Protección de Datos
1 EL VALOR DE PROTEGER LOS DATOS
Información sana y salva
La información que guarda en las computadoras y servidores es cada vez más importante para sus negocios. Al mismo tiempo, cada día surgen nuevas amenazas que la ponen en peligro: desde virus y distintas formas de ataques generadas por los hackers, hasta un sabotaje interno. En este artículo se tratan las diversas estrategias que usted puede implementar para entender los datos bien protegidos.
¿Alguna vez se detuvo a pensar en la importancia de los datos que guarda en su computadora? Y, sin ánimo de ser fatalistas, ¿consideró qué ocurriría si por alguna razón, cualquiera fuese ésta, esa información se perdiera, se dañara o cayera en manos de sus competidores? Si nunca lo hizo, no de alarme: prácticamente ninguna pequeña y mediana empresa da a la protección de los datos la importancia que se merece.
Si no, veamos las conclusiones de un informe realizado por la empresa especializada en soluciones de almacenamiento EMC; entre 300 pequeñas y medianas empresas argentinas. EL estudio muestra que sólo el 20% de ellas cuenta con un plan estandarizado de respaldo de sus datos.
La encuesta evaluó el grado de cumplimiento de los resguardos básicos que deben hacerse a la hora de encarar una estrategia de protección: tener un plan de backup de la información crítica en forma diaria utilizando un medio magnético adecuado y uno integral al menos una vez por semana, y mantener dos copias del backup, una en un sitio externo y otra de las propias oficinas.
Sólo el 7.4% realiza backups diarios de su información crítica. El 21% lo hace semanalmente; el 23.1% de manera bimestral, mensual o trimestral; y el 48, 5%, sin periodicidad fija. Sólo el 17% de las empresas consultadas tiene una copia del backup en un sitio alejado de sus oficinas. Apenas el 8% de las firmas consultadas ha probado sus sistemas de backup una vez en los últimos doce meses, y sólo el 1.5% lo ha hecho en más de una oportunidad en el último año. El 5% lo hizo alguna vez, y el 85.5% restante no lo ha hecho nunca.
Las grandes también penan
Y el descuido no es discriminatorio, sino que alcanza también a las grandes compañías. Según datos distribuidos por la firma proveedora de antivirus Trend Micro Argentina, especializada en seguridad de contenidos y antivirus, sólo el 16% de las empresas posee un seguro que cubre los incidentes producidos por los potenciales ataques informáticos. A esto se le puede agregar un dato de un estudio realizado por la investigadora de mercado Prince & Cooke, que determinó que “solo el 23% de las empresas que invierten en seguridad informática lo hace bajo el convencimiento de ser potencial blanco de ataques”. Esto significa que casi 8 de cada 10 compañías que invierten en proteger sus datos no tiene una real conciencia de lo que significaría enfrentar una pérdida de la información.
Otro estudio, realizado por CA – una firma reconocida, precisamente, por sus soluciones de protección de datos- entre 642 compañías grandes de los Estados Unidos, concluyó que más de 84% de éstas sufrió incidentes relacionados con seguridad en los últimos 12 meses y que el número de incidentes continúa creciendo.
Del informe se extrae que los conflictos de seguridad se han incrementado 17% desde 2003. Asimismo, 54% de las compañías informaron que, como consecuencia de ello, había perdido productividad; 25% señaló que sus datos se habían expuesto públicamente, que había sufrido daños en su reputación y pérdida de confianza; y 20% denunció pérdidas de ingresos, clientes u otros activos tangibles.
Y si usted está pensando que éstas son sólo estadísticas, intente digerir el siguiente dato: a nivel mundial, se estima que el 93% de las empresas que pierden datos críticos para sus negocios acaba cerrando en menos de cinco años, por no haber tomado nunca las precauciones necesarias.
Es decir que menos de 1 de cada 10 compañías afectadas por problemas relacionados con la pérdida de información clave es capaz de sobrevivir. Mejor no correr riesgos, ¿no?
Toma de conciencia
Juan Cruz Bello es Program Manager de l consultora de mercado Trenes. El experto indica que “las pymes no tienen una real conciencia de lo que significa la información que guardan y de los sensible que ésta es para su negocio”. Sin ir más lejos, el analista ofrece un ejemplo tan concreto como terminante: “Si por alguna razón pierde la información relacionada con sus cuentas corrientes, directamente no cobra lo que sus clientes le adeudan”.
¿Cómo se crea esta conciencia para que la pyme entienda cuánto valen sus datos? La empresa Openware, por ejemplo, realiza una valuación de los activos intangibles de sus clientes.
Es decir, muestra el valor concreto en dinero de la información que almacena y aplica simulaciones para chequear diversos escenarios posibles de pérdidas ante determinados ataques. Esta herramienta de valuación y simulación está disponible en www.openware.biz/downloads/04_valuacion.htm
“De todos modos, es muy difícil convencer a una pyme hasta de que invierta U$S 80 para inscribirse en un antivirus legal, aunque cada vez más las empresas están tratando de incorporar algunas herramientas de protección”, sentencia Bello.
Además de la pérdida de información relacionada con el negocio, los ataques informáticos consumen recursos, por lo que las computadoras, las redes y las conexiones a Internet funcionan mucho más lentamente; entonces, disminuye la productividad y se desaprovecha el tiempo útil del personal.
Cuatro niveles hacia una empresa segura
Héctor Casas, Ingeniero en Sistemas de Cisco Systems especialista en Seguridad, explica que las empresas deben afrontar el tema de la seguridad desde cuatro niveles diferentes. “En primer lugar, debe haber una definición de las políticas de seguridad y de sus procesos. La empresa tiene que especificar cuáles son sus activos más importantes, aquellos que debe resguardar para asegurar su continuidad y su éxito; y debe enfocar sus recursos para respaldarlos”.
El segundo punto tiene que ver con la educación y la concienciación por parte del personal. “Los empleados deben comprender las consecuencias de su accionar en las empresas en términos de seguridad”, afirma Casas.
El siguiente nivel se relaciona con la tecnología en sí. “Debe permitir que las empresas guarden sus sistemas de información de manera efectiva, con el fin de requerir la menor participación humana posible. Debe ser autodefensita y tener la capacidad para adaptarse a las evoluciones de seguridad actuales, así como a las futuras”, sentencia el experto.
Por último, es vital el gerenciamiento de las plataformas de seguridad, para poder hacer auditorías y confirmar que las personas actúen de acuerdo con las políticas preestablecidas claro del estado de los sistemas, de dónde viene el ataque, que tipo de ataque es, cómo afecta al sistema y de que modo mitigarlo lo mejor posible”, concluye Casas.
Este es el punto en el que el empresario de una pequeña o mediana compañía comienza a sufrir desde dos ángulos diferentes: por un lado, pensando en cuánto perdería su empresa si se viera expuesta a un ataque informático; por el otro, analizando cuánto tendrá que gastar para que eso no ocurra. En las siguientes notas analizaremos una amplia gama de soluciones de protección disponibles actualmente en el mercado. Pero mantenga la calma, porque muchas de ellas requieren sólo de un poco de culturización y de sentido común.
2 EL CUIDADO DE LA INFRAESTRUCTURA
Con buen respaldo
Las computadoras, los servidores y los equipos portátiles guardan información muy valiosa. En este artículo nos enfocaremos en los cuidados básicos para proteger los datos que llevan adentro. Y, además, detallaremos cómo debe estructurarse una estrategia de backup para que, ante una contingencia, un accidente o un ataque, haya una copia “utilizable” de toda la información perdida.
Que levanten la mano aquellos que han definido un password para su computadora, su notebook o su Palm. Seguramente, hay pocas manos en alto. Ahora bien, si sólo pudiesen hacerlo aquellos que, además de tener una contraseña, la han manejado de manera responsable (esto significa que no la han pegado anotada en un papelito en el monitor o no la andan diciendo a los gritos durante todo el día al resto de los empleados para que puedan hacer “tareas de emergencia” con su máquina, como imprimir un reporte de ventas que se analizará a la noche), es probable que el espacio aéreo quede totalmente limpio.
La protección de datos es, ante todo, una decisión cultural. Todos los equipos informáticos y de comunicaciones brindan la posibilidad de colocar una contraseña de acceso, de forma tal que sólo puedan ser utilizados por quien la conoce. Esta es una media que, si bien no es inviolable (es posible “romper” el secreto de una contraseña), sí genera una primera barrera. Si consideramos que una buena parte de los ataques informáticos que sufre una empresa surge de su propio personal, entenderemos lo importante que es esta medida elemental y gratuita. Si, además, tenemos en cuenta que la movilidad gana cada vez más terreno y que la movilidad gana cada vez más terreno y que la información de una empresa viaja por la calle dentro de notebooks, PDAs o BlackBerries, este aspecto cobra matices casi fundamentales.
Algunos equipos móviles, de hecho, ya están incorporando soluciones avanzadas de seguridad. Las portátiles de Toshiba, por ejemplo, incluyen las herramientas Easy-Guard: Execute Disable Bit (impide ataques de virus por desbordamiento del búfer), Device Lock (permite a un supervisor restringir el acceso a una computadora portátil dad), utilidades de contraseña desde el BIOS (el acceso no autorizado está prohibido desde antes del arranque) y hasta un lector de huellas dactilares.
Y los curiosos también se ven perjudicados por este pack de soluciones, porque la herramienta VACF (filtro de control del ángulo de visión) LCD, sólo disponible en algunos modelos Tecra M3, oscurece la visión lateral de la pantalla y evita que ésta pueda ser leía “de ojito”.
Así que, primera medida: sea responsable con el uso de las contraseñas de acceso a su hardware y encárguese de que su personal también lo sea.
Que nada se pierda
Una vez que las claves están definidas y todos las usan en forma correcta, es hora de pensar en soluciones de protección más avanzadas. Roberto Schottlaender es representante en la Argentina de Custodious, una plaqueta PCI que se instala en la P y que la protege totalmente contra cualquier tipo de desconfiguración, borrados por accidente, acción de virus o programas no deseados, y otras amenazas. Si así se lo requiere, todo puede volver a un estado “sano” con sólo reiniciar el equipo. “Lo único que tiene que hacer una pyme para entender que necesita este producto es cuantificar las horas que debe utilizar de su personal técnico para reconfigurar una PC. Esa es la forma de que comprenda que son un producto de estas características este gasto tiende prácticamente a cero”.
Otra funcionalidad de Custodius es la clonación de discos, que permite replicar sistemas enteros a través de la red. Sólo hay que preparar una PC con la configuración Maestra, tener una tarjeta Custodius en la PC e instalar otras en los equipos por clonar. Al encenderlos, se dirigirán a la máquina maestra para empezar a bajar tanto la configuración como los datos.
Una placa Custodius tiene un precio que parte de 15 euros (unos $60) y que puede llegar hasta 79 euros ($316), dependiendo de las prestaciones. En la Web, esta empresa tiene disponible un seleccionador para elegir la solución que mejor se adapta a cada escenario en particular: www.custodius.com/html/what_is_better.html
Aquí sí vale copiarse
Sin duda, desde el día en que compró su primera computadora alguien le recomendó que hiciese backup de la información contenida en ella. Muy probablemente, usted desoyó ese consejo. Pues bien, llegó la hora de implementar una estrategia de backup, es decir, de tener una copia de respaldo de sus datos, cuyos resguardos básicos están mencionados en el artículo anterior.
“Cada día notamos que hay más empresarios interesados en aprender y en entender cómo pueden implementar una estrategia de respaldo de información y qué tecnología se requiere”, confía Guido Ipszman, Gerente de Canales de EMC Argentina. Pero no todo es color de rosa, en realidad: “Sin embargo, el período de toma de decisiones es largo, ya que existe una cultura proclive a adoptar nueva tecnología entre las pymes”.
EMC creó recientemente una división enfocada en el desarrollo de tecnología para administrar y proteger la información de las empresas pequeñas y medianas. Esta división, denominada Insignia, opera en la Argentina a través de socios de negocios locales que interactúan con las pymes.
“Nuestra estrategia de productos basada en el hardware AX100 y CX300, unida a los paquetes de backup, como Dantz y Legato, está siendo muy solicitada. Pensamos que esta tendencia se incrementará más todavía!, cuenta Ipszman. El ejecutivo afirma que, además, apareció un importante interés por las soluciones de replicación de información. “Con ellas se puede no sólo proteger los datos sino también disminuir las ventanas del backup y permitir la prueba de nuevas aplicaciones para los clientes”.
Mientras voy sufriendo
Sandra Ryan, Systems Engineer Manager South of Latin America de Symantec, afirma que “si bien hay un interés por parte de la pyme de proteger su información, lo cierto es que, en líneas generales, este tipo de empresas trabaja de manera reactiva, es decir, cuando ya ha sufrido algún conflicto”. Symantec ofrece una solución completa de respaldo que puede incluir herramientas de backup, clustering (duplicado de un equipo, para que siga disponible si el “original” sufre alguna caída), alta disponibilidad de servidores de correo electrónico. “Esto está cobrando cada vez más importancia, porque muchas empresas manejan información más crítica a través del correo electrónico que en las mismas aplicaciones”, sentencia Ryan. Una solución de backup en entornos Windows de Symantec tiene un valor de base de unos U$S 10.000. Este precio varía según la configuración y la complejidad.
Carlos Doncel, Responsable Comercial de Tivoli para Argentina, indica que las soluciones de backup deben considerar dos artistas: “La continuidad del negocio (es decir, que la pyme pueda seguir trabajando aun ante un ataque informático) y evitar la pérdida de información sensible”. La empresa ofrece la solución Tivoli Storage Manager, que “permite que la inversión dé el mayor provecho posible, puesto que se protege no sólo la información que hay en los servidores, sino también la de los desktops y de los equipos móviles”. Esta herramienta tiene su versión Express, la línea de IBM para pymes, y la solución más básica puede conseguirse por unos U$S 3000.
“La” pregunta es: ¿una vez que la solución está implementada, la pyme tiene constancia como para tener sus backups al día? Para Ipszman, “las empresas no pueden darse el lujo de probar, ver qué pasa y volver a invertir; el cambio tiene que ser certero. Si uno, como proveedor, le demuestra a una pyme que el cambio o la adopción de una nueva tecnología le aportará resultados concretos en un plazo lógico, luego es mucho más fácil lograr que esté dispuesta a cumplir con su parte del trabajo”.
¿Puedo pasar?
Los data centers o las salas donde se guardan los servidores son otro punto con el que hay que tener mucho cuidado. “Muchas empresas invierten en tener el mejor firewall para proteger su información desde el software, ¿pero de qué sirve eso si alguien puede entras por la puerta del data center, sentarse frente al servidor y tomar el control?”, se pregunta Mariano Rubenstein, Presidente de TeknoHomes, una empresa que se dedica a desarrollar soluciones de acceso biométricas. “Las tarjetas de proximidad, los passwords y los PINs son cosas del pasado cuando se trata de proteger los activos más valiosos de una empresa”, señala Rubenstein.
La biometría se basa en las características que hacen única a una persona, como la huella digital o el iris. TeknoHomes provee de cerraduras digitales que se activan con la huella dactilar. El modelo TeknoEasy tiene un precio de U$S 390 (unos $1200). Los amantes de lo escatológico se llevarán una decepción: la cerradura tiene un control de “dedo vivo”. Es decir, de nada sirve cortar el dedo de la persona autorizada para intentar el paso; el sistema chequeará no sólo la huella dactilar, sino también la temperatura y la humedad del miembro.
El control de acceso puede hacerse también por software, a partir de herramientas de gestión de identidades. Identity Manager Express, de IBM, tiene un precio que parte de U$S 7000. “De todas formas, el control de identidades no entra, por el momento, entre las necesidades más urgentes de las pymes argentinas”, indica Doncel.
Fuente: http://argentina.emc.com/local/es/AR/news/in_the_news_archive/expandit_sep2006.jsp