Londres, GB, 24 Abril 2007 – El 65% de las empresas se ponen en riesgo innecesariamente porque subestiman la amenaza planteada a la seguridad de sus redes por los sticks USB, unidades flash, iPods y PDAs, muestra una investigación dirigida entre 370 empresas Británicas.
Los resultados de la encuesta, llevada a cabo por un medio de comunicación independiente, fueron anunciados hoy en Infosecurity Europe 2007 por GFI Software, un desarrollador internacional de software de seguridad de red, seguridad de contenido y mensajería.
Aunque el 49% de las empresas Británicas consultadas están preocupadas por el robo de información, el 65% no considera que el uso de estos dispositivos en sus redes sea una amenaza a la seguridad. Al contrario, el 71% son de la opinión que el uso de dispositivos portátiles de almacenamiento es importante o muy importante para las operaciones de la empresa.
Cerca de la mitad de los encuestados dijeron no tener ni idea de cuántos empleados usaban realmente sticks USB o iPods en la oficina, y aunque el 37% dijeron tener política de empresa para monitorizar dispositivos portátiles de almacenamiento, sólo el 22% tenían alguna clase de hardware o software instalado para controlar su uso en la red.
“El uso sin control de dispositivos portátiles de almacenamiento por los empleados en una amenaza muy real a la seguridad y estabilidad de cualquier negocio. Desafortunadamente, muchos negocios no son conscientes o ignoran la amenaza hasta que realmente ocurre algo,” explicó Andre Muscat, Director de Productos de Seguridad de Red en GFI Software.
Las empresas de seguridad llevan tiempo alertando de los peligros de los dispositivos de punto final pero brechas recientes muestran que los negocios no han aprendido la lección y se ponen cada vez más en riesgo por suministrar a los empleados dichos dispositivos y alentar su uso.
De acuerdo a la investigación de GFI, el 83% de las empresas Británicas encuestadas admiten dar a sus empleados sticks USB o PDAs, y que los dispositivos portátiles de almacenamiento permiten la movilidad (76%) y compartir información es más sencillo (61%).
Los dispositivos portátiles de almacenamiento son una importante amenaza si las empresas no tienen registro de qué archivos son transferidos de la red al dispositivo y viceversa. Con realmente sólo el 29% registrando qué información se transfiere a y desde la red, las empresas están tomando una actitud muy ingenua con esta amenaza de seguridad. Esto fue confirmado el pasado Febrero cuando la consultora de TI NCC envió sticks USB a los directores financieros de 500 firmas como parte de una invitación anónima que decía Para Su Oportunidad de Asistir una Fiesta de Por Vida’. De acuerdo con NCC cerca de la mitad de los directores financieros y dos terceras partes de medios de comunicación insertaron el stick de memoria no identificado en sus equipos. Aunque este fue un incidente inofensivo, prueba el hecho de que un solo stick USB puede dejar virus en un sistema y que en un sólo stick USB de 4GB se puede copiar toda la información comercial más sensible de la empresa.
“Este es un problema creciente para las empresas y nuestra investigación muestra claramente que aunque las empresas están preocupadas por el robo de información, debe concienciárseles de las amenazas reales y de donde vienen,” agregó el Sr. Muscat.
Aunque el 99% de las empresas Británicas dijeron tener instalados anti-virus, anti-spam y cortafuegos, el 78% no tenía nada para controlar el uso de dispositivos portátiles de almacenamiento y sólo el 9% dijeron tener otras medias o productos de seguridad.
“Las amenazas internas están creciendo y las empresas necesitan ser conscientes de esta amenaza porque las repercusiones pueden ser enormes,” dijo el Sr. Muscat.
El pasado Febrero, la Nationwide Building Society fue multada con £980.000 por la Autoridad de Servicios Financieros (FSA) después de que los datos de cerca de 11 millones de clientes hubieran sido puestos en riesgo por un empleado que descargo la información de la red de la empresa. La FSA dijo que la no administración o monitorización por parte del banco de las descargas de cantidades muy grandes de datos en dispositivos portátiles de almacenamiento significaba que Nationwide tenía limitado control sobre la información contenida de esta forma y de cómo era utilizada.
En muchos casos, las brechas de seguridad no son advertidas o los administradores no son conscientes de ellas. La investigación de GFI muestra que el 28% no tienen idea de si experimentaron brechas de seguridad internas/robos de información a causa del uso sin control de dispositivos portátiles.
Aunque existen unas pocas contramedidas internas que las empresas pueden adoptar para prevenir el uso no autorizado de dispositivos portátiles, no son la solución perfecta. Prohibir los dispositivos portátiles de almacenamiento en los límites corporativos, el bloqueo físico de los puertos de acceso, o utilizar Directivas de Grupo de Windows son prácticas comunes, aunque también restringen a quienes dependen de estos dispositivos para trabajar, como muestra la investigación de GFI. “La única solución eficaz para contrarrestar las amenazas de los dispositivos portátiles es implantar una solución software que le permita discriminar entre uso legítimo e ilegítimo de dispositivos, en cumplimiento de las directivas de seguridad puestas en marcha por la empresa. Incluso si se concede el acceso, la solución debería permitirle registrar toda la actividad de forma que pueda rastrear si ocurre y cuándo ocurre realmente una brecha de seguridad,” explicó el Sr Muscat.
De lo que los administradores también tienen que darse cuenta es que administrar el riesgo es siempre más económico que tener que reaccionar a brechas o incidentes. En un entorno cada vez más interconectado donde el riesgo se está volviendo un problema importante, los administradores tienen que estar por delante de las amenazas y no reaccionar pasivamente a los incidentes. Aparte de las repercusiones financieras inmediatas tales como la pérdida de negocio, está la duradera mancha de la vergüenza y la pérdida de credibilidad. Para una empresa que se enorgullece de proteger los datos de sus clientes, una única brecha podría tener repercusiones irreversibles.
Y este es un hecho que la mayoría de las empresas Británicas consultadas por GFI parecen ignorar tan fácilmente.
Se pueden encontrar más datos sobre la seguridad de punto final y sobre iPod slurping en:
http://www.gfihispana.com/es/whitepapers/pod-slurping-an-easy-technique-for-stealing-data.pdf y http://www.gfihispana.com/es/whitepapers/threat-posed-by-portable-storage-devices.pdf. Acerca de GFI
GFI es un destacado desarrollador de software que proporciona una única fuente para que los administradores de red dirijan sus necesidades en seguridad de red, seguridad de contenido y mensajería. Con una galardonada tecnología, una agresiva estrategia de precios y un fuerte enfoque en las pequeñas y medianas empresas, GFI es capaz de satisfacer la necesidad de continuidad y productividad de los negocios que tienen las organizaciones en una escala global. Fundada en 1992, GFI tiene oficinas en Malta, Londres, Raleigh, Hong Kong y Adelaide que soportan más de 200.000 instalaciones en todo el mundo. GFI es una empresa enfocada a canal con más de 10.000 partners en todo el mundo. GFI es también Microsoft Gold Certified Partner. Se puede encontrar más información sobre GFI en http://www.gfihispana.com.
Todos los nombres de productos y compañías incluidos pueden ser marcas registradas de sus respectivos propietarios.
| 
Productos
