Entre amenazas y oportunidades

INFORME Canal consultor en seguridad informática Entre amenazas y oportunidades Durante la tercera edición del Congreso Latinoamericano de Seguridad de Redes e Internet (Colaris), organizado por Telefónica del Perú por encargo de FIRST (Forum of Incident Response and Security Teams), se presentó las últimas tendencias en seguridad de redes y sistemas informáticos. El encuentro dejó un claro mensaje: ofrecer un servicio integral de consultoría en seguridad a las empresas a través del Canal es un negocio rentable. 20 Se imagina recibir dos ataques diarios cada vez que abre la puerta de su casa? o recibir 160 mil amenazas con solo asomar su cabeza por la ventana? Pues algo similar le ocurre al cliente cada vez que enciende su computadora y se conecta a Internet, pues la exposición de sus sistemas informáticos a las amenazas como el spam (correo basura) o phishing (robo de identidad), para obtener o transmitir datos es ineludible. Según la consultora Yankee Group, un usuario del hogar puede recibir cerca de 40 ataques mensuales, y una gran empresa como un banco casi cinco millones. Pero así como surgen las amenazas, las soluciones de seguridad y posibilidades de negocio alrededor de ellas aumentan en forma directamente proporcional. De acuerdo a cifras de esta consultora, en el 2010 el mercado de la seguridad mundial será de US$ 3,7 billones, de los cuales el 90% corresponderá a consultoría y servicios externos. Una señal positiva para el canal de distribución, que busca hacer de la seguridad un negocio de largo aliento. Ahora que estos ataques son masivos, las soluciones de antiphishing o antispam generan una gran demanda, por lo que el Canal debe pensar en ofrecerlas con un conocimiento profundo de su funcionamiento. Tal como refiere la asociación Grupo de Trabajo Anti Phishing, estos ataques crecieron al 180% desde abril hasta mayo del 2004, lo que indica que cada vez más ciberdelincuentes optan por este tipo de artimaña para realizar estafas online. En el Perú, aunque los ataques para robos de identidad no tienen los índices de Estados Unidos o Europa, comienzan a presentarse con más frecuencia. Por este motivo, los principales bancos que funcionan en el Perú están alertando a sus clientes para que no se dejen sorprender por delincuentes que envían clonaciones de páginas web de las instituciones financieras como Scotiabank, Banco Continental y Banco de Crédito. Variantes de los delitos informáticos Un antivirus no basta para satisfacer

CHANNEL NEWS PERú Brasil, añade que en América Latina se ha tomado más conciencia de los delitos informáticos pues ahora las empresas valoran la informática como un bien preciado, la información se maneja y se gerencia a través de computadoras y también se evalúan aspectos técnicos, legales y de servicios. De estos delitos son los más comunes: la pornografía infantil, pedofilia, phishing, spam, violación a la intimidad y la piratería. El phishing es el delito más común en Brasil y también fue el primer delito informático penalizado en ese país. Se ven también casos de pedofilia, aunque las penas son sobre todo de carácter civil pues se espera que se recompense a la persona afectada en especies, por ejemplo, se embargan bienes como casas, autos, porque la prisión efectiva es algo más difícil de conseguir debido a que envuelve aspectos legales más complejos. En tanto, José Nazario, de Arbor, señala que aún no hay conciencia por parte del usuario del hogar ni del corporativo acerca los requerimientos de seguridad de las empresas. Las amenazas han cambiado, por eso es necesaria la oferta de nuevas herramientas tecnológicas. Sin embargo, el cliente se encuentra desinformado y se requiere una cultura más sólida respecto a que asuma plenamente la importancia de proteger la red. Kenneth Van Wyk, Vice Presidente de FIRST (Forum of Incident Response and Security Teams), destaca que en el futuro aparecerán nuevas amenazas. Considero que los problemas de phishing seguirán creciendo en las redes de bots (softwares malignos). El crimen organizado ya ha descubierto este nicho para hacer dinero. Incluso si detuviéramos los ataques mañana, seguirían invirtiendo para continuar sus ataques. Es un asunto importante que durará por buen tiempo. Van Wyk afirma que los usuarios de América Latina enfrentan las mismas amenazas que en Estados Unidos y Europa. El Internet nos conecta profundamente y entiendo que esta conectividad ha llegado a América Latina después que en el resto del mundo. En ese sentido, es un deber ponerse al día para entender la magnitud de estas amenazas y enfrentarlas. Por su parte, Omar Kaminski de Brazilian Academic and Research Network de de las amenazas que Internet representa para la seguridad de los sistemas. Muchas empresas creen que por no ser las más importantes no serán atacadas, cuando los hackers primero se entrenan en las empresas medianas, para después devastar los sites de las grandes compañías. Liliana Velásquez, directora del FIRST, asegura que la mejor manera de estar preparados para enfrentar estos incidentes es comunicándose abiertamente con expertos en seguridad alrededor del mundo. Al compartir nuestro conocimiento, historia y las mejores técnicas, la seguridad de nuestros sistemas avanza progresivamente. 21

Seguridad global El mundo de First Kenneth Van Wyk, Vice Presidente de FIRST (Forum of Incident Response and Security Teams) organización dedicada a enfrentar los incidentes en seguridad, conversó con nuestra revista en el marco del Congreso Latinoamericano de Seguridad de Redes e Internet que organizaron junto con Telefónica sobre los problemas en seguridad que afectan a la región. Cómo nace First? Esta organización nació con el objetivo de que los distintos equipos de respuestas a incidentes de seguridad puedan establecer contacto ante situaciones de emergencia e intercambiar las mejores prácticas de seguridad en sus organizaciones. El Colaris es el principal congreso de seguridad informática de Latinoamérica y brinda a los participantes la oportunidad de aprender y compartir el estado del arte en este tema. La directora del FIRST anuncia que posiblemente la cuarta edición del Colaris se realice en Uruguay. De esta manera, el encuentro, realizado por primera vez en el Perú, fue una excelente oportunidad para compartir experiencias y aprender nuevos mecanismos que garanticen la confidencialidad, integridad y disponibilidad de la información, el mayor activo de una empresa. Cuáles son las oportunidades de negocio que se presentan para el canal de distribución que provee soluciones de seguridad? First es una organización sin fines del lucro, por lo que no podemos hacer propaganda o publicidad de servicios de nuestros clientes. Por tanto, no debiera ser visto como un canal para vender productos. Sin embargo, hay muchos proveedores o fabricantes que son miembros de First como Cisco y su beneficio es que sus grupos de trabajo de seguridad pueden participar en First a un nivel técnico. Cómo aporta First a la calidad de sus fabricantes? Usaré a Cisco como ejemplo. Ellos han sido miembros muy activos de First durante años y algunos de sus directivos han trabajado como voluntarios en nuestra organización donando sus conocimientos y su tiempo. Qué normas y buenas prácticas de seguridad se recomiendan a las empresas para disminuir los riesgos de ataques? Eso es algo difícil de responder pero en cuanto a las normas y medidas a tomar, es bueno tener unos lineamientos de uso claros para todos los usuarios en la empresa, de manera que ellos entiendan qué es apropiado y qué no. Como respuesta a esto, muchas empresas tienen políticas de uso de Internet en la que les indican a los usuarios de su red que visiten tales tipos de páginas y que es inapropiado visitar otras. Algunas compañías simplemente bloquean el acceso a las páginas inapropiadas es esto correcto? Eso es contraproducente, porque si bien se puede bloquear una determinada página, luego el firewall no le permite al usuario ingresar. Pero si consigo el número de IP que me va a dar acceso a esa página entonces le puedo sacar la vuelta a ese bloqueo. Qué ventajas obtiene un miembro de First? En primer lugar una lista interna de correos de los miembros, algo así como un foro de discusión muy activo. Tenemos eventos sólo para miembros como el coloquio de tecnología que se esta llevando aquí. Además, ofrecemos el acceso a los grupos de interés que no sólo son foros de discusión sino que se dedican a realizar actividades en conjunto. Por eso los invitamos a formar parte de nuestra gran familia, porque nos interesa el crecimiento de la seguridad a todo nivel. Precisa que la seguridad se ha vuelto cada vez más relevante, porque cuando cae la red de las empresas, los negocios también. La gente sabe que existen los virus, pero no entiende la dimensión del daño que verdaderamente puede causarles. La vida de un hacker Adam Laurie, representante de la organización Bunker Secure Hosting, presentó la charla Un día en la vida de un Hacker, donde expuso cómo romper barreras de seguridad en distintos ambientes como cuando ingresó al sistema de un hotel donde se alojaba mediante un control remoto y un televisor para demostrar las fallas de los fabricantes y prevenirles de los posibles ataques antes que sucedan. Y es que no todos los hackers son malos o se dedican a robar dinero mediante estafas electrónicas, dice Adam, agregando que inicialmente el término hacker se usaba para referirse a alguien que observaba cómo era la tecnología y la modificaba, pero luego la gente lo utilizó para aquellos que por este medio cometían actos indebidos. Ahora prefieren utilizar el término de cracker. En un futuro próximo, Laurie advierte que los objetivos de los hackers serán los PDA y los teléfonos celulares porque cada vez tienen más funciones como Wi fi, Internet, buscador, y correo electrónico, que los vuelven mini computadoras en las que también se guardan y transmiten datos relevantes para la persona o compañía que los utilice. Admite que en Europa y Estados Unidos hay una gran preocupación por parte de las empresas en cuanto a la seguridad y que desconoce la realidad latinoamericana, aun- 22

que supone que es la misma pues los virus y demás amenazas están globalizadas. Por ello se llevó una grata impresión del público asistente al tercer Colaris El público asistente esta muy interesado en los foros y los debates. Me alegra que busquen este tipo de conocimientos pues prevenir los ataques informáticos garantiza la viabilidad de su negocio y el progreso de un país. Aspectos legales Omar Kaminski, de Brazilian Academic and Research Network, fue el encargado de presentar la conferencia Aspectos legales e incidentes de seguridad en América Latina. El especialista indica que en América Latina, donde los sistemas son similares y pese a que la población posee características y aspectos culturales comunes, es difícil armonizar estas leyes y se espera que algún como acceso legal, interceptación ilegal, interferencia de datos, interferencia al sistema, mal uso de dispositivos, falsedad relacionada con las computadoras, fraude informático y ofensas relacionadas con la pornografía infantil. Por tanto, el aspecto legal en el Perú requiere renovación y adaptarse a los nuevos tiempos, y de parte del Canal, conocimiento de las políticas existentes. Ventajas para el Canal La principal lección que deja este congreso para el Canal es que para ofrecer las nuevas tecnologías en especial las relacionadas con movilidad Wireless requieren una alta especialización. Por eso, las marcas extienden una invitación explícita a sus resellers para capacitarse y reforzar su oferta al mercado. Para que los distribuidores vendan soluciones de valor, las marcas deben día se logre. En el Perú hubo una ley en el 2000 que incorpora los delitos informáticos al código penal. Se menciona que comete un crimen quien usa, entra o interfiere en una base de datos, sistema o red de computadoras privada. Además, hay una ley dada el 2004 que modifica e incorpora artículos relacionados con la violación sexual, explotación sexual comercial y pornografía infantil. En Brasil se promulgó la Ley 9983 en 1999 que modificó la parte especial del Código Penal para prever delitos informáticos contra la administración pública, pero que penaliza los crímenes realizados por funcionarios públicos. Aunque exista una ley de cibercrimenes, sólo se aplica a funcionarios públicos. La penalidad al cibercrimen en la Unión Europea previene diversas situaciones capacitar a su Canal con certificaciones de modo que puedan convertirse en consultores de seguridad. Según los análisis del tercer Colaris, la telefonía IP y los servicios basados en Internet que son y serán utilizados por mucho tiempo a nivel operativo en las empresas requieren de altos niveles de seguridad para funcionar óptimamente. Lo mismo sucede con el negocio de la conectividad. Por ello, es importante que el Canal perciba la relevancia que está tomando este negocio y difundir conceptos claves para masificar las soluciones de seguridad. Sin duda, es necesario que los resellers sean capaces de realizar consultoría y que los vendedores sintonicen rápidamente con el cliente para, de acuerdo a sus necesidades, asesorarlo en forma precisa en la implementación de las mejores políticas de seguridad. Con ello se prepara el camino no sólo para un buen negocio INMEDIATO Y de momento, sino para obtener nuevas oportunidades a futuro. Incluso en las grandes empresas, el desconocimiento respecto a la seguridad es grande. Los clientes dicen: compré el mejor firewall que hay en el mercado, pero no saben que más del 70% de los ataques de phishing y virus pasan sobre el firewall, sin importar qué tan bueno sea, asegura Patrick Cain, de Anti-Phishing Working Group. Agrega que la seguridad debe ser revisada permanentemente. Por ello representa una gran oportunidad para el Canal, que puede asesorar al cliente a través de servicios de monitoreo que le permitan a las empresas estar actualizadas de lo que ocurre en la red. El conocimiento sobre seguridad es muy limitado. Tanto así, que un número importante de organizaciones creen que agregar seguridad a sus sistemas es simplemente restringir; y más que eso es asegurar a través de políticas accesos controlados. Omar Kaminski, de Brazilian Academic and Research Network de Brasil, refuerza esta idea al decir que las empresas con los mejores negocios en el mercado de seguridad son realmente consultoras, no vendedoras de productos. Es allí donde hay que hacer el gran cambio en el Canal de Distribución, por el desafío que representa para el negocio de la seguridad y por las nuevas aplicaciones que convergen, que se ven expuestas a este tipo de ataques. Por su parte, el Director de Marketing de la Vicepresidencia de Telefónica Empresas, Fernando Vereau, señala que la seguridad de la información en las organizaciones permite la continuidad 23

del negocio, ofreciendo ingresos y mejorando la rentabilidad. Un buen manejo de la seguridad incrementa la confianza con los socios, proveedores y clientes, y a su vez, habilita nuevos negocios. Además, la seguridad de la información minimiza los riesgos, reduce costos actuales y futuros e incrementa la satisfacción del usuario final. Servicios y consultoría Como en la mayoría de los negocios relacionados a la tecnología, los márgenes por concepto de venta de productos no son suficientes para hacer rentable la operación de los distribuidores. Y el mercado de la seguridad no es la excepción a la regla. Por ello, este panorama ofrece al Canal una excelente oportunidad para aquellos distribuidores que deseen cubrir esta creciente necesidad del mercado, brindando servicios de despliegue de plataformas de seguridad o por medio de outsourcing. Así, se podría ofrecer servicios de consultoría en seguridad y redes a través de la externalización y soporte de servicios orientados a la protección de activos informáticos e imagen de instituciones públicas y privadas, al igual que plataformas de comercio electrónico y redes privadas virtuales. Con soluciones dedicadas a la seguridad preventiva, activa, e- security y seguridad forense, esta última para la investigación e identificación de ataques a la integridad de las redes. Como indican los especialistas, la tendencia en cuanto a tecnología de seguridad es tener el control antes de que las amenazas entren a la red, con soluciones que apunten a reforzar la seguridad distribuida. Porque como aseguran los proveedores de este mercado, el éxito en el negocio de seguridad está en vender, antes que productos, continuidad operativa a las empresas. Es decir, no sólo basta instalar o actualizar un antivirus una vez al año, sino anticiparse a los desastres que puedan causar estas amenazas informáticas. TERIS: Respuesta rápida ante los incidentes 24 Juan García Pagán, Vicepresidente de Operaciones de Red de Telefónica y Presidente del Comité Organizador del Congreso Latinoamericano de Seguridad de Redes e Internet, opina para Channel News Perú acerca de la realidad nacional en cuanto a las amenazas de redes y la oportunidad de negocio que representan sus soluciones para el Canal. Desde cuando Telefónica integra FIRST? Desde este año, Telefónica integra el FIRST a través de TERIS (Telefónica Equipo de Respuesta a Incidentes de Seguridad). El equipo, conformado por un grupo de profesionales especializados en seguridad de la información, se encarga de solucionar los incidentes de seguridad que generen un riesgo para las redes y plataformas de Telefónica. Telefónica tiene clara la importancia de la gestión de la seguridad en sus redes para brindar un óptimo servicio a sus clientes. En ese sentido, este congreso nos motiva a reflexionar que los incidentes de seguridad no pueden evitarse, sólo pueden ser mitigados, por lo que es importante que las empresas asuman normas y buenas prácticas de seguridad que involucren a toda la organización. Cuáles son las principales conclusiones de este evento de seguridad? Nos gratifica la preocupación que hay por los temas de seguridad en el Perú, por lo que nuestros clientes se han sorprendido de tener un evento de esta magnitud, sobre todo con los expositores que han venido. Esto refuerza el compromiso de Telefónica con ellos y sobre todo en un tema tan en boga como es el de la seguridad TI. Desde que se creó TERIS, Cuáles han sido los incidentes más relevantes que han detectado? Lo que se ve es un incremento del nivel de viruses, spams y hackers que actúan en las redes, lo que obliga a que el grupo TERIS actúe permanentemente. Nuestra labor no es esporádica sino continua porque el nivel de los ataques es cada vez mayor. El último ataque más sonado fue el que tuvimos de unos servidores de Rusia que intentaban entrar en redes del Perú, pero en cuestión de horas quedaron bloqueados. En qué nivel se encuentran las empresas nacionales en seguridad? Aún están lejos de como tendrían que estar. Hay un mejoramiento desde los últimos dos a tres años en los temas de seguridad en todo lo que es TI. Este mensaje es positivo pues cada vez hay más conciencia en las organizaciones de que tener su información protegida es muy importante. Cuánto se ha avanzado en el Perú en la legislación que sanciona los delitos informáticos? La legislación en el Perú aún es insuficiente. Es un tema por el que tenemos que hacer mucho como país, para tener leyes que puedan perseguir todos estos delitos pues ya son cuestiones criminales como el phishing. Cómo ve las oportunidades de negocio para el canal de distribución que comercializa estos productos de seguridad? En la medida que se vaya creando más conciencia a nivel de clientes o usuarios finales de lo importante que es tener un antivirus o un antispam, la necesidad de tenerlos actualizados permanentemente y de no tener un software pirata, este mercado podrá desarrollarse muchísimo porque es algo aún incipiente.