spersky Lab los cumplidos de Ka n co , as es pr em as Para las pequeñ a l r a c i f i l p m i s Cómo I T a l e d d a d i r u g e s Presentado por Georgina Gilmore Peter Beardmore Acerca del Kaspersky Lab Kaspersky Lab es el mayor proveedor mundial privado de soluciones de protección para endpoints. La compañía se encuentra entre los cuatro primeros proveedores del mundo de soluciones de seguridad para usuarios de endpoints.* A lo largo de su historia de más de 15 años, Kaspersky Lab ha seguido siendo un innovador en la seguridad de la TI, y proporciona soluciones de seguridad digital efectivas para grandes empresas, pequeños y medianos negocios y consumidores. Kaspersky Lab opera en casi 200 países y territorios de todo el mundo, suministrando protección a más de 300 millones de usuarios. Conozca más en www.kaspersky.com/business. * La empresa fue clasificada cuarta en Worldwide Endpoint Security Revenue by Vendor, 2011, de la International Data Corporation. La clasificación se publicó en el informe de la IDC ‘Worldwide Endpoint Security 2012–2016 Forecast y 2011 Vendor Shares’ (IDC #235930, Julio de 2012). El informe clasificó a los proveedores de software de acuerdo a las ganancias obtenidas de las ventas de soluciones de seguridad de puntos terminales en 2011. CÓMO SIMPLIFICAR LA SEGURIDAD DE TI Kaspersky Edición limitada CÓMO SIMPLIFICAR LA SEGURIDAD DE TI Kaspersky Edición limitada Por Georgina Gilmore y Peter Beardmore Cómo simplificar la seguridad de TI Para Dummies® Publicado por John Wiley & Sons, Ltd The Atrium Southern Gate Chichester West Sussex PO19 8SQ Inglaterra Si desea recibir detalles sobre cómo crear un libro personalizado Para Dummies para su empresa u organización, comuníquese con [email protected]. Para obtener información sobre la autorización de la marca Para Dummies para productos o servicios, comuníquese con BrandedRights&[email protected]. Visite nuestra página en www.customdummies.com Copyright © 2014 por John Wiley & Sons Ltd, Chichester, West Sussex, Inglaterra Todos los derechos reservados. Ninguna parte de esta publicación puede reproducirse, almacenarse en sistemas de recuperación o transmitirse de ninguna forma o por cualquier medio, electrónico, mecánico, fotocopiado, grabación, escaneo u otro, excepto en los términos de la ley de Derecho de autor, diseños y patentes de 1988 o en los términos de una licencia expedida por la Copyright Licensing Agency Ltd, 90 Tottenham Court Road, Londres, W1T 4LP, Reino Unido, sin el permiso por escrito del editor. El pedido de permiso al editor deben dirigirse al Departamento de permisos, John Wiley & Sons, Ltd, The Atrium, Southern Gate, Chichester, West Sussex, PO19 8SQ, Inglaterra, o por correo electrónico a [email protected], o por fax a (44) 1243 770620. Marcas comerciales: Wiley, el logo Wiley Publishing, Para Dummies, el logo Dummies Man, A Reference for the Rest of Us!, The Dummies Way, Dummies Daily, The Fun and Easy Way, Dummies.com e imágenes comerciales son marcas comerciales o marcas registradas de John Wiley & Sons, Inc. y/o sus filiales en los Estados Unidos y otros países, y no pueden utilizarse sin la autorización escrita. Todas las demás marcas comerciales son propiedad de sus respectivos dueños. Wiley Publishing, Inc. no está asociada con ningún producto o proveedor mencionados en este libro. LÍMITE DE RESPONSABILIDAD/EXCLUSIÓN DE GARANTÍA: LA EDITORIAL, EL AUTOR, Y CUALQUIER OTRA PERSONA IMPLICADA EN PREPARAR ESTA OBRA NO REPRESENTAN O GARANTIZAN LA PRECISIÓN O INTEGRIDAD DEL CONTENIDO DE ESTA OBRA Y ESPECÍFICAMENTE EXCLUYEN TODAS LAS GARANTÍAS, INCLUYENDO SIN LIMITACIÓN A LAS GARANTÍAS DE IDONEIDAD PARA UN PROPÓSITO PARTICULAR. NO SE PUEDE CREAR O EXTENDER NINGUNA GARANTÍA POR VENTAS O MATERIALES PROMOCIONALES. LOS CONSEJOS O ESTRATEGIAS QUE SE INCLUYEN AQUÍ PUEDEN NO SER ADECUADOS PARA CADA SITUACIÓN. ESTA OBRA SE VENDE CON EL ENTENDIMIENTO DE QUE LA EDITORIAL NO SE COMPROMETE A SUMINISTRAR SERVICIOS LEGALES, CONTABLES, U OTROS SERVICIOS PROFESIONALES. SI SE REQUIERE ASISTENCIA PROFESIONAL, SE DEBEN BUSCAR LOS SERVICIOS DE UN PROFESIONAL COMPETENTE. NI LA EDITORIAL NI EL AUTOR SON RESPONSABLES POR DAÑOS DERIVADOS DEL PRESENTE CONVENIO. EL HECHO DE QUE SE HAGA REFERENCIA A UNA ORGANIZACIÓN O SITIO WEB EN ESTA OBRA COMO CITA Y/O POSIBLE FUENTE DE INFORMACIÓN NO SIGNIFICA QUE EL AUTOR O LA EDITORIAL SUSCRIBAN LA INFORMACIÓN QUE LA ORGANIZACIÓN O SITIO WEB PUEDAN PROPORCIONAR O LAS RECOMENDACIONES QUE PUEDAN HACER. ADEMÁS, LOS LECTORES DEBEN SER CONSCIENTES DE QUE LOS SITIOS DE INTERNET EN ESTA OBRA PUEDEN HABER CAMBIADO O DESAPARECIDO ENTRE EL MOMENTO EN QUE SE ESCRIBIÓ ESTA OBRA Y EL MOMENTO EN QUE SE LEE. Wiley también publica sus libros en una variedad de formatos electrónicos. Parte del contenido que aparece impreso puede no estar disponible en los libros electrónicos. ISBN: 978-1-118-84810-4 (ebook) Impreso y encuadernado en Gran Bretaña por Page Bros, Norwich Introducción B ienvenido a Cómo simplificar la seguridad de TI Para Dummies: su guía para superar algunos de los desafíos de seguridad de la información que enfrentan los negocios de todos los tamaños en el mundo actual conectado por Internet. Con valiosos consejos y sugerencias, este libro tiene como propósito ayudar a que su negocio garantice que la información confidencial continúe siéndolo, de manera que sea menos posible que sufra penalizaciones regulatorias o legales, o bien que la reputación de su negocio resulte perjudicada. Si bien los avances en la computación de la última década han ayudado a los propietarios de negocios a reducir costos, mejorar la eficiencia y brindar un nivel aún mejor de servicio al cliente, esas mismas nuevas tecnologías han creado oportunidades para que los piratas cibernéticos o hackers ataquen a negocios inocentes. Mucho más que antes, todos los negocios, incluso aquellos que piensan que no tienen información confidencial que proteger, deberían estar al tanto de los riesgos y de cómo evitarlos... así que es por eso que escribimos este libro. Acerca de este libro Si bien es pequeño, este libro está lleno de información para ayudar a las empresas en crecimiento a encontrar la mejor manera de proteger la información confidencial: incluso la información privada de sus clientes, y cómo asegurar sus computadoras y dispositivos móviles contra virus, ataques maliciosos y más. 2 Desde las pequeñas empresas hasta las grandes corporaciones, cada organización está en riesgo de padecer los sofisticados métodos que los hackers utilizan para acceder a la información confidencial y robar dinero de las cuentas bancarias de los negocios. Si bien las grandes multinacionales pueden costear un equipo de especialistas en seguridad de TI, es menos probable que las pequeñas empresas tengan un experto en seguridad de TI. Cómo simplificar la seguridad de TI Para Dummies se presenta para ayudar a las empresas al crear conciencia sobre: ✓La razón por la que casi todos los negocios tienen información confidencial que deben proteger. ✓La variedad y la naturaleza de los riesgos de seguridad de la información. ✓Las medidas simples y “sin costo” que ayudan a los negocios a proteger la información confidencial. ✓Los productos fáciles de usar que pueden mejorar notablemente la seguridad de la información. Suposiciones sin sentido Para ayudarlo a asegurarse de que este libro tiene la información que necesita, hemos hecho algunas suposiciones sobre lo que sucede en su negocio: ✓El negocio que tiene, administra o en el que trabaja utiliza computadoras portátiles, de escritorio o dispositivos móviles. ✓Debe asegurarse de que su negocio no infrinja ninguna reglamentación sobre la seguridad de la información. ✓Usted es capaz de garantizar que la información confidencial de su negocio siga siéndolo. 3 ✓Es probable que aprenda cómo prevenir ataques de hackers que puedan afectar la actividad diaria de su negocio. ✓Tal vez esté considerando guardar parte de la información de su negocio en “la nube”. ✓Agradecería recibir algunos consejos sobre cómo elegir el software de seguridad de TI que se adapte a su negocio. Cómo se organiza este libro Cómo simplificar la seguridad de TI Para Dummies se divide en seis capítulos concisos, llenos de información: ✓Capítulo 1: Por qué todos los negocios deben proteger la información confidencial. Explicamos los obstáculos de tener una falsa sensación de seguridad. ✓Capítulo 2: Cómo lograr lo que su negocio necesita. Incluso aunque todos los negocios necesitan seguridad, este capítulo considera cómo pueden variar los requisitos de seguridad ✓Capítulo 3: Descubrir la verdad sobre las amenazas a la seguridad. Aprenda por qué la TI actual es más compleja y las amenazas a los negocios son más peligrosas. ✓Capítulo 4: Planificar una mejor seguridad de la información. Evalúe los riesgos y luego asegúrese de que su negocio sepa cómo evitarlos. También le damos algunos aspectos a considerar para almacenar con seguridad información en “la nube”. ✓Capítulo 5: Elegir el software de seguridad que se adapte a su negocio. Con tantos productos en el mercado, explicamos los factores que pueden ayudarlo a tomar la decisión correcta. 4 ✓Capítulo 6: Diez preguntas para que usted sepa cómo proteger su negocio. Use estas preguntas como una lista útil cuando necesite saber cómo proteger su negocio. Íconos que se utilizan en este libro NS EJ O ERDE CU ADV RE CO Para que sea aún más fácil encontrar la información que necesita, estos íconos resaltan el texto clave: TENCIA ER El objetivo llama su atención hacia los consejos de vanguardia. El ícono de la cuerda con nudos resalta información importante a tener en cuenta. ¡Cuidado con estos posibles obstáculos! Hacia dónde ir ¡Este libro es una lectura rápida y fácil! Puede empezar y dejar el texto cómo desee, o bien puede leerlo de principio a fin. Lo que sea que decida hacer, le aseguramos que lo encontrará lleno de grandes consejos sobre cómo proteger la información de sus clientes y los demás datos valiosos que almacena y procesa su negocio. Capítulo 1 Por qué todos los negocios deben proteger la información confidencial En este capítulo ▶ Evaluar las cargas extra de las pequeñas empresas ▶ Asegurar la valiosa información comercial ▶ Evitar los riesgos de una falsa sensación de seguridad ▶ Comprender por qué los ciberdelincuentes atacan nego- cios de todos los tamaños E n este primer capítulo veremos algunas de las razones por las que los negocios están sujetos a riesgos de la seguridad de la información y por qué es poco aconsejable intentar mantener esos problemas de seguridad bajo la alfombra. Las empresas están siendo atacadas En la era de la información, el conocimiento es poder. La información que tiene su empresa, en cuanto a su conocimiento especializado, sus productos y sus clientes es vital para su éxito continuo. Si ya no pudiera acceder a parte de esa información más preciada, podría afectar el funcionamiento diario de su empresa. Incluso peor, ¿cuáles serían las consecuencias si dicha información cayera en las manos equivocadas, en las manos de un delincuente? Por otra parte, ¿qué sucedería si un delincuente pudiera 6 acceder a sus computadoras y robar los datos de la cuenta bancaria en línea de su empresa? ¡Horror! Desafortunadamente, compañías de todos los tamaños están siendo atacadas por ciberdelincuentes que usan una amplia variedad de métodos para desbaratar las operaciones comerciales, acceder a información confidencial o robar dinero. En muchos casos, la compañía que es víctima podría ignorar completamente que ha sufrido un ataque... hasta que sea demasiado tarde. Ciberdelincuencia y ciberdelincuentes Los delincuentes siempre han sido buenos para detectar nuevas oportunidades para aprovechar las debilidades y ganar algo de dinero, a costa de alguien más. Ya sea una cerradura débil en la ventana de una oficina o una alarma comercial fácil de burlar, los criminales aprovechan cualquier oportunidad para tomar ventaja de una debilidad. Sin embargo, en la era actual que vive conectada a Internet, ha surgido una nueva raza de delincuentes desde las oscuras profundidades... los ciberdelincuentes. La ciberdelincuencia cubre una amplia variedad de actividades criminales que se realizan por medio de sistemas de TI o Internet. Es demasiado fácil la amenaza de la ciberdelincuencia, y esa es una de las maneras en las que los negocios hacen que sea más fácil que los ciberdelincuetes se se aprovechen. Los ciberdelincuentes son sumamente organizados y tienen grandes habilidades para desarrollar métodos sofisticados para atacar las computadoras comerciales, acceder a información confidencial y robar dinero. A menudo, las recompensas financieras son considerables... mientras los costos de efectuar un ataque pueden ser muy bajos. ¡Esto brinda una tasa de rentabilidad con la que muchos otros tipos de criminales sólo pueden soñar! Así que, el volumen de la ciberdelincuencia sigue aumentando. 7 Pequeñas empresas, mayores presiones En muchos aspectos, las pequeñas empresas enfrentan casi todos los problemas cotidianos que deben superar los grandes negocios... además de otros tantos desafíos adicionales. Todas las empresas deben continuar buscando maneras para lidiar con las condiciones cambiantes del mercado y responder a las actividades de la competencia, mientras se adelantan a los cambios en las necesidades y preferencias de sus clientes. Sin embargo, mientras hacen frente a todos estos factores, la mayoría de los negocios en desarrollo también tienen que lidiar con una amplia variedad de otros problemas que continúan surgiendo como resultado del crecimiento continuo de la compañía. Estos desafíos adicionales pueden incluir: ✓Hallar maneras de lidiar con un número creciente de clientes, y mayores ingresos. ✓Reclutar y capacitar regularmente personal adicional para satisfacer las demandas crecientes. ✓Hallar instalaciones más grandes y organizar la mudanza, sin interrumpir las operaciones cotidianas. ✓Garantizar financiamiento adicional para el crecimiento del negocio. ✓Agregar nuevas oficinas en distintas ubicaciones. ✓Hallar el tiempo para considerar las cosas que las grandes empresas integran en su quehacer, como por ejemplo, mantener segura la información de los clientes. Todas estas tareas son necesarias para asegurarse que el negocio continúe funcionando de manera eficiente y esté listo para los próximos pasos de su crecimiento. 8 ¡Ese no es mi trabajo! Luego existe el rango de responsabilidades que los fundadores y empleados deben cubrir. Desde el principio, así como un solo hombre (o mujer) o bien un pequeño grupo de individuos sumamente motivados, trabajar en pequeñas empresas en general significa que “todos se ponen manos a la obra”, es decir que todos deben ocuparse de una variedad mucho mayor de tareas de la que podrían haber tenido en su trabajo anterior. En general, no hay equipos de RR. HH., departamento legal o personal especialista en TI a los que recurrir. Si su negocio tiene éxito, todos deben lograr más que convertirse en un milusos. Usted y sus colegas saben que deben dominar todo lo que implica el funcionamiento del negocio. Sí, es posible recurrir a un especialista y pagarle por hora, pero eso cuesta precioso dinero en efectivo. Cada dólar, libra, Euro o yen que gaste en actividades comerciales secundaria limita la inversión en otras áreas fundamentales e incluso puede limitar el crecimiento de su negocio. ¿Cuál es la importancia de la TI? Para la mayoría de las empresas, la idea de intentar funcionar sin TI básica (como computadoras portátiles) es casi impensable. Incluso si la TI es sólo un medio para lograr un fin, es una herramienta clave que ayuda a fomentar la eficiencia comercial y mejorar la interacción con los clientes, empleados y proveedores. Sin embargo, la TI debe estar al servicio del negocio; y eso significa que debe ser fácil de instalar y administrar. De manera similar, cualquier software de seguridad que proteja las computadoras y la información comercial de su negocio debe ser fácil de usar. 9 Hay una jungla allí afuera... ¡así que salga armado! ADV RE Los negocios que consideran a las computadoras como un mal necesario probablemente tengan la misma percepción cuando se trata de mantener segura la información almacenada en dichas computadoras. Esa visión es comprensible si la TI no es su fuerte. No obstante, lo triste es que la seguridad de la información comercial nunca ha sido más importante, para negocios de todos los tamaños. Con los niveles de amenazas actuales, y los ciberdelincuentes que utilizan regularmente las conexiones de Internet para hackear las computadoras comerciales, ninguna compañía puede permitirse ignorar la seguridad. Incluso si su negocio sólo aplica algunas medidas de protección, esas precauciones podrían ser suficientes para evitarse muchos dolores de cabeza y una importante suma de dinero. Está perfecto si considera la seguridad de TI y la ERDE CU seguridad de los datos como males necesarios... ¡siempre que haga hincapié en la palabra “necesarios”! En ese caso, la palabra “males” es solamente un recordatorio del tipo de ciberdelincuentes que lanzan ataques contra negocios inocentes. NCIA E Un vendedor minorista ni siquiera soñaría con T ER dejar la caja registradora abierta para que cualquier criminal que pase tome un puñado de su dinero. De manera similar, cualquier negocio que usa computadoras, dispositivos móviles o Internet debe asegurarse de que su TI no esté abierta para recibir ataques. Es demasiado fácil convertirse en una víctima involuntaria de un ciberdelincuente que ataca las vulnerabilidades ocultas en sus computadoras portátiles, tablets y smartphones. Es por eso que debe hacer todo lo posible por 10 asegurarse de que los ciber-delincuentes no puedan robar la información confidencial, ni robar de sus cuentas bancarias en línea. Un poco de seguridad puede ser fundamental Índice de éxito del malware La diferencia entre no hacer nada y aplicar algunas medidas simples de seguridad puede ser impresionante. Al principio, sólo implemente unas medidas básicas de seguridad que sean suficientes para asegurarse de a que los ciberdelincuentes promedio les resulte más fácil elegir otro negocio... y deje a su empresa en paz. En el gráfico, verá cómo una pequeña inversión en la seguridad puede reducir dramáticamente la posibilidad de que el malware genere un ataque exitoso. Invierta en protección A medida que su negocio invierte en seguridad... las posibilidades de sufrir una infeccion por malware se reducen exponencialmente Inversión en seguridad 11 La seguridad no debería frenar su negocio ¡El tiempo es dinero! Listo, lo hemos dicho. Claro que se trata de un cliché, pero es cierto. Cualquier actividad no prioritaria que evita que se dedique a las principales actividades que generan ingresos para su negocio le cuestan dinero, y oportunidades . Para comenzar, ser ágil y mantenerse enfocado es lo que le brindó la oportunidad de establecer su negocio. Así que lo último que necesita es seguridad de TI sea un obstáculo para su espíritu empresarial: sin importar cuán importante pueda ser la seguridad de TI. Cualquier cosa que lo haga trabajar más lento podría significar que pasa menos tiempo en las actividades clave que le brindan una ventaja sobre la competencia y le ayudan a impulsar a su negocio. Con el enfoque equivocado, la seguridad de la información y las tecnologías de protección inadecuadas, podría notar que las mismas cosas que se suponía deben proteger a su negocio, en realidad constituyen una amenaza. La presa fácil de los ciberdelincuentes Con preocupaciones sobre la complejidad y el desempeño, no nos extraña que tantos pequeños negocios se hagan de la vista gorda en lo que respecta a seguridad de TI. No obstante, incluso aunque las nuevas empresas y los pequeños negocios podrían haberse salido con la suya desde esa perspectiva hace algunos años, dados los niveles actuales de ciberdelincuencia esa no es la mejor estrategia. Si consideramos además el hecho de que algunos ciberdelincuentes consideran a las pequeñas empresas como la presa más fácil a atacar que las grandes organizaciones, es evidente que tener una seguridad de TI efectiva ya no es opcional. 12 ADV La buena noticia es que su negocio puede hacer algunas cosas simples para ayudar a proteger la información confidencial. Por otra parte, algunos de los más recientes productos de software de seguridad han sido desarrollados específicamente para las pequeñas compañías que no disponen de mucho tiempo para proteger sus sistemas e información. Tener estos productos de seguridad significa que usted no tiene que comprometer la seguridad ni perder tiempo tratando de ejecutar un software de seguridad complejo que es difícil de manejar. Incluso las grandes organizaciones podrían no TENCIA ER tener la escala y los recursos necesarios para recuperarse de una violación a la seguridad que le produjera daños. Es por eso que para las pequeñas empresas podría parecer imposible continuar en actividad después de un incidente con la seguridad ¿Falsa sensación de seguridad? Algunos negocios tienen una falsa sensación de seguridad, con la creencia errónea de que los ciberdelincuentes solamente están detrás de los peces gordos. —Así es—, dice el propietario del negocio—. ¿Quién querría atacar a una pequeña empresa como la mía, cuando hay objetivos más grandes y acaudalados allí afuera? Simplemente no estamos en el radar de los ciberdelincuentes. Bueno, es cierto que un radar no ayudará a los ciberdelincuentes a identificar el comercio que será su próxima víctima. No obstante, los ciberdelincuentes utilizan todo tipo de herramientas de escaneo para encontrar empresas vulnerables: y pueden hacerlo por Internet. Con estas ingeniosas herramientas de escaneo, los ciberdelincuentes pueden identificar negocios que tienen brechas de seguridad dentro de sus computadoras. 13 En un lapso casi ínfimo, los escáneres pueden detectar la próxima víctima de los ciberdelincuentes e indicar de qué manera el negocio está vulnerable ante un ataque. Esto puede sonar como una elaborada trama de ciencia ficción, pero es real. Cada día, se utilizan métodos como éste y otros más sofisticados para atacar a las pequeñas empresas. Un día cualquiera, Kaspersky Lab identifica aproximadamente 12.000 ataques de malware (software malicioso) y ese número continúa creciendo. Las pequeñas empresas pueden ser objetivos fáciles para cometer un delito CO En general, la mayoría de los ciberdelincuentes están buscando aumentar la rentabilidad financiera de sus actividades ilegales y minimizar el esfuerzo y el tiempo necesario para obtener dicha rentabilidad. Así que, si bien acceder a las finanzas de una multinacional sería sumamente lucrativo, es casi seguro que al ciberdelincuente le costaría bastante superar las sofisticadas defensas de seguridad que probablemente tendría una empresa de este tipo. Como alternativa, el ciberdelincuente podría elegir un puñado de pequeñas empresas. Sí, los beneficios de cada ataque individual serían mucho menores, pero si las pequeñas empresas tienen una defensa deficiente o inexistente, podría ser dinero fácil. Lanzar ataques en diez o veinte pequeñas empresas podría generar tanto dinero como un único ataque a una empresa más grande: y ser mucho más fácil de lograr. NS EJ O Dado que a las pequeñas empresas les podría costar destinar tiempo a pensar en la seguridad, algunos cibercriminales deliberadamente se concentran en las presas fáciles que representan. No permita que su negocio esté entre las próximas víctimas 14 Los ciberdelincuentes pueden usar las pequeñas empresas como trampolín Los ciberdelincuentes saben que a menudo las pequeñas empresas son proveedores de las grandes compañías y esa es otra razón para que sean el blanco de sus ataques. Un ataque a una empresa de este tipo puede ayudar al ciberdelincuente a robar información que podría resultarle útil al permitirle un ataque posterior contra una corporación más grande. El cibercriminal podría elegir deliberadamente a la pequeña empresa dada su relación con las grandes corporaciones. Por otra parte, un ciberdelincuente oportunista podría simplemente detectar el potencial cuando roba la información de los clientes de la pequeña empresa. No hace falta decir que, si el próximo ataque a la organización más grande es exitoso y el papel de la pequeña empresa se vuelve necesaria, le podría traer graves dificultades a esta última. Incluso si la pequeña empresa no cometió directamente ninguna mala conducta, la seguridad inadecuada permitió que se infiltraran en sus propios sistemas, y eso ayudó a hacer posible el ataque contra el cliente corporativo. Si se conoce la función de la pequeña empresa en el contrato, es probable que tenga consecuencias, como acciones legales, compensación, multas, la pérdida de clientes y el daño a la reputación de la pequeña empresa. 15 Salir perdiendo... desde ambos lados. Imagínese el caso de una pequeña empresa que compra materias primas de una gran corporación y luego vende productos terminados a empresas multinacionales. Con el fin de lograr una mayor eficiencia, el proveedor podría esperar que sus clientes (incluso la pequeña empresa) interactúen y envíen los pedidos por medio de sus propios sistemas en línea. De manera similar, el cliente multinacional podría esperar que la pequeña empresa envíe facturas electrónicas directamente a sus propios sistemas de contabilidad interna. Esto significa que la pequeña empresa tiene vínculos electrónicos directos con el sistema de computadoras de su proveedor corporativo y con el sistema de computadoras de su cliente multinacional. Si un ciberdelincuente se infiltrara en las computadoras de la pequeña empresa, podría reunir información que le ayudara a atacar tanto al proveedor como al cliente de la empresa. Incluso si los siguientes ataques no resultaran exitosos, la pequeña empresa tendría que dar explicaciones... incluso podría bloquear las interacciones electrónicas con sus proveedores y clientes. Eso podría afectar negativamente la eficiencia de la pequeña empresa y sus márgenes de rentabilidad: especialmente si la competencia se beneficia al lograr una interacción más cercana con los mismos proveedores y clientes. 16 Capítulo 2 Cómo lograr lo que su negocio necesita En este capítulo ▶ Conocer sus obligaciones legales y reglamentarias ▶ Evaluar lo que se espera en su industria ▶ Darse cuenta de que las amenazas actuales son más peligrosas que nunca ▶ Considerar cómo pueden variar las necesidades de seguridad V eremos con mayor detalle cómo algunos requisitos de seguridad pueden ser similares para diferentes empresas... y también cómo pueden variar. Algunas necesidades de seguridad que se aplican a empresas de todos los tamaños Muchas empresas caen en la trampa de pensar que no tienen información valiosa para un ciberdelincuente. Por otra parte, el fundador podría pensar que un incidente de pérdida de información no podría provocarle un daño importante a la compañía. Desafortunadamente, para empresas de todos los tamaños, estas creencias rara vez son ciertas. 18 Incluso una simple base de datos con los detalles de contacto de los clientes tienen un valor para una amplia variedad de personas distintas: desde ciberdelincuentes que buscan utilizar esos detalles como parte de estafas de robo de identidad, hasta la competencia que quiere robarle los clientes. Obligación legal de asegurar la información En muchos países, las empresas están sujetas a estrictas regulaciones sobre cómo deberían manejar la información de los individuos. El no cumplirlas puede provocar grandes multas para la empresa. En algunos casos, los directores o propietarios de la empresa pueden ser procesados judicialmente, por algunos delitos que incluyen condenas en prisión. Para muchos países, la legislación y las regulaciones de cumplimiento sobre cómo se procesa y almacena la información personalmente identificable podría resultar en obligaciones aún más onerosas para organizaciones más grandes. Sin embargo, incluso si las autoridades correspondientes exigen que las grandes corporaciones implementen medidas de seguridad mucho más sofisticadas, la ley aún espera que las pequeñas empresas actúen de manera responsable y apliquen las acciones razonables para asegurar toda información relevante. Si una empresa no adopta medidas que se esperaría que aplicara para ese tipo y tamaño de compañía, podría encontrarse en graves problemas. Importantes expectativas de seguridad Muchas jurisdicciones obligan a todas las compañías a tener un mayor grado de cuidado en cómo manejan cualquier material particularmente confidencial o 19 cualquier otra información que podría provocar un daño significativo a un tercero si se filtraran los datos. Asimismo, industrias y sectores de mercado específicos podrían estar sujetos a requisitos de información mucho más estrictos que las demás industrias. Por ejemplo, las empresas que operan en el sector legal y de la salud probablemente deban tener un mayor cuidado con la información que usan, almacenan y procesan. No obstante, incluso si ninguna de estas “expectativas adicionalesx” se aplica a su negocio, la pérdida de información confidencial podría tener consecuencias directas. ¿Una Catástrofe de confidencialidad? ¿Existe algún negocio que requiera menos TI que una residencia o un criadero de gatos? ¿Realmente se necesitaría seguridad de TI para operaciones de este tipo? Bueno, ¡sí! Tan sólo piense en la información que la empresa tiene: el nombre y la dirección de sus clientes, más la agenda electrónica de la fecha en que los peludos felinos estarán en las instalaciones. ¿Qué sucedería si esta información cayera en manos equivocadas? Es bastante obvio que no habrá nadie en casa para cuidar de Bigotes y Guantes; y eso es una información valiosa para los ladrones. Con el dato de la fecha en que el propietario no estará en casa (y por cuánto tiempo no estará), los ladrones podrían darse el lujo de robar los objetos valiosos de la propiedad del dueño del gato. 20 Diferentes niveles de entendimiento y recursos A pesar de las similitudes con algunas de las obligaciones de seguridad que están en vigencia para empresas de todos los tamaños, aquí hay algunas variaciones claras sobre cómo organizaciones de distinto tipo perciben y resuelven los problemas de seguridad. Las cosas ya no son como antes La sofisticación y la naturaleza implacable de los ataques modernos a la seguridad de TI significa que las amenazas actuales son muchísimo más peligrosas que las amenazas de hace algunos años. El no darse cuenta de esto puede dejar a una empresa en situación de vulnerabilidad. Cuando se trata de la seguridad de la información, las grandes compañías pueden costear expertos en seguridad de TI a tiempo completo. Sin embargo, los propietarios de pequeñas empresas no pueden darse ese lujo. ¿El tamaño importa? La disponibilidad de recursos obviamente es un factor que diferencia a las pequeñas empresas de las grandes corporaciones. Los grandes negocios tienen expertos locales para tomar decisiones informadas al momento de invertir en tecnologías de defensa. También tienen los recursos financieros y de respaldo necesarios para implementar la solución elegida. Por otra parte, su equipo local tiene experiencia en cómo desarrollar y afinar constantemente los planes y la política de seguridad de la compañía, de manera que el negocio siga estando un paso más adelante que los ciberdelincuentes y no existan grandes brechas en las defensas de la organización. 21 En contraste, las pequeñas empresas probablemente no tengan un experto en TI. Además, para un negocio en crecimiento, existe una gran variedad de demandas que compiten por cualquier dinero en efectivo sobrante (bueno, efectivo sobrante es un concepto interesante, pero no uno que los autores recuerden haber experimentado). Así que, la seguridad de las computadoras debe ocupar su lugar en la fila y justificar completamente el gasto necesario. Comprender los distintos requisitos de seguridad Incluso aunque existe una base en común, los distintos tipos de negocio probablemente tendrán algunas diferencias en sus requisitos de seguridad de TI... y también pueden tener visiones distintas sobre el grado de seguridad necesario. Además, a medida que una empresa crece, sus necesidades de seguridad de la información pueden cambiar. ¿Reconoce alguno de los siguientes perfiles comerciales y sus visiones sobre la seguridad de TI? La nueva empresa A la edad de 36 años, “Sergio, el emprendedor” dejará un gran estudio de ciudad y creará una nueva firma de abogados con dos de sus colegas. Cómo planea el negocio utilizar la TI: ✓Sergio y sus colegas dependen mucho de las computadoras portátiles, las tablets y los smartphones que les dan la flexibilidad de trabajar casi en cualquier lugar. ✓El equipo utilizará mucho el correo electrónico para comunicarse con clientes y utilizará sus 22 computadoras para generar cartas, propuestas y notas. La postura del negocio en cuanto a la seguridad: ✓La naturaleza altamente confidencial de la información del cliente que manejarán, incluso los datos financieros, significa que la protección de toda la información sensible es de vital importancia. ✓Cualquier filtración o pérdida de información podría ser sumamente embarazosa y podría tener graves consecuencias en términos de la reputación personal de Sergio y de la firma. Incluso podría significar que lo demanden. ✓Salvaguardar el negocio es de vital importancia y Sergio sabe que el software antivirus estándar no brinda la protección adecuada. Sergio dice: —Tenemos que comprar un nuevo paquete de TI e instalarlo. Al mismo tiempo, debemos poder comenzar a generar ingresos cuanto antes, así que el software de seguridad que elijamos debe brindar el nivel de protección adecuado, ser fácil de instalar, administrar y mantener. Asimismo, el proveedor del software de seguridad debe brindarnos el soporte que necesitemos, cuando lo necesitemos; de manera que podamos concentrarnos en prestar servicio a nuestros clientes. Luego, a medida que el negocio crezca, nuestra solución de seguridad debe ser capaz de adaptarse para satisfacer las nuevas demandas. La empresa en expansión “Ahmed, el ambicioso” ha logrado mucho en sus 48 años. Es el propietario de una cadena de confección de ropa para hombres que emplea a dieciocho personas; y el negocio está en expansión. 23 Cómo planea el negocio utilizando la TI: ✓Además de abrir una nueva tienda, la empresa se lanzará a la venta en línea: venderá trajes desde su sitio Web. ✓Con la expansión, la empresa tiene que adquirir mucha más tecnología, incluso más terminales de punto de venta (PoS, en inglés), más computadoras, enrutadores para redes Wi-Fi y un nuevo servidor. ✓Si bien Ahmed no está concentrado en la TI, descubre que su nuevo smartphones resulta útil para acceder a su correo electrónico. La postura del negocio en cuanto a la seguridad: ✓La empresa usa un producto de software antivirus que el sobrino de Ahmed que entiende de tecnología compró en la tienda de computación que está en la misma calle. No obstante, Ahmed sabe que este producto no es suficiente para mantener segura la información de su negocio, especialmente ahora que se está expandiendo tan rápidamente. Ahmed odiaría ver que su competidor local se apoderara de su lista de clientes regulares y su modelo de fijación de precios. ✓Debido a los requisitos estándar de la industria de las tarjetas, de pago (PCI, sigla en inglés), Ahmed sabe que su negocio debe instalar un software de seguridad y mantenerlo actualizado para ocuparse de las vulnerabilidades. Ahmed dice: —La sastrería es mi pasión, no la TI. Sin embargo, es el momento indicado para invertir en un software de seguridad de TI profesional, al menos para estar tranquilo. Necesitamos seguridad de TI que nos brinde la protección que necesitamos, pero sea fácil de instalar y administrar. Busco un paquete que cumpla con su trabajo 24 y me permita hacer el mío. Dado que heredé el negocio de mi adre, he logrado un crecimiento impresionante. Estamos a punto de abrir nuestra quinta tienda y estamos creando nuestras ventas basadas en la Web; así que necesitamos una solución de seguridad de TI que pueda crecer con nosotros. La empresa que cambiará su seguridad La ‘irritada doctora Ivana’, 40, es una socia principal en un consultorio médico que incluye a otros dos médicos, una fisioterapeuta y tres recepcionistas/personal administrativo de medio tiempo. Cómo planea el negocio utilizando la TI: ✓Cada doctor tiene una computadora de escritorio y hay una computadora en la sala que utiliza la fisioterapeuta. Hay otras dos computadoras en el escritorio de la recepcionista y una más en la oficina de administración. ✓Internet y las computadoras han cambiado la manera en que funciona el consultorio: es más fácil tener un registro de los antecedentes de los pacientes, informarse sobre nuevos procedimientos y medicamentos, y generalmente mantenerse actualizados. La postura del consultorio en cuanto a la seguridad: ✓Dado que el consultorio depende de la TI y de la naturaleza sensible de los archivos y la información que se manipula, la doctora Ivana nunca ha dudado en comprar software de seguridad de TI. ✓No obstante, el software actual resulta irritante para todo el personal. A las computadoras les toma mucho tiempo encenderse y, entonces, cuando el software de seguridad busca malware, la computadora parece pararse. 25 La doctora Ivana dice: — La confidencialidad del paciente tiene la máxima importancia. Es por eso que nunca dudé en instalar software de seguridad. No obstante, nuestro software actual ha tenido un efecto negativo evidente sobre el desempeño de nuestras computadoras. Con la licencia a punto de vencer, es el momento perfecto para cambiar a un software de seguridad que no afecte el desempeño de nuestras computadoras, de manera que podamos ser más eficientes en nuestro trato con los pacientes. Simplemente queremos algo que asegure la información delicada sin interponerse en nuestros intentos por brindar la mejor atención a los pacientes. La empresa que lo vivió en carne propia La “angustiada Suzie” es la propietaria de 32 años de una exitosa agencia de marketing que emplea a 22 personas. El negocio de Suzie ha crecido rápidamente, sus ventas y habilidades de marketing le han asegurado ganarse nuevos clientes rápidamente. Cómo planea el negocio utilizando la TI: ✓El equipo principal de Suzie está en la oficina. Sin embargo, muchos de sus gerentes de cuentas visitan las oficinas de sus clientes. ✓Si bien el equipo de diseño utiliza computadoras Mac de Apple, el resto del negocio utiliza una combinación de computadoras portátiles y de escritorio, como así también smartphones. ✓Muchos integrantes del equipo también usan tablets. Dado que las tablets son propiedad del personal, no son parte del equipo de trabajo oficial. No obstante, Suzie está feliz de que el personal use estos dispositivos, ya que considera que hace que la agencia luzca de vanguardia. 26 La postura del negocio en cuanto a la seguridad: ✓Desafortunadamente, hace poco la agencia sufrió un incidente de seguridad grave. Luego de reunirse con un cliente, uno de los directores de cuenta de Suzie llevó su computadora portátil a un bar y se la robaron. La computadora portátil tenía archivos con información sensible, incluso planes confidenciales para el lanzamiento de un nuevo producto que le darían al cliente una verdadera ventaja en el mercado. ✓Suzie tuvo que informarle al cliente, quien se enojó mucho. El incidente había llegado al equipo legal del cliente. También parece ser que el cliente cortará el vínculo con la agencia. Es así que la agencia de Suzie está a punto de perder un negocio de suma importancia... y podría haber consecuencias legales. Suzie dice: — Aún estamos pagando el precio de aquel incidente con la seguridad. Ahora la máxima prioridad es asegurarme de que no exista ninguna posibilidad de sufrir ese problema otra vez. Debemos implementar una solución de seguridad integral tan pronto como sea posible. Sin embargo, también debemos asegurarnos de que sea simple de administrar, de modo que uno de nuestros diseñadores, que tiene un gran conocimiento de todas las cuestiones técnicas, pueda administrarla y mantenerla. La empresa que tiene los dedos cruzados El ‘arriesgado Raúl’ tiene 53 y es el propietario de una firma contable integrada por cinco personas. Se trata de un negocio establecido que nunca se ha tomado en serio las amenazas a la seguridad. Raúl siempre pensó que “eso no me pasará a mí”. Cómo planea el negocio utilizar la TI: 27 ✓Raúl y otros dos asesores contables pasan mucho tiempo con clientes. Usar computadoras portátiles les brinda a los asesores la flexibilidad para trabajar fuera de la oficina. ✓Las dos personas encargadas de la administración usan computadoras de escritorio. ✓El negocio también tiene un servidor de archivos que ejecuta el software de gestión de relaciones comerciales (CRM). La postura del negocio en cuanto a la seguridad: ✓Raúl leyó recientemente un artículo, en una revista especializada, acerca de una firma rival que sufrió una grave violación a la seguridad de TI. Un administrador descargó un archivo adjunto que contenía algún tipo de malware que accedió a los archivos confidenciales de los clientes. La violación a la seguridad se descubrió solamente cuando un cliente encontró sus propios datos confidenciales a la venta en Internet. ✓Ese artículo hizo que Raúl se pusiera extremadamente nervioso por la seguridad de TI de su propia firma. Ahora Raúl reconoce que el software de seguridad gratuito que la firma había estado utilizando probablemente sea inadecuado. Raúl dice: — La industria ha cambiado mucho en los últimos años. Ahora existe una mayor regulación. Al mismo tiempo, la naturaleza de las amenazas a la seguridad que están al acecho significa que debemos implementar una seguridad de TI más resistente. 28 Diversas necesidades exigen soluciones diversas Si bien todos los negocios a los que hicimos referencia en este capítulo integran diferentes mercados y cada uno tiene expectativas distintas para su TI, todos tienen algo en común: la necesidad de proteger la preciada información. No obstante, dado que cada empresa tiene diferentes grados de sistemas de computación y de experiencia en TI, tienen diferentes necesidades de seguridad. Las compañías de los ejemplos obviamente se basan en generalizaciones sobre cómo diferentes tipos de negocios pueden tener distintas necesidades de TI. Sin embargo, así como las variaciones en los modelos y tamaños de las empresas son casi infinitas, también son infinitas las variaciones en los requisitos de TI. Es perfectamente posible que una pequeña empresa (con, digamos, tres o cinco empleados) realice procesos que requieran grandes cómputos. En tales casos, probablemente la empresa tenga una red de TI mucho más amplia y diversa que otras de tamaño similar. Es por eso que este tipo de negocio requiere una solución de seguridad que pueda abarcar todas las complejidades de su entorno de TI; entre ellos gateways de Internet, servidores proxy y sistemas virtuales. Capítulo 3 Descubrir la verdad sobre las amenazas a la seguridad En este capítulo ▶ Comprender cómo la complejidad de TI añade nuevas cargas ▶ Saber por qué la protección antivirus no es suficiente ▶ Aprender sobre las amenazas en línea ▶ Proteger sus transacciones bancarias en línea E n este capítulo consideraremos cómo la creciente complejidad de las soluciones típicas de computación para negocios y la sofisticación de los virus de computadora, el malware y los ataques de la ciberdelincuencia están haciendo que la vida sea mucho más difícil para todos los negocios. Todo se ha vuelto más complejo Apenas hace algunos años, cualquier líder de una empresa podría simplemente mover el brazo y alcanzar cada uno de los dispositivos de TI que debía estar protegido dentro de la organización. También era fácil pensar en dibujar un anillo imaginario alrededor de la red de computación de la 30 empresa. Si fuese envuelto en una protección todo lo contenido en el anillo, y se asegurara de tener un software de seguridad adecuado ejecutándose en todas las computadoras, sería intocable. Pero eso era en la época de la movilidad limitada y de no poder acceder a la información en cualquier momento en que estuviera lejos de la oficina. También ha pasado mucho tiempo desde que los negocios han comenzado a depender tanto de la TI. Las empresas no funcionan sin TI Hoy en dia , ¿acaso podría considerar tener una compañía sin ninguna de esas aplicaciones comerciales fundamentales y sin acceso móvil “desde cualquier lugar” a la información comercial esencial? Bueno, no... porque la competencia se burlaría Sin embargo, estos avances tecnológicos han tenido consecuencias. La conveniencia de tener acceso desde cualquier lugar ha aumentado la complejidad de la TI. Si usted y sus empleados acceden a la información utilizando computadoras portátiles, smartphones y tablets, ¿dónde está ese anillo imaginario dentro del cual tiene que aplicar medidas de seguridad? BYOD agrega otra capa de complejidad Las empresas han reconocido rápidamente el posible costo y los beneficios operativos que puede brindar una iniciativa de BYOD. No obstante, BYOD también implica que debe aplicar la seguridad entre una variedad casi ilimitada de dispositivos móviles, entre ellos una amplia gama de dispositivos Android, iPhone, BlackBerry, Symbian, Windows Mobile y Windows Phone que tal vez no pertenezcan a la empresa. 31 CO Afortunadamente, algunos proveedores de seguridad han reconocido que una TI cada vez más compleja se suma a las pesadillas de seguridad. Es así que amablemente han desarrollado nuevas soluciones de seguridad que simplifican en gran medida la tarea de asegurar la TI compleja, incluso dispositivos móviles y BYOD. NS EJ O Para obtener más información sobre problemas y soluciones de seguridad móvil, Seguridad de dispositivos móviles y BYOD Para Dummies está disponible en las mejores librerías. Bueno, en realidad no está en todos los comercios, pero puede obtener una copia gratuita en http://latam.kaspersky.com/mx/ productos-para-empresas. ¿Antivirus o antimalware? Algunas empresas caen en la trampa de pensar que los virus y el malware son lo mismo: y eso los lleva a pensar que no existe diferencia alguna entre los productos antivirus y antimalware. Sin embargo, eso simplemente no es cierto, y de hecho es un error que puede resultar muy caro. La mayoría de las personas están familiarizadas con los tipos de virus de computadora que pueden propagarse de computadora a computadora. No obstante, el malware, que es un tipo se software malicioso, es el nombre que se le da a una variedad mucho más amplia de software hostil. El malware incluye virus de computadora, gusanos, caballos de troya, ransomware, keyloggers, spyware y muchas otras amenazas. Es así que un producto de software que ofrece capacidades antimalware protege sus computadoras e información de mucho más que un simple virus. 32 Las amenazas actuales son cada vez más peligrosas Casi todas las personas tienen cierto grado de conocimiento sobre el virus de computadora. La mayoría de las personas han sufrido una desagradable infección por un virus (nos referimos a su computadora, no lo estamos llevando a nivel personal), o conocen a alguien que haya sufrido un ataque de ese tipo en el pasado. No obstante, muchas de estas experiencias (y las anécdotas que los familiares y amigos recuerdan) pueden ser de la época del cibervandalismo, cuando el desarrollo de malware tenía como fin la diversión. En la actualidad, los ciberdelincuentes usan el malware para obtener ganancias financieras. Los años de bajo riesgo han terminado Hace años atrás, los cibervándalos a menudo eran estudiantes y niños de escuela que buscaban presumir de sus habilidades para la computación y el hackeo. Crearon y distribuyeron virus que provocaron un nivel de trastorno en las máquinas infectadas. Quizás el virus eliminaba algunos archivos para que la computadora de la víctima “se suspendieran”. Incluso aunque en gran medida se trataba de actitudes maliciosas por parte de los desarrolladores de virus, sus programas podían provocar algunos inconvenientes. Sin embargo, esos virus rara vez provocaban problemas significativos y constantes para los negocios y no intentaban robar fondos de las cuentas bancarias de individuos o empresas. Además, en general el software de antivirus básico era suficiente para evitar la mayoría de estos ataques. 33 El simple vandalismo dio origen a la ciberdelincuencia grave En los últimos años, los jóvenes geek de la computación dirigieron su atención a juegos en línea que les daban la oportunidad de presumir de sus destrezas. Al mismo tiempo, y aún más importante, con el aumento ininterrumpido en el uso de los procesos comerciales basados en Internet y las transacciones financieras en línea, todos dependemos mucho más de Internet y el comercio en línea. Esto atrajo la atención de los delincuentes. La era del cibervandalismo relativamente inocente ha terminado y una presencia mucho más amenazante está al acecho en Internet. ADV Los ciberdelincuentes han reconocido rápidamente las oportunidades para desarrollar malware y estafas basadas en Internet que hacen mucho más daño que los antiguos virus. En lugar de eso, estos nuevos ataques están enfocados en robar información, dinero y cualquier otra cosa de valor para el ciberdelincuente. No se equivoque, no son meros aficionados. Los ciberdelincuentes con considerables habilidades técnicas constantemente están desarrollando nuevos métodos para atacar los negocios. En la mayoría de los casos, están motivados por la ganancia financiera, ya sea por robar dinero directamente de la cuenta bancaria de la empresa, robar información sensible para vender en el mercado negro o extorsionar a la empresa para obtener pagos por otros medios. Además, al “recolectar” información personal de las computadoras portátiles, servidores y dispositivos móviles de una compañía, los ciberdelincuentes pueden realizar estafas de TENCIA ER 34 robo de identidad y robar dinero de los individuos relacionados con la empresa. Nuestra dependencia de las computadoras también ha hecho que sea más fácil para los atacantes desbaratar los sistemas comerciales, como una forma de protesta social o política (el llamado “hacktivismo”). Conozca al enemigo y conozca sus métodos El malware y las amenazas a la seguridad de TI pueden tener un efecto dañino sobre las finanzas de cualquier empresa. Para las pequeñas empresas, los resultados pueden ser fatales.Si bien lo que sigue no es una lista exhaustiva de todos los tipos de amenazas, esta sección brinda una idea de algunos de los riesgos de seguridad que deben enfrentar los negocios. . . Virus, gusanos y troyanos Los virus de computadora y los gusanos son programas maliciosos que pueden copiarse automáticamente sin que la víctima sepa que su dispositivo se ha infectado. Los troyanos realizan acciones maliciosas que no fueron autorizadas por el usuario. Los troyanos no pueden replicarse, pero la conectividad que brinda Internet hace que a los ciberdelincuentes les resulte fácil esparcirlos. Si estos programas maliciosos atacan a su red, pueden eliminar, modificar o bloquear el acceso a los datos, desbaratar el desempeño de sus computadoras y robar información confidencial. Troyanos de puerta trasera Las puertas traseras a menudo son utilizadas por los ciberdelincuentes para controlar las máquinas que han 35 infectado. Usualmente, las computadoras comprometidas se vuelven parte de una red maliciosa (conocida como botnet) que se puede utilizar para una amplia variedad de objetivos cibercriminales. Keyloggers Los keyloggers son programas maliciosos que registran las teclas que presiona en el teclado de su computadora. Los cibercriminales usan los keyloggers para captar información confidencial como contraseñas, números de cuentas bancarias y códigos de acceso, detalles de tarjetas de crédito y más. A menudo los keyloggers trabajan en tándem con los troyanos de puerta trasera. Spam En el caso menos dañino, el spam simplemente es la versión electrónica del correo basura. No obstante, el spam puede ser muy peligroso si se le utiliza como parte de una campaña de phishing o si incluye enlaces a sitios Web infectados que descargan virus, gusanos o troyanos a la computadora de la víctima. Phishing El phishing es una forma sofisticada de ataque malicioso en la que los criminales crean una versión falsa de un sitio web como un servicio bancario en línea o un sitio de redes sociales. Cuando la víctima visita el sitio falso, el sitio utiliza métodos de ingeniería social para obtener información valiosa de la víctima. El phishing a menudo se utiliza para estafas de robo de identidad y para robar dinero de cuentas bancarias y tarjetas de crédito. Ransomware Los troyanos ransomware están diseñados para obtener dinero por medio de la extorsión. Habitualmente, el troyano 36 codifica los datos en el disco duro de la computadora de la víctima (de manera que no pueda acceder a su información), o bloquea completamente el acceso a la computadora. El troyano ransomware entonces exige un pago para deshacer estos cambios. Las infecciones por troyanos ransomware pueden esparcirse a través de correos electrónicos de phishing o pueden producirse si un usuario visita un sitio Web que contenga un programa malicioso. Dado que las páginas Web infectadas pueden incluir sitios legítimos que han sido infiltrados por los ciberdelincuentes, el riesgo de sufrir una infección por ransomware de ninguna manera se limita a las visitas a sitios Web sospechosos. Ataque de denegación de servicio distribuido (DDoS, sigla en inglés) Los ciberdelincuentes utilizan los ataques de denegación de servicio distribuido para hacer que una computadora o red no esté disponible para usarla. Los objetivos de este tipo de ataques pueden variar. Sin embargo, a menudo el sitio Web de una empresa es el primer objetivo de un ataque. Dado que la mayoría de las empresas dependen de su sitio Web para atraer e interactuar con los clientes, cualquier cosa que provoque un mal funcionamiento, una ejecución lenta o no les permita a los clientes acceder al sitio puede ser sumamente perjudicial para el negocio. Existen muchas formas diferentes de ataque DDoS. Por ejemplo, los ciberdelincuentes pueden infectar una gran cantidad de computadoras de usuarios inocentes y luego usarlas para bombardear el sitio Web de la empresa objetivo con una grandísima cantidad de tráfico inútil. Esto puede sobrecargar las computadoras que ejecutan el sitio Web de la empresa víctima y provocar que el sitio corra con lentitud o falle por completo. CO 37 NS EJ O ¿Qué afecta a los negocios? Casi todas las aplicaciones de software y sistemas operativos que utiliza su empresa tienen “errores informáticos”. A menudo, estos errores en el código de la computadora no provocan ningún daño directo. No obstante, algunos crean vulnerabilidades que los ciberdelincuentes pueden aprovechar para obtener acceso no autorizado a sus computadoras. Estas vulnerabilidades actúan como si dejara la puerta de la oficina abierta; excepto que los ciberdelincuentes no irán a la zona de la recepción, sino que se meterán en el corazón de su computadora. El uso de este tipo de vulnerabilidades para instalar malware ahora está ampliamente difundido, por lo que es importante mantener las aplicaciones actualizadas o parcheadas (no ignore los recordatorios de actualización del software para posponerlos como si fueran una molestia). Algunas soluciones de software de seguridad incluyen características de “escaneo de vulnerabilidades”, para identificar cualquier vulnerabilidad en la aplicación o en el sistema operativo en la red de TI de su negocio, y puede ayudarlo a aplicar “parches” que resuelven la vulnerabilidad para que los ciberdelincuentes no puedan aprovecharlas. Comprender otros riesgos de seguridad Además de los tipos de ataque específicos que explicamos en la sección anterior, su negocio necesita protegerse contra otros peligros. 38 Los riesgos de la Wi-Fi pública ADV Con los hoteles, aeropuertos y restaurantes que ofrecen a los clientes acceso a una conexión Wi-Fi pública y gratuita, es fácil revisar su correo electrónico y acceder a información comercial cuando está fuera. Sin embargo, también es muy fácil para los ciberdelincuentes espiar las redes de Wi-Fi pública y capturar la información que envía o a la que accede. Esto podría significar que los ciberdelincuentes obtienen acceso directo a su cuenta de correo electrónico comercial, su red de TI comercial y su contraseña para transacciones financieras. TENCIA ER La banca en línea y la necesidad de seguridad adicional La banca en línea se ha convertido en una función importante para muchos negocios. Es conveniente y permite ahorrar tiempo. No obstante, siempre que realice transacciones financieras en línea, podría ser más vulnerable. Los ciberdelincuentes quieren monitorear las computadoras y los dispositivos móviles de sus víctimas para descubrir cuándo la víctima visita un sitio Web bancario o un servicio de pago en línea. Entonces programas keyloggers especiales pueden capturar la información que introduce. Eso significa que los ciberdelincuentes pueden robar sigilosamente su contraseña, de manera que puedan acceder a su cuenta y vaciar sus fondos, sin que usted lo sepa. Afortunadamente, algunos productos de software de seguridad incluyen tecnologías que brindan capas de protección extra cuando realice transacciones financieras en línea. 39 Spear phishing El spear phishing es otra forma sofisticada de ataque. El ciberdelincuente busca capturar la información personal, quizás espiando una conexión Wi-Fi pública. Después, usa la información personal para añadir una apariencia de credibilidad a un correo de phishing que está destinado a negocios. Por ejemplo, si el ciberdelincuente logra acceder a la publicación de uno de sus empleados en un sitio Web social y descubre algunos detalles sobre las vacaciones recientes del empleado, podrá usar esa información en un correo de phishing. Cuando el empleado recibe un correo electrónico de alguien que se hace pasar por un colega, y el correo menciona algunos detalles sobre las vacaciones del empleado, es más probable que luzca como un correo electrónico genuino. Y, si el mensaje le solicita al empleado que haga clic y confirme el acceso a la red comercial, el ciberdelincuente puede capturar las contraseñas de acceso necesarias. Computadoras portátiles perdidas Todos hemos leído sobre esos desafortunados individuos que han olvidado la computadora portátil en taxis, trenes o restaurantes. El potencial de que información comercial sumamente sensible caiga en las manos equivocadas es alarmante. Cuando esto sucede, puede dañar gravemente la reputación comercial de una organización y puede producir multas elevadas. Una solución es elegir una solución de seguridad que encripte su información comercial, de manera que, incluso si le robaran la computadora portátil, es casi imposible que los ciberdelincuentes puedan acceder a la información que hay en el disco duro. 40 Comprender la encriptación La encriptación es una manera ingeniosa de ganarles a los ciberdelincuentes en su propio juego. Así como los espías en los más recientes estrenos cinematográficos codifican mensajes para que sólo los destinatarios los reciban, la encriptación le permite codificar la información confidencial de su negocio; de modo que no se le pueda decodificar sin la clave de decodificación necesaria. Esto significa que si los ciberdelincuentes accedieran a cualquier información confidencial de su empresa, no podrán verla en forma legible; a menos que tengan su clave de decodificación secreta. En el caso de que algún miembro de su personal pierda su computadora portátil o extravíe una memoria USB con información confidencial, si los datos están encriptados puede evitar la vergüenza de información filtrada. Amenazas móviles Tanto los negocios como los individuos pueden caer en la trampa de pensar que sus iPhones y smartphones son sólo teléfonos. No lo son. Son potentes computadoras que pueden almacenar gran cantidad de información confidencial, así que si pierde o le roban un dispositivo móvil puede haber graves violaciones a la seguridad. Si un teléfono inteligente robado o perdido no está protegido con un PIN (o, incluso mejor, con un código más extenso), quienquiera que lo obtenga podrá simplemente acceder a cualquier cuenta en línea que utilice el dispositivo. 41 CO Sin embargo, algunas soluciones de seguridad incluyen características de seguridad que se activan de manera remota, como darle la capacidad de comunicarse con su teléfono y eliminar todos los datos. NS EJ O Si la solución de seguridad que ha elegido también incluye la capacidad de encriptación, esto puede brindarle mayor seguridad. Incluso si un delincuente encuentra el teléfono antes de que usted note que lo ha perdido, y aún no ha podido eliminar los datos, el hecho de que la información en el teléfono esté encriptada garantiza que el delincuente no podrá leer la información. Asimismo, dado que los smartphones y las tablets de la actualidad son realmente computadoras, eso significa que son vulnerables a un volumen creciente de malware y ataques que se han vuelto comunes en las computadoras de escritorio y portátiles, entre ellos virus, gusanos, troyanos, spam y phishing. Es por eso que resulta fundamental utilizar software de seguridad para proteger a los dispositivos móviles (para conocer más, obtenga su copia gratuita de Seguridad de dispositivos móviles y BYOD Para Dummies en http://latam.kaspersky.com/mx/ productos-para-empresas). 42 Capítulo 4 Planificar una mejor seguridad de la información En este capítulo ▶ Beneficiarse con una evaluación simple de sus riesgos comerciales ▶ Mejorar la conciencia del personal sobre los problemas de seguridad ▶ Comprender cómo la computación en la nube puede afectar la seguridad. ▶ Evaluar a los proveedores de servicio de computación en la nube C uando se trata de tecnología de TI, algunas personas piensan: “Eso me supera. Cruzaré los dedos para esperar lo mejor.” Les deseamos suerte con esa estrategia. Sin embargo, cuando sus clientes y socios comerciales comiencen a demandar al negocio como resultado de un incidente de pérdida de datos, la compañía no le dará al abogado defensor mucho material con el que trabajar. Así que en este capítulo veremos algunas medidas simples de seguridad que puede poner en práctica sin gastar un centavo en software o en hardware, y analizaremos cómo puede afectar la computación en la nube a la estrategia de seguridad de una empresa. 44 ¿Actividad de riesgo? Realizar una evaluación de riesgos puede parecer una tarea costosa que mejor debe estar en manos de un equipo de cerebritos con abrigos blancos y portapapeles. No obstante, si está decidido a mejorar la seguridad de la información, en esta sección compartimos algunos conceptos simples que forman la base de una evaluación necesaria de los riesgos que enfrenta su negocio. Comience haciéndose algunas preguntas básicas: ✓¿Dónde se almacena la información de mi negocio? ✓¿Cuál es el valor de dicha información para mi negocio y para un posible atacante? •¿Cuáles serían las consecuencias para mi negocio si cualquier tipo de información confidencial cayera en las manos equivocadas? •¿Cómo afectaría una pérdida de información a mi relación comercial con los clientes, empleados y socios comerciales? •¿Cuál sería el costo posible, en términos de pérdida o penalización financiera y una reputación comercial dañada? ✓¿Qué hace mi empresa para proteger la información confidencial? ✓¿Son adecuadas las previsiones de seguridad que aplica mi negocio? •¿Cómo se comparan esas previsiones de seguridad con la norma esperada dentro de mi sector de mercado y el tamaño de mi empresa? (No lo olvide, a medida que su negocio crece, probablemente necesite implementar mayores grados de seguridad de la información). 45 •¿Un tribunal estaría de acuerdo con que la seguridad de mi negocio es suficiente? (¡Una respuesta honesta a esta pregunta puede hacer reaccionar a cualquier negocio que quiera poner el asunto bajo la alfombra al engañarse de que está bien tener una seguridad inadecuada!) ✓¿Cuál es la probabilidad de que mi negocio sufra una pérdida de información confidencial? (Recuerde, esto podría ser el resultado de un evento simple, como la pérdida de una computadora portátil o un teléfono inteligente. Si importar cuán diligente sea, ¿qué tan cuidadosos son sus empleados?) Sus respuestas serán útiles para ayudarlo a decidir cómo proceder para mejorar la seguridad de la información. Educar a los empleados en el arte de la seguridad Cuando se trata de proteger valiosa información, “hombre prevenido vale por dos” (valer por dos también lo ayudaría a aprovechar mejor su día de trabajo; sin embargo, a menos que su negocio esté en la industria de los biónicos, ¡eso no va a pasar!) Así que, resulta esencial que usted y sus empleados sepan la amplia variedad de riesgos para la seguridad y cómo evitarlos. Es sorprendente la cantidad de empresas que no dedican el esfuerzo suficiente a transmitir las novedades sobre las mejores prácticas de seguridad entre su personal, aún cuando capacitar a los empleados sobre los riesgos de seguridad y cómo evitarlos puede ser una de las maneras más efectivas en cuanto al costo de complicarles la vida a los ciberdelincuentes. No debería ser difícil obtener el apoyo de los empleados en la batalla por la seguridad: 46 ✓Considere todos los posibles riesgos de malware y ciberdelincuencia que podrían afectar a su negocio y decida cómo sus empleados pueden ayudar a evitarlos... A pesar de la naturaleza sofisticada de las amenazas actuales, muchos ataques comienzan con apenas engañar a alguien para que haga algo que ponga en riesgo la seguridad de su negocio, como hacer clic en un enlace de un correo electrónico de spear phishing. ✓Diseñe y comparta una política de seguridad que defina claramente cómo espera que se comporte el personal con respecto a mantener la seguridad y eliminar los riesgos innecesarios. ✓Realice sesiones para generar conciencia en el personal de forma regular. El objetivo es generar conciencia sobre problemas clave, como por ejemplo: •La necesidad de usar diferentes contraseñas para cada aplicación y cuenta. •Los peligros de las redes de Wi-Fi públicas y cómo evitarlos. •Cómo detectar intentos de spear phishing. •Las consecuencias para la seguridad de perder un dispositivo móvil. ✓Refuerce la política de seguridad de su compañía (por ejemplo, asegúrese de que todos usen contraseñas seguras para proteger el acceso a la información comercial, cuentas bancarias y más [vea la barra lateral “¿Qué hace más segura a una contraseña?” para ver consejos sobre este tema]). ✓Revise su política de seguridad a medida que surjan nuevos riesgos o usted adopte nuevos procesos de trabajo. 47 CO ✓Realice cursos renovados para mantener los problemas de seguridad en la mente de sus empleados. ✓Asegúrese de que el personal nuevo reciba sesiones de capacitación sobre la conciencia de la seguridad como parte de su introducción. NS EJ O ¿Qué hace más segura a una contraseña? Si alguno de sus empleados crea una contraseña basada en una palabra fácil de recordar o en una simple secuencia de números, un ciberdelincuente podría adivinarla fácilmente. Las contraseñas más seguras utilizan una combinación de letras mayúsculas y minúsculas, números y símbolos especiales. Como mínimo, deberían tener ocho caracteres de longitud. Asegúrese de que ninguno de sus empleados usa la misma contraseña para varias aplicaciones o cuentas Web diferentes. Si un ciberdelincuente logra descubrir la contraseña de Facebook de un empleado, no debería ser la misma contraseña que le permita acceder al sistema de correo electrónico de la empresa. En las nubes En los últimos años, han crecido los rumores sobre la computación en la nube. Los negocios de todas formas y tamaños han evaluado el potencial de la nube para simplificar el almacenamiento de información y reducir los costos operativos. En muchos casos, las pequeñas y medianas empresas han sido las primeras en mudarse a la nube. 48 A veces las organizaciones más pequeñas pueden adoptar nuevas estrategias comerciales de forma más rápida que las compañías más grandes. Al mismo tiempo, los pequeños negocios a menudo están más conscientes de la necesidad de concentrarse en sus actividades comerciales. Así que, se puede considerar beneficiosa cualquier opción que le permita a la empresa subcontratar actividades de TI que no son centrales a un tercero. Con o sin nube, su información es su responsabilidad Si está considerando utilizar la computación en la nube, tenga en cuenta que arrendar el almacenamiento de su información comercial (y el suministro de algunas o todas las aplicaciones) no exime a su negocio de las responsabilidades de seguridad. Tampoco garantiza automáticamente que la información confidencial de su negocio esté completamente protegida. Sigue siendo la información de su compañía, sin importar dónde esté almacenada. Es por eso que proteger esa información sigue siendo su responsabilidad, y es así exactamente como la ley ve sus obligaciones. También considere cómo accederá a esa información en las actividades cotidianas. Incluso si el proveedor de servicios en la nube tiene credenciales impecables y una seguridad rigurosa, aún tendrá que asegurarse de que cada dispositivo que use su negocio para acceder a la información tenga una seguridad adecuada. Tendrá que ejecutar una solución de seguridad local que proteja cada computadora de escritorio, servidor y dispositivo móvil que utilice su empresa. Una necesidad constante es estar consciente de la seguridad. Con una solución en la nube, aún tendrá que asegurarse de que usted y sus empleados cumplan con las mejores 49 prácticas de seguridad que han definido en su política de seguridad. Por ejemplo, aún se necesitan contraseñas seguras para ayudar a evitar el acceso no autorizado a su información y sus empleados deben seguir siendo precavidos para no perder sus dispositivos móviles. También tiene que evaluar todos los posibles riesgos de la seguridad de la información y asegurarse de que su personal esté al tanto de las simples precauciones de seguridad. De hecho, lo único que cambia con la nube es que su información está almacenada en otro lugar, por parte de un tercero que le presta un servicio. Precaución con las trampas de contratos en la nube El mercado de la computación en la nube se encuentra relativamente establecido con algunos proveedores de servicio muy capaces. Sin embargo, muchas soluciones de almacenamiento en la nube se han desarrollado para los consumidores. En algunos casos, la seguridad es algo que se añadió de manera tardía, por lo que podría ser insuficiente para los usuarios comerciales. Considere las siguientes preguntas cuando seleccione un proveedor: ✓¿Quién será el propietario de la información de mi negocio cuando lo almacene en la nube? ✓¿Qué sucede si el proveedor de servicios en la nube deja de brindar el servicio? •¿Aún podré acceder a mi información? •¿Habrá un período de cese de la actividad mientras traslado mi información a otro proveedor de servicios para que la almacene? •¿El proveedor original aún tendrá copias de mi información, y habrá alguna manera de asegurarme de que se eliminen estas copias? 50 ✓¿Cómo puedo rescindir el contrato? •Si rescindo el contrato, ¿cómo transfiero la información de mi negocio? •¿Existe algún proceso simple y fácil para trasladar la información almacenada a un nuevo proveedor? ✓¿Cuán resistentes son las computadoras que el proveedor utiliza para almacenar mi información y los sistemas de comunicación que utiliza para que la información esté disponible cuando la necesito? •¿El proveedor garantiza la accesibilidad continua a mi información (de manera que pueda tener acceso a la información importante cuando la necesito y no me afecte que el proveedor afirme constantemente que “no hay sistema”)? •¿El proveedor tiene una tecnología adecuada para garantizar una recuperación rápida de una falla importante o de un ataque a sus sistemas de computación, sin que afecte la seguridad y accesibilidad de mi información? •¿Qué nivel de seguridad ofrece el proveedor para proteger mi información contra pérdida y acceso no autorizado? (Teniendo en cuenta que también necesitaré un software de seguridad en todas las computadoras y dispositivos móviles que uso para acceder a dicha información.) ✓¿Dónde se almacenará mi información? •¿El almacenamiento en el exterior puede provocar algún problema legal o de cumplimiento para mi negocio? CO 51 NS EJ O Usted nunca pensaría en dejar a su hijo al cuidado de alguien a quien no ha investigado y en quien no confía totalmente. De manera similar, su empresa es su “bebé”, y debe invertir algo de tiempo para evaluar cualquier proveedor de servicios en la nube para asegurarse de que la información confidencial y sensible de su negocio esté segura bajo su cuidado ADV Puede haber algunos argumentos muy convincentes para trasladar el almacenamiento de la información (y de algunas aplicaciones de software) a la nube. No obstante, debe hacerlo con los ojos bien abiertos. A pesar de que la computación en la nube ayuda a simplificar algunos aspectos de sus operaciones, la nube también puede añadir un nuevo grado de complejidad cuando se trata de elegir y administrar al proveedor de servicios en la nube. TENCIA ER La computación en la nube no disminuye su obligación de proteger la información sensible. Es su responsabilidad proteger la información confidencial; y es su responsabilidad si elige un proveedor que lo decepcione al brindar una seguridad inadecuada 52 Capítulo 5 Elegir el software de seguridad que se adapte a su negocio En este capítulo ▶ Seleccionar al proveedor de software de seguridad perfecto para usted ▶ Asegurarse de recibir el soporte que necesita ▶ Pensar en cómo podrían cambiar sus necesidades de seguridad de la información ▶ Decidir cuál es el nivel ideal de software de seguridad A sí que ha evaluado los riesgos de seguridad de su negocio y ha capacitado a su personal sobre la importancia de la seguridad de la información (por supuesto, si usted es todo el personal, habrá sido un curso bastante breve). Ahora es el momento de elegir la solución de software de seguridad que esté mejor ubicada para ayudar a proteger su negocio. Seleccionar el proveedor adecuado Cuando intente elegir entre los distintos productos de seguridad de TI disponibles comercialmente, busque elegir uno que sea capaz de adaptarse a los posibles cambios en sus necesidades cuando el negocio crezca. CO 54 NS EJ O ¡Necesitamos su ayuda! Pregúnte a los proveedores qué grado de soporte recibirá si surgiera algún problema mientras opera el software o si su negocio sufre un ataque o una violación a la seguridad. Poder levantar el teléfono y que alguien lo guíe para resolver cualquier problema complejo no solamente resulta conveniente y oportuno, también podría ahorrarle muchísimo tiempo y ayudarlo a que sus procesos comerciales y de computación vuelvan a funcionar tan pronto como sea posible. Por otra parte, si un proveedor espera que usted se sumerja en la base de conocimiento que ofrece en línea y encuentre usted mismo la solución al problema, eso podría evitar que se dedique a las actividades comerciales importantes durante un tiempo considerable. ¿No le sorprende que este tipo de incidentes parezcan esperar hasta el momento en que usted está más ocupado, con un plazo ajustado para completar esa propuesta detallada para el negocio más importante de su empresa? Intente elegir un proveedor que ofrezca asesoramiento local... en su idioma materno... y en su zona horaria. Elegir a un proveedor de seguridad que lo apoye es una parte importantísima del proceso de selección. Si bien el mercado incluye algunos excelentes paquetes de productos de software de seguridad que brindan una variedad de tecnologías de seguridad de Internet y antimalware, considere lo que ocurriría si su negocio necesita un paquete más grande que el que ha adquirido: ✓¿Podrá el proveedor elegido ofrecerle otros paquetes, más completos a los que pueda cambiarse? ✓¿El producto le permite agregar características extra de modo que pueda proteger las nuevas 55 incorporaciones a su TI, como servidores virtualizados, sin cambiar el producto de seguridad o sin tener que recurrir a un experto para que resuelva los problemas de integración que demandan mucho tiempo? Estas preguntas tal vez no le parezcan fundamentales ahora. No obstante, cuando su negocio crezca, podrían ayudarlo a evitar la interrupción y los costos asociados con tener que cambiar su proveedor de seguridad. Lograr más en menos tiempo Para cualquier negocio es importante identificar soluciones de software que sean fáciles de usar. Al fin y al cabo, ¿quién quiere pasar horas interminables configurando y gestionando el software de seguridad, cuando una solución mejor podría automatizar muchos procesos de seguridad y permitirle dedicar más tiempo a otras actividades comerciales? La facilidad de uso es fundamental, especialmente si no tiene expertos en seguridad de TI. Sin embargo, incluso con el crecimiento de su empresa y la posible incorporación de personal especializado en TI, un software de seguridad fácil de usar ayuda a impulsar su productividad. Simplificar la gestión de la seguridad En la mayoría del software de seguridad, se hace referencia a la interfaz del usuario como consola de gestión. Así como los distintos relojes, luces e interruptores en el tablero de un auto, la consola debería darle una vista rápida de cómo está funcionando el producto, indicar cualquier problema del que deba estar al tanto y permitirle hacer ajustes. Suena bastante simple, pero algunos proveedores de software no hacen las cosas tan fáciles como podrían ser. 56 Algunos proveedores de software de seguridad esperan que sus clientes usen varias consolas de gestión distintas para controlar los diferentes tipos de tecnología de protección dentro del paquete de productos del proveedor. En ocasiones, esto se debe a que el proveedor de seguridad ha adquirido diferentes tecnologías cuando compró otras compañías dedicadas a la seguridad. Cualquiera que sea el motivo, la necesidad de usar diferentes consolas puede requerir demasiado tiempo y ser muy confuso para el operador. En contraste, algunas soluciones de seguridad le permiten ver, controlar e implementar políticas para todas las tecnologías de seguridad del paquete, por medio de una única consola de gestión unificada. Esto puede significar que solamente tendrá que familiarizarse con una interfaz intuitiva que le brinde una imagen clara de todas las tecnologías de protección que ofrece el proveedor y que estén ejecutándose en su red informática. Si usted es personalmente responsable de administrar el software de seguridad de su empresa, este nivel de facilidad de uso y de manejo significa que tendrá más tiempo para todos los demás aspectos que son más importantes para la gestión de su negocio. No obstante, incluso si cuenta con un experto en TI interno o externo para mantener el software de seguridad funcionando como debe ser, el tener una consola de gestión fácil de usar puede ayudarlo a controlar los costos e impulsar la eficiencia. ADV TENCIA ER Recibir informes Cualquier producto de seguridad que le permita la flexibilidad de generar una amplia variedad de informes sobre el estado de la seguridad y las vulnerabilidades de la 57 seguridad en toda su TI (incluso dispositivos móviles y BYOD), puede ayudar a brindarle una visibilidad aún mayor de cualquier problema. Negocio de alto vuelo o negocio hogareño: identificar sus necesidades de seguridad Tomarse un momento para observar con sinceridad su negocio y sus aspiraciones resulta loable. Podría ser tentador entusiasmarse y dejarse llevar por la imaginación y pensar que algún día su negocio será una multinacional capaz de competir con los conglomerados más grandes del mundo. Sin embargo, no todo propietario desea eso para su negocio. Claro, muchas compañías han tenido inicios humildes en una mesa de cocina o en un garaje para luego convertirse en líderes mundiales. No obstante, si el suyo es un negocio hogareño (en el que su principal objetivo es aumentar los ingresos del negocio para poder costear un buen nivel de vida para usted y su familia), definitivamente no tiene nada de malo. Reconocer que eso es lo que desea puede ayudarlo a tomar las decisiones óptimas cuando se trata de invertir en seguridad y TI. La clave está en determinar: ✓qué tipo de negocio tiene ahora. ✓qué tipo de negocio podría dentro de un año... y en los años posteriores. Con esta información, estará en una posición mucho mejor para decidir cómo podrían cambiar sus necesidades de seguridad de información. Luego debe concentrarse en elegir un software de seguridad que sea adecuado para 58 ADV su negocio en este momento, y que tenga la flexibilidad y escalada suficientes para adaptarse según la necesidad de cambio de su negocio. TENCIA ER Elegir una solución de seguridad equivocada tal vez no sea catastrófico, pero podría costarle tiempo y dinero, ya sea ahora o en el futuro. Desde seguridad para el usuario hogareño hasta protección a nivel comercial Los productos de software de seguridad están disponibles para negocios de todos los tamaños. La solución adecuada para usted depende de algunos factores. Productos de seguridad hogareña Si la TI de su negocio comenzó como una computadora portátil personal, probablemente usaba una de las tantas soluciones de seguridad destinadas a los usuarios hogareños. Algunos paquetes excelentes destinados al consumidor combinan innovadoras tecnologías antimalware y de seguridad en Internet. Algunas incluso ofrecen mayores capas de protección para la banca en línea y otras transacciones financieras basadas en la Web. Para los negocios que tienen solo algunos empleados, un producto destinado al usuario hogareño podría ser la solución ideal. No obstante, dado que los productos para el consumidor no escasean en el mercado, tendrá que pasar algún tiempo evaluando las características y funciones que ofrece cada producto. Una solución que solamente brinde protección antivirus no será suficiente en el entorno actual con gran cantidad de amenazas. En general, el software de seguridad que está destinado al usuario final puede ser suficiente para empresas 59 unipersonales, siempre que la licencia del software permita que lo usen entidades comerciales. Sin embargo, la mayoría de los paquetes para usuarios hogareños pueden ser difíciles de administrar cuando cinco o más personas los usan dentro de la empresa. Esos tipos de paquetes a menudo no hacen que sea fácil, ni rápido, aplicar la misma configuración y opciones de seguridad en todas las computadoras portátiles, de escritorio y dispositivos móviles que usa la empresa. ADV TENCIA ER Si tiene pensado desarrollar notablemente su empresa, podría terminar pronto con una amplia y compleja infraestructura de TI. Es por eso que elegir un producto de seguridad para el usuario hogareño, que no pueda crecer con su empresa, podría resultar costoso e incómodo al momento de cambiarse a una nueva solución en una etapa tan importante del crecimiento de su empresa. Software antivirus sin cargo Si utiliza software antivirus gratuito podría querer seguir utilizándolo cuando su empresa comience a expandirse. Si bien se trata de una solución razonable para algunos requisitos de seguridad, vale la pena considerar exactamente lo que ofrece el software gratuito, y lo que no. ¿Le ofrece todas las tecnologías necesarias para defenderse de las más recientes amenazas a la seguridad y a los nuevos métodos sofisticados que usan los ciberdelincuentes para robar información valiosa? Si solamente ofrece capacidad antivirus y algunos agregados de seguridad en Internet, podría no ser adecuada para protegerse contra toda la variedad de amenazas. Muchos paquetes de software gratuito no están destinados a negocios. Los términos y condiciones de la licencia gratuita a menudo prohíben el uso por parte de cualquier 60 CO organización comercial. Así que usar software gratuito podría ser ilegal. En otros casos, el proveedor del software gratuito aplicará un cargo cuando el software sea usado para fines comerciales. NS EJ O Un buen hogar para el cachorro mestizo... ¡Qué buen negocio! Siempre quiso tener un fiel sabueso a su lado y de esta manera se evitó las tarifas que exigen los criadores de perros. Está bien, es un mestizo, pero es su mestizo y, lo mejor de todo, es que lo consiguió gratis. Gratis... excepto por el trabajo, la suciedad (lamento mencionarlo, pero es su perro, ¡así que tendrá que limpiarlo!) y todos esos gastos. Sí, tuvo en cuenta el gasto de las vacunas y la rutina de visitas al veterinario pero, ¿acaso pensó que masticaría todos esos muebles en su casa? En realidad, no muchas cosas en esta vida son realmente gratis. Así como con el cachorro, el software de seguridad gratuito puede tener costos ocultos. Tal vez sea que la versión gratuita del software presenta siempre avisos de productos de terceros o pasa tiempo tratando de venderle las ventajas de su versión premium “paga”. De cualquier manera, ya sea un montón de avisos en banner o los esfuerzos del paquete por venderle la versión mejorada del software, tales distracciones pueden afectar la productividad de sus empleados. Incluso si el software no hiciera ninguna de esas cosas, podría descubrir que si necesita cualquier tipo de asistencia del proveedor del servicio deberá pagar un costo. 61 Soluciones de seguridad para grandes empresas Ahora que comprende las amenazas que acechan allí afuera, podría decidir cortar por lo sano y comprar la solución de seguridad más completa del mercado. Sin embargo, eso puede ser contraproducente para las pequeñas empresas. Muchos negocios no se dan cuenta de que, para la mayoría de los productos de software, existe una relación inversa entre la funcionalidad y la facilidad de uso. Los productos que incluyen funciones que solamente necesitarían grandes empresas podrían ser mucho más difíciles de configurar y administrar en comparación con productos que han sido desarrollados para las pequeñas empresas. ADV Así que la pequeña empresa que decide simplificar el proceso de selección, eligiendo simplemente el producto más completo, podría complicarse la vida hasta algún momento en el futuro lejano... ¡cuando el negocio eventualmente crezca lo suficiente para su software de seguridad! Por otra parte, también debe saber que, a medida que crece su negocio, su vendedor de software de seguridad puede ayudarlo a gestionar sus nuevas necesidades de seguridad, sin tener que eliminar el producto actual y volver a comenzar. TENCIA ER Las soluciones de seguridad para grandes negocios pueden incluir tecnologías avanzadas y así protegerse en entornos complejos. Sin embargo, si su red de TI es relativamente simple, y probablemente seguirá siendo así, estará pagando por funciones que nunca usará. Es más, una solución de seguridad demasiado compleja puede ser mucho más difícil de ejecutar... en cada etapa de su vida. Desde la configuración inicial, hasta la gestión continua, una solución de nivel corporativo puede requerir 62 habilidades y tiempo que un negocio pequeño podría no tener disponible. Dicho de manera simple, las soluciones de nivel corporativo a menudo asumen que existen recursos de este nivel y expertos en TI disponibles. Nivel de seguridad prosumidor ADV ¿Seguridad para prosumidor? Sí, es uno de esos términos que inventaron los genios del marketing pero, ¿qué significa realmente? (Por cierto, si tiene una agencia de marketing... sólo quería decirle ¡que se ve muy bien con ese traje!) En los casos más efectivos y útiles, las soluciones de seguridad para el prosumidor llenan la brecha entre los productos fáciles de usar que fueron desarrollados para los usuarios hogareños y aquellos productos de nivel corporativo que pueden brindar las funcionalidades extra pero podrían ser más difíciles de instalar y administrar. Es así que los productos para el prosumidor tienen como objetivo combinar las capacidades ampliadas que requieren los negocios con la facilidad de uso que se necesita cuando el negocio no tiene un equipo de expertos en TI en planta. Cuando los proveedores de seguridad logran este equilibrio, los productos para el prosumidor resultan una combinación irresistible para muchas empresas. TENCIA ER Existe una diferencia notable entre un producto de seguridad que ha sido desarrollado desde el comienzo para satisfacer las necesidades de pequeños negocios en comparación con un producto de grado corporativo que simplemente se recicló para un mercado de pequeñas empresas. Si un proveedor simplemente está haciendo pasar su producto de nivel corporativo como un producto para el prosumidor, podrá 63 verse con seguridad demasiado compleja y demandante como para implementarla Cualquiera que sea el tamaño de su empresa, asegúrese de elegir un proveedor que haya dedicado tiempo a considerar los desafíos únicos que enfrenta su nivel de organización, y haya desarrollado una solución de software optimizada para negocios como el suyo. Cuando lo corporativo se encuentra con el prosumidor Para confundir aún más las cosas, no todos los grandes productos de seguridad para empresas resultan inadecuados para las pequeñas empresas. Es cierto que los productos que fueron desarrollados sin pensar en los desafíos particulares que enfrentan las pequeñas empresas probablemente no serán adecuados para organizaciones que no tienen recursos de soporte de TI. No obstante, también existe una clase de producto de seguridad que se basa en una arquitectura simple y modular. En este caso, el proveedor puede ofrecer varios niveles de paquetes de software, y cada uno de ellos ofrece diferentes combinaciones de tecnologías de protección. El nivel inferior podría ofrecer protección de nivel básico adecuada para las redes de TI simples que operan las empresas más pequeñas. Luego los niveles superiores añaden mayores tecnologías de protección, con el mejor nivel de producto que brinda seguridad para los entornos de TI más complejos, incluso admiten diversos sistemas operativos y varias plataformas de dispositivos móviles, seguridad diseñada para entornos virtuales y tecnologías especiales para proteger gateways de Internet, servidores de correo y más. 64 RE Con estos productos modulares, los negocios ambiciosos pueden beneficiarse con una solución de seguridad que mejore rápidamente a medida que crecen, sin que la empresa tenga que lidiar con la molestia de cambiar de una solución de seguridad relativamente pequeña a una solución de grado corporativo. ERDE CU Si parece que existen demasiadas opciones, recuerde que la variedad de negocios distintos es casi infinita, y todos tienen diferentes requisitos de seguridad. Así que poder elegir es algo bueno. Incluso si le tomara un poco de tiempo analizar las ventajas y desventajas de las distintas opciones, hacerlo significa que es más probable que pueda elegir la solución de seguridad que mejor se adapte a sus requerimientos. Capítulo 6 Diez preguntas que le ayudaran a saber cómo proteger su negocio En este capítulo ▶ Evaluar lo que necesita su negocio ▶ Determinar sus obligaciones legales ▶ Decidir su política de seguridad A quí tiene diez preguntas simples para ayudarlo a determinar lo que necesita para proteger su negocio contra el cibercrimen, el malware y otros riesgos de seguridad: ✓¿Ha evaluado los posibles riesgos de seguridad para su negocio y ha identificado qué información y qué computadoras debe proteger? ✓Además de proteger sus computadoras, ¿necesita proteger también a los dispositivos móviles y contar con un programa BYOD? ✓¿Está al tanto de las obligaciones legales y regulatorias que se aplican a su negocio con respecto a la seguridad de la información confidencial? ✓¿Ha definido algunas políticas básicas de seguridad que el negocio pueda utilizar para mantener la 66 seguridad de la información, las computadoras y otros dispositivos? ✓¿Ha creado un programa de formación simple para ayudar a mejorar la conciencia sobre los problemas de seguridad y motivar a los empleados a evitar violaciones a la seguridad? ✓¿Ha evaluado los productos de software de seguridad disponibles comercialmente según la facilidad de uso, los niveles de protección que ofrecen y la capacidad de adaptarse a necesidades cambiantes? ✓¿El proveedor de software de seguridad que ha elegido ofrece el nivel de soporte que necesita, en su idioma y en su zona horaria? ✓¿Se beneficiaría con algunas características de seguridad adicionales que brinden una capa de protección extra para las transacciones bancarias y financieras en línea? ✓Si adoptara la computación en la nube, ¿ha revisado la idoneidad de la seguridad y los términos del contrato del proveedor de servicios en la nube que ha elegido? ✓¿Ha elegido un producto de software de seguridad capaz de proteger todas las computadoras y dispositivos móviles que su negocio utiliza para acceder a la información almacenada en la nube? Las consecuencias de las violaciones a la seguridad de la información y los ataques de cibercriminales pueden ser devastadoras, así que asegúrese de que los sistemas de TI de su negocio estén protegidos con un riguroso producto de seguridad. Dé vuelta la hoja para obtener más detalles… Seguridad en la que su negocio puede confiar Con las tecnologías de seguridad galardonada que ofrece Kaspersky Lab protegiendo sus computadoras, información comercial y dispositivos móviles, usted puede dedicar más tiempo a las actividades comerciales… y preocuparse menos tiempo por el malware y los ciberdelincuentes. Soluciones de seguridad para negocios en crecimiento Kaspersky Endpoint Security for Business ofrece un producto adaptado para cumplir con las necesidades únicas de su negocio. Simplemente elija el nivel que se adapte a los requisitos de su negocio. A medida que su negocio crece y su red de TI se torna más compleja, puede avanzar al siguiente nivel... hasta llegar a la mejor solución de seguridad: Kaspersky Total Security for Business. Kaspersky Total Security for Business combina funciones de seguridad de gestión de sistemas de seguridad y esenciales para ayudarlo a administrar y proteger todos sus puntos terminales: ✓ Computadoras con sistema Windows, Macs y Linux ✓ Máquinas físicas y virtuales ✓ Dispositivos móviles – Android, SOi, Windows Phone, Windows Mobile, BlackBerry y Symbian ✓ Servidores de archivos, correo, Internet y de colaboración Para conocer más sobre Kaspersky Total Security for Business y Kaspersky Total Security for Business, visite www.kaspersky.com/ business-security Soluciones de seguridad para las pequeñas empresas Kaspersky Small Office Security 3 está diseñado específicamente para empresas que requieren seguridad de primera clase… sin los inconvenientes ni la necesidad de contratar personal especialista en seguridad de la TI. Protege sus computadoras de escritorio y portátiles con sistema Windows, servidores y dispositivos móviles Android contra las complejas amenazas de la actualidad. Con Kaspersky Small Office Security, es fácil y rápido proteger sus sistemas de TI, sus operaciones bancarias en línea y la información confidencial de su negocio, incluso la información confidencial que le confían sus clientes: • Protección en tiempo real líder en la industria para computadoras Windows y servidores • Ahorro de dinero y tecnologías de teclado virtual, brinda seguridad extra para operaciones de banca en línea • Gestión de contraseñas: lo ayuda a utilizar contraseñas más seguras… y a conservar su seguridad • Encriptación: mantiene su información confidencial… confidencial • Control Web: impulsa su productividad al restringir sitios Web y bloquear contenido malicioso • Seguridad móvil: protege los teléfonos inteligentes Android y las tabletas contra malware Para descubrir de qué manera Kaspersky Small Office Security puede proteger su empresa, visite latam.kaspersky.com/pyme Consejos tips básicos para defender Essential on defending a su empresa del malware y los your business against crímenes cibernéticos malware and cybercrime Desde las empresas emergentes a las multi- From start-ups all nacionales, todos to los multinationals, negocios confían cada vez más en las computadoras y los dispositivos businesses are increasingly reliant on móviles, lo que son cada vez más computers andsignifica mobileque devices – and that vulnerables a los ataques maliciosos. Este libro means they’re increasingly vulnerable to de fácil lectura le dará consejos sobre cómo malicious Thisdeeasy-to-read book proteger laattacks. información su negocio (incluso la información confidencial sobre sus clientes) brings you tips on how to protect your y sobre cómo asegurar sus computadoras y business information – including sensitive dispositivos móviles contra virus y otro tipo de information about your customers – and malware, de manera que pase menos tiempo how to secure your computers and mobile dedicado a la seguridad y más tiempo haciendoagainst negocios. devices viruses and other malware, so• Cyou spend less time on security and omprenda los riesgos. Sepa lo que está en more time running juego en su negocio.your business. • •Conozca las amenazas. Sepa–cómo Understand the risks knowlos criminales eligen los negocios objeto. what’s at stake for your business • Planifique la protección al evitar errores •comunes Learn en about the threats – la seguridad. how criminals target • Defienda su información conbusinesses software de seguridad fácil de usar. • Plan to protect – by avoiding Abra elthe libro Open book y encuentre: and find: • Un resumen de los delitos cibernéticos • An overview of habituales y los typical cybercrime métodos de ataque attack methods • Maneras simples de mejorar la seguridad • Simple ways to boost de su información your information • Cómo seleccionar el security software de seguridad más adecuado para su • How to choose negocio security software that’s right for your business the common security pitfalls Georgina Gilmore tiene más de 20 años Making Everything Easier™ Defend your – with Making Everything Easier!™ de• experiencia en ladata industria de la TI. Georgina es Directora de marketing de easy-to-use security software ® Visite Dummies.com ® Go to Dummies.com clientes de Global B2B en Kaspersky Lab. y disfrute de videos, ejemplosexamples, paso for videos, step-by-step Peter Beardmore se unió a Kaspersky a paso, artículos sobre cómo se how-to articles, or to shop! Georgina Gilmore has overhabilidades 20 years’ experience Lab en 2008 con grandes en hace, o ¡la tienda en línea! inmarketing the IT industry. is Senior Director de TI yGeorgina gestión de productos. of B2Bprincipal Customer Partner Marketing EsGlobal Director de&marketing de atproductos Kaspersky Lab. Peter Beardmore joined Kaspersky Lab in 2008 with extensive IT marketing and product management skills. He is Senior Director of Product Marketing. ISBN: 978-1-118-84810-4 ISBN: 978-1-118-84041-2 Prohibida la reventa Not for resale
© Copyright 2024