ManageEngine: Soluciones de ciberseguridad para las empresas dominicanas 

La empresa Zoho Corporation, con 28 años de fundación, tiene presencia en más de 280 países, y posee más de 52 oficinas en todo el mundo, y hoy ostenta una fuerte presencia en el mercado dominicano. 

 A través de su división ManageEngine, esta empresa ofrece soluciones para ciberseguridad, donde apoyan este tema en diferentes posturas y estrategias que tienen las empresas en el mercado dominicano, además de ofrecer soluciones para la mesa de servicios. 

 “Tenemos una mesa de servicio muy competente, muy alineada con los estándares internacionales. Una solución en la cual hemos apoyado, no solamente a la República Dominicana, sino a todo el mundo con la solución de puntos finales, donde gestionamos y aseguramos todos los puntos finales. Entendiendo por puntos finales, laptops, desktop, dispositivos móviles, entre otros. También, tenemos soluciones de observabilidad, o como se conocía antes, monitoreo de infraestructura tecnológica”, afirma Wilson Calderón, Latam Technical Manager de Zoho, al ser entrevistado por revista CONTACTO. 

 Calderón explica que ellos ayudan a sus clientes a monitorear proactivamente todo lo que sucede con sus redes, servidores, aplicaciones e, incluso, con su infraestructura en la nube. Adicional a eso, ofrecen soluciones de gestión de identidades y excesos, que viene de la mano con el tema de ciberseguridad. 

 “Esto lo respaldamos con tecnología propia, donde aplicamos, no solamente las soluciones de software, también aplicamos inteligencia artificial, que es desarrollada por nosotros; apoyamos todo el tema de cumplimiento de estándares internacionales. También, tenemos nuestra propia plataforma de analítica, donde podemos entregar reportes con base a lo que nosotros hemos hecho con nuestras propias herramientas o, inclusive, con herramientas de terceros”, agrega Calderón.

  Ciberseguridad en RD 

Wilson, ¿qué debilidades ustedes han podido identificar en las empresas dominicanas en materia de ciberseguridad?

“Yo no me atrevería a decir que solamente en República Dominicana, en toda la región y el mundo. Afortunadamente, República Dominicana ha avanzado mucho en este tema. Están muy preocupados por el tema de la ciberseguridad, de hecho, tienen el Centro Nacional de Ciberseguridad, que ha venido trabajando muy bien en ese tema. 

Las debilidades no las puedo enfocar a que sea algo así que les falte preocupación, al contrario, están muy preocupados por el tema de la ciberseguridad en las empresas dominicanas. De pronto, lo que está faltando, es seguir avanzando en el marco regulatorio, por ejemplo. 

Lo que faltaría aún más al mercado latinoamericano es seguir avanzando en esas leyes, por ejemplo, la ley de protección de datos. Además, esa entidad regulatoria que haga cumplir a las empresas para alinearlas con las normas de ciberseguridad, y que se haga cumplir esa ley de protección de datos para que podamos ser aún más competitivos, y las empresas, no solamente dominicanas, sino latinoamericanas, puedan salir al mundo, al mercado europeo, por ejemplo, y decir: ‘yo puedo cumplir con un estándar internacional’”.

Usted me mencionaba la gestión de puntos finales, que incluye monitoreo en redes e infraestructura en la nube, ¿de qué manera beneficia a una empresa contar con este tipo de servicios?

“Hay dos puntos a trabajar acá: una cosa son los puntos finales que tú como usuario usas, como el computador, el dispositivo móvil, la tableta, y otra cosa es la infraestructura que tiene la compañía para soportar toda la operación que tiene el negocio apoyado en tecnología.

Esa operación se apoya en infraestructura local, los famosos data center que tienen las empresas, y también servicios en la nube que pueden ser servicio de CRM, que puede ser correo electrónico, como Gmail, o inclusive, infraestructura más robusta que tiene aliados como AWS, Oracle y, obviamente, toda la operación del negocio.

Imagínate, si no estamos monitoreando la infraestructura que tenemos a nivel de operación tecnológica, prácticamente el negocio se detiene. Si yo no monitoreo y prevengo posibles fallas en algo que me suceda en el access point que tengo, el switch, o algo está pasando en la nube, ese proceso o ese servicio que tengo en la nube va impactando el recaudo que tengo de mis clientes, o sea, el impacto puede ser grandísimo. Por eso, tengo que tener visibilidad constante de lo que esté sucediendo y que me ayude a prevenir estos impactos”. 

 Las vulnerabilidades 

Wilson, ¿cuáles son las vulnerabilidades más comunes de las empresas?

“La vulnerabilidad más común que tenemos ahora mismo en las empresas es, precisamente, lo que esté relacionado con el usuario. El usuario es el que debe asumir parte de esa postura, de esa estrategia de ciberseguridad; debemos incluirlo, porque la ciberseguridad es responsabilidad de todos. 

Entonces, lo primero, es ese uso débil de contraseñas, no solamente las contraseñas que algunos usuarios usan repetidas o fáciles de descubrir, sino dónde las almacenan. A veces, es por falta de educación en temas de ciberseguridad que la misma empresa es responsable de darle al usuario. 

Además, estos usuarios pueden tener accesos privilegiados y, ahí es donde hay más riesgos. Entonces, hay una conciencia en ese fortalecimiento de autenticación que tienen los usuarios, a eso se le conoce como un multifactor, un MFA, que no solamente pones tu contraseña, sino que te envía un código por WhatsApp, por SMS, y te dice: ‘necesito que introduzcas tu código para confirmar que eres quien dices ser’. 

La segunda vulnerabilidad, que es común en las empresas, es la falta de actualización en los equipos de cómputos que tienen los usuarios. Como ahora es muy común tener un ambiente de trabajo híbrido o remoto, es también muy común que no se tenga control total sobre los equipos y no estén actualizados. Esto, por que cuando no tengo mi sistema operativo o mis aplicaciones actualizadas, estoy teniendo puertas abiertas para que los atacantes vengan y exploten eso y puedan ingresar a mi compañía. 

Hay una modalidad muy común, y está ligado a esa falta de educación en temas de ciberseguridad para los empleados de una compañía y en esos ataques de ingeniería social, de phishing, que es cuando intentan cazarte. 

A veces, los empleados no están completamente educados en ese tipo de ataques y caen muy fácilmente. Entonces, suplantan al jefe por WhatsApp, y está el jefe supuestamente hablando con un empleado y le dice: ‘necesito que me des el acceso al servidor donde tenemos la información de facturación, está suplantado, pero tampoco tenemos esos medios de comunicación seguros. WhatsApp no es un medio seguro, tenemos un canal de comunicación interno, tenemos una validación de acceso a esas aplicaciones privilegiadas. Yo no debería compartir la contraseña y aún así, tampoco debería tener esa contraseña, pues debería de tener un sistema donde se autoriza y se accede a esas aplicaciones privilegiadas de forma controlada”. 

¿Qué herramientas aportan ustedes a las empresas en este sentido?

“Nosotros proveemos software que las empresas pueden adoptar fácilmente, y llevarlos a un nivel un poco más seguro. Va a ser imposible que la empresa esté 100 % segura, por lo que reducimos las posibilidades de ataque.

En ManageEngine, con las soluciones, aportamos en fortalecimiento de contraseña; aportamos en temas de reducir la falta de actualización que tienen los equipos; aportamos en el control de acceso de los recursos privilegiados; aportamos en la auditoría de todos los eventos que suceden en temas de ciberseguridad y; además de eso, aportamos en documentación, en eventos que hacemos constantemente en diferentes países de Latinoamérica, donde participamos en eventos de la industria, damos esas charlas educativas para llevar un mensaje de porqué es importante la ciberseguridad, y porqué hemos tenido una postura en las empresas”.