Internet es una parte integral de la manera en la que todo tipo de organizaciones, y en especial las pequeñas y medianas empresas se comunican, colaboran y cosechan éxitos en el mercado.

El malware se está consolidando como uno de los principales vehículos para el crimen organizado en la Red y los productos de seguridad TI tradicionales se están mostrando incapaces de bloquear el flujo de nuevos tipos de malware específicos que aparecen continuamente. Esta realidad está situando a las PYMEs en una situación difícil, dado que estas organizaciones ya deben partir de la premisa de que parte de sus clientes se verán infectados por una u otra razón, y que sin embargo, no pueden dejar de hacer negocios con estos clientes, aunque sus sistemas de información se encuentren comprometidos.

El auge de las amenazas online es el resultado de la popularidad de Internet, un medio relativamente desprotegido y en constante uso, que sin embargo es crucial para la productividad empresarial, la banca online, para el comercio electrónico y para el día a día de personas en todo el mundo. Las aplicaciones Web y la popularidad de las Redes Sociales son, por otro lado, sólo dos ejemplos de los adelantos en este ámbito que preocupan al mercado, en general, y especialmente a las PYMEs, desde el punto de vista de la seguridad.

Frente a estas amenazas, el remedio más válido radica en la implementación de una protección multi-capa: protección en la Nube, en el gateway de Internet, a través de los servidores de la red informática y en los puestos "cliente" de los usuarios informáticos. La defensa más importante, y tal vez la más difícil de lograr, consiste en educar a los usuarios de la empresa, como parte de una estrategia global orientada a prevenir este tipo de amenazas.

En el actual entorno empresarial, cada compañía debe gestionar mayores riesgos con menores recursos. Por ello, el establecimiento de prioridades y la gestión del riesgo deben ser una parte integral de su estrategia. Una alternativa a este proceder podría ser la reacción ante cada amenaza, adquiriendo soluciones punteras a un precio aparentemente económico, pero estas soluciones conllevarán a la larga unos costes operativos altos, debido a sus complejas configuraciones.

Por otro lado, gestionar la Web 2.0 desde el punto de vista de la seguridad, tratándose de un ámbito basado en servicios gratuitos y abiertos, resulta mucho más difícil y un auténtico desafío. De hecho, los empleados pueden usar e-mails basados en la Web, páginas Web de Redes Sociales, redes P2P, así como descargar archivos multimedia. Además, los ficheros descargados se pueden transferir a un dispositivo portátil para su posterior visualización en ordenadores de la compañía, donde las amenazas para la seguridad se pueden expandir de manera exponencial.

Lo que antes funcionaba, ahora ya no da resultado

A pesar de que siguen siendo componentes clave y efectivos para la seguridad endpoint, los cortafuegos, las soluciones antivirus, anti-spam y anti-spyware, así como otras herramientas de protección basadas en firmas, hoy no son suficientes para detener a los modernos ataques basados en la Web.

Tradicionalmente, las aplicaciones antivirus y anti-spyware han identificado y detenido la infiltración de virus, gusanos, troyanos, adware y los capturadores de contraseñas, proporcionando protección en tiempo real y capacidades de detección y eliminación. Hoy, sin embargo, estas herramientas luchan cara a cara con los virus y gusanos muy complejos, que combinan diferentes técnicas de ataque y que se encuentran en constante mutación. Estas amenazas, asimismo, modifican su firma en cada PC infectado, por lo que la protección basada en firmas, como defensa contra algunos ataques inmediatos basados en la Web, se vuelve ineficaz.

Los cortafuegos de escritorio ofrecen una buena defensa al bloquear las páginas Web no permitidas y controlar el tráfico online, aunque resultan poco útiles frente al comportamiento de los usuarios y apenas sirven para evitar el contacto directo online con el malware. Así, los programas maliciosos pueden instalarse de manera automática sin siquiera requerir ninguna interacción por parte del usuario. De hecho, la mayoría de los estudios muestran cómo el 80% de los ordenadores que disponen de cortafuegos, terminan siendo infiltrados por spyware u otros tipos de malware.

Desafortunadamente, son demasiadas las compañías que confían su seguridad en las soluciones endpoint tradicionales, asumiendo que con ellas disponen de la suficiente seguridad en Internet para prevenir los ataques Web. Dichas compañías, sin embargo, en realidad no cuentan con protección suficiente. Los ataques actuales requieren una solución de tercera generación, basada en un acercamiento doble que combine los medios de protección tradicionales con los controles de seguridad online, para frustrar los ataques de seguridad más extendidos hoy en día.

Como ya hemos comentado, implantar varias capas de protección reforzaría la seguridad, pero pocas PYMEs lo llevan a cabo principalmente por razones presupuestarias. Existen, sin embargo, muchas tecnologías y procesos disponibles para ayudar a las pequeñas y medianas empresas a mantener a raya las amenazas online.

Empezar educando a los usuarios

Hay que tener en cuenta que Internet es una zona de combate, y que la única manera de vencer es contar en nuestro bando con la ayuda de los empleados. No educar a los usuarios informáticos de la organización sería similar a no enseñar a un soldado cómo usar su rifle. Se trata, por tanto, de un aspecto básico en la lucha contra los virus a través de Internet, cuyo descuido supondría perder a uno de los aliados más poderosos con los que contamos.

Formar a los usuarios informáticos sobre las amenazas existentes en Internet, desde el punto de vista de la seguridad, y animarles a avisar en caso de detectar cualquier movimiento sospechoso o fuera de lugar, son medidas muy recomendables. También resulta conveniente que se les enseñe a desconfiar de las peticiones externas para instalar o desinstalar una aplicación, así como animarles a llamar al servicio técnico. Además, es importante hacer entender a cada empleado que utilice el sistema informático, que los sitios de intercambio de archivos, pornografía, apuestas y Redes Sociales son auténticos paraísos para los ciber-criminales y el malware. El mensaje de seguridad online, asimismo, calaría más entre los empleados, si a estos usuarios se les proporcionase además una guía de buenas prácticas para el uso seguro de Internet, que éstos puedan utilizar también en sus portátiles y en los PCs de sus hogares. Por otro lado, y en caso de tener que denegar un privilegio a un usuario o bloquear su acceso un sitio Web determinado, es muy importante que el resto de los usuarios comprendan las razones de esta medida.

Tener una Política de Uso Aceptable

Prácticamente todas las empresas cuentan con un conjunto de normas recogidas en un manual, cuya lectura y comprensión debe ser reconocida por escrito por parte de los empleados. Algunas de estas políticas, como las que regulan la discriminación racial o religiosa, o la obligación de archivar los e-mails, son obligatorias por ley. Otras pueden reflejar éticas empresariales comunes o una cultura empresarial particular, como las prohibiciones contra la bebida, contra las ausencias injustificadas, el acoso sexual, etc. Las políticas empresariales habitualmente implantadas también suelen incluir un conjunto de sanciones, aplicables a aquellos que violan dichas normas. Asimismo, dichas políticas proporcionan una base legal para acciones disciplinares, incluyendo los procesos de despido.

Una ventaja clave de estas políticas, además de mantener a los empleados responsables de su incumplimiento en el puesto de trabajo, es que la organización también las utiliza como un escudo para protegerse de los posibles pleitos que pudieran surgir fruto de acciones de sus trabajadores que actúan en contra de estas normas.

Cada compañía, independientemente de su tamaño, debería contar con una Política de Uso Aceptable que regule el uso de Internet, de los ordenadores y del correo electrónico dentro de la empresa, para salvaguardar sus comunicaciones electrónicas.

En esencia, una Política de Uso Aceptable sirve como una guía para la plantilla en cuanto al comportamiento y uso de la tecnología, que aprueba la organización. Estas políticas también deberían detallar las posibles consecuencias para los empleados que abusan de las nuevas tecnologías.

Implantación de un software de monitorización de Internet

Desafortunadamente, educar a los usuarios y contar con una Política de Uso Aceptable en Internet no siempre es suficiente. Estudio tras estudio se demuestra que siempre hay un porcentaje de empleados que no entienden el mensaje, carecen de las habilidades informáticas necesarias para cumplir estas políticas o simplemente prefieren pasarlas por alto, como un acto de rebeldía o para llevar a cabo un propósito criminal. Como consecuencia, las pérdidas ocasionadas por la reducción de la productividad, por la exposición a posibles ataques a la seguridad y por responsabilidad pueden ser inmensas para la empresa. Y la implantación de soluciones específicas para la monitorización del uso que los empleados hacen de la Web puede ser una medida muy efectiva a este respecto.

La monitorización de Internet, también conocida como monitorización Web, es un término general que alude a la protección de una compañía u otra organización contra estas amenazas, a través del despliegue de un software para controlar el uso de Internet en la organización, bloqueando determinados sitios Web, filtrando contraseñas, evitando descargas en general o de archivos específicos, y registrando las visitas de los empleados a determinados Sites. En algunas soluciones de monitorización de alta gama, también se utilizan múltiples motores de exploración para detectar virus y otros tipos de malware.

Entre los beneficios probados de la monitorización Web destacan:

• Un cumplimiento efectivo de la Política de Uso de Internet así como la reducción de la pérdida de tiempo online.
• Incremento en la productividad.
• Incremento de la seguridad al prevenir las descargas de malware o las visitas a sitios Web peligrosos.
• Incremento de la seguridad Web, al utilizar diversos motores antivirus para filtrar amenazas basadas en la Web.
• Maximizar el ancho de banda al minimizar el uso de Internet no relacionado con el trabajo.
• Incremento de la seguridad de los datos en la organización.

La monitorización de Internet también ofrece un importante beneficio psicológico, ya que demuestra a los empleados que la organización va en serio en las políticas de uso TIC establecidas, protegiendo a la organización y a sus trabajadores frente al abuso de unos sistemas de información que les han sido facilitados para su beneficio.

Seguridad en el navegador

La Web es como un patio de recreo personal para muchos usuarios. En algunas organizaciones puede resultar muy difícil evitar que los empleados se tomen continuos "descansos" para navegar por Internet, pero por lo menos la organización es capaz de proporcionar un entorno más seguro, usando controles de seguridad instalados en el navegador. Por ejemplo, Internet Explorer ofrece numerosas opciones para manejar las cookies. Las que disponen de credenciales de usuario son un blanco muy popular para los ciber criminales, y las malformadas se usan para ataques de tipo cross-site scripting, que pueden robar credenciales y redirigir a los usuarios desde sitios legítimos a otros maliciosos. Internet Explorer también permite establecer políticas de seguridad para los desarrollos de terceros y para plug-ins de los navegadores. Y es que los add-ons, con un valor justificado para el negocio, como los PDFs de Acrobat, se pueden contar en realidad con los dedos de una mano. El resto de los principales navegadores en el mercado proporciona controles similares, de modo que lo mejor sería ponerlos en marcha, si la compañía utiliza múltiples browsers.

Limitar los derechos de administrador de los usuarios

Existen pocas razones para que una parte elevada de la plantilla utilice los ordenadores y los portátiles con plenas funciones de administrador. Restringir estos privilegios puede prevenir la instalación y propagación de software no deseado y de malware. Para ello, se puede utilizar la funcionalidad de Control de las Cuentas de Usuarios de Windows, introducida en Windows Vista y ahora también disponible en Windows 7. Ésta limita los derechos de los usuarios para llevar a cabo acciones, como cambiar el estado del sistema, deshabilitar el cortafuegos local, o instalar nuevo software. Con ello, no se garantiza la seguridad de los empleados, pero sí se limita el número de posibles canales a los que están expuestos los trabajadores, desde el punto de vista de la seguridad.

Utilizar AppLocker de Windows 7

En caso de actualizar el sistema operativo a Windows 7, AppLocker es una nueva funcionalidad que trabaja como un cortafuegos. La misma permite a los administradores definir qué aplicaciones pueden ejecutar qué procesos, en base a la firma digital del proveedor o a la revisión de un determinado archivo ejecutable, entre otras. AppLocker también permite a los administradores configurar políticas de grupo, con las cuales se evita la ejecución por parte de los usuarios de aplicaciones no autorizadas.

Despliegue de la seguridad Web Software as a Service (SaaS)

SaaS es un software diseñado para funcionar en Internet y/o a través de un cortafuegos en la red de área local o en el ordenador personal. Con SaaS, un proveedor autoriza una aplicación a los clientes como un servicio bajo demanda, a través de una suscripción o de un modelo de pago por uso.

SaaS permite la filtración del malware Web como un servicio. De esta manera, el tráfico Web es dirigido a través de la Nube del proveedor, donde el malware es eliminado en tiempo real. Los proveedores también suelen ofrecer conjuntamente otros servicios, como filtrado URL, que evita que los empleados exploren los rincones más oscuros de la Web. Con este modelo, las compañías obtienen las mismas funcionalidades que con los productos en local, pero sin el gasto de capital.

Sin embargo, SaaS tampoco es la solución idónea. En 2008, un estudio de Gartner realizado sobre 333 empresas en EE.UU y Reino Unido puso de manifiesto un bajo nivel de aprobación por parte de los clientes, describiendo los niveles generales de satisfacción como "medios". Los encuestados en contra de SaaS esgrimieron como razones el elevado coste de servicio, la dificultad de integración y los requerimientos técnicos.

Un enfoque continuo de monitorización de la seguridad

Con independencia de lo que se instale finalmente, el trabajo no termina ahí.

La estrategia de seguridad TI se puede reforzar con la monitorización continua de los incidentes y manteniéndose al día con las últimas metodologías y herramientas contra la piratería. También se pueden encontrar páginas Web que albergan información sobre cómo aprovechar mejor determinados productos. Estos suelen basarse en configuraciones ya listas para usar, por lo que hay que mantenerse al día con los fabricantes acerca de nuevas funcionalidades, versiones o nuevos riesgos para la seguridad.

También es importante asegurarse de que el software se mantiene, los parches se despliegan puntual y correctamente para responder a las últimas amenazas, y los sistemas operativos se actualizan periódicamente con el último Paquete de Servicio.

Ninguna de estas medidas por separado o en tándem detendrá el malware. De hecho, puede que no exista nada que ofrezca una solución total. Pero estos métodos pueden ayudar bastante a las PYMEs a formar una estrategia exhaustiva de seguridad en Internet.