Llegamos a ustedes gracias a:



Columnas de opinión

Políticas de seguridad y cultura informática resultan ineficientes para prevenir ataques en internet

Por: Fabián Zambrano, gerente de SOC y Servicio al Cliente de Digiware

[11/06/2010] El crecimiento de los nuevos riesgos informáticos no debería constituir una amenaza para la operación de un negocio; por el contrario debería significar una ventaja competitiva frente a sus similares, con la demostración de la continuidad de la operación en el mercado y con el respaldo, además, de las normas internacionales y certificaciones en materia de la Seguridad de la información. 

Estadísticamente se sabe que los bancos y entidades financieras en general son las que registran el mayor porcentaje de fraudes. Del lado de los gobiernos, la tendencia señala que cada vez más usarán Internet para llegar a sus ciudadanos y tomarle el pulso a la actualidad. Para afectar a un país basta con afectar su sistema; es la ciberguerra (en Rusia sucedió esto y todo se paralizó por cuatro días). Pocos gobiernos están tomando iniciativas para hacer frente a esta situación, Colombia es un buen ejemplo de evolución tecnológica desde 1990 hasta el 2009 en que creó su primera legislación para penalizar el acceso no autorizado a los sistemas de información.
No hay que tener temor cuando se piensa en tercerizar la gestión de la seguridad de la información porque lo que se entrega a un tercero es la operación, lo que se conoce como el "día a día" de la seguridad, es decir el seguimiento permanente y la notificación temprana sobre riesgos. Ahora uno se tiene que apoyar en expertos en quienes pueda confiar porque hay que ser responsables con el manejo de la información, que potencia el corazón del negocio -lo que se conoce como corebusiness-.
Vulnerabilidades graves
Los fabricantes más reconocidos en el mercado son aquellos que desarrollan mecanismos eficientes en los controles y que se comprometen a lanzar soluciones rápidas para prevenir riesgos. Si bien el problema de la seguridad se ha centrado en el tema de los virus, las empresas deben tener una visión más amplia. El antivirus es un mercado de muchas ventas, es un problema que se resuelve con conciencia y cultura.
En cambio, la seguridad de la información involucra procesos, alineamiento con los procesos de negocio, tener la flexibilidad de cambiar día a día. Por ello, se debe optar por el servicio de acompañamiento a través de centros de operaciones con monitoreo y reporte diario, ya que son ideales porque permiten tener visibilidad y tomar decisiones seguras en concordancia con las estrategias del negocio.
De otro lado, actualmente existe una brecha en el proceder de las operaciones, volviéndose blancos para ataques. Uno de los más comunes es la "ingeniería social" que se efectúa sobre el proceder generando códigos maliciosos. Este es un problema que siempre va a existir: Si no son brechas en las aplicaciones o en el hardware y software, serán en los humanos.
Hay que cambiar nuestro modo de ver, nuestra conciencia y aplicaciones de seguridad, estar atento a quién pregunta, qué observa, qué actos realiza. Algo que hay que entender es que no existe la protección al ciento por ciento. Siempre hay debilidades que deben identificarse con un monitoreo permanente. El mercado obliga a las organizaciones a cambiar para sentirse menos inseguras o vulnerables. Esto provoca, también, que la estrategia de negocios y de seguridad se modifique.
Regulaciones TI
En la actualidad es necesario crear una cultura para entender el impacto de la falta de seguridad de la información, de los riesgos que acarrea el uso inadecuado de la Internet y la falta de criterio al momento de buscar información. Por eso hay que saber usar la Internet de forma correcta. En esa línea debemos comprender que las redes sociales son un boom que seguirá creciendo y cambiará nuestra cultura. Las poblaciones de sitios como Facebook y Twitter son muy grandes, un virus podría afectar a muchísima gente allí.
Finalmente, el ejecutivo comenta que ya existe en el medio, una "Circular 40" que exige a las empresas alinearse con la protección a la información, son regulaciones que generan iniciativas. Gracias a ello temas como la "socialización" -participación en correos o cadenas y redes sociales- está disminuyendo. Hay que tener presente que el usuario final -no solo los productos y procesos- es la principal fuente de información para saber lo que ocurre.
CIO, Perú