Según un estudio sobre ciberseguridad en la industria retail, el sector minorista es el más vulnerable a los ciberataques, sobre todo los de tipo ingeniería social como el phishing. Fallos de seguridad IT en esta industria pueden llevar a incidentes muy destacados, como el ciberataque a Dixons Carphone Warehouse, que vio comprometidos los detalles de pago de 5,9 millones de clientes, o el secuestro de los datos de 20.000 clientes de la cadena británica de salud y belleza, Superdrug.
Los fallos de ciberseguridad más comunes en empresas minoritas vienen por:
- El factor humano, como empleados con poca experiencia y concienciación en seguridad informática, lo que se traduce en una mayor probabilidad de que abran correos de phishing, sobre todo del tipo fraude del CEO.
- Problemas en la tecnología. El hardware – los TPV’s o Terminales de Punto de Venta, por ejemplo – utilizados dentro de las tiendas pueden sufrir de serias vulnerabilidades que permiten a los atacantes robar datos de tarjetas de crédito de los clientes antes de que sean cifrados.
- Sistemas anticuados, obsoletos, debido a los fondos limitados que están disponibles y destinados a su actualización.
- La dispersión geográfica, un escollo más en la actualización de estos sistemas, ya que estas empresas tienen locales en muchas ubicaciones distintas. Aquí el reto es actualizar los sistemas en muchas ubicaciones sin comprometer la eficacia de la empresa.
Caso de estudio: Ur&Penn
La empresa Ur&Penn, un vendedor de joyería y otros accesorios, cuenta con 121 tiendas y un plan a largo plazo para la apertura de otros 80 establecimientos en Suecia. De sus actuales tiendas, 9 están situadas en Finlandia. Las 158 cajas registradoras que la empresa tiene repartidas en Suecia y Finlandia se encuentran a distintas distancias de la oficina central ubicada en Upplands Väsby, en la zona norte de Estocolmo.
Este ambicioso plan de crecimiento requiere la máxima automatización de su parque informático; para ello Ur&Penn necesita que las soluciones seleccionadas puedan incorporarse fácilmente a cada nueva tienda abierta.
Un entorno distribuido en una red en varios países requiere un plan para funcionar de la mejor manera posible – este plan lo ha elaborado Emir Saffar, Director de IT de Ur&Penn.
Las cajas registradoras de cada tienda son un ordenador; sin ir más lejos, un dispositivo conectado utilizado por los empleados para navegar, recibir emails, leer documentos y, por supuesto, gestionar pagos y ayudar a los clientes a comprar.
Y a pesar de que los empleados no incurren en errores de IT a propósito, cabe recordar que son el eslabón más débil en la cadena de seguridad de una compañía, vulnerables a los ataques por ingeniería social, entre otras ciberamenazas. Al navegar en Internet, gestionar el correo electrónico y utilizar aplicaciones todos pueden ser el blanco de un ciberataque, y hay que tener en cuenta que el tiempo de inactividad en una empresa por incidente de seguridad puede generar grandes pérdidas de ingresos – y de confianza entre sus clientes.-
El problema
Los ordenadores – o en el caso de Ur&Penn, las cajas – sin parchear son objetivos muy fáciles para hackers maliciosos y, por lo tanto, representan un importante activo a proteger en la estrategia de seguridad de una empresa.
El 99,96% de las vulnerabilidades activas en las organizaciones están relacionadas con la ausencia de determinados parches; un error común bastante extendido es creer que los programas de Windows o de Microsoft se actualizan automáticamente, algo que raras veces es verdad.
Emir Saffar se dio cuenta de que, para poder trabajar en las distintas tiendas, era necesario parchear los sistemas en las tiendas de manera remota y eficaz. Tras muchos años de utilizar Windows Update, que obligaba apagar muchos equipos y que hacía que algunos de ellos no recibían los parches críticos de seguridad, decidió buscar una solución.
Sin una herramienta de gestión de parches, era difícil saber qué ordenadores había recibido qué parches. Cuando la instalación de los parches era la responsabilidad de los empleados, a veces los ordenadores se dejaban sin parchear, ya que cerraban los avisos de programas sin actualizar. Es más, los empleados podrían tener que reiniciar sus equipos para instalar las actualizaciones – algo que causaría una pérdida de ingresos.
La solución
Emir Saffar probó varias soluciones de gestión de parches para encontrar la solución correcta. Ur&Penn ya era cliente de Panda, así que Emir contactó con Benny Jonasson, su comercial de Panda en Suecia. Benny dijo que Ur&Penn podía convertirse en el primer cliente sueco en probar el último módulo incluido en Panda Adaptive Defense: Patch Management.
Cuando este módulo fue instalado – sin instalaciones adicionales, ya que Adaptive Defense ya estaba desplegado en su red – Saffar podía ver inmediatamente qué parches no se habían instalado. Es más, el módulo ofrece una clasificación de los parches disponibles: “críticos”, “importantes” y “necesarios”, lo que permitía definir prioridades a la hora de su aplicación.
Una ventaja del módulo es que soporta todo el software más habitual, lo cual cubre las necesidades de la organización, ya que no emplea software propio.
Con Patch Management, Ur&Penn puede organizar los parches y programar su instalación para cuando están cerradas las tiendas, y así no interrumpir el negocio. La visibilidad es total: tanto de toda la actividad como de los parches que no se han podido instalar. La solución es sencilla, pero muy estable, lo que dificulta cometer errores.
En palabras de Saffar: “PAD360 ofrece una protección extremadamente buena. Hasta el momento no hemos tenido problemas de malware ni incidencias con los programas. Nada. El módulo de Patch Management refuerza la seguridad de nuestras aplicaciones y actualiza su funcionalidad. Es sencillo, pero funciona como un reloj.”
Conclusión
Los informes sobre los programas, equipos y servicios parcheados y actualizados son fáciles de obtener. En resumen, Saffar es de la opinión de que el servicio es muy sencillo de utilizar y cumple su cometido a la perfección.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
