Seguridad informática

La Seguridad Informática es como el dentista: todos saben que es necesaria, pero a muy pocos les entusiasma tener que usarla. Y esto dicho con todo el respeto que me merecen los dentistas, a pesar de los malos momentos que me han hecho pasar desde mi más tierna infancia…

En el pasado (20 años o más), la Seguridad Informática era un terreno desconocido para el común de la gente e, incluso, para los especialistas en informática. Y esto era así porque los únicos riesgos se encontraban muy acotados y eran relativamente sencillos de prevenir. Hoy, en cambio, la TI nos rodea y nos envuelve en cada aspecto de nuestras vidas, desde que nos levantamos y encendemos nuestra radio IP  o leemos y respondemos los mensajes que nos llegan a nuestra tablet, hasta el momento en que utilizamos y recargamos nuestra tarjeta de transporte público o accedemos a un Cajero Automático. Y esto tan solo es un ejemplo de dispositivos de los cuales hacemos uso consciente. Hay muchos más que están integrados a nuestras vidas y ni siquiera los notamos.

El profetizado “pervasive computing” ya es una realidad y en mayor o menor medida es parte de nuestro accionar cotidiano, donde nos facilita y agiliza nuestras tareas. Pero esto trae aparejada una desventaja: muchos de los dispositivos que usamos actualmente están ligados al riesgo inherente a su uso. Un Smartphone o un simple teléfono con Bluetooth es una fuente potencial de riesgo. Lo mismo sucede con una tarjeta de Crédito, una consola de juegos o un Smart TV en cualquiera de estos equipos estamos dejando datos y rastros de nuestras vidas privadas que, de caer en las manos equivocadas, se pueden volver fácilmente en nuestra contra.

Y así como estos riesgos son parte de la vida cotidiana de las personas, los mismos se presentan aún con una aparente mayor importancia en las organizaciones y empresas. Y digo “aparente” porque para los individuos estos riesgos son tan presentes como para las empresas. Pero en las empresas el crecimiento del riesgo es exponencial, porque muchas entidades son un blanco mucho más tentador para la fauna de depredadores informáticos que pululan en el ciber-espacio.

El comienzo

Todo empezó con los virus, luego fueron los troyanos (no, no me refiero a Héctor y Paris), lo siguieron los gusanos, y así sucesivamente fueron apareciendo amenaza tras amenaza. Phishing, hacking, zombies, social engineering, etc. Parecen títulos de películas clase B de Roger Corman, pero, en realidad, son peligros reales y mucho más tangibles que esos  pobres muertos vivientes hambrientos de cerebros humanos.

En los últimos 10 años hemos sido testigos de resonantes casos de hackeos en sitios, supuestamente, inviolables (FBI, CIA, NSA), que han disparado alarmas mundiales. Hemos presenciado también ataques maliciosos masivos que provocaron importantes inconvenientes en el funcionamiento de Internet. O robos completos de listas de usuarios y clientes, con datos tan sensibles como sus números de tarjetas de crédito, a empresas como Facebook, Linkedin, Skype o Amazon. Eso sin desmedro de  las cataratas de miles de Príncipes de Nigerianos o de Marines, que están regresando de Iraq, quienes nos ofrecen compartir sus fortunas a cambio de que le demos tan solo nuestro número de cuenta bancaria y nuestros datos personales.

Esta es “La Historia Sin Fin”. Porque cada vez que aparece una amenaza, se elabora una defensa, que hace que aparezca otra amenaza, que genera otra defensa. Y así, hasta el infinito. La creatividad del delincuente informático es ilimitada. Y si a esto le sumamos en muchos casos factores como ignorancia, desidia o indiferencia, tenemos una combinación explosiva. La proactividad en materia de seguridad informática se limita a prevenir lo que se conoce y predecir lo que puede suceder. Pero eso no es suficiente, porque el universo de riesgos y sus formas de diseminación pertenece al terreno de lo potencial y, por ende, se requieren artes adivinatorios para poder dar una cobertura total.

Muchas organizaciones conocen la existencia de estos riesgos, pero no hacen mucho para evitarlos. Hasta el momento en que son blanco de un ataque. En ese instante, se intenta hacer en forma urgente lo que se ignoró durante años. Y, como toda actividad reactiva y mal planeada, suele terminar siendo ineficiente y excesiva. Lo mismo aplica a individuos, con la diferencia que estos carecen de los recursos y presupuestos de las grandes organizaciones. Pero, a su favor, está el hecho de que no siempre son un blanco en forma individual.

La falta de planificación en materia de Seguridad Informática es preocupante. Si bien muchas empresas reconocen en invertir en seguridad, nunca es suficiente. Pero tampoco es cuestión de invertir a tontas y a locas o de llevar la seguridad a tales extremos que termina impactando negativamente en los procesos de negocios, como me ha tocado ver en alguna empresa en la que me he desempeñado en el pasado.

El rol del CISO (Chief Information Secur ity Officer) es, hoy día, crítico en cualquier organización de mediano o gran tamaño. Y el CISO, más que un Policía o un Guardián, debe ser una persona que entienda los riesgos a fin de generar las políticas y procedimientos adecuados que garanticen la continuidad del negocio o una rápida recuperación ante imprevistos. Pero también debe saber reconocer, y aceptar, que extralimitarse en materia de seguridad puede terminar siendo el peor Hoax al que pueda someterse a una organización.

El lugar de la seguridad

La incorporación y/o formalización del área de Seguridad Informática está convirtiéndose paulatinamente en una realidad. El 73% de las organizaciones entrevistadas cuenta actualmente con un área dedicada.

Si bien existe una percepción positiva respecto del papel que asignan las organizaciones a la Seguridad Informática, los entrevistados manifiestan que existe una preocupante falta de colaboración de las diferentes áreas de las organizaciones, que el presupuesto de Seguridad Informática es insuficiente y que el apoyo de la Dirección es escaso.

El Presupuesto de Seguridad Informáticaen 2013 creció 18,4% (a valores históricos en moneda local), un valor 23,9% inferior al experimentado por el  Presupuesto TIC. Los resultados de este estudio son la consecuencia del proceso de información de toda la muestra, en la que había organizaciones de todos los segmentos: Finanzas, Comercio, Servicios, Industria y Gobierno.

Aunque el segmento Financiero incluye banca, seguros y compañías financieras, debemos aclarar que la situación en Banca es diferente de los resultados globales, pues normalmente tienen un área separada  que no depende del CIO, tienen buenos presupuestos y dotación, y no tienen problemas de colaboración de otras áreas.

El área de seguridad informática

La gran parte de los entrevistados (78%) considera que la seguridad informática tiene una significativa relevancia para la organización. Sin embargo, esta visión se ve disminuida por los obstáculos que enfrentan para lograr un adecuado desarrollo de la seguridad informática en la organización: la falta de colaboración de las áreas, la inadecuada conciencia del personal y el insuficiente presupuesto para desarrollar dicha tarea

En nuestra opinión  las organizaciones no asignan aún a la seguridad informática, la importancia que necesita, pero también es necesario remarcar que las áreas TIC generalmente no desarrollan planes de concientización que apuntalen dicho objetivo.

La incorporación y/o formalización del área de Seguridad Informática en las organizaciones es una realidad. El 73% de las organizaciones relevadas cuenta actualmente con un área de Seguridad Informática.

Mientras tanto, en 2012, la dotación de Seguridad Informática creció 4,1% respecto de 2011; este es un dato no menor comparado con la dotación total TIC, que sólo se incrementó un 3,6%. Dicho de otra forma la dotación del área de Seguridad Infor Creció 13,9% por encima del crecimiento de la dotación TIC.

En su composición, las estructuras de Seguridad Informática mantuvieron las tendencias previas, la n´mina y los contratados crecieron casi en paralelo (la nómina creció 4,2% y los contratados 3,8%). Este escenario es completamente diferente del comportamiento global TIC donde la nómina creció fuertemente, de por sí o incorporando personal contratado a la planta permanente (la n´mina creció 4,1% y los contratados decrecieron el 1,9%) como vimos en la sección Variación de personal del capítulo Personal TIC.

En la mayor parte de las organizaciones, el área de Seguridad Informática reporta al CIO  y en paralelo puede hacerlo a otras áreas o funcionarios. En algunas de ellas, y particularmente en aquellas que tienen marcos regulatorios exigentes o en las que los incidentes afectan seriamente la continuidad de su negocio, las organizaciones cuentan con áreas de seguridad informática que no reportan a TI o lo hacen parcialmente.

Las redes sociales, una amenaza

Para terminar con este artículo,, señalemos que el 61,9% de los entrevistados considera que las redes sociales son una gran amenaza para la seguridad informática. Esta situación es significativamente opuesta en las soluciones de movilidad y las tecnologías de virtualización y cloud computing.

Fuente: Alejandro Vlasich, La Visión TIC de los CIOs, Usuaria Research, 2015
Adaptado por la División Consultoría de EvaluandoSoftware.com

 

¿qué software es apto para su empresa?

Acceda a nuestros evaluadores

Deja un comentario