 |
Federación
de Servicios |
La vulnerabilidad informática amenaza a las empresas de Latinoamérica
Las estadísticas apuntan a que la falta de protección de los datos es mayor en las compañías latinoamericanas que en las de los países más desarrollados.¿Si bien hay una serie de factores económicos que explican este escenario, el consenso de los expertos consultados por Universia-Knowledge@Wharton es que hay otras barreras profesionales, educacionales, culturales y políticas que estarían incidiendo en esta indolencia para adoptar estándares de seguridad. ¿Cuáles son las principales estrategias para contrarrestar esta situación? y ¿qué rol le compete a los gobiernos y a la legislación?
¿Qué haría usted si cada vez que abre la puerta de su casa es objeto de intentos de robos?, lógicamente no se sentiría seguro.
El
mismo fenómeno experimentan las empresas cada vez que los hackers
intentan acceder a sus bases de datos con el fin de robar las
identidades de los clientes. Natalia da Silva, directora de marketing y
comunicaciones para Latinoamérica del proveedor de soluciones de seguridad digital Gemalto, señala que
“si a lo anterior sumamos el fenómeno de la convergencia tecnológica,
donde hoy los computadores y notebook tienen funcionalidades de
telefonía y los celulares cuentan con acceso a Internet, el tráfico de
voz, imágenes y datos confidenciales han dejado de ser seguros,
contribuyendo en gran medida a un cóctel de amenazas y ciber crímenes”.
Dentro
de este escenario, la consultora tecnológica Yankee Group, plantea que
las compañías de la región latinoamericana son más vulnerables al robo
de información a través de dispositivos móviles -esencialmente
notebooks- y sugiere que éstas deben mejorar sus políticas de
protección de los datos, especialmente en lo referido a la forma de
acceder a la información crítica.
Las
conclusiones son fruto de la “Encuesta Móvil” realizada por la
consultora, donde se entrevistó a 225 ejecutivos del área informática
de firmas de México, Brasil y Colombia. La investigación estableció,
entre otros aspectos, que más del 80% de las empresas utilizan un
esquema de contraseñas simples para controlar la identidad de los
propios usuarios. De igual forma, sólo las grandes compañías utilizan
autentificación de identidades como certificados digitales, tokens y
smart cards (llaveros digitales y tarjetas inteligentes), mientras que
sólo el 67% de las firmas, utiliza sistemas de encriptación para
proteger los datos.
Las
empresas encuestadas pertenecían al sector salud, manufactura,
finanzas, comercio minorista, construcción e incluso gobierno. Según
explicó Andrew Jaquith, Analista Senior de la consultora, se eligió a
México, Brasil y Colombia como muestra representativa del
comportamiento de América Latina, precisando que no descartan replicar
el estudio en otros países de la región.
La escasa protección regional de la información
Enrique Canessa,profesor de la Facultadde Ingeniería y Ciencias de la Universidad Adolfo
Ibáñez de Chile, sentencia que la falta de protección de los datos es
mayor en las compañías latinoamericanas respecto de los países más
desarrollados, debido a que “elvolumen
de transacciones en línea de las firmas regionales es menor que el que
presenta Europa, Estados Unidos y algunos mercados asiáticos”. En
consecuencia, afirma, las empresas de la región implementan medidas
para asegurar los datos una vez que han alcanzado un volumen crítico de
transacciones, “sólo entonces incurren en gastos para resguardar la
información más sensible”.
Por este mismo motivo, señala Alejandro Mellado, profesor de la Escuela de Ingeniería Informática de la Universidad Católica
de Temuco (Chile), “la inversión corporativa en sistemas de seguridad
también es más baja en comparación con las naciones desarrolladas”.
Otro punto importante, resalta Horst Von Brand, profesor del Departamento de Informática de la Universidad Técnica Federico Santa María (Chile),esque “el costo de las soluciones de seguridad es alto, lo que también constituye una valla para las compañías latinoamericanas”.
No
obstante, además del aspecto económico, el consenso de los profesores
es que hay otras situaciones de tipo profesional, educacional, cultural
y político que inciden en esta dejadez para adoptar estándares de
seguridad, y que estarían actuando como barreras en la región.
Las barreras culturales
Alejandro
Mellado destaca que una de las principales barreras culturales, “es la
falta de preocupación de los directivos de las firmas regionales,
quienes además se han visto sobrepasados por los cambios tecnológicos y
las nuevas técnicas de robo de información que han aparecido”.
Eduardo Moreno, profesor de la Facultadde Ingeniería y Ciencias de la Universidad Adolfo Ibáñez (Chile),coincide con el académico, añadiendo que “esta escasa preocupación se traduce en que algunos sitios webs de
bancos utilizan sistemas de protección de muy baja seguridad, donde los
usuarios acceden con claves de tan sólo cuatro dígitos”.
Al respecto, Natalia da Silva, de Gemalto,
enfatiza que en la región hay un gran problema relacionado con la clave
de acceso para entrar a los sistemas virtuales. “Generalmente, el
username y password son muy débiles, y por ende, fáciles de copiar y
clonar por los hackers”.
Y
obligar a los usuarios a cambiar de forma periódica sus claves de
acceso, o bien, instarlos a que usen sistemas de claves de mayor
complejidad, causa molestia, explica Eduardo Moreno. Por este motivo,
dice, “las empresas latinoamericanas desisten del tema de las claves y
simplifican su uso, mientras que las claves de acceso de más alto
nivel, como los certificados digitales, no son consideradas por lo
mismo”.
Pero no sólo eso, tal y como alerta Eduardo González, profesor de la Facultadde Ingeniería y Ciencias de la Universidad Adolfo Ibáñez, “el problema es que incluso los empleados comparten entre sí sus claves de acceso”,
lo que a su juicio, refleja la inexistencia de políticas regionales de
difusión hacia los empleados sobre la importancia de mantener ciertos
estándares de seguridad.
Los obstáculos profesionales y educacionales
El
profesor Mellado asevera que en Latinoamérica hay menor cantidad de
profesionales especializados en el campo de la seguridad informática,
respecto de los países desarrollados, lo cual ha influido en el
descuido que evidencian las firmas para mantener una arquitectura de
protección de los datos.
Por su parte,Gonzálezopina que “adiferencia
de lo que sucede en países como Estados Unidos, los ejecutivos de las
compañías latinoamericanas desconocen los diferentes productos
tecnológicos que hay en el mercado para asegurar la información.
Entonces, como no saben cómo operan estas soluciones, les restan
importancia, y finalmente, se diluye la prioridad de implementarlas”.
Horst Von Brand, comparte
plenamente la visión de González, ejemplificando que “la encriptación
-o codificación de la información para que no pueda ser descifrada o
interceptada-, es una herramienta muy eficaz para proteger los datos,
pero he visto problemas más graves por su inadecuado uso que por su
falta de aplicación. Por lo tanto, tenemos un problema relacionado con
la educación; son contados los profesionales que hoy conocen las
innovaciones que ofrece la industria de la seguridad y que saben cómo
utilizarlas correctamente”.
También
ocurre mucho, especifica González, que las firmas tienden a replicar
las políticas de seguridad que implantan otras empresas, sin evaluar
antes cuáles son las propias necesidades. “Con ello lo único que se
logra es mantener la vulnerabilidad de la información”.
Los factores políticos
Horst Von Brand, describe cómo el aspecto político ha moldeado el actual perfil de Latinoamérica en el ámbito de la seguridad informática. “En
la región venimos saliendo de un período extenso de gobiernos
autoritarios, bajo los cuales la protección de los datos personales era
casi un contrasentido. Ello explica por qué la legislación actual
privilegia el acceso eficiente a los datos, antes que la protección de
la identidad de los usuarios”.
Por
ejemplo, en Chile, apunta el profesor, para la concreción de negocios
entre privados, se exige el RUT -Rol Único Tributario o identidad de la
persona-. “En Estados Unidos o el Reino Unido una cosa de este tipo
jamás sería posible, debido a los riesgos a la privacidad que ello
implica”.
Por otra parte, “la participación de Latinoamérica en eventos claves sobre seguridad informática es muy baja”, asevera Italo Foppiano, Jefe de la Unidad de Arquitectura Tecnológica de la Universidad de Concepción (Chile), explicando que lo anterior quedó demostrado durante la XVI
conferencia anual del FIRST, Forum for Incident Response and Security
Teams, la organización mundial que ofrece respuestas efectivas a los
incidentes de seguridad informática mediante las buenas prácticas y el
uso de tecnología de punta, celebrada en Busapest, Hungría en 2004.
En
esa ocasión, indica Foppiano, “sólo habían seis representantes de toda
la región, comparado con los más de 30 profesionales del Asia Pacífico
y los 20 especialistas provenientes de Alemania”. Y uno de los factores
que incide en este escenario, detalla el académico, es la escasa
participación de los gobiernos latinoamericanos en estos temas, “lo que
se refleja en la pobre legislación regional referente a la protección y
privacidad de los datos”.
Las consecuencias de la exposición
“En
la década de los 80, los virus se propagaban por medio de disquetes,
únicamente infectaban a máquinas individuales y se propagaban en
semanas o meses”, explica el informe “Redes Autodefensivas”, emitido
por el proveedor de soluciones de conectividad y seguridad informática
Cisco Systems en 2006. En los 90s, los virus se propagaban
principalmente a través del correo electrónico y en este período se
empezaron a registrar los primeros incidentes de hackers, afectando a
redes empresariales en cuestión de días o semanas, indica la
investigación.
El
estudio concluye diciendo que actualmente las amenazas han adquirido
diferentes modalidades y que “el impacto es a nivel global y la
velocidad de propagación puede llegar a infectar a cientos de miles de
computadores en sólo segundos”.
Si
a lo anterior se suman los fraudes financieros y la falsificación de
identidades, producto de la manipulación de los datos y otros
ciberdelitos más sofisticados como el sabotaje informático –una técnica
para obstruirel normal funcionamiento del sistema -,las consecuencias para las compañías latinoamericanas son de alto impacto, advierte ItaloFoppiano, quien las resume esencialmente en pérdida de imagen y credibilidad.
“Para laspequeñas
firmas las repercusiones no son tan perjudiciales”, indica Mellado. Sin
embargo, dice, “las medianas y grandes empresas que no estén adaptadas
al cambio tecnológico de una sociedad conectada como la actual, que
elimina las barreras geográficas a través de la red, la omisión de
estándares de seguridad puede restarles dinamismo, generar poca
confiabilidad entre los clientes y, con el tiempo, afectar su
competitividad en un mercado globalizado”.
Y
en este punto Mellado alerta que “muchas veces los robos de información
son realizados por las mismas personas que trabajan al interior de la
organización, y este tipo de ataques no son tan sofisticados”. En
efecto, según
una reciente investigación efectuada por la consultora tecnológica IDC
(International Data Corporation), nada menos que un 70% de los ataques
son generados por empleados descontentos con la empresa para la que
trabajan.
“Por
este motivo, una de las primeras medidas que Mellado recomienda para
reducir el riesgo a un ataque como el robo de información confidencial,
“es evaluar al personal antes de contratarlo y que esta evaluación sea
asistida por un psicólogo, buscando un perfil de profesional
comprometido con la ética y la probidad”.
Las medidas para mitigar las vulnerabilidades
Como
segunda iniciativa, agrega Mellado, la organización debería dictar una
política de gestión en seguridad, que determine responsabilidades y
controles de accesos a distintos niveles de información. “Una tercera
medida es aplicar sistemas de encriptación y una cuarta estrategia
debería ser la aplicación de herramientas de autentificación con
claves, y controles biométricos de identidad”.
Mientras que Foppiano sugiere que“los
estándares de seguridad deben ser patrocinados por la alta gerencia,
reafirmando así su compromiso con estos temas, tal como lo exige la
norma ISO 27001:2005 sobre Sistema de Gestión de Seguridad de la Información”.
“La
seguridad de los datos es un proceso integral que va desde la
auditoría, programación y pruebas hasta la puesta en marcha y la
operación”, asegura Horst Von Brand, indicando que lo anterior “tambiénimplica
incorporar el tema de la seguridad en la formación de los profesionales
del área, un ítem en el cual lamentablemente en la región aún estamos
en pañales”.
De igual forma, para el académico la legislación cobra un rol medular, subrayando que “el
actual sistema penal requiere de una urgente actualización en tópicos
relacionados con la seguridad, tales como el concepto de “evidencia
electrónica", que requiere de una definición especial para poder
tipificar el delito electrónico”.
En tanto,Foppiano, señala queChile
ya ha dado un primer paso con la aprobación de la firma electrónica.
“Por su parte, México, Brasil y Argentina están constituidos en Equipos
de Respuesta a Incidentes (CERTs), que apoyan directamente a los
gobiernos en estas temáticas”. La proliferación de estos grupos
técnicos (ONGs) que se nutren de agrupaciones globales como el grupo de
respuesta a los incidentes de seguridad FIRST, (Forum for Incident
Response and Security Teams), agrega el profesor, pueden promover mayor
conciencia y conocimiento en seguridad de la información.
“Pero
sin duda, Latinoamérica enfrenta un gran reto para instaurar un marco
legislativo que regule la protección y privacidad de los datos”,
concluye Foppiano.
| Cristino
Martos, 4 28015 Madrid |
Tel 91 540
92 82 Fax 91 548 28 10 |
Adherida
a
 |