nervioso por la seguridad de TI de
su propia firma. Ahora Raúl reconoce que el software
de seguridad gratuito que la firma había estado
utilizando probablemente sea inadecuado.
Raúl dice: — La industria ha cambiado mucho en los
últimos años. Ahora existe una mayor regulación. Al mismo
tiempo, la naturaleza de las amenazas a la seguridad que
están al acecho significa que debemos implementar una
seguridad de TI más resistente.
28
Diversas necesidades exigen soluciones
diversas
Si bien todos los negocios a los que hicimos referencia en
este capítulo integran diferentes mercados y cada uno
tiene expectativas distintas para su TI, todos tienen algo en
común: la necesidad de proteger la preciada información.
No obstante, dado que cada empresa tiene diferentes
grados de sistemas de computación y de experiencia en TI,
tienen diferentes necesidades de seguridad.
Las compañías de los ejemplos obviamente se basan en
generalizaciones sobre cómo diferentes tipos de negocios
pueden tener distintas necesidades de TI. Sin embargo, así
como las variaciones en los modelos y tamaños de las
empresas son casi infinitas, también son infinitas las variaciones en los requisitos de TI.
Es perfectamente posible que una pequeña empresa (con,
digamos, tres o cinco empleados) realice procesos que
requieran grandes cómputos. En tales casos, probablemente la empresa tenga una red de TI mucho más amplia y
diversa que otras de tamaño similar. Es por eso que este
tipo de negocio requiere una solución de seguridad que
pueda abarcar todas las complejidades de su entorno de
TI; entre ellos gateways de Internet, servidores proxy y
sistemas virtuales.
Capítulo 3
Descubrir la verdad sobre las
amenazas a la seguridad
En este capítulo
▶ Comprender cómo la complejidad de TI añade
nuevas cargas
▶ Saber por qué la protección antivirus no es suficiente
▶ Aprender sobre las amenazas en línea
▶ Proteger sus transacciones bancarias en línea
E
n este capítulo consideraremos cómo la creciente
complejidad de las soluciones típicas de computación
para negocios y la sofisticación de los virus de computadora, el malware y los ataques de la ciberdelincuencia están
haciendo que la vida sea mucho más difícil para todos los
negocios.
Todo se ha vuelto más complejo
Apenas hace algunos años, cualquier líder de una empresa
podría simplemente mover el brazo y alcanzar cada uno de
los dispositivos de TI que debía estar protegido dentro de
la organización. También era fácil pensar en dibujar un
anillo imaginario alrededor de la red de computación de la
30
empresa. Si fuese envuelto en una protección todo lo
contenido en el anillo, y se asegurara de tener un software
de seguridad adecuado ejecutándose en todas las
computadoras, sería intocable.
Pero eso era en la época de la movilidad limitada y de no
poder acceder a la información en cualquier momento en
que estuviera lejos de la oficina. También ha pasado mucho
tiempo desde que los negocios han comenzado a depender
tanto de la TI.
Las empresas no funcionan sin TI
Hoy en dia , ¿acaso podría considerar tener una compañía
sin ninguna de esas aplicaciones comerciales fundamentales y sin acceso móvil “desde cualquier lugar” a la
información comercial esencial? Bueno, no... porque la
competencia se burlaría
Sin embargo, estos avances tecnológicos han tenido
consecuencias. La conveniencia de tener acceso desde
cualquier lugar ha aumentado la complejidad de la TI. Si
usted y sus empleados acceden a la información utilizando
computadoras portátiles, smartphones y tablets, ¿dónde
está ese anillo imaginario dentro del cual tiene que aplicar
medidas de seguridad?
BYOD agrega otra capa de complejidad
Las empresas han reconocido rápidamente el posible costo
y los beneficios operativos que puede brindar una iniciativa
de BYOD. No obstante, BYOD también implica que debe
aplicar la seguridad entre una variedad casi ilimitada de
dispositivos móviles, entre ellos una amplia gama de
dispositivos Android, iPhone, BlackBerry, Symbian,
Windows Mobile y Windows Phone que tal vez no
pertenezcan a la empresa.
31
CO
Afortunadamente, algunos proveedores de seguridad han
reconocido que una TI cada vez más compleja se suma a las
pesadillas de seguridad. Es así que amablemente han
desarrollado nuevas soluciones de seguridad que
simplifican en gran medida la tarea de asegurar la TI
compleja, incluso dispositivos móviles y BYOD.
NS
EJ O
Para obtener más información sobre problemas
y soluciones de seguridad móvil, Seguridad de
dispositivos móviles y BYOD Para Dummies
está disponible en las mejores librerías. Bueno,
en realidad no está en todos los comercios,
pero puede obtener una copia gratuita en
http://latam.kaspersky.com/mx/
productos-para-empresas.
¿Antivirus o antimalware?
Algunas empresas caen en la trampa de pensar que los virus y el
malware son lo mismo: y eso los lleva a pensar que no existe
diferencia alguna entre los productos antivirus y antimalware. Sin
embargo, eso simplemente no es cierto, y de hecho es un error
que puede resultar muy caro.
La mayoría de las personas están familiarizadas con los tipos de
virus de computadora que pueden propagarse de computadora
a computadora. No obstante, el malware, que es un tipo se
software malicioso, es el nombre que se le da a una variedad
mucho más amplia de software hostil. El malware incluye virus de
computadora, gusanos, caballos de troya, ransomware,
keyloggers, spyware y muchas otras amenazas.
Es así que un producto de software que ofrece capacidades
antimalware protege sus computadoras e información de mucho
más que un simple virus.
32
Las amenazas actuales son cada
vez más peligrosas
Casi todas las personas tienen cierto grado de conocimiento sobre el virus de computadora. La mayoría de las
personas han sufrido una desagradable infección por un
virus (nos referimos a su computadora, no lo estamos
llevando a nivel personal), o conocen a alguien que haya
sufrido un ataque de ese tipo en el pasado. No obstante,
muchas de estas experiencias (y las anécdotas que los
familiares y amigos recuerdan) pueden ser de la época del
cibervandalismo, cuando el desarrollo de malware tenía
como fin la diversión. En la actualidad, los ciberdelincuentes usan el malware para obtener ganancias
financieras.
Los años de bajo riesgo han terminado
Hace años atrás, los cibervándalos a menudo eran estudiantes y niños de escuela que buscaban presumir de sus
habilidades para la computación y el hackeo. Crearon
y distribuyeron virus que provocaron un nivel de trastorno
en las máquinas infectadas. Quizás el virus eliminaba
algunos archivos para que la computadora de la víctima
“se suspendieran”. Incluso aunque en gran medida se
trataba de actitudes maliciosas por parte de los desarrolladores de virus, sus programas podían provocar algunos
inconvenientes.
Sin embargo, esos virus rara vez provocaban problemas
significativos y constantes para los negocios y no
intentaban robar fondos de las cuentas bancarias de
individuos o empresas. Además, en general el software de
antivirus básico era suficiente para evitar la mayoría de
estos ataques.
33
El simple vandalismo dio origen
a la ciberdelincuencia grave
En los últimos años, los jóvenes geek de la computación
dirigieron su atención a juegos en línea que les daban la
oportunidad de presumir de sus destrezas. Al mismo
tiempo, y aún más importante, con el aumento ininterrumpido en el uso de los procesos comerciales basados en
Internet y las transacciones financieras en línea, todos
dependemos mucho más de Internet y el comercio en línea.
Esto atrajo la atención de los delincuentes. La era del
cibervandalismo relativamente inocente ha terminado
y una presencia mucho más amenazante está al acecho
en Internet.
ADV
Los ciberdelincuentes han reconocido rápidamente las oportunidades para desarrollar
malware y estafas basadas en Internet que hacen
mucho más daño que los antiguos virus. En lugar
de eso, estos nuevos ataques están enfocados en
robar información, dinero y cualquier otra cosa de
valor para el ciberdelincuente. No se equivoque,
no son meros aficionados. Los ciberdelincuentes
con considerables habilidades técnicas
constantemente están desarrollando nuevos
métodos para atacar los negocios. En la mayoría
de los casos, están motivados por la ganancia
financiera, ya sea por robar dinero directamente
de la cuenta bancaria de la empresa, robar
información sensible para vender en el mercado
negro o extorsionar a la empresa para obtener
pagos por otros medios.
Además, al “recolectar” información personal de las computadoras portátiles, servidores y dispositivos móviles de una
compañía, los ciberdelincuentes pueden realizar estafas de
TENCIA
ER
34
robo de identidad y robar dinero de los individuos
relacionados con la empresa.
Nuestra dependencia de las computadoras también ha
hecho que sea más fácil para los atacantes desbaratar los
sistemas comerciales, como una forma de protesta social
o política (el llamado “hacktivismo”).
Conozca al enemigo
y conozca sus métodos
El malware y las amenazas a la seguridad de TI pueden
tener un efecto dañino sobre las finanzas de cualquier
empresa. Para las pequeñas empresas, los resultados
pueden ser fatales.Si bien lo que sigue no es una lista
exhaustiva de todos los tipos de amenazas, esta sección
brinda una idea de algunos de los riesgos de seguridad que
deben enfrentar los negocios. . .
Virus, gusanos y troyanos
Los virus de computadora y los gusanos son programas
maliciosos que pueden copiarse automáticamente sin que
la víctima sepa que su dispositivo se ha infectado. Los
troyanos realizan acciones maliciosas que no fueron
autorizadas por el usuario. Los troyanos no pueden
replicarse, pero la conectividad que brinda Internet hace
que a los ciberdelincuentes les resulte fácil esparcirlos.
Si estos programas maliciosos atacan a su red, pueden
eliminar, modificar o bloquear el acceso a los datos,
desbaratar el desempeño de sus computadoras y robar
información confidencial.
Troyanos de puerta trasera
Las puertas traseras a menudo son utilizadas por los
ciberdelincuentes para controlar las máquinas que han
35
infectado. Usualmente, las computadoras comprometidas
se vuelven parte de una red maliciosa (conocida como
botnet) que se puede utilizar para una amplia variedad
de objetivos cibercriminales.
Keyloggers
Los keyloggers son programas maliciosos que registran
las teclas que presiona en el teclado de su computadora.
Los cibercriminales usan los keyloggers para captar
información confidencial como contraseñas, números de
cuentas bancarias y códigos de acceso, detalles de tarjetas
de crédito y más. A menudo los keyloggers trabajan en
tándem con los troyanos de puerta trasera.
Spam
En el caso menos dañino, el spam simplemente es la versión
electrónica del correo basura. No obstante, el spam puede
ser muy peligroso si se le utiliza como parte de una
campaña de phishing o si incluye enlaces a sitios Web
infectados que descargan virus, gusanos o troyanos a la
computadora de la víctima.
Phishing
El phishing es una forma sofisticada de ataque malicioso en
la que los criminales crean una versión falsa de un sitio web
como un servicio bancario en línea o un sitio de redes
sociales. Cuando la víctima visita el sitio falso, el sitio utiliza
métodos de ingeniería social para obtener información
valiosa de la víctima. El phishing a menudo se utiliza para
estafas de robo de identidad y para robar dinero de cuentas
bancarias y tarjetas de crédito.
Ransomware
Los troyanos ransomware están diseñados para obtener
dinero por medio de la extorsión. Habitualmente, el troyano
36
codifica los datos en el disco duro de la computadora de la
víctima (de manera que no pueda acceder a su información), o bloquea completamente el acceso a la computadora. El troyano ransomware entonces exige un pago para
deshacer estos cambios.
Las infecciones por troyanos ransomware pueden
esparcirse a través de correos electrónicos de phishing
o pueden producirse si un usuario visita un sitio Web que
contenga un programa malicioso. Dado que las páginas
Web infectadas pueden incluir sitios legítimos que han sido
infiltrados por los ciberdelincuentes, el riesgo de sufrir una
infección por ransomware de ninguna manera se limita a las
visitas a sitios Web sospechosos.
Ataque de denegación de servicio distribuido
(DDoS, sigla en inglés)
Los ciberdelincuentes utilizan los ataques de denegación de
servicio distribuido para hacer que una computadora o red
no esté disponible para usarla. Los objetivos de este tipo de
ataques pueden variar. Sin embargo, a menudo el sitio Web
de una empresa es el primer objetivo de un ataque.
Dado que la mayoría de las empresas dependen de su sitio
Web para atraer e interactuar con los clientes, cualquier
cosa que provoque un mal funcionamiento, una ejecución
lenta o no les permita a los clientes acceder al sitio puede
ser sumamente perjudicial para el negocio.
Existen muchas formas diferentes de ataque DDoS. Por
ejemplo, los ciberdelincuentes pueden infectar una gran
cantidad de computadoras de usuarios inocentes y luego
usarlas para bombardear el sitio Web de la empresa
objetivo con una grandísima cantidad de tráfico inútil. Esto
puede sobrecargar las computadoras que ejecutan el sitio
Web de la empresa víctima y provocar que el sitio corra con
lentitud o falle por completo.
CO
37
NS
EJ O
¿Qué afecta a los negocios?
Casi todas las aplicaciones de software y sistemas operativos
que utiliza su empresa tienen “errores informáticos”. A
menudo, estos errores en el código de la computadora no
provocan ningún daño directo. No obstante, algunos crean
vulnerabilidades que los ciberdelincuentes pueden aprovechar
para obtener acceso no autorizado a sus computadoras.
Estas vulnerabilidades actúan como si dejara la puerta de la
oficina abierta; excepto que los ciberdelincuentes no irán a la
zona de la recepción, sino que se meterán en el corazón de su
computadora. El uso de este tipo de vulnerabilidades para
instalar malware ahora está ampliamente difundido, por lo que
es importante mantener las aplicaciones actualizadas o
parcheadas (no ignore los recordatorios de actualización del
software para posponerlos como si fueran una molestia).
Algunas soluciones de software de seguridad incluyen
características de “escaneo de vulnerabilidades”, para
identificar cualquier vulnerabilidad en la aplicación o en el
sistema operativo en la red de TI de su negocio, y puede
ayudarlo a aplicar “parches” que resuelven la vulnerabilidad
para que los ciberdelincuentes no puedan aprovecharlas.
Comprender otros riesgos de seguridad
Además de los tipos de ataque específicos que explicamos
en la sección anterior, su negocio necesita protegerse
contra otros peligros.
38
Los riesgos de la Wi-Fi pública
ADV
Con los hoteles, aeropuertos y restaurantes que ofrecen
a los clientes acceso a una conexión Wi-Fi pública
y gratuita, es fácil revisar su correo electrónico y acceder
a información comercial cuando está fuera. Sin embargo,
también es muy fácil para los ciberdelincuentes espiar las
redes de Wi-Fi pública y capturar la información que envía
o a la que accede. Esto podría significar que los ciberdelincuentes obtienen acceso directo a su cuenta de
correo electrónico comercial, su red de TI comercial y su
contraseña para transacciones financieras.
TENCIA
ER
La banca en línea y la necesidad
de seguridad adicional
La banca en línea se ha convertido en una función importante
para muchos negocios. Es conveniente y permite ahorrar tiempo.
No obstante, siempre que realice transacciones financieras en
línea, podría ser más vulnerable.
Los ciberdelincuentes quieren monitorear las computadoras y los
dispositivos móviles de sus víctimas para descubrir cuándo la
víctima visita un sitio Web bancario o un servicio de pago en
línea. Entonces programas keyloggers especiales pueden
capturar la información que introduce. Eso significa que los
ciberdelincuentes pueden robar sigilosamente su contraseña, de
manera que puedan acceder a su cuenta y vaciar sus fondos, sin
que usted lo sepa.
Afortunadamente, algunos productos de software de seguridad
incluyen tecnologías que brindan capas de protección extra
cuando realice transacciones financieras en línea.
39
Spear phishing
El spear phishing es otra forma sofisticada de ataque.
El ciberdelincuente busca capturar la información personal,
quizás espiando una conexión Wi-Fi pública. Después, usa
la información personal para añadir una apariencia de
credibilidad a un correo de phishing que está destinado a
negocios.
Por ejemplo, si el ciberdelincuente logra acceder a la
publicación de uno de sus empleados en un sitio Web social
y descubre algunos detalles sobre las vacaciones recientes
del empleado, podrá usar esa información en un correo de
phishing. Cuando el empleado recibe un correo electrónico
de alguien que se hace pasar por un colega, y el correo
menciona algunos detalles sobre las vacaciones del
empleado, es más probable que luzca como un correo
electrónico genuino. Y, si el mensaje le solicita al empleado
que haga clic y confirme el acceso a la red comercial,
el ciberdelincuente puede capturar las contraseñas de
acceso necesarias.
Computadoras portátiles perdidas
Todos hemos leído sobre esos desafortunados individuos
que han olvidado la computadora portátil en taxis, trenes
o restaurantes. El potencial de que información comercial
sumamente sensible caiga en las manos equivocadas es
alarmante. Cuando esto sucede, puede dañar gravemente la
reputación comercial de una organización y puede producir
multas elevadas.
Una solución es elegir una solución de seguridad que
encripte su información comercial, de manera que, incluso
si le robaran la computadora portátil, es casi imposible que
los ciberdelincuentes puedan acceder a la información que
hay en el disco duro.
40
Comprender la encriptación
La encriptación es una manera ingeniosa de ganarles a los
ciberdelincuentes en su propio juego. Así como los espías
en los más recientes estrenos cinematográficos codifican
mensajes para que sólo los destinatarios los reciban, la
encriptación le permite codificar la información confidencial
de su negocio; de modo que no se le pueda decodificar sin
la clave de decodificación necesaria.
Esto significa que si los ciberdelincuentes accedieran a
cualquier información confidencial de su empresa, no
podrán verla en forma legible; a menos que tengan su clave
de decodificación secreta.
En el caso de que algún miembro de su personal pierda su
computadora portátil o extravíe una memoria USB con
información confidencial, si los datos están encriptados
puede evitar la vergüenza de información filtrada.
Amenazas móviles
Tanto los negocios como los individuos pueden caer en la
trampa de pensar que sus iPhones y smartphones son sólo
teléfonos. No lo son. Son potentes computadoras que
pueden almacenar gran cantidad de información
confidencial, así que si pierde o le roban un dispositivo
móvil puede haber graves violaciones a la seguridad. Si un
teléfono inteligente robado o perdido no está protegido con
un PIN (o, incluso mejor, con un código más extenso),
quienquiera que lo obtenga podrá simplemente acceder
a cualquier cuenta en línea que utilice el dispositivo.
41
CO
Sin embargo, algunas soluciones de seguridad incluyen
características de seguridad que se activan de manera
remota, como darle la capacidad de comunicarse con su
teléfono y eliminar todos los datos.
NS
EJ O
Si la solución de seguridad que ha elegido
también incluye la capacidad de encriptación,
esto puede brindarle mayor seguridad. Incluso si
un delincuente encuentra el teléfono antes de que
usted note que lo ha perdido, y aún no ha podido
eliminar los datos, el hecho de que la información
en el teléfono esté encriptada garantiza que el
delincuente no podrá leer la información.
Asimismo, dado que los smartphones y las tablets de la
actualidad son realmente computadoras, eso significa que
son vulnerables a un volumen creciente de malware
y ataques que se han vuelto comunes en las computadoras
de escritorio y portátiles, entre ellos virus, gusanos, troyanos, spam y phishing. Es por eso que resulta fundamental
utilizar software de seguridad para proteger a los dispositivos móviles (para conocer más, obtenga su copia gratuita
de Seguridad de dispositivos móviles y BYOD Para Dummies
en http://latam.kaspersky.com/mx/
productos-para-empresas).
42
Capítulo 4
Planificar una mejor
seguridad de la información
En este capítulo
▶ Beneficiarse con una evaluación simple de sus riesgos
comerciales
▶ Mejorar la conciencia del personal sobre los problemas
de seguridad
▶ Comprender cómo la computación en la nube puede
afectar la seguridad.
▶ Evaluar a los proveedores de servicio de computación
en la nube
C
uando se trata de tecnología de TI, algunas personas
piensan: “Eso me supera. Cruzaré los dedos para
esperar lo mejor.” Les deseamos suerte con esa estrategia.
Sin embargo, cuando sus clientes y socios comerciales
comiencen a demandar al negocio como resultado de un
incidente de pérdida de datos, la compañía no le dará al
abogado defensor mucho material con el que trabajar. Así
que en este capítulo veremos algunas medidas simples de
seguridad que puede poner en práctica sin gastar un
centavo en software o en hardware, y analizaremos cómo
puede afectar la computación en la nube a la estrategia de
seguridad de una empresa.
44
¿Actividad de riesgo?
Realizar una evaluación de riesgos puede parecer una
tarea costosa que mejor debe estar en manos de un
equipo de cerebritos con abrigos blancos y portapapeles.
No obstante, si está decidido a mejorar la seguridad
de la información, en esta sección compartimos algunos
conceptos simples que forman la base de una evaluación
necesaria de los riesgos que enfrenta su negocio.
Comience haciéndose algunas preguntas básicas:
✓¿Dónde se almacena la información de mi negocio?
✓¿Cuál es el valor de dicha información para mi
negocio y para un posible atacante?
•¿Cuáles serían las consecuencias para mi negocio
si cualquier tipo de información confidencial
cayera en las manos equivocadas?
•¿Cómo afectaría una pérdida de información a mi
relación comercial con los clientes, empleados
y socios comerciales?
•¿Cuál sería el costo posible, en términos de
pérdida o penalización financiera y una reputación
comercial dañada?
✓¿Qué hace mi empresa para proteger la información
confidencial?
✓¿Son adecuadas las previsiones de seguridad que
aplica mi negocio?
•¿Cómo se comparan esas previsiones de
seguridad con la norma esperada dentro de mi
sector de mercado y el tamaño de mi empresa?
(No lo olvide, a medida que su negocio crece,
probablemente necesite implementar mayores
grados de seguridad de la información).
45
•¿Un tribunal estaría de acuerdo con que la
seguridad de mi negocio es suficiente? (¡Una
respuesta honesta a esta pregunta puede hacer
reaccionar a cualquier negocio que quiera poner
el asunto bajo la alfombra al engañarse de que
está bien tener una seguridad inadecuada!)
✓¿Cuál es la probabilidad de que mi negocio sufra una
pérdida de información confidencial? (Recuerde, esto
podría ser el resultado de un evento simple, como la
pérdida de una computadora portátil o un teléfono
inteligente. Si importar cuán diligente sea, ¿qué tan
cuidadosos son sus empleados?)
Sus respuestas serán útiles para ayudarlo a decidir cómo
proceder para mejorar la seguridad de la información.
Educar a los empleados
en el arte de la seguridad
Cuando se trata de proteger valiosa información, “hombre
prevenido vale por dos” (valer por dos también lo ayudaría
a aprovechar mejor su día de trabajo; sin embargo, a menos
que su negocio esté en la industria de los biónicos, ¡eso no
va a pasar!) Así que, resulta esencial que usted y sus
empleados sepan la amplia variedad de riesgos para la
seguridad y cómo evitarlos.
Es sorprendente la cantidad de empresas que no dedican el
esfuerzo suficiente a transmitir las novedades sobre las
mejores prácticas de seguridad entre su personal, aún
cuando capacitar a los empleados sobre los riesgos de
seguridad y cómo evitarlos puede ser una de las maneras
más efectivas en cuanto al costo de complicarles la vida
a los ciberdelincuentes.
No debería ser difícil obtener el apoyo de los empleados
en la batalla por la seguridad:
46
✓Considere todos los posibles riesgos de malware
y ciberdelincuencia que podrían afectar a su negocio
y decida cómo sus empleados pueden ayudar a
evitarlos... A pesar de la naturaleza sofisticada de las
amenazas actuales, muchos ataques comienzan con
apenas engañar a alguien para que haga algo que
ponga en riesgo la seguridad de su negocio, como
hacer clic en un enlace de un correo electrónico de
spear phishing.
✓Diseñe y comparta una política de seguridad que
defina claramente cómo espera que se comporte
el personal con respecto a mantener la seguridad
y eliminar los riesgos innecesarios.
✓Realice sesiones para generar conciencia en el
personal de forma regular. El objetivo es generar
conciencia sobre problemas clave, como por ejemplo:
•La necesidad de usar diferentes contraseñas para
cada aplicación y cuenta.
•Los peligros de las redes de Wi-Fi públicas y cómo
evitarlos.
•Cómo detectar intentos de spear phishing.
•Las consecuencias para la seguridad de perder un
dispositivo móvil.
✓Refuerce la política de seguridad de su compañía (por
ejemplo, asegúrese de que todos usen contraseñas
seguras para proteger el acceso a la información
comercial, cuentas bancarias y más [vea la barra
lateral “¿Qué hace más segura a una contraseña?”
para ver consejos sobre este tema]).
✓Revise su política de seguridad a medida que surjan
nuevos riesgos o usted adopte nuevos procesos de
trabajo.
47
CO
✓Realice cursos renovados para mantener los
problemas de seguridad en la mente de sus
empleados.
✓Asegúrese de que el personal nuevo reciba sesiones
de capacitación sobre la conciencia de la seguridad
como parte de su introducción.
NS
EJ O
¿Qué hace más segura a una contraseña?
Si alguno de sus empleados crea una contraseña basada en
una palabra fácil de recordar o en una simple secuencia de
números, un ciberdelincuente podría adivinarla fácilmente. Las
contraseñas más seguras utilizan una combinación de letras
mayúsculas y minúsculas, números y símbolos especiales.
Como mínimo, deberían tener ocho caracteres de longitud.
Asegúrese de que ninguno de sus empleados usa la misma
contraseña para varias aplicaciones o cuentas Web diferentes.
Si un ciberdelincuente logra descubrir la contraseña de
Facebook de un empleado, no debería ser la misma contraseña
que le permita acceder al sistema de correo electrónico de la
empresa.
En las nubes
En los últimos años, han crecido los rumores sobre la
computación en la nube. Los negocios de todas formas y
tamaños han evaluado el potencial de la nube para
simplificar el almacenamiento de información y reducir los
costos operativos. En muchos casos, las pequeñas y
medianas empresas han sido las primeras en mudarse a la
nube.
48
A veces las organizaciones más pequeñas pueden adoptar
nuevas estrategias comerciales de forma más rápida que
las compañías más grandes. Al mismo tiempo, los
pequeños negocios a menudo están más conscientes de la
necesidad de concentrarse en sus actividades comerciales.
Así que, se puede considerar beneficiosa cualquier opción
que le permita a la empresa subcontratar actividades de TI
que no son centrales a un tercero.
Con o sin nube, su información es su responsabilidad
Si está considerando utilizar la computación en la nube,
tenga en cuenta que arrendar el almacenamiento de su
información comercial (y el suministro de algunas o todas
las aplicaciones) no exime a su negocio de las responsabilidades de seguridad. Tampoco garantiza automáticamente
que la información confidencial de su negocio esté completamente protegida. Sigue siendo la información de su compañía, sin importar dónde esté almacenada. Es por eso que
proteger esa información sigue siendo su responsabilidad,
y es así exactamente como la ley ve sus obligaciones.
También considere cómo accederá a esa información en
las actividades cotidianas. Incluso si el proveedor de
servicios en la nube tiene credenciales impecables y una
seguridad rigurosa, aún tendrá que asegurarse de que cada
dispositivo que use su negocio para acceder a la
información tenga una seguridad adecuada. Tendrá que
ejecutar una solución de seguridad local que proteja cada
computadora de escritorio, servidor y dispositivo móvil
que utilice su empresa.
Una necesidad constante es estar
consciente de la seguridad.
Con una solución en la nube, aún tendrá que asegurarse de
que usted y sus empleados cumplan con las mejores
49
prácticas de seguridad que han definido en su política de
seguridad. Por ejemplo, aún se necesitan contraseñas
seguras para ayudar a evitar el acceso no autorizado a su
información y sus empleados deben seguir siendo
precavidos para no perder sus dispositivos móviles.
También tiene que evaluar todos los posibles riesgos de la
seguridad de la información y asegurarse de que su
personal esté al tanto de las simples precauciones de
seguridad. De hecho, lo único que cambia con la nube es
que su información está almacenada en otro lugar, por
parte de un tercero que le presta un servicio.
Precaución con las trampas de contratos en la nube
El mercado de la computación en la nube se encuentra
relativamente establecido con algunos proveedores de
servicio muy capaces. Sin embargo, muchas soluciones de
almacenamiento en la nube se han desarrollado para los
consumidores. En algunos casos, la seguridad es algo que
se añadió de manera tardía, por lo que podría ser
insuficiente para los usuarios comerciales.
Considere las siguientes preguntas cuando seleccione un
proveedor:
✓¿Quién será el propietario de la información de mi
negocio cuando lo almacene en la nube?
✓¿Qué sucede si el proveedor de servicios en la nube
deja de brindar el servicio?
•¿Aún podré acceder a mi información?
•¿Habrá un período de cese de la actividad
mientras traslado mi información a otro
proveedor de servicios para que la almacene?
•¿El proveedor original aún tendrá copias de mi
información, y habrá alguna manera de
asegurarme de que se eliminen estas copias?
50
✓¿Cómo puedo rescindir el contrato?
•Si rescindo el contrato, ¿cómo transfiero la
información de mi negocio?
•¿Existe algún proceso simple y fácil para trasladar
la información almacenada a un nuevo proveedor?
✓¿Cuán resistentes son las computadoras que el
proveedor utiliza para almacenar mi información
y los sistemas de comunicación que utiliza para que
la información esté disponible cuando la necesito?
•¿El proveedor garantiza la accesibilidad continua
a mi información (de manera que pueda tener
acceso a la información importante cuando la
necesito y no me afecte que el proveedor afirme
constantemente que “no hay sistema”)?
•¿El proveedor tiene una tecnología adecuada para
garantizar una recuperación rápida de una falla
importante o de un ataque a sus sistemas de
computación, sin que afecte la seguridad y
accesibilidad de mi información?
•¿Qué nivel de seguridad ofrece el proveedor para
proteger mi información contra pérdida y acceso
no autorizado? (Teniendo en cuenta que también
necesitaré un software de seguridad en todas las
computadoras y dispositivos móviles que uso
para acceder a dicha información.)
✓¿Dónde se almacenará mi información?
•¿El almacenamiento en el exterior puede provocar
algún problema legal o de cumplimiento para mi
negocio?
CO
51
NS
EJ O
Usted nunca pensaría en dejar a su hijo al cuidado
de alguien a quien no ha investigado y en quien no
confía totalmente. De manera similar, su empresa
es su “bebé”, y debe invertir algo de tiempo para
evaluar cualquier proveedor de servicios en la
nube para asegurarse de que la información
confidencial y sensible de su negocio esté segura
bajo su cuidado
ADV
Puede haber algunos argumentos muy convincentes para
trasladar el almacenamiento de la información (y de
algunas aplicaciones de software) a la nube. No obstante,
debe hacerlo con los ojos bien abiertos. A pesar de que la
computación en la nube ayuda a simplificar algunos
aspectos de sus operaciones, la nube también puede
añadir un nuevo grado de complejidad cuando se trata de
elegir y administrar al proveedor de servicios en la nube.
TENCIA
ER
La computación en la nube no disminuye su
obligación de proteger la información sensible.
Es su responsabilidad proteger la información
confidencial; y es su responsabilidad si elige un
proveedor que lo decepcione al brindar una
seguridad inadecuada
52
Capítulo 5
Elegir el software de seguridad
que se adapte a su negocio
En este capítulo
▶ Seleccionar al proveedor de software de seguridad
perfecto para usted
▶ Asegurarse de recibir el soporte que necesita
▶ Pensar en cómo podrían cambiar sus necesidades de
seguridad de la información
▶ Decidir cuál es el nivel ideal de software de seguridad
A
sí que ha evaluado los riesgos de seguridad de su
negocio y ha capacitado a su personal sobre la
importancia de la seguridad de la información (por
supuesto, si usted es todo el personal, habrá sido un curso
bastante breve). Ahora es el momento de elegir la solución
de software de seguridad que esté mejor ubicada para
ayudar a proteger su negocio.
Seleccionar el proveedor adecuado
Cuando intente elegir entre los distintos productos de
seguridad de TI disponibles comercialmente, busque elegir
uno que sea capaz de adaptarse a los posibles cambios en
sus necesidades cuando el negocio crezca.
CO
54
NS
EJ O
¡Necesitamos su ayuda!
Pregúnte a los proveedores qué grado de soporte recibirá si
surgiera algún problema mientras opera el software o si su
negocio sufre un ataque o una violación a la seguridad. Poder
levantar el teléfono y que alguien lo guíe para resolver cualquier
problema complejo no solamente resulta conveniente y oportuno,
también podría ahorrarle muchísimo tiempo y ayudarlo a que sus
procesos comerciales y de computación vuelvan a funcionar tan
pronto como sea posible.
Por otra parte, si un proveedor espera que usted se sumerja en la
base de conocimiento que ofrece en línea y encuentre usted
mismo la solución al problema, eso podría evitar que se dedique
a las actividades comerciales importantes durante un tiempo
considerable. ¿No le sorprende que este tipo de incidentes
parezcan esperar hasta el momento en que usted está más
ocupado, con un plazo ajustado para completar esa propuesta
detallada para el negocio más importante de su empresa?
Intente elegir un proveedor que ofrezca asesoramiento local...
en su idioma materno... y en su zona horaria.
Elegir a un proveedor de seguridad que lo apoye es una
parte importantísima del proceso de selección. Si bien el
mercado incluye algunos excelentes paquetes de productos
de software de seguridad que brindan una variedad de
tecnologías de seguridad de Internet y antimalware,
considere lo que ocurriría si su negocio necesita un
paquete más grande que el que ha adquirido:
✓¿Podrá el proveedor elegido ofrecerle otros paquetes,
más completos a los que pueda cambiarse?
✓¿El producto le permite agregar características extra
de modo que pueda proteger las nuevas
55
incorporaciones a su TI, como servidores virtualizados, sin cambiar el producto de seguridad o sin
tener que recurrir a un experto para que resuelva
los problemas de integración que demandan mucho
tiempo?
Estas preguntas tal vez no le parezcan fundamentales
ahora. No obstante, cuando su negocio crezca, podrían
ayudarlo a evitar la interrupción y los costos asociados con
tener que cambiar su proveedor de seguridad.
Lograr más en menos tiempo
Para cualquier negocio es importante identificar soluciones
de software que sean fáciles de usar. Al fin y al cabo, ¿quién
quiere pasar horas interminables configurando y
gestionando el software de seguridad, cuando una solución
mejor podría automatizar muchos procesos de seguridad y
permitirle dedicar más tiempo a otras actividades
comerciales?
La facilidad de uso es fundamental, especialmente si no
tiene expertos en seguridad de TI. Sin embargo, incluso con
el crecimiento de su empresa y la posible incorporación de
personal especializado en TI, un software de seguridad fácil
de usar ayuda a impulsar su productividad.
Simplificar la gestión de la seguridad
En la mayoría del software de seguridad, se hace referencia
a la interfaz del usuario como consola de gestión. Así como
los distintos relojes, luces e interruptores en el tablero de
un auto, la consola debería darle una vista rápida de cómo
está funcionando el producto, indicar cualquier problema
del que deba estar al tanto y permitirle hacer ajustes. Suena
bastante simple, pero algunos proveedores de software no
hacen las cosas tan fáciles como podrían ser.
56
Algunos proveedores de software de seguridad
esperan que sus clientes usen varias consolas de
gestión distintas para controlar los diferentes
tipos de tecnología de protección dentro del
paquete de productos del proveedor. En
ocasiones, esto se debe a que el proveedor de
seguridad ha adquirido diferentes tecnologías
cuando compró otras compañías dedicadas a la
seguridad. Cualquiera que sea el motivo, la
necesidad de usar diferentes consolas puede
requerir demasiado tiempo y ser muy confuso
para el operador.
En contraste, algunas soluciones de seguridad le permiten
ver, controlar e implementar políticas para todas las
tecnologías de seguridad del paquete, por medio de una
única consola de gestión unificada. Esto puede significar
que solamente tendrá que familiarizarse con una interfaz
intuitiva que le brinde una imagen clara de todas las
tecnologías de protección que ofrece el proveedor y que
estén ejecutándose en su red informática.
Si usted es personalmente responsable de administrar el
software de seguridad de su empresa, este nivel de facilidad
de uso y de manejo significa que tendrá más tiempo para
todos los demás aspectos que son más importantes para la
gestión de su negocio. No obstante, incluso si cuenta con
un experto en TI interno o externo para mantener el
software de seguridad funcionando como debe ser, el tener
una consola de gestión fácil de usar puede ayudarlo a
controlar los costos e impulsar la eficiencia.
ADV
TENCIA
ER
Recibir informes
Cualquier producto de seguridad que le permita la
flexibilidad de generar una amplia variedad de informes
sobre el estado de la seguridad y las vulnerabilidades de la
57
seguridad en toda su TI (incluso dispositivos móviles y
BYOD), puede ayudar a brindarle una visibilidad aún mayor
de cualquier problema.
Negocio de alto vuelo o negocio hogareño:
identificar sus necesidades de seguridad
Tomarse un momento para observar con sinceridad su
negocio y sus aspiraciones resulta loable. Podría ser
tentador entusiasmarse y dejarse llevar por la imaginación
y pensar que algún día su negocio será una multinacional
capaz de competir con los conglomerados más grandes del
mundo. Sin embargo, no todo propietario desea eso para
su negocio.
Claro, muchas compañías han tenido inicios humildes en
una mesa de cocina o en un garaje para luego convertirse
en líderes mundiales.
No obstante, si el suyo es un negocio hogareño (en el que
su principal objetivo es aumentar los ingresos del negocio
para poder costear un buen nivel de vida para usted y su
familia), definitivamente no tiene nada de malo. Reconocer
que eso es lo que desea puede ayudarlo a tomar las
decisiones óptimas cuando se trata de invertir en
seguridad y TI.
La clave está en determinar:
✓qué tipo de negocio tiene ahora.
✓qué tipo de negocio podría dentro de un año... y en los
años posteriores.
Con esta información, estará en una posición mucho mejor
para decidir cómo podrían cambiar sus necesidades de
seguridad de información. Luego debe concentrarse en
elegir un software de seguridad que sea adecuado para
58
ADV
su negocio en este momento, y que tenga la flexibilidad
y escalada suficientes para adaptarse según la necesidad
de cambio de su negocio.
TENCIA
ER
Elegir una solución de seguridad equivocada tal
vez no sea catastrófico, pero podría costarle
tiempo y dinero, ya sea ahora o en el futuro.
Desde seguridad para el usuario hogareño
hasta protección a nivel comercial
Los productos de software de seguridad están disponibles
para negocios de todos los tamaños. La solución adecuada
para usted depende de algunos factores.
Productos de seguridad hogareña
Si la TI de su negocio comenzó como una computadora
portátil personal, probablemente usaba una de las tantas
soluciones de seguridad destinadas a los usuarios
hogareños. Algunos paquetes excelentes destinados al
consumidor combinan innovadoras tecnologías
antimalware y de seguridad en Internet. Algunas incluso
ofrecen mayores capas de protección para la banca en línea
y otras transacciones financieras basadas en la Web.
Para los negocios que tienen solo algunos empleados, un
producto destinado al usuario hogareño podría ser la
solución ideal. No obstante, dado que los productos para
el consumidor no escasean en el mercado, tendrá que
pasar algún tiempo evaluando las características y
funciones que ofrece cada producto. Una solución que
solamente brinde protección antivirus no será suficiente
en el entorno actual con gran cantidad de amenazas.
En general, el software de seguridad que está destinado
al usuario final puede ser suficiente para empresas
59
unipersonales, siempre que la licencia del software permita
que lo usen entidades comerciales. Sin embargo, la mayoría
de los paquetes para usuarios hogareños pueden ser
difíciles de administrar cuando cinco o más personas los
usan dentro de la empresa. Esos tipos de paquetes a
menudo no hacen que sea fácil, ni rápido, aplicar la misma
configuración y opciones de seguridad en todas las
computadoras portátiles, de escritorio y dispositivos
móviles que usa la empresa.
ADV
TENCIA
ER
Si tiene pensado desarrollar notablemente su
empresa, podría terminar pronto con una amplia
y compleja infraestructura de TI. Es por eso que
elegir un producto de seguridad para el usuario
hogareño, que no pueda crecer con su empresa,
podría resultar costoso e incómodo al momento
de cambiarse a una nueva solución en una etapa
tan importante del crecimiento de su empresa.
Software antivirus sin cargo
Si utiliza software antivirus gratuito podría querer seguir
utilizándolo cuando su empresa comience a expandirse. Si
bien se trata de una solución razonable para algunos
requisitos de seguridad, vale la pena considerar
exactamente lo que ofrece el software gratuito, y lo que no.
¿Le ofrece todas las tecnologías necesarias para defenderse
de las más recientes amenazas a la seguridad y a los nuevos
métodos sofisticados que usan los ciberdelincuentes para
robar información valiosa? Si solamente ofrece capacidad
antivirus y algunos agregados de seguridad en Internet,
podría no ser adecuada para protegerse contra toda la
variedad de amenazas.
Muchos paquetes de software gratuito no están destinados
a negocios. Los términos y condiciones de la licencia
gratuita a menudo prohíben el uso por parte de cualquier
60
CO
organización comercial. Así que usar software gratuito
podría ser ilegal. En otros casos, el proveedor del software
gratuito aplicará un cargo cuando el software sea usado
para fines comerciales.
NS
EJ O
Un buen hogar para el cachorro mestizo...
¡Qué buen negocio! Siempre quiso tener un fiel sabueso a su lado
y de esta manera se evitó las tarifas que exigen los criadores de
perros. Está bien, es un mestizo, pero es su mestizo y, lo mejor de
todo, es que lo consiguió gratis.
Gratis... excepto por el trabajo, la suciedad (lamento mencionarlo,
pero es su perro, ¡así que tendrá que limpiarlo!) y todos esos
gastos. Sí, tuvo en cuenta el gasto de las vacunas y la rutina de
visitas al veterinario pero, ¿acaso pensó que masticaría todos
esos muebles en su casa?
En realidad, no muchas cosas en esta vida son realmente gratis.
Así como con el cachorro, el software de seguridad gratuito
puede tener costos ocultos. Tal vez sea que la versión gratuita del
software presenta siempre avisos de productos de terceros o
pasa tiempo tratando de venderle las ventajas de su versión
premium “paga”. De cualquier manera, ya sea un montón de
avisos en banner o los esfuerzos del paquete por venderle la
versión mejorada del software, tales distracciones pueden
afectar la productividad de sus empleados. Incluso si el software
no hiciera ninguna de esas cosas, podría descubrir que si
necesita cualquier tipo de asistencia del proveedor del servicio
deberá pagar un costo.
61
Soluciones de seguridad para grandes empresas
Ahora que comprende las amenazas que acechan allí
afuera, podría decidir cortar por lo sano y comprar la
solución de seguridad más completa del mercado. Sin
embargo, eso puede ser contraproducente para las
pequeñas empresas.
Muchos negocios no se dan cuenta de que, para la mayoría
de los productos de software, existe una relación inversa
entre la funcionalidad y la facilidad de uso. Los productos
que incluyen funciones que solamente necesitarían grandes
empresas podrían ser mucho más difíciles de configurar y
administrar en comparación con productos que han sido
desarrollados para las pequeñas empresas.
ADV
Así que la pequeña empresa que decide simplificar el
proceso de selección, eligiendo simplemente el producto
más completo, podría complicarse la vida hasta algún
momento en el futuro lejano... ¡cuando el negocio
eventualmente crezca lo suficiente para su software de
seguridad! Por otra parte, también debe saber que, a
medida que crece su negocio, su vendedor de software de
seguridad puede ayudarlo a gestionar sus nuevas
necesidades de seguridad, sin tener que eliminar el
producto actual y volver a comenzar.
TENCIA
ER
Las soluciones de seguridad para grandes
negocios pueden incluir tecnologías avanzadas
y así protegerse en entornos complejos.
Sin embargo, si su red de TI es relativamente
simple, y probablemente seguirá siendo así,
estará pagando por funciones que nunca usará.
Es más, una solución de seguridad demasiado
compleja puede ser mucho más difícil de
ejecutar... en cada etapa de su vida. Desde la
configuración inicial, hasta la gestión continua,
una solución de nivel corporativo puede requerir
62
habilidades y tiempo que un negocio pequeño
podría no tener disponible. Dicho de manera
simple, las soluciones de nivel corporativo a
menudo asumen que existen recursos de este
nivel y expertos en TI disponibles.
Nivel de seguridad prosumidor
ADV
¿Seguridad para prosumidor? Sí, es uno de esos términos
que inventaron los genios del marketing pero, ¿qué significa
realmente? (Por cierto, si tiene una agencia de marketing...
sólo quería decirle ¡que se ve muy bien con ese traje!)
En los casos más efectivos y útiles, las soluciones de
seguridad para el prosumidor llenan la brecha entre los
productos fáciles de usar que fueron desarrollados para los
usuarios hogareños y aquellos productos de nivel corporativo que pueden brindar las funcionalidades extra pero
podrían ser más difíciles de instalar y administrar.
Es así que los productos para el prosumidor tienen
como objetivo combinar las capacidades ampliadas que
requieren los negocios con la facilidad de uso que se
necesita cuando el negocio no tiene un equipo de expertos
en TI en planta. Cuando los proveedores de seguridad
logran este equilibrio, los productos para el prosumidor
resultan una combinación irresistible para muchas
empresas.
TENCIA
ER
Existe una diferencia notable entre un producto
de seguridad que ha sido desarrollado desde el
comienzo para satisfacer las necesidades de
pequeños negocios en comparación con un
producto de grado corporativo que simplemente
se recicló para un mercado de pequeñas
empresas. Si un proveedor simplemente está
haciendo pasar su producto de nivel corporativo
como un producto para el prosumidor, podrá
63
verse con seguridad demasiado compleja
y demandante como para implementarla
Cualquiera que sea el tamaño de su empresa, asegúrese de
elegir un proveedor que haya dedicado tiempo a considerar
los desafíos únicos que enfrenta su nivel de organización,
y haya desarrollado una solución de software optimizada
para negocios como el suyo.
Cuando lo corporativo se encuentra con el prosumidor
Para confundir aún más las cosas, no todos los grandes
productos de seguridad para empresas resultan
inadecuados para las pequeñas empresas. Es cierto que
los productos que fueron desarrollados sin pensar en los
desafíos particulares que enfrentan las pequeñas empresas
probablemente no serán adecuados para organizaciones
que no tienen recursos de soporte de TI. No obstante,
también existe una clase de producto de seguridad que
se basa en una arquitectura simple y modular.
En este caso, el proveedor puede ofrecer varios niveles de
paquetes de software, y cada uno de ellos ofrece diferentes
combinaciones de tecnologías de protección. El nivel
inferior podría ofrecer protección de nivel básico adecuada
para las redes de TI simples que operan las empresas más
pequeñas. Luego los niveles superiores añaden mayores
tecnologías de protección, con el mejor nivel de producto
que brinda seguridad para los entornos de TI más
complejos, incluso admiten diversos sistemas operativos
y varias plataformas de dispositivos móviles, seguridad
diseñada para entornos virtuales y tecnologías especiales
para proteger gateways de Internet, servidores de correo
y más.
64
RE
Con estos productos modulares, los negocios ambiciosos
pueden beneficiarse con una solución de seguridad que
mejore rápidamente a medida que crecen, sin que la
empresa tenga que lidiar con la molestia de cambiar de una
solución de seguridad relativamente pequeña a una
solución de grado corporativo.
ERDE
CU
Si parece que existen demasiadas opciones,
recuerde que la variedad de negocios distintos es
casi infinita, y todos tienen diferentes requisitos
de seguridad. Así que poder elegir es algo bueno.
Incluso si le tomara un poco de tiempo analizar
las ventajas y desventajas de las distintas
opciones, hacerlo significa que es más probable
que pueda elegir la solución de seguridad que
mejor se adapte a sus requerimientos.
Capítulo 6
Diez preguntas que le ayudaran a
saber cómo proteger su negocio
En este capítulo
▶ Evaluar lo que necesita su negocio
▶ Determinar sus obligaciones legales
▶ Decidir su política de seguridad
A
quí tiene diez preguntas simples para ayudarlo
a determinar lo que necesita para proteger su negocio
contra el cibercrimen, el malware y otros riesgos de
seguridad:
✓¿Ha evaluado los posibles riesgos de seguridad para
su negocio y ha identificado qué información y qué
computadoras debe proteger?
✓Además de proteger sus computadoras, ¿necesita
proteger también a los dispositivos móviles y contar
con un programa BYOD?
✓¿Está al tanto de las obligaciones legales y regulatorias
que se aplican a su negocio con respecto a la
seguridad de la información confidencial?
✓¿Ha definido algunas políticas básicas de seguridad
que el negocio pueda utilizar para mantener la
66
seguridad de la información, las computadoras
y otros dispositivos?
✓¿Ha creado un programa de formación simple para
ayudar a mejorar la conciencia sobre los problemas
de seguridad y motivar a los empleados a evitar
violaciones a la seguridad?
✓¿Ha evaluado los productos de software de seguridad
disponibles comercialmente según la facilidad de uso,
los niveles de protección que ofrecen y la capacidad
de adaptarse a necesidades cambiantes?
✓¿El proveedor de software de seguridad que ha
elegido ofrece el nivel de soporte que necesita, en su
idioma y en su zona horaria?
✓¿Se beneficiaría con algunas características de
seguridad adicionales que brinden una capa de
protección extra para las transacciones bancarias
y financieras en línea?
✓Si adoptara la computación en la nube, ¿ha revisado la
idoneidad de la seguridad y los términos del contrato
del proveedor de servicios en la nube que ha elegido?
✓¿Ha elegido un producto de software de seguridad
capaz de proteger todas las computadoras y
dispositivos móviles que su negocio utiliza para
acceder a la información almacenada en la nube?
Las consecuencias de las violaciones a la seguridad de la
información y los ataques de cibercriminales pueden ser
devastadoras, así que asegúrese de que los sistemas de TI
de su negocio estén protegidos con un riguroso producto
de seguridad. Dé vuelta la hoja para obtener más detalles…
Seguridad en la que su negocio
puede confiar
Con las tecnologías de seguridad galardonada que ofrece
Kaspersky Lab protegiendo sus computadoras, información
comercial y dispositivos móviles, usted puede dedicar más
tiempo a las actividades comerciales… y preocuparse menos
tiempo por el malware y los ciberdelincuentes.
Soluciones de seguridad para
negocios en crecimiento
Kaspersky Endpoint Security for Business ofrece un producto
adaptado para cumplir con las necesidades únicas de su negocio.
Simplemente elija el nivel que se adapte a los requisitos de su
negocio. A medida que su negocio crece y su red de TI se torna
más compleja, puede avanzar al siguiente nivel... hasta llegar a la
mejor solución de seguridad: Kaspersky Total Security for Business.
Kaspersky Total Security for Business combina funciones de
seguridad de gestión de sistemas de seguridad y esenciales para
ayudarlo a administrar y proteger todos sus puntos terminales:
✓ Computadoras con sistema Windows, Macs y Linux
✓ Máquinas físicas y virtuales
✓ Dispositivos móviles – Android, SOi, Windows Phone,
Windows Mobile, BlackBerry y Symbian
✓ Servidores de archivos, correo, Internet y de colaboración
Para conocer más sobre Kaspersky Total Security for Business
y Kaspersky Total Security for Business, visite www.kaspersky.com/
business-security
Soluciones de seguridad para las
pequeñas empresas
Kaspersky Small Office Security 3 está diseñado
específicamente para empresas que requieren seguridad
de primera clase… sin los inconvenientes ni la necesidad
de contratar personal especialista en seguridad de la
TI. Protege sus computadoras de escritorio y portátiles
con sistema Windows, servidores y dispositivos móviles
Android contra las complejas amenazas de la actualidad.
Con Kaspersky Small Office Security, es fácil y rápido
proteger sus sistemas de TI, sus operaciones bancarias en
línea y la información confidencial de su negocio, incluso
la información confidencial que le confían sus clientes:
• Protección en tiempo real líder en la industria para
computadoras Windows y servidores
• Ahorro de dinero y tecnologías de teclado virtual, brinda
seguridad extra para operaciones de banca en línea
• Gestión de contraseñas: lo ayuda a utilizar contraseñas
más seguras… y a conservar su seguridad
• Encriptación: mantiene su información confidencial…
confidencial
• Control Web: impulsa su productividad al restringir sitios
Web y bloquear contenido malicioso
• Seguridad móvil: protege los teléfonos inteligentes
Android y las tabletas contra malware
Para descubrir de qué manera Kaspersky Small
Office Security puede proteger su empresa, visite
latam.kaspersky.com/pyme
Consejos tips
básicos
para defender
Essential
on defending
a su empresa
del
malware y los
your
business
against
crímenes
cibernéticos
malware and cybercrime
Desde las empresas emergentes a las multi-
From
start-ups
all
nacionales,
todos to
los multinationals,
negocios confían cada
vez más en las
computadoras
y los
dispositivos
businesses
are
increasingly
reliant
on
móviles, lo que
son cada
vez más
computers
andsignifica
mobileque
devices
– and
that
vulnerables a los ataques maliciosos. Este libro
means
they’re increasingly vulnerable to
de fácil lectura le dará consejos sobre cómo
malicious
Thisdeeasy-to-read
book
proteger laattacks.
información
su negocio (incluso
la información
confidencial
sobre
sus clientes)
brings
you tips
on how to
protect
your
y sobre cómo
asegurar sus
computadoras
y
business
information
– including
sensitive
dispositivos móviles contra virus y otro tipo de
information
about
your
customers
–
and
malware, de manera que pase menos tiempo
how
to secure
your computers
and mobile
dedicado
a la seguridad
y más tiempo
haciendoagainst
negocios.
devices
viruses and other malware,
so• Cyou
spend
less
time on security and
omprenda los riesgos. Sepa lo que está en
more
time
running
juego
en su
negocio.your business.
• •Conozca
las amenazas.
Sepa–cómo
Understand
the risks
knowlos
criminales eligen los negocios objeto.
what’s at stake for your business
• Planifique la protección al evitar errores
•comunes
Learn en
about
the threats –
la seguridad.
how criminals
target
• Defienda
su información
conbusinesses
software de
seguridad
fácil
de
usar.
• Plan to protect – by avoiding
Abra elthe
libro
Open
book
y encuentre:
and find:
• Un resumen de los
delitos
cibernéticos
• An
overview
of
habituales
y los
typical cybercrime
métodos de ataque
attack methods
• Maneras simples de
mejorar la seguridad
• Simple
ways to boost
de su información
your information
• Cómo seleccionar el
security
software de seguridad
más adecuado para su
• How
to choose
negocio
security software
that’s right for
your business
the common security pitfalls
Georgina Gilmore tiene más de 20 años
Making
Everything
Easier™
Defend your
– with
Making
Everything
Easier!™
de• experiencia
en ladata
industria
de la TI.
Georgina
es Directora
de marketing
de
easy-to-use
security
software
®
Visite
Dummies.com
®
Go to
Dummies.com
clientes de Global B2B en Kaspersky Lab.
y disfrute
de videos,
ejemplosexamples,
paso
for videos,
step-by-step
Peter Beardmore se unió a Kaspersky
a paso, artículos
sobre
cómo
se
how-to articles, or to shop!
Georgina
Gilmore
has overhabilidades
20 years’ experience
Lab en 2008
con grandes
en
hace, o ¡la tienda en línea!
inmarketing
the IT industry.
is Senior
Director
de TI yGeorgina
gestión de
productos.
of
B2Bprincipal
Customer
Partner Marketing
EsGlobal
Director
de&marketing
de
atproductos
Kaspersky Lab. Peter Beardmore joined
Kaspersky Lab in 2008 with extensive IT
marketing and product management skills.
He is Senior Director of Product Marketing.
ISBN: 978-1-118-84810-4
ISBN: 978-1-118-84041-2
Prohibida la reventa
Not for resale