|
La información no tiene precio
La seguridad no es un producto sino un concepto integral que incluye tecnología, procesos y gente para prevenir abusos y detectar al enemigo que, generalmente, está en casa.
Por María Elena Alcántara Castro
¡Extra, extra! Un joven mexicano fue condenado a seis años de prisión por comercializar ilegalmente música, películas y series de televisión a través de su página Web, un caso legal considerado inédito en toda América Latina, un hecho que enfatiza la importancia de proteger los datos a través de estrategias de administración.
La administración de la seguridad incluye todas aquellas medidas y actividades orientadas a establecer los controles, las funciones y la tecnología que ayuden a instrumentar la seguridad de la información; es decir, se trata de garantizar que la integridad, confidencialidad y disponibilidad de los activos estén de conformidad con las políticas y estrategias del negocio, a fin de minimizar errores, prevenir fraudes o perder información.
Es muy alto el riesgo de exponer la información a través de impresos o compartiendo datos mediante computadoras, agendas electrónicas o teléfonos celulares.
Hasta hace algunos años, la seguridad se veía en México como algo desconocido; poco a poco tomó forma de un antivirus y después de firewall. Hasta hace dos o tres años se veía como una moda, hoy se mira como una necesidad, señaló Andrés Velázquez, Director de Investigaciones Digitales de Matica, al señalar que el robo de la propiedad intelectual es el delito informático más común al registrar 35%, seguido por amenazas y difamaciones, con un 30%, fraudes y abusos de confianza, con un 20%, fraudes financieros 10%, y pornografía infantil y hackeo 5%.
Agregó, “el 82% de los casos en que se vulnera un equipo de sistemas, es ejecutable por los mismos empleados. De esta cifra el 34% de las personas involucradas ni siquiera lo sabe, pero el 66% restante lo hace con dolo. Ahora bien, el 63% de las empresas públicas y privadas pierde anualmente archivos con información valiosa, pero sólo el 23% es por robo, siendo el 57% por extravío de equipos portátiles”.
Normalmente una empresa se protege de los de afuera cuando, realmente, las personas de las que tiene que cuidarse están dentro de la organización. El perfil que tienen éstas varía: algunas de ellas son capacitadas por la competencia, otras son conocedores de la tecnología para vulnerar algún equipo a fin de robar información, están los usuarios comunes que pueden salir de la empresa y llevarse un template, lo cual significa un delito penal federal. Incluso, desde la experiencia en Matica, se han detectado personas de intendencia a quienes les pagan alrededor de 500 pesos para colocar dispositivos que permitan el robo de contraseñas bancarias.
| Pérdida de datos |
| Analista |
Resultados |
| Ernst & Young. |
En una encuesta a 500 empresas mexicanas e internacionales resultó que el 90% aceptó haber sufrido algún tipo de fraude y el 80% de ellos fue cometido por empleados internos. |
| IDC |
En México el 65% de las empresas ha sufrido ataques informáticos, pero el
73% de éstas no midió el impacto inmediato o futuro en sus procesos
de negocio.
· El 70% de las pruebas de penetración desde el exterior, realizadas a
corporativos y empresas por parte de especialistas, fue un éxito.
· En el 99% de ellas se obtuvo acceso de administración en sus
sistemas críticos.
· El 80% de las empresas que sufren ataques no los denuncia para evitar
el detrimento de su imagen o una posición de desventaja frente a sus
competidores. |
| Privace Rights Clearing House |
· En Estados Unidos, de enero 2005 a mayo del 2008, el número total de expedientes que contienen información confidencial, implicados en violaciones de seguridad, es de 226,970,321. |
Fuente: Douglas Casas, Director Regional de RSA en América Latina. |
De cultura y otros modos
Es común la rotación de personal en las empresas y con ello la fuga de información, ya que al ingresar una nueva persona se le entregan las políticas a seguir en el uso del equipo de cómputo, Internet, llamadas de larga distancia y se deja al final, o simplemente no se toma en cuenta, el manejo de la información. En México, las PyMEs no dimensionan la importancia de la información, no hay una conciencia en los empresarios y mucho menos en los empleados, ya que consideran que la seguridad sólo compete al área de sistemas, siendo un tema que debe importar a toda la organización y, fundamentalmente, a los directivos, quienes deben marcar las pautas y asumir la responsabilidad del tema al interior de sus empresas.
Si somos conscientes de los beneficios que brinda el Internet, el MP3 y los celulares, entre otros, ¿por qué no lo somos de la importancia de la seguridad? Simplemente: por educación. Carlos Zamora Sotelo, Presidente de ISACA México, aseguró “en mis tiempos los bebés viajaban en un auto sin la silla especial de seguridad e intercambiábamos información mediante papel y no por medios electrónicos, así que es un problema generacional. Los que ahora diseñamos estrategias de administración en la seguridad, no crecimos con ello”.
Además, en Latinoamérica existe un atraso en prevención y gestión de riesgos. Incluso, fue después del año 2000 cuando las universidades mexicanas comenzaron a incluir materias como auditoría, seguridad y riesgos, ante un modelo curricular-profesional que exigían las carreras de sistemas, ingeniería y administración.
Douglas Casas, Director Regional de RSA en América Latina, dijo que no es común enseñar las reglas básicas de seguridad, que en ocasiones puede ser algo tan sencillo como poner la contraseña a una máquina para no poner en riesgo la información de una empresa.
Gilberto Vicente, Subdirector de Seguridad en Cisco México, afirmó que, por mucho tiempo, la seguridad fue un elemento secundario, reactivo y posterior. Esto llevó a que la industria de la seguridad fuera un mercado independiente de otras tecnologías de la información; sin embargo, es un tema que está evolucionando para bien.
La seguridad implica una inversión en capacitación, tecnología y recursos humanos, pero es muy común desconocer la que es necesaria para recibir un estudio económico que justifique la protección de los activos, así que las preguntas que debe plantearse el tomador de decisiones son: ¿Cuánto vale la información?, ¿qué pasa si la base de datos se borra, es robada o intervenida por alguien no autorizado?, ¿cuánto cuesta recuperar o regenerar la información perdida? y/o ¿cuánto cuesta a la empresa vivir esta situación? Por tanto, el primer reto a enfrentar es otorgarle un valor a la información, independientemente si fue por un hecho natural (incendio, terremoto, inundación) o humano (intrusos externos e internos, accidentes).
Es aquí donde el empresario debe evaluar las diversas alternativas y definir las prioridades con base en un análisis de costo-beneficio, en donde la variable para determinar la inversión es saber cuál es el valor en riesgo.
En opinión de Andrés Velásquez, los productos, servicios y procesos que se involucran en la administración de la seguridad son intangibles y por tanto difíciles de justificar económicamente, pero no imposibles ya que, a final de cuentas, cualquier inversión que se haga dentro de este rubro tendrá algún impacto directo sobre la administración general de la organización.
Aquella premisa que dice “la información no tiene precio”, tiene dos connotaciones: la primera que efectivamente no le da valor y, la segunda, que le asigna todo. Así que si usted va a implementar una contramedida, la herramienta e implementación tienen que ser mucho más baratas que el valor del activo.
Al remontarnos en la historia, señaló Gilberto Vicente, donde el antivirus era un elemento posterior al ataque informático y luego vemos un universo de elementos de seguridad al alcance de las empresas, significa que el escenario de inseguridad es cada vez más marcado y que los clientes comenzaron a demandar la seguridad para que fuera mucho más fácil su justificación, administración y, sobre todo, más estratégica la atención a las necesidades de seguridad, que sólo comprar 'aspirinas o parches'. “Hoy –añadió– existen compañías que anteriormente se dedicaban a vender componentes de seguridad; ahora entregan un sistema operativo, una red segura o una base de datos segura”.
| Certificaciones en México |
Tipo |
Institución |
Perfil |
| CISSP (Certified Information Systems Security Professional). |
ALAPSI (Asociación Latinoamericana de Profesionales en Seguridad Informática). |
Es de carácter técnico y dirigida a aquellos profesionales encargados de operar e instrumentar los esquemas de seguridad a nivel tecnológico. Se ven temas de criptografía y seguridad física, entre otros. |
Auditor líder en Norma ISO27001.
Auditor líder BS-7799. |
British Standard Institute. |
Trata la gestión de la seguridad.
Está orientada a todos aquellos profesionales encargados de evaluar los modelos de operación de la seguridad bajo estándares.
Ambas certificaciones proveen los elementos
que debe considerar un profesional que va a evaluar y certificar un modelo de gestión de seguridad en la información de una empresa. Están muy orientadas a validar y evaluar los modelos de gestión basados en estas normas. |
CISA
(Certified Information Systems Auditor).
|
ISACA |
Está orientada a los gerentes o directores de seguridad porque trae, básicamente, cinco temas que tienen que ver con el modelo de gestión de la seguridad, la administración de los riesgos, la instrumentación de políticas y procedimientos, así como la operación y monitoreo de la seguridad y garantizar o trabajar con los esquemas de alta disponibilidad o planes de contingencia y recuperación en caso de desastres. |
| Existen otras certificaciones más específicas en cuanto a productos o herramientas orientadas hacia una más o producto determinado, por lo que tienen caducidad. |
|
Tapar el pozo antes de ahogarse
La bella época fue cuando nuestros abuelos salían a la calle sin riesgo a ser asaltados y las computadoras no estaban en red, pero la realidad es otra y pareciera que al inventarse el TSPyP (el protocolo de comunicación) no fue pensado de manera segura. Entonces ¿qué falta por hacer?, simplemente “involucrarnos”, porque la inseguridad informática exige una solución integral que incluya los campos tecnológicos y psicológicos, comentó el vocero de Matica.
La solución no está en una caja, ya que se trata de un ciclo en que la dinámica empresarial empieza, termina y acaba para volver a comenzar, debido a la rotación de empleados. Por tanto es muy importante dar continuidad a las políticas, a fin de mantener una administración de seguridad óptima, así que el éxito de ésta radica en tener un seguimiento puntual y tangible.
La certificación en México es un tema reciente que comenzó en el 2005, por lo que sólo existen 17 empresas certificadas bajo la Norma ISO27000 y que cuentan con, al menos, un proceso certificado bajo la Norma ISO27001. La tendencia es que las empresas financieras tomen medidas por el tema regulatorio de confidencialidad de la información bancaria de los clientes. También están las de nivel internacional, a quienes la globalidad exige la certificación en sus procesos de misión crítica. Este panorama vislumbra un crecimiento exponencial que demandará un alto número de profesionales en la materia, por lo que se augura un futuro muy prometedor para esta área.
 |
La seguridad también concierne a las personas físicas que pagan impuestos y compran en sus tiendas preferidas vía Internet o realizan movimientos bancarios. En este sentido, debemos ser conscientes de que no existe la seguridad al 100%, pero lo que sí podemos hacer es reducir esos riesgos hasta el punto donde podamos soportarlos, eso es lo recomendable.
|
