Seguridad en un mundo web 2.0
Los sitios de redes sociales y las aplicaciones Web 2.0 se han vuelto penetrantes en las compañías. Cada vez las herramientas basadas en la web cierran las brechas entre comunidades y borran fronteras físicas, permitiendo a la gente y a los negocios comunicarse en tiempo real. Mientras que la mensajería instantánea (IM), las conferencias web y archivos compartidos peer-to-peer (P2P) y sitios de redes sociales pueden ofrecer una variedad de ventajas en las compañías, también se están convirtiendo en los puntos de entrada más recientes a las amenazas de Internet, violaciones de normas y pérdida de datos.
El mundo Web 2.0 ha vuelto la seguridad más compleja y las organizaciones buscan un acercamiento completo a soluciones que protejan y reduzcan el número de amenazas, así como también los retos administrativos y regulatorios enfrentados por los gerentes de TI.
Para muchas empresas, las redes sociales y las aplicaciones Web 2.0 se han movido más allá del solo uso personal, pues en la actualidad los negocios las utilizan para comercializar sus productos, optimizando las fuerzas de trabajo. Por ejemplo, recursos humanos puede estar usando LinkedIn para investigar empleados prospecto; los equipos de ventas pueden aprovechar Facebook para interactuar legítimamente con clientes; los departamentos de mercadeo pueden utilizar Twitter para compartir títulos o expandir la visibilidad de su reciente anuncio de noticias. La facilidad de compartir información combinada con comunicaciones en tiempo real hace muy atractivas muchas de estas herramientas. De acuerdo con Forrester Research, tales tendencias se espera que continúen, con gastos empresariales en tecnologías Web 2.0 proyectadas a alcanzar mundialmente US$4.6 billones en 2013. Los negocios no pueden ignorar la oportunidad de incrementar la productividad al aprovechar estas nuevas herramientas.
Sin embargo, mientras que las redes sociales y las aplicaciones Web 2.0 incrementan nuestra capacidad de colaborar, también han sido combustible de una nueva generación de amenazas de Internet. La naturaleza de los sitios de redes sociales permite a los usuarios construir una red de contactos con base en un elemento de confianza que se expande fuera de un negocio. Con ello los usuarios pueden intercambiar o propagar información, imágenes y archivos fácilmente – a menudo sin solicitar identificación o validar información más allá de un nombre de usuario y una clave, pero la cantidad de incidentes de malware distribuidos por redes sociales y sitios para compartir ficheros está incrementando rápidamente. Estas nuevas herramientas son ideales para utilizarlas en ataques basados en ingeniería social los cuales los atacantes explotan muy rápido y pueden poner datos sensibles en riesgo.
De acuerdo con Forrester Research, casi el 80 por ciento de la pérdida de datos es intencional. Esto se debe predominantemente a la negligencia de los empleados o a la violación de las políticas de seguridad escritas en el manual corporativo sin conocimiento de éstas. Por ejemplo, un empleado puede mandar por correo electrónico un documento confidencial al “Juan” equivocado, o utilizar un sitio para compartir ficheros P2P basado en la web para mandar archivos pesados a un socio de negocio. Sin embargo, sin leer la letra menuda, ellos pueden perder propiedad y control de datos sensibles luego de subir sus archivos sin saberlo.
Alertar a los empleados sobre lo que constituye datos sensibles en la organización y educarlos sobre salidas aceptables o inaceptables para tipos específicos de clasificación de datos es importante. Para reducir los riesgos que vienen con los beneficios de las aplicaciones Web 2.0 en la empresa, las organizaciones deberían buscar implementar soluciones tecnológicas para ayudar a sensibilizar a los empleados del comportamiento arriesgado mediante técnicas de autoaprendizaje.
Para proteger efectivamente al cliente usuario final contra amenazas Web 2.0 las empresas de vanguardia están implementando soluciones tecnológicas y una variedad de técnicas de comportamiento y de análisis que les permiten a los empleados el uso de herramientas de colaboración sin comprometer la seguridad. Por ejemplo, las organizaciones están aprovechando la tecnología de virtualización de navegadores web que pueden aislar amenazas conocidas y desconocidas, proporcionando una detección avanzada para evitar que los usuarios vayan a sitios peligrosos. Actualmente las aplicaciones de redes sociales y de Web 2.0 están disponibles casi para cualquiera con acceso a un navegador; afortunadamente la tecnología de virtualización ayuda a las empresas a separar los datos corporativos de la Internet y le permite a los usuarios navegar libremente por la web con protección completa.
Como con toda seguridad, la protección multi capas enfocada en prevención es primordial para salvaguardar su negocio. Una buena estrategia para la protección en Web 2.0 incluirá:
· Control de Aplicaciones –Implementar controles granulares de seguridad para Web 2.0, redes sociales, y aplicaciones en Internet
· Cumplimiento – Ingresar y guardar archivos para cumplir con requisitos regulatorios o de descubrimiento electrónico
· Filtrado Web – Monitoree y controle el uso de la web por parte de los empleados
· Prevención de – spyware, rootkits y gusanos en el gateway
· Control del Ancho de Banda – Controle el uso de aplicaciones que demandan alto ancho de banda como compartir archivos y videos
· Virtualización de Navegador Web – Provee un modo dual de navegador lo que le permite a los usuarios separar los datos corporativos de la Internet
· Capacidades de Autoaprendizaje – Analice el comportamiento del usuario y las políticas preconfiguradas, alertando a los usuarios cuando puede haber datos sensibles en riesgo
La seguridad en el mundo Web 2.0 es compleja y ha dejado a las empresas con el desafío de cómo gestionar esta generación de vectores de amenazas. Será primordial para las organizaciones implementar soluciones enfocadas en mejor seguridad, gestión sencilla, que sean suficientemente flexibles para evolucionar con las cambiantes necesidades de seguridad del negocio.
Vicente Amozurrutia, gerente del norte de Latinoamérica de Check Point.