Por años los virus, gusanos, troyanos y demás tipos de malware fueron temidos por sus capacidades para alterar archivos o procesos de los sistemas, inhabilitando las operaciones de las computadoras o los servidores por un par de minutos o en el peor de los casos por horas.

Por su parte, los programadores de malware encontraban en la fama y reconocimiento su único móvil para armar, desarrollar y encontrar vulnerabilidades en los sistemas operativos o aplicaciones.

Hoy en los inicios del siglo XXI esta situación ha cambiado. Las amenazas han dejado de ser llamativas y notables para las organizaciones y usuarios, su objetivo ha dejado de ser el de entorpecer o estropear el funcionamiento de una computadora y la fama y popularidad  han dejado de ser trofeos deseables para los programadores de malware.

Al contrario el malware se ha convertido en un riesgo silencioso, indetectable y altamente certero en su objetivo. De igual forma, los atacantes han encontrado una motivación mayor para el desarrollo de sus amenazas: el dinero. Y en un mundo globalizado e interconectado, sin duda la información es la que más dinero alberga, y muchas veces la que menos resguarda se encuentra.

Las cifras no mienten, de acuerdo al último informe de Internet Crime Complaint Center (IC3), publicado por el FBI y el National White Collar Crime Center, las pérdidas por delitos relacionados a internet ascendió de los $17.8 millones de dólares en 2000 a los $183 millones en 2005, $198 millones para 2006, hasta los $240 millones en 2007.

Más aun del total de amenazas y vulnerabilidades reportadas en Internet cerca de 68% tienen como objetivo comprometer o robar información confidencial y con una tasa de crecimiento de la información de casi 50% por año, los riesgos que enfrentan las organizaciones para proteger su activo más valioso han dejado de centrarse en unos cuantos megas o gigas de datos sino en Terabytes o en algunos casos hasta Petabytes.

La situación llama para un nuevo enfoque y estrategia de la seguridad donde las organizaciones coloquen todos sus  esfuerzos en proteger su información y no su infraestructura, asegura Gene Hodges, CEO y presidente de Websense en entrevista exclusiva para b:Secure en el marco del RSA Conference 2008.

“Las empresas ya no solo tiene que preocuparse por proteger su infraestructura física y la información dentro de sus corporativos, sino que también deben de vigilar y poner atención a las laptop de los ejecutivos o personal que se conecta desde diferentes ubicaciones ajenas a las oficinas o a los dispositivos o teléfonos inteligentes donde también se almacena y comparte información sensible para el negocio”, explica Hodges.

Y agrega, estamos conscientes, y creo que todo mundo a estas alturas ya lo sabe, que los criminales ya no buscan hacer fama de sus conocimientos técnicos, lo que buscan es el dinero y lo que más dinero tiene en la actualidad es la información. Hoy quien ataca no lo hace con el fin de anular las operaciones de las empresas, lo hace porque requiere y necesita cierta información cuyo valor económico puede superar los millones de dólares.

No es de extrañar como menciona, John W. Thompson CEO de Symantec, que hoy en día el mayor número de amenazas que mayor crecimiento reportan son aquellas enfocadas a comprometer o robar nuestra información.

“Anteriormente cuando alguien penetraba nuestra infraestructura ¿qué era lo que hacíamos? Simple, construir murallas más grandes y firmes. Pero hoy es imposible querer tener un negocio aislado de todo tipo de conexión y al mismo tiempo que sea exitoso, necesitamos un cambio drástico en nuestra estrategia de seguridad en IT, uno que incluya una visión centrada al valor de la información”, agrega Thompson de Symantec.

Con base en roles de usuarios, canales y mecanismo de comunicación, y tipo de información las empresas pueden evitar fugas, robos o pérdidas de datos sensibles. De modo tal que si un usuario, que maneja información sensible, intenta copiar ésta a una unidad portátil o mandarla por correo electrónico el sistema le denegará dicha acción.

“Si me pregunta para qué sirve un firewall en una organización te diría que tiene la misma función que un cuadro o escultura, un  ornamento nada más. La información no está en el firewall, entonces porque seguimos reforzando esa línea de defensa”, puntualiza Hodges. 

El gran reto está en los procesos
Desarrollar una estrategia enfocada al valor de la información no es sencillo pues  las organizaciones necesitan responder qué tipo de información sensible tienen,  dónde se encuentra esta información almacenada y cómo está siendo utilizad por lo usuarios, comenta Thompson de Symantec.
     
De igual forma es necesario definir, agrega Hodges de Websense, definir, parámetros y límites para cada dato importante dentro de la organización y al mismo tiempo colocar políticas  que vayan alineadas al forma de operar del negocio.

Es decir una buena estrategia de seguridad, explica Art Coviello, vicepresidente ejecutivo de EMC, no sólo debe de incluir al CSO y al CIO de la organización sino a todos  los líderes de departamento de todas las áreas para a través de ellas se permee por toda la organización una cultura de la seguridad entendible y adaptable a todos los niveles.

Al mismo tiempo, agrega Coviello, tendrán la  certeza de conocer  y entender los riesgos a los que su información está expuesta a lo largo de su ciclo de vida, evitando que los costos de seguridad se vuelvan un impedimento en la innovación del negocio.

Al final como Dan Hansen, menciona el CSO al igual que el CIO debe de ser un “geek de tecnología pero también un hombre de negocios, donde entienda cómo opera y funciona su negocio y no se pasa 46% de su tiempo mirando reportes de vulnerabilidad o penetraciones sino aportando e ideas y proyectos frente al CEO de cómo asegurar la organización”.

Viva la Web 2.0 segura
El objetivo de una estrategia centrada en la información, si bien es asegurar  la información de cualquier tipo de amenaza externa  o interna también es habilitar la posibilidad de aprovechar las nuevas herramientas o servicios de colaboración o interacción que ofrece la web 2.0.

“Si limitas el uso de las herramientas web 2.0 dentro de tu organización no sólo estás perdiendo un enorme oportunidad de aumentar tu productividad sino también pierdes la posibilidad de obtener el mejor capital humano. No olvidemos que el talento de hoy se encuentra en los jóvenes, hombre y mujeres que crecieron y aprendieron mediante el uso de estas herramientas, negarles su uso es negarles aprovechar su talento”, menciona Hodges de Websense.

Charles Renert, senior director de advances content research de Websense  agrega que de acuerdo a  un  estudio realizado por  IDC una de cada tres organizaciones actualmente corre algún tipo de aplicación web 2.0. Pero dado la falta de regulación y mecanismos de control para todo este tipo de servicios, también son fuentes llenas de amenazas y peligros potenciales.

Empresas como Websense buscan aprovechar esta laguna técnica con el lanzamiento de del primer “Honeygrid” para seguridad de internet y clasificación de contenidos web 2.0, el cual combina los sistemas de un honeypot y  grid computing avanzado y  permite analizar más de mil millones de piezas de contenido al día.

El  cual de acuerdo a lo revelado por la firma, cuenta con 50 millones de máquinas de recolección de datos a nivel mundial, los cuales analizan, monitorean y clasifican el contenido y mensajes web en tiempo real para ser analizados por los laboratorios de investigaciones de Websense.

“Esta tecnología nos pone en ventaja frente a nuestros competidores en términos de infraestructura, capacidad de análisis y detección, pero más importante aun nos provee de una arma efectiva contra  el cibercrimen, una guerra que desde mi punto de vista toca e involucra a todos”, puntualiza Renert de Websense.