La seguridad informática, asignatura pendiente

La seguridad informática, asignatura pendiente
Autor: Mónica Guerra
Fuente: cincodias.com (19 Junio 2002)
Fomentar una conciencia de seguridad entre los empleados evitará
pérdidas de datos y errores informáticos
El célebre 'Precaución, amigo conductor' es un buen lema a seguir en las
autopistas de la información. Los negocios pasan por la tecnología y sobre
ésta planean amenazas internas y externas. Un informe de la asesora KPMG
revela que en lo que va de año el 87% de las compañías ha sufrido algún tipo
de fallo de seguridad. El año pasado, según PricewaterhouseCoopers, las
empresas norteamericanas gastaron 310.000 millones de euros debido a las
interrupciones del servicio producidas por fallos en la seguridad. A escala
mundial, esta cifra se eleva hasta 1,55 billones. Antes de lamentarse y tomar
medidas restrictivas hasta el exceso, cada compañía debe plantearse qué valor
tienen sus datos y qué nivel de protección requieren. Evidentemente, los
requisitos de seguridad de una pequeña web corporativa no son comparables a
los de un banco online, pero hay un nexo común: conceder a la información la
importancia que se merece.
Entre los pasos necesarios para abordar un proyecto de seguridad figuran: el
estudio de la red, análisis de riesgos, formación en seguridad, implantación de
las soluciones tecnológicas necesarias y el soporte y actualización de los
sistemas. 'No es necesario realizar inversiones cuantiosas', asegura María
Sánchez, product manager de Panda Software, 'el mayor peligro es la falta de
cuidado'. Así, entre un 80% y un 90% de los virus se difunden a través del
correo electrónico, explica Mario Velarde, director general de TrendMicro
España y Portugal, lo que exige, además de la protección del servidor
corporativo, sensatez en el empleado que los abre. Como dato curioso, en
julio y agosto, los virus se multiplican. La razón: los estudiantes de
informática disponen de más tiempo libre y los desarrollan para divertirse e
incluso para darse a conocer entre las empresas.
La analogía con la seguridad física es evidente. 'De nada sirve gastar dinero
en alarmas, porteros y vigilantes, si luego dejas la ventana abierta', compara
Antonio Ropero, director general de la consultora de seguridad Hispasec, 'la
seguridad total no existe, siempre puede haber un pequeño porcentaje de
descuido, pero hay que asegurar los datos tanto como los equipos físicos'.
Sobre esta premisa de concienciación, será cada compañía, en particular, la
que, de acuerdo con las actividades que desarrolle, deberá buscar la eficacia
de su inversión en seguridad, cuyo coste oscila desde 360 hasta 12.000 euros.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
1
Los peligros que amenazan a una empresa son muchos, desde pérdidas de
datos hasta la destrucción de sistemas de información, pasando por
suplantaciones de la identidad para cometer delitos, sin que se perciba la
intromisión. Durante el año pasado, el FBI registró un incremento del 40% en
el número de ataques a sistemas tecnológicos.
En gran medida el objetivo prioritario se centra en
la estrategia forma parte de la tendencia,
profesionalización de los piratas informáticos,
compañías de la competencia, sino, a veces, por la
pingües beneficios por estas ventas encubiertas.
conseguir bases de datos y
cada vez mayor, a la
contratados no sólo por
propia empresa, que recibe
Sin embargo, y por encima de las intrusiones externas y los posibles ataques
de los piratas informáticos, normalmente más fascinados por el reto de los
datos valiosos y las grandes compañías, el riesgo más común en el entorno de
la pequeña y mediana empresa se produce en el ámbito del propio personal
interno.
'No son sólo los empleados descontentos, que atentan por motivos económicos
o por venganza contra la empresa', aclara Joaquín Rosés, presidente de la
asociación Abogados en Internet, sino que el riesgo más frecuente 'es la falta
de cuidado en el manejo de los datos'.
Ante estas amenazas, ¿qué armas puede utilizar una pyme? 'En primer lugar,
es indispensable disponer de copias de seguridad (backups) actualizadas',
recomienda Rodolfo Lomascolo, director general de IPSCA, firma especializada
en certificación digital, 'para proteger la red, son idóneos los antivirus (que
suelen emplearse cuando el sistema ya se ha contagiado) y los cortafuegos.
Hay también medidas avanzadas, como la detección de intrusiones'. Son
precisamente los cortafuegos y antivirus, según la encuesta mundial 2002 de
Ernst & Young, los que concentran el mayor porcentaje de las inversiones en
seguridad, que se llevan alrededor del 5% del presupuesto corporativo. Para
la consultora, esta cifra aumentará y también evolucionarán las preferencias
en los próximos años, despuntando los sistemas de cifrado de datos, detección
de intrusos y redes privadas.
Las pymes no ven claras las ventajas de su inversión en seguridad. 'Cada vez
hay mayor conciencia de su importancia, pero la mayoría de las firmas carecen
de capital o de expertos en seguridad', detalla Pedro Galatas, director de
estrategia de negocio del mayorista Afina, 'una buena opción entonces es
externalizar la seguridad, contratando empresas especializadas que, a cambio
de una cuota mensual, se encarguen de la estudiar las necesidades, instalar,
administrar y gestionar todo la protección necesaria'.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
2
Para José Manuel Cea, director de Check Point, 'lo idóneo es disponer de una
solución integrada por cortafuegos y red privada (VPN) y subcontratar el resto
(antivirus, filtrado de contenidos, conectividad en intranet y extranet,
certificación, etc.) en función a las necesidades de cada momento'.
Esta firma desarrolla, entre otros productos y aplicaciones, sistemas que
refuerzan la protección en las conexiones mediante ADSL (línea de alta
velocidad). Quienes se sientan atraídos por esta opción, deben ser conscientes
de que 'la seguridad más eficaz es la que se adapta a los procesos de
negocios concretos de cada empresa; por ello, hay que comprobar si estos
servicios genéricos son idóneos para nuestro caso', recomienda Rodolfo
Lomascolo.
Creadores de virus, piratas informáticos, espías, ladrones
vándalos... la lista de los ciberdelincuentes aumenta cada día.
de
datos,
El sector de la seguridad es una de las plantas que más crecen en el jardín de
la tecnología, cuyos presupuestos actuales son muy ajustados. Para la
responsable de Panda, uno de los detonantes que suscitaron mayor interés por
este sector fue la extensión del virus I love you. Otro punto de inflexión lo
marcaron los dramáticos acontecimientos del 11 de septiembre, que han
provocado un espectacular crecimiento en el volumen de negocio de las
empresas dedicadas al desarrollo de sistemas de almacenamiento de datos. A
pesar de la curiosidad creciente, 'las empresas y organizaciones españolas aún
no conceden a la seguridad la importancia debida', sostiene Christian
Mariusse, director de Varcity, empresa que distribuye soluciones de seguridad
y conectividad, 'las expectativas son buenas, pero no se puede asegurar que
las cuantiosas inversiones previstas por las consultoras se materialicen'. Según
IDC, el mercado de la seguridad a escala mundial pasará de 14.000 millones
de euros facturados en 2000 a 45.000 millones en 2005, gracias al desarrollo
de Internet y las operaciones en la Red. Para Forrester Research, el mercado
de la seguridad pasará de 6.040 millones de euros en 2001 a 20,877 millones
en 2004. En comparación con otros países del planeta, 'España mantiene un
nivel equiparable al de los países industrializados, tanto en intrusiones
externas como en difusión de virus, ya que para éstos no hay fronteras',
comenta María Sánchez; 'sí que hay diferencias en el uso del comercio
electrónico, que es menor, y en la legislación'.
Por norma
La Ley Orgánica de Protección de Datos (LOPD), vigente desde 1999 y cuya
moratoria finaliza el próximo día 26 de junio, impone deberes sobre la gestión
y confidencialidad de los datos personales que se incumplen con frecuencia.
Entre ellos, la obligación de declarar los ficheros de datos personales (no sólo
datos financieros o de salud, también nombre, dirección o teléfono están
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
3
contemplados) ante la Agencia de Protección de Datos, la necesidad del
consentimiento del afectado para recoger la información y que ésta no se
utilice para finalidades distintas de aquellas por las que se obtuvo. Según un
estudio de las Cámaras de Comercio, el 95% de las empresas españolas no
cumple con esta normativa.
'Normalmente son las pyme, los empresarios autónomos y los profesionales
quienes, muchas veces por desconocimiento, incumplen la LOPD,
exponiéndose a graves sanciones por parte de la Agencia', aclara el presidente
de Abogados en Internet. Las multas varían según su gravedad desde 600 a
600.000 euros y, para Rosés, 'sería lamentable que se llegue a cumplir la ley
por las sanciones y no por una mayor concienciación de entidades y usuarios'.
Los datos personales son codiciados por las empresas, 'como las de publicidad
y marketing directo, que basan su activo comercial en estas informaciones
personales', comenta Noelia García Noguera, abogada de www.portaley.com,
'las ventas de bases de datos están a la orden del día, todos recibimos
publicidad sin haber dado nuestros datos pero estas ventas no se denuncian
porque la gran mayoría de los afectados desconoce que la ley les protege'.
Durante el ejercicio de 1999 las multas impuestas por la APD se elevaron a
11,8 millones de euros y se prevé que sigan en línea ascendente durante los
próximos años.
Tecnologías de seguridad
Las empresas consideran estratégico el plan de prevención. Cortafuegos
(firewall): esta combinación de hardware y software controla el acceso a los
sistemas y el flujo de información entre la red privada interna y el mundo
exterior. Certificado digital / infraestructura de clave pública (PKI): compara
la coincidencia de una clave privada con una pública para permitir el acceso.
La encriptación de ficheros, discos duros, correos electrónicos, líneas RDSI y
comunicaciones telefónicas es otra opción. Antivirus: detectan códigos
malignos. Exigen permanente actualización. Biometría: sustituye las
contraseñas por el reconocimiento de las huellas dactilares, voz o retina para
acceder a redes y equipos. Redes privadas virtuales (VPN). Una parte de las
redes públicas establecen canales privados, sólo para usuarios autorizados.
Filtrado de contenidos: evita el acceso a determinadas páginas web y
contenidos cuya legalidad no está comprobada. Backup: copias de seguridad
de los datos.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
4
Picardía que contagia
Crear virus es un juego de niños, aseguran los expertos, incluso hay páginas
web que los ofrecen. Se calcula que cada día nacen entre 15 y 25 nuevos,
superando los 65.000 identificados. Su pericia se centra, como otras tácticas
de intrusión, en dos claves: evolucionan junto a la tecnología y se aprovechan
de la confianza del usuario. Así, los correos electrónicos hacen alusión a
aspectos cotidianos, como el trabajo, destacando la fórmula en apariencia
inocua 'te envío este archivo para que me des tu punto de vista'. Las
plataformas más extendidas, como Microsoft Office, se llevan la palma en
fallos informáticos y se espera que con la prosperidad que está
experimentando Linux se multipliquen también los ataques a este sistema
operativo.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
5