Inicio
 > Informes e investigaciones > Blog de TEC > Seguridad informática: gestión eficiente y cambi...

Seguridad informática: gestión eficiente y cambios legislativos, lo que usted debe saber

Escrito por: Maria Mercedes Arechavaleta B.M.
Publicado: agosto 4 2010

Día a día, en los principales medios de comunicación se repiten los delitos informáticos, ataques de hackers y otros peligros tecnológicos, observándose una tendencia alcista a largo plazo. Los piratas cibernéticos y los espías roban las informaciones, los sitios son vulnerados al interior de las empresas. Errores humanos, accidentes u omisiones, empleados o ex empleados que distribuyen o usan erróneamente la información confidencial, fraudes y robos de propiedad intelectual, etc.

La gran parte de los delitos perpetrados a sistemas informáticos suelen ser realizados por ex empleados o empleados con accesos mal autorizados. Así acceden a zonas con acceso restringido lo cual trae consecuencias muy graves si no se implementa un sistema de seguridad adecuado.

Ya no son solamente los bancos las víctimas, ahora son los comerciantes en línea, mayoristas, minoristas, fabricantes y pequeños negocios; sin contar el daño conexo a sus clientes y proveedores; solo el año pasado, 11.1 millones de personas en los Estados Unidos fueron víctimas de fraude de la identidad por un coste total de $54 millones de dólares- más de 37% desde 2007; con un costo aproximado de $47.000US dólares utilizados por cada una de las victimas para recuperarla (Fuente: 2010 Identity Fraud Survey Report – Javelin).

Asociado a plataformas obsoletas o nuevas plataformas tecnológicas disponibles, licencias, sistemas (software) y la desinformación del personal clave, condiciones que cambian continuamente, hoy más que nunca es urgente que las empresas tomen las medidas necesarias de protección para prevenir costosos desastres.

¿Puede usted confiar en la seguridad de sus socios externos?

Si usted esta tranquilo porque piensa que el sistema de su empresa es suficientemente seguro porque tiene una muralla contrafuego de tipo ‘Firewall’, un antivirus, un certificado electrónico, o un estándar de encriptación, pues bien: ahora, usted debe saber que todo eso ya no es suficiente. Revisemos en detalle.

Constatamos que el nombre de la fuente de la base de datos (DSN, por sus siglas en inglés) y los casos de “servidor seguro” los abusos están en aumento. Los Caballos de Troya y los programas maliciosos (spyware) no son detectados – y las memorias (flash drives) han sido prohibidas por varios gobiernos. Hoy hemos alcanzado un número sin precedente de casos de robo de secretos comerciales, hurtos externos y delitos perpetrados por rivales.

La movilidad y accesibilidad actuales permiten conectarse a la red desde cualquier lugar, el personal que sale a terreno « transporta » una parte del sistema fuera de la infraestructura de la empresa (computadoras portátiles), exponiéndose así a riesgos en términos de seguridad: (a) La amenaza: representa un tipo de acción susceptible de dañar, mientras que (b) la vulnerabilidad: representa el nivel de exposición frente a la amenaza en un ambiente particular. Y finalmente (c) las medidas preventivas: las acciones pre-establecidas en prevención de las amenazas. Estas acciones, no son solo medidas técnicas porque también incluyen la formación del personal clave de las organizaciones así como la sensibilización de los usuarios finales y de reglas claramente definidas.

Para que un sistema sea seguro, es necesario en primer lugar identificar las amenazas potenciales y anticipar la manera de proceder de los piratas cibernéticos, para limitar los riesgos de intercepciones.

La seguridad informática, de una manera muy general, permite asegurar los recursos materiales y los sistemas de la organización previstos para el éxito del negocio. Y se ha convertido en un área clave en el mundo interconectado de hoy. La necesidad que tenemos de asegurarnos que no somos espiados, que nuestra información no se pierda, sea robada, ni eliminada, e incluso que nuestra empresa no vea interrumpida sus operaciones diarias a causa de no implementar los controles adecuados que permitan almacenar los datos o hacerlos circular con seguridad, entonces, el sistema de seguridad de informaciones, es parte esencial de la empresa y necesita protección.

La seguridad informática, contempla principalmente los siguientes objetivos : garantizar la integridad de los datos, la confidencialidad (asegurar que solo las personas autorizadas tengan acceso a los recursos intercambiados), la disponibilidad de los datos como resultado del buen funcionamiento del sistema de información; la no repudiación, la cual permite garantizar una transacción que no puede ser negada; la autenticación, la cual consiste en la verificación de la identidad única de un sujeto.

Y en general, podemos distinguir dos tipos de inseguridades. La primera, es el estado activo de inseguridad en otras palabras, el desconocimiento por parte del usuario de las funcionalidades básicas del sistema y que en algunos casos pueden ser nocivas (por ejemplo el hecho de no desactivar servicios de redes innecesarias para el usuario). Segunda, el estado pasivo de inseguridad, o sea el desconocimiento de los medios de seguridad establecidos, por ejemplo: el administrador o el usuario de un sistema no conoce los dispositivos de seguridad que su empresa dispone.

Investigación de mercado

Algunas empresas consideran la seguridad informática un tema tan sensible que incluyen un porcentaje variable de su presupuesto anual para proteger las informaciones corporativas. Esta actividad, es parte integrante de los costes fijos de operaciones, los cuales se convierten en un ahorro sustancial si son utilizados en prevención de costes asociados a pérdidas y riesgos a los cuales están expuestas las corporaciones en el contexto de actividades de negocios de hoy. Algunas de ellas están constantemente equipándose con las nuevas tecnologías de seguridad o la contratación de nuevos servicios ad-hoc para proteger sus datos. En este contexto, el mercado de la seguridad informática ha tenido un fuerte crecimiento estos últimos años a pesar de la crisis económica.

En 2009 el mercado de la seguridad informática, alcanzó 4,1 mil millones de euros, 1,7 mil millones de euros para las soluciones de seguridad y 2,4 mil millones de euros para los servicios de seguridad. El mercado alcanzó un aumento del 6% con relación a 2008 (Fuente: Experton Group, diciembre 2009).

Para 2010, a pesar de la crisis, los analistas prevén una cifra de negocios de alrededor de 4.42 mil millones de euros. Y un crecimiento importante entre 2011/2012 con un aumento promedio de 9.3%, es decir, 5.3 mil millones de euros.

Recientes estudios, revelaron que la inseguridad informática es una de las causas principales del robo de la identidad. Y que este delito, aumentó considerablemente entre los años 2005 y 2010. Solo en Estados Unidos, se registraron más de 27 millones de víctimas. Otras causas son el fraude de tarjetas de crédito, el uso erróneo de las informaciones y la penetración externa (intrusiones practicadas a través del servidor o sitio Web) que es la causa principal de los abusos. Los costes para las empresas aumentan cada año: en 2009, solo en Estados Unidos, las empresas pagaron aproximadamente $50 mil millones de US dólares por pleitos legales (Fuentes: Gartner Group, Federal Trade Commission, UCAN (2006-2010).

Es difícil de hacer estimaciones en cuanto a la seguridad cibernética porque las amenazas cambian, las características de los incidentes que estamos tratando de prevenir cambian es tan rápido que sumado al desconocimiento de riesgos a los cuales están expuestas las empresas, es necesario que actualicen a la brevedad su proceder para proteger sus activos o que estos no estén expuestos a través de las vulnerabilidades.

Otro punto importante a considerar, es el coste de la reputación, la credibilidad de la institución, la pérdida de clientes, el coste de la imagen de marca, etc. Cuando el nombre de una empresa se publica a continuación de un fraude embarazoso, en este caso los costes se multiplican triple.

Su socio de seguridad informática debería colaborar en la preparación del plan de seguridad informática para proteger sus activos (información sensible), preparar el diagnóstico de vulnerabilidad, hacer auditorías de las medidas preventivas, revisión y control interno periódicamente.

El primero de enero 2011, una nueva legislación será promulgada en varios países de la Comunidad Económica Europea. Las nuevas disposiciones, incluyen nuevas políticas de seguridad, sistemas de alarmas, notificaciones para sus clientes, disposiciones apropiadas de la información, procedimientos realzados de autentificación de PIN (EAP); estos cambios afectarán la empresa privada. Además, esto exige una nueva-generación de soluciones de punta-a-punta, incluyendo el almacenaje de datos para responder adecuadamente a las auditorías de seguridad y evitar sanciones cada vez más drásticas. Esto refleja una tendencia clara y son una muestra de por qué las empresas deben tomar la seguridad informática como un objetivo a seguir de manera sistemática.

Algunas medidas de protección

Realice el control de la calidad (QA, por sus siglas en inglés) del software con respecto a fraude, fallos y funcionamiento.
Prepare un análisis de vulnerabilidad de su empresa para mejorar la cadena de seguridad entera de su negocio. Capacite al personal clave en su empresa, desarrolle habilidades para detectar amenazas / prevenir fallas y violaciones de la seguridad del registro de contraseñas.
Proteja los datos confidenciales de sus clientes y al mismo tiempo la credibilidad de su empresa.

Evite daños consecuentes por interceptación de telecomunicaciones (futuros juicios legales) y QA análisis de software relacionados a fraude, fallas y el desempeño.

La prevención es siempre menos costosa, que las pérdidas asociadas a las amenazas y riesgos a los cuales están expuestas las corporaciones en el contexto de actividades de negocios de hoy. Resulta vital que los directivos y el resto del personal comprendan e interioricen la importancia de la seguridad informática. La implementación de una seguridad adecuada es un punto clave para la competitividad. La información contenida en la organización es muy valiosa y muchas veces no le damos la importancia que merece. Las informaciones tienen una importancia estratégica para la empresa porque provee una ventaja sobre sus competidores.

¿Cómo está la vulnerabilidad de su empresa?

¿Ya tiene un plan de seguridad por escrito para la información? (WISP, por sus siglas en inglés)
¿Está preparada para contornear las salvaguardias técnicas administrativas y físicas requeridas para proteger los datos de su empresa?
¿Y para una auditoría informática (o de sistemas)?
¿Está preparada para revisar las vulnerabilidades de seguridad?
¿Tiene usted un plan de contingencia o de recuperación de datos críticos?
¿Su sistema falló o tiene fugas?
¿Monitorea periódicamente los procedimientos y operaciones de la empresa?
¿Está usted preparado para capacitar al personal clave?

Si usted respondió No, a cualquiera de estas preguntas, sírvase encontrar un experto en seguridad informática a la brevedad.

Sobre Maria Mercedes Arechavaleta B.M.

María Mercedes es la responsable estratégica de itBMS y de sus operaciones diarias. En la actualidad es la vice-presidenta de itBMS Américas.

Antes de unirse a itBMS, María Mercedes sirvió como ejecutiva de ventas para Technology Evaluation Centers (TEC), una firma de consultoría para la selección e investigación de software empresarial, y trabajó además para TGL una empresa de Internet y sitios Web, para la cual sirvió como directora de ventas y mercadeo en línea. María Mercedes se ocupaba de las comunicaciones y planes de mercadeo, los documentos de medios, las estrategias aplicadas para mejorar el posicionamiento en Google, el tráfico y los subscriptores del sitio Web.

La señora María Mercedes es graduada de la Escuela de Altos Estudios Comerciales y de la Universidad de Montreal y recibió su licenciatura en administración empresarial, especializándose en mercadotecnia y comercio internacional. Es además, graduada de la universidad ARCIS en diseño gráfico. Y tiene varios certificados técnicos y capacitaciones como en ciencias de la computación y otros. La puede contactar por medio de mercedes@itbms.biz

 
comments powered by Disqus