Recomendaciones contra el robo de datos de Tripp Lite.

Año tras año es cada vez más frecuente que los hackers alrededor del mundo logren obtener acceso a información confidencial. Esta tendencia en alza es una realidad preocupante para los clientes y costosa para las empresas afectadas. Por ejemplo, en una fuga de datos en noviembre de 2013, cibercriminales robaron más de 40 millones de números de tarjetas de crédito de los servidores de la empresa detallista estadounidense Target Corporation y, casi un año después, la corporación estima que ha gastado $148 millones de dólares para recuperarse de la violación.

No importa que tan grande o pequeña pueda ser una empresa, una cifra tan alta asustaría a los ejecutivos de cualquier compañía y con noticias recientes tales como que un grupo de hackers rusos sustrajeron 1200 millones de nombres de usuario y contraseñas de varios sitios web populares, muchos propietarios de empresas se están preguntando cómo pueden mejorar la seguridad de la información de sus clientes.

Las corporaciones grandes tienen sistemas complejos y personal dedicado exclusivamente a la seguridad y desde hace tiempo están dedicados al tema, pero para una empresa pequeña, con menos recursos, puede ser difícil saber dónde comenzar. Aunque las cifras que oímos sobre el cibercrimen parecen alarmantes, la pérdida de información en los ambientes de trabajo puede prevenirse tomando en consideración solo unos cuantos pasos simples, además de la incorporación de algunos equipos y dispositivos a los sistemas tecnológicos existentes.

La primera línea de defensa de un departamento de TI debe ser garantizar que los servidores, y otros equipos delicados de TI, estén físicamente seguros. La PCI (siglas en inglés de Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago), una unión de las compañías más grandes de tarjetas de crédito, desarrolló un conjunto de requerimientos para todas las compañías que procesan, almacenan o transmiten información de tarjetas de débito, crédito o cajeros ATM para asegurar que los datos de sus clientes se mantengan en un nivel de seguridad óptimo.

Entre otras cosas, estas normas exigen que las compañías que procesan pagos aseguren físicamente todos sus medios informáticos. Esto se puede lograr al incorporar racks que cumplan con los estándares establecidos por la PCI tales como, por ejemplo, gabinetes para la instalación en pared con cerraduras. Estos gabinetes deben tener, además de las cerraduras, puertas resistentes y paneles laterales robustos para evitar el acceso no autorizado, sin dejar de permitir la ventilación adecuada para evitar el sobre calentamiento del equipamiento almacenado en su interior. Al tomar en cuenta esta consideración, todos los racks que cumplan con el estándar de la PCI se encuentran resguardados evitando de esta forma ser forzados, saboteados o accedidos sin autorización.

Es también importante considerar la seguridad de cada aspecto de una infraestructura de TI más allá de los servidores. Con frecuencia algunos dispositivos tecnológicos, como los KVMs (iniciales en inglés de Teclado, Video y Mouse), son ignorados cuando se evalúan situaciones de riesgo. Para mejorar la seguridad de estos dispositivos, la NIAP (acrónimo de Sociedad Nacional de Garantía de la Información de los Estados Unidos), junto con otras 25 agencias internacionales miembros del Acuerdo de Reconocimiento de Criterios Comunes, estandarizaron los requisitos que los productos tecnológicos deben cumplir para ser certificados con el Evaluation Assurance Level 2 (Segundo Nivel de Evaluación de Seguridad, EAL2+). El EAL2+ es un grado de confianza tan estricto que es el criterio a través del cual se permite o no la utilización de productos por parte de las agencias de gobierno.

Algunas de las características de los KVMs EAL2+ incluyen: la imposibilidad de abrirlo sin que éste quede inoperable, la incapacidad para de conectar dispositivos USB no autorizados en cualquiera de sus puertos, el aislamiento de la información entre puertos y el diseño de un búfer (memoria intermedia) seguro, lo cual significa que el KVM no tiene memoria y la del teclado es borrada automáticamente después de la transmisión de datos.

Estas características, junto con otros aspectos técnicos, protegen la información y prevén que no se vea comprometida o en peligro. Además de las agencias gubernamentales, muchas empresas que manejan información sensible pueden también beneficiarse de estas características mejoradas de seguridad.

Tripp Lite, fabricante de productos de protección de energía, conectividad e infraestructura para centros de datos, sabe perfectamente lo vital que es la seguridad de la información para sus clientes. Con ese objetivo, Tripp Lite, en un esfuerzo de cubrir todas las necesidades de todos sus usuarios, ofrece bajo línea SmartRack una amplia variedad de soluciones de gabinetes o racks para la instalación en pared que cumplen con los estándares de la PCI, así como varios KVM certificados por la NIAP.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *