Mañana es tarde
Los ataques a la Seguridad Informática superan lo tecnológico. Son de índole cultural y atentan contra el plan de negocios de las empresas. Con ese abordaje transcurrió Segurinfo 2008 de Usuaria. Los incidentes crecen de manera exponencial y suelen conocerse 18 meses después de su ocurrencia.
Los ataques a la Seguridad Informática superan lo tecnológico. Son de índole cultural y atentan contra el plan de negocios de las empresas. Con ese abordaje transcurrió Segurinfo 2008 de Usuaria. Los incidentes crecen de manera exponencial y suelen conocerse 18 meses después de su ocurrencia.
Reunidos en el evento organizado por Usuaria, los expertos en Seguridad, y representantes del sector privado y público, coincidieron en que el reconocimiento de la situación de riesgo es necesario para poder buscar las soluciones más adecuadas. Manejo de crisis es uno de los nombres que recibe la gestión de situaciones en las que se produce una vulneración de los recursos de seguridad de la compañía. Se impone, entonces, apelar a la mejor respuesta posible para minimizar las pérdidas. Al respecto, Jorge Riva, gerente de desarrollo de Consist, responsable de la exposición ‘Monitoreo y Control de Seguridad Lógica’, dio a conocer un dato sustantivo: “se estima que un cinco por ciento de las ganancias de una empresa que ha sido atacada se pierden en el fraude que sufre”. Como muy pocas compañías reportan los incidentes por la influencia negativa que la difusión de los mismos acarrea sobre su imagen de marca, cualquier número que se dé a conocer está muy por debajo de lo que en realidad sucede.
Con el enemigo en el Chat
Tanto en lo cuantitativo como en lo cualitativo, la cuarta versión de Segurinfo fue ampliamente superior a sus antecesoras. De todos modos, hay quienes piensan que en la Argentina no se ha llegado aún al nivel de ataques que se sufren en otras regiones del globo, aunque, de manera inevitable, se nivelará en un sentido negativo. Para Javier Rubinsztein, Territory Manager para el Cono Sur de RSA, “los ataques externos e internos, deseados y no deseados, tienen una tendencia ascendente en Europa y Estados Unidos. Los CEOs y los CIOs locales todavía no tienen muy en claro que la información es uno de los activos más importantes que tiene la empresa, y que la tienen que resguardar”.
Sin embargo, muchos de los planteos que se sucedieron en las exposiciones plenarias y en los talleres apuntaron a restituir un sentido académico a la discusión, preservando el espacio de los stands para el intercambio de tarjetas y un primer acercamiento a los negocios. Desde la organización se impulsó la discusión de casos, el análisis de conceptos como Gestión de Seguridad, Habeas Data, preservación de datos personales, consentimientos informados y tercerización de información. También la propuesta de discutir las regulaciones vigentes y las que aún están en trámite parlamentario. En ese sentido, la Ley pendiente de sanción por parte de la Cámara de Diputados, y que tipifica el delito informático, resurgió como eje de intercambio de ideas en diversas comisiones, tanto en boca de representantes del sector público como del privado.
En ese punto, a la hora de fijar prioridades de investigación en Seguridad, Daniel Ingevaldson, Estratega de Seguridad de ISS, la empresa de Seguridad más importante del grupo IBM, aclaró que el consumidor final nunca va a ser capaz de anticiparse al ataque de los hackers. “Y esta es la línea de flaquezas sobre la cual ellos trabajan.” Sostuvo que “hoy los virus actúan como contenedores, y están programados para permanecer latentes dentro del equipo, incluso hasta dos años, a la espera de que se generen más contenidos, más vínculos. Quieren estar más tiempo en la PC antes de actuar, para que el daño sea mayor”. El experto hizo hincapié en la necesidad de poner límites en los procedimientos. Al respecto, observó que la banca y las entidades financieras “tienen ahora una actitud más agresiva con respecto a lo que exigen a sus consumidores para que se identifiquen y verifiquen su identidad. Asumieron que, si están pagando por las pérdidas que se producen, tienen que tratar de reducirlas”. Hasta hace pocos años, resultaba mucho más sencillo ingresar en la infraestructura de los bancos.
En otro orden, Ignacio Sbampato, titular de Eset Latinoamérica, instó a medir la eficacia de las herramientas que se utilizan para ver si efectivamente protegen contra las amenazas que dicen anular. “Una de las vías es la incorporación del reconocimiento heurístico, que permite la detección de amenazas desconocidas minimizando la posibilidad de daño ante una nueva vulnerabilidad. Es decir, protege antes de que el ‘desastre’ ocurra”.
“Un paso previo, antes de pensar en términos de Seguridad, es resolver la exclusión”. Este fue el planteo de Jorge Vega Iracelay, Director de Asuntos Legales y Corporativos de Microsoft Cono Sur. Más allá de referirse en términos generales a la participación de la empresa en planes de RSE (Responsabilidad Social Empresaria), Vega Iracelay explicó distintas iniciativas en curso, como el plan para que la tercera edad pueda acceder a la tecnología. Sostuvo que mientras en Argentina sólo un 1,25 por ciento del PBI se invierte en tecnología, en países como Estados Unidos, esta cifra supera un 5 por ciento.
Buscar la mejora continua
¿Qué se debe pedir a una solución de monitoreo?
Existen múltiples expectativas, pero en principio se parte del acuerdo de que una auditoria que persigue inscribirse en una buena práctica puede ser colaborativa y sacarse el estereotipo de ‘malo de la película’ que por mucho tiempo tuvo dentro de las organizaciones. En cuanto a los requisitos de un sistema de monitoreo, se admiten entre los rasgos beneficiosos que sea proactivo, inmediato, que se realice en tiempo real, que procure ser lo menos invasivo posible, que esté activo de manera permanente, que brinde alertas rápidas, que sea a prueba de fraudes y que vea a las transacciones del mismo modo que el usuario las observa.
Buscar la mejora continua
¿Qué se debe pedir a una solución de monitoreo?
Existen múltiples expectativas, pero en principio se parte del acuerdo de que una auditoria que persigue inscribirse en una buena práctica puede ser colaborativa y sacarse el estereotipo de ‘malo de la película’ que por mucho tiempo tuvo dentro de las organizaciones. En cuanto a los requisitos de un sistema de monitoreo, se admiten entre los rasgos beneficiosos que sea proactivo, inmediato, que se realice en tiempo real, que procure ser lo menos invasivo posible, que esté activo de manera permanente, que brinde alertas rápidas, que sea a prueba de fraudes y que vea a las transacciones del mismo modo que el usuario las observa.
Pero si esto se busca en pro de la mejora continua, una de las desventajas que señala Diego San Esteban, gerente Senior, IT Advisory Services de KPMG es el Riesgo Potencial. “Existe una inadecuada asignación de responsabilidades; una insuficiente capacitación; un inadecuado compromiso por parte de la dirección de las empresas; tecnologías obsoletas; ausencia de reportes de incidentes y vulnerabilidades; limitadas herramientas e inadecuado seguimiento y monitoreo de los controles”. Una enumeración que, más allá del éxito de Segurinfo como evento, parece justificar el título de esta nota. Pero respire hondo, porque reconocer los problemas puede ser el primer camino para encaminarse hacia la resolución de los mismos.
Por Analía Viviana García.Via Bloggers
No hay comentarios:
Publicar un comentario