Llegamos a ustedes gracias a:



Reportajes y análisis

La seguridad nos obliga al cambio

[02/0572016] Quizás no lo haya notado, pero la seguridad de la información está tomando una posición importante en la agenda peruana en los últimos años. A la conocida Ley de Protección de Datos Personales se sumó más recientemente la Norma Técnica Peruana del 2014 que ya es de cumplimiento obligatorio para las entidades del Estado.

Efectivamente, la seguridad de la información ha cobrado una vigencia que no tenía antes y esto se debe a que nos encontramos en medio de una ola de preocupación por el tema que comenzó con el nuevo milenio, pero que recién se está cimentando en el país.

Para reconocer esta tendencia y ver lo que implica en términos prácticos, conversamos con algunos conocedores de la industria, quienes nos ofrecieron diversos ángulos de la problemática. Podemos adelantar algo: Ahora tenemos que tomar muy en serio la seguridad de los datos.

Fernando Allasi, abogado del Área de Propiedad Intelectual y Competencia de Osterling Abogados.
Seguridad datos Perú
El contexto

"Este tipo de normas tienen ya una antigüedad de 15 años. Entonces, se comenzó a ver un tráfico de datos en perjuicio de los propietarios de los datos que somos nosotros. En la Unión Europea aparece la iniciativa de regular los datos, se adopta progresivamente en otros países y llega a América Latina hace unos cinco o seis años y se empiezan a dar las normas, sostiene Fernando Allasi, abogado del Área de Propiedad Intelectual y Competencia de Osterling Abogados.

Sin embargo, como señala el entrevistado, en el Perú aún no se daba con fuerza este tipo de legislación. De hecho, Allasi sostiene que antes de esta norma, es decir, de la Ley de Protección de Datos Personales, no se tenía en el país nada obligatorio que regule la seguridad de la información, se tenían normas técnicas peruanas que regulaban códigos de conducta, códigos de buenas prácticas de seguridad de la información, especialmente en el Estado, pero nada del lado privado.

"Para frenar el tráfico ilegal de datos que se producía, antes de esta norma, teníamos algún incentivo con la Ley de Spam del Indecopi o el registro del Indecopi llamado Gracias No Insista. Eran parches legales para frenar y de alguna forma proteger la información de los datos personales de las personas, agrega.

Pero el contexto cambió y era necesario cambiar la legislación.

Una de las acciones en el campo estrictamente técnico fue la aprobación del uso obligatorio de la NTP-ISO/IEC 17799:2007 EDI, en el 2007 en todas las entidades integrantes del Sistema Nacional de Informática.

¿Por qué es relevante una norma de hace casi 10 años? Simplemente porque es la norma que actualmente se cita en el reglamento de la Ley de Protección de Datos Personales como punto de referencia para los controles de seguridad; es decir, es válida tanto para el sector privado como para el público.

Sin embargo, cabe recalcar que, en el 2008 se creó una nueva NTP, la NTP-ISO /IEC 27001:2008, que actualizaba a la anterior, y que posteriormente fue reemplazada por la NTP ISO/IEC 27001:2014, la cual, como sucedió con la NTP del 2007, es desde este año (2016) de uso obligatorio en todas las entidades del Sistema Nacional de Informática.

¿Se dio cuenta de la diferencia? Para los privados, de acuerdo a la Ley de Protección de Datos Personales, se pone como punto de referencia la NTP del 2007, pero para los estatales, por resolución de la PCM, el punto de referencia es la del 2014.

"Al estado se le ha puesto la valla un poco más alta porque sí puede y sí debe tenerla así, el Estado debe marcar la pauta. Los privados aún luchan con otros temas como cambiar la mentalidad de su organización, indica Allasi.

En verdad el contenido de ambas NTP es bastante similar, de acuerdo a Allasi. La más reciente NTP incorpora una serie de aspectos como los servidores, la computación en la nube y otros puntos que definen los datos personales, lo cual no hace la NTP anterior.

Pero más allá de las diferencias y de la distancia entre una y otra norma, se puede apreciar un contexto distinto.

Luis Enrique Torres, director de Estrategia y Tecnología de Microsoft.
Seguridad datos Perú

"Creo que más que entrar a las diferencias entre una versión y otra de la ISO, la demostración más clara de la necesidad de esta actualización gira alrededor del cambio fundamental que ha tenido en los últimos años el concepto mismo de seguridad informática en el mundo, generado por la penetración de Internet, por la explosión de más smartphones, que son los nuevos puntos de ataque a los centros de datos y, por supuesto, por la aparición de la nube como un nuevo mecanismo de procesamiento de datos, sostiene Luis Enrique Torres, director de Estrategia y Tecnología de Microsoft.

Eso no es todo, Torres también llama nuestra atención sobre la forma en que pensamos en la seguridad. Tradicionalmente, la hemos asociado a los centros de datos y las previsiones que tomamos se refieren en muchos casos a cómo operar estas instalaciones de manera segura. Pero los centros de datos ahora no son la única ventana al exterior.

"Quisiera mencionar el contexto de lo que es un sistema bajo la NTP. Asumimos que la protección y la aplicación de NTP ISO 27001 está restringida a servidores en un centro de datos. Pero en este mundo de teléfonos inteligentes, donde corren aplicaciones que están integradas a un sistema back end, valdría la pena preguntarse la validación de ISO 27001 ¿también debería considerar alguna protección de los dispositivos externos para el caso de una aplicación del Estado que está dando un servicio interno y externo? ¿Y cuál es la responsabilidad del CIO para brindar protección, seguridad y gestión a aquellos dispositivos de sus empleados que están accediendo al sistema?, se pregunta.

Las diferencias del Estado

Y ya que se ha mencionado al Estado, preguntamos a los entrevistados si efectivamente hay diferencia entre privados y estatales al momento de pensar en la seguridad de la información.

Torres, por ejemplo, sostiene que, desde un punto de vista puramente técnico, no debería variar mucha diferencia, pero es obvio que en el sector público hay regulaciones, normas, procesos que en ocasiones no necesariamente se encuentran en el sector privado.

Las diferencias entonces no son muy notorias en cuanto a tecnologías, pero sí en cuanto al tipo de información que tienen las entidades estatales.

Juan Manuel Gómez, regional sales manager para la región SOLA de Citrix.
Seguridad datos Perú

"En términos generales, cualquier empresa es susceptible de que su información pueda ser invadida, por lo cual la seguridad es una necesidad no solo del gobierno sino de cualquier tipo de empresa. Lo que tiene el gobierno en especial es que manejan mucha información sensible, información de las personas. Entonces, en términos de gobierno como tal, es necesario que se encuentre salvaguardada la información y la confidencialidad, indica Juan Manuel Gómez, regional sales manager para la región SOLA de Citrix.

Otra de las diferencias que se pueden encontrar entre las diferentes organizaciones podría darse en cuanto al tipo de industria al que pertenezcan, sin importar si se es estatal o privado.

"Más que diferenciar los servicios por sector público o privado, es por los sectores mismos en los que pueda estar cada uno o el tipo de información que puedan estar manejando. Y en el fondo, lo que debe buscar un estado moderno es la eficiencia, porque el Estado tiene sus clientes que son los propios ciudadanos. La nube es una forma de brindar eficiencia a las empresas privadas cuando atienden a sus clientes y al Estado cuando atienden a los ciudadanos, sostiene Héctor Fígari, gerente legal y de Asuntos Corporativos de Microsoft.

Cómo encarar el reto de la seguridad

La nube es una forma de hacer frente a las demandas de seguridad, pero no es la única forma que los proveedores han ingeniado para encarar estas demandas.

De hecho, el mundo de los estándares demanda otros estándares además de la NTP y la ISO.

Alberto Indacochea, country manager de IBM Technology Services para el Perú.
Seguridad datos Perú

"De lo que he podido ver en el mercado, en el sector privado depende mucho de qué industria estamos hablando, lo que es banca y seguros son un poco más exigentes en lo que son normas. Por ejemplo, nos pedían en forma regular que tengamos la certificación SSAE 16; esa es una norma que nos pide mucho el sector de banca y seguros. Nosotros nos hemos certificado en SSAE 16 el año pasado, en diciembre, justo a petición de uno de nuestros clientes, cumplimos con el protocolo. Y la otra que tiene que ver con este sector es PCI, que se relaciona con la emisión de tarjetas de crédito, indica Alberto Indacochea, country manager de IBM Technology Services para el Perú.

Por supuesto, el tercer estándar es precisamente del que se está hablando ahora, el ISO. Indacochea sostiene que varias de las empresas de banca y seguros le han pedido en los últimos años tener una certificación ISO 27001. Por ello, IBM comenzó un proceso de certificación a inicios del 2015 y en febrero se certificó con ISO 27001, y en seguridad de la información en todo lo concerniente a operaciones de centro de datos y outsourcing a nivel nacional.

Por su parte, Torres nos indica que la forma de encarar los desafíos de la seguridad de la información, desde la perspectiva de Microsoft, es mediante el uso de la nube.

Al preguntarle específicamente por el uso de este tipo de solución por parte del Estado, nos respondió que "la nube es una opción completamente válida y muchas entidades ya la están aprovechando en muchos escenarios; pero como toda tecnología nueva, tiene un proceso de adopción y de aceptación e implementación. Veo que cada vez más entidades públicas la están poniendo, la están usando y están creciendo en su uso, pero la adopción aún no va a la velocidad del sector privado, y eso creemos que es una oportunidad porque cada vez más el ciudadano está esperando que la velocidad y la capacidad de modernización del Estado sea mayor.

Y los estándares y las nubes ahora también tienen otras soluciones a su lado, como el uso de la virtualización.

Seguridad datos Perú
Héctor Fígari, gerente legal y de Asuntos Corporativos de Microsoft..

"El secreto está en que todo se corra, se procese y almacene en puntos que se puedan controlar; hoy pensar que la información se pueda controlar en el dispositivo del usuario es irreal, que una institución grande pueda pensar que cada uno de sus empleados realmente puedan tener la información y las aplicaciones corriendo en su dispositivo, eso implica muchas brechas de seguridad, muchas puertas; mientras que si se tiene todo centralizado en un centro de datos implica que haya una plataforma que permita que todo corra local pero que se pueda 'presentar' en los dispositivos,y eso lo hacemos con el modelo de virtualización de aplicaciones y escritorios, afirma Gómez.

Y "presentar implica que lo que se ve es solo una representación gráfica de lo que realmente está pasando en el centro de datos, nada queda en el dispositivo. Entonces no hay fuga de información. "Al hacer esto no queda ningún residuo de la información en los dispositivos, no queda ninguna trazabilidad sobre la red, porque al final lo que pasan son pixeles. Esto ofrece una seguridad embebida muy importante, explica el ejecutivo.

Finalmente

La seguridad de la información es un tema que nos ha tomado por sorpresa. Las firmas no estaban acostumbradas a los niveles de seguridad que se están pidiendo en la actualidad, y por ello es que hay que seguir discutiendo el tema, en todas sus variantes.

Lo que si queda claro es que, aunque tiene que ver mucho con normas técnicas y legales es, en último término, un asunto de cambio de mentalidad. Y eso toma un tiempo.