Documento 1967702

Anuncio
18/08/2003
Autor: Manuel Gimeno. Vicepresidente de Safelayer Secure Communications y director económico-financiero de la Fundación
Auna
Solución a la inseguridad informática
La llamada Ley de Moore, según la cual 'la densidad de los circuitos integrados en cada
chip se doblaría cada año y medio' supone que, en una década, los equipos informáticos
en el mercado son 60 veces más potentes, algo que no tiene equivalencia en ninguna otra
tecnología. Avances como éste son los que han permitido la digitalización de las
comunicaciones, la convergencia de la informática y las telecomunicaciones y el desarrollo
de Internet, revolucionando la capacidad de tratar la información y su transmisión. Todo
ello, además de su efecto en la productividad de las economías y constatando a la vez la
absoluta dependencia de la economía global de estas tecnologías.
El uso creciente de sistemas informáticos y redes abiertas está contribuyendo a crear un
entorno que pretende traducir las normas del mundo real al virtual. Este comportamiento
ya se ha convertido en cotidiano, y no lo es más por aspectos como la accesibilidad, la
facilidad en el uso o por la percepción de falta de seguridad. ¿Ante qué retos se enfrenta
el crecimiento de Internet? La infraestructura de la red, la banda ancha y la confianza, o
sea: la seguridad. Los problemas relativos a los dos primeros se van arreglando en
nuestro país, no así el de la seguridad. El problema de la seguridad viene del propio
concepto de Internet: es una red abierta y digital. Al ser abierta interconecta e integra a
varias partes, eliminando fronteras entre sistemas y esto es tan útil como peligroso.
Al ser digital, permite la creación de automatismos con gran capacidad de difusión y
dirigidos a distancia, lo que incrementa el riesgo de ataques informáticos. Los
departamentos informáticos de las empresas se han apercibido de estos riesgos y están
incrementando las dotaciones en inversiones en seguridad. Los datos preocupan:
diariamente se descubren entre dos y cinco nuevas vulnerabilidades; el 90% de las
empresas ha detectado problemas de seguridad en los últimos 12 meses. Los problemas
de seguridad para los flujos de información en estos entornos son, básicamente, cuatro: la
autenticación, saber que la información proviene de quien se supone; la integridad, que la
información no haya sido alterada desde su envío hasta su recepción; la confidencialidad,
que no haya sido interceptada por terceros, y el no repudio, la constancia irrebatible de
haber enviado o recibido la información. Sin la tecnología adecuada se pueden romper
estas características.
Afortunadamente, existe todo un conjunto de soluciones tecnológicas que contrarrestan
estos problemas.
Entre otras, los cortafuegos, antivirus, passwords, tokens y firma digital (sobre tecnología
PKI). Es preciso constatar en cualquier caso que no puede existir una seguridad total.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
1
Pero ni en Internet ni en ningún sitio. Finalmente, la seguridad se basa en la correcta
gestión de los riesgos, optimizando la relación entre los riesgos asumidos y los medios
invertidos.
No se trata de un producto, sino de un proceso, y ese proceso es a su vez tan seguro
como el eslabón más débil. Es vital por lo tanto conocer los riesgos anexos a ese proceso.
Este debe basarse, por un lado, en la adecuada combinación de hardware, software,
redes, personal y política de seguridad. Por otro, en la combinación de la arquitectura de
seguridad y su correcta implantación. De hecho, el 80% de los problemas proviene de la
forma de implantar los sistemas y sus procedimientos.
Una empresa debe tener en cuenta que el negocio depende de su sistema informático,
que hay una legislación y una normativa internacional cuya aplicación puede tener serias
consecuencias en la economía de la empresa y, como corolario, que la credibilidad es vital
para las organizaciones. Los riesgos que debemos conocer, reconocer y saber gestionar
son diarios y de todo tipo y calibre. Los problemas llegan por correo, uno no se da cuenta
cuando le atacan, los PC no se diseñaron para guardar datos confidenciales, las máquinas
se estropean y, aunque el personal no sabe el mínimo necesario de informática,
probablemente alguien en la plantilla sabe más que el responsable de sistemas.
El factor humano no es precisamente el menos importante de los agentes que debemos
considerar en la implantación de un sistema de seguridad. Ante la introducción de
elementos seguros, como pueden ser las técnicas criptográficas, algunos usuarios pueden
reaccionar de forma pueril desarticulando todo el proceso con comportamientos como no
querer (u olvidar o simular olvidar) cifrar los ficheros o correos, imprimir los códigos y
dejarlos en la impresora (o en la mesa, o en la papelera, o...), no utilizar passwords de
calidad... y la dirección puede estar tentada de facilitar las cosas a los usuarios más que
de mejorar la seguridad de la compañía.
Todas las encuestas realizadas a empresas sobre asuntos relacionados con la seguridad
proclaman con grandes caracteres la preocupación interna sobre estos temas. A modo de
ejemplo se pueden citar datos como que el 90% de las empresas ha detectado problemas
de seguridad en los últimos 12 meses, o que el 80% reconoce pérdidas financieras; el
40% ha sufrido intrusiones desde el exterior; el 38% ha comprobado que se han
efectuado accesos no autorizados desde el interior de la propia empresa, por no hablar de
los abusos cometidos en el acceso a Internet, que ha padecido el 78%.
Si el escenario es tan nítido, ¿qué hacen (o dejan de hacer) las empresas en lo relativo a
su estrategia de seguridad?
Según los estudios de Asimelec, el nivel de implantación de sistemas de seguridad es
claramente deficiente. Solamente cuando las empresas tienen más de 250 trabajadores las
cifras relativas a la LOPD y el plan de continuidad rondan una contestación positiva del
60% de las empresas. Sólo pueden considerarse como realmente consolidadas dos
tecnologías: los antivirus y los cortafuegos (firewalls), con una penetración de cierta
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
2
importancia de la autenticación. Una rápida reflexión indica al menos dos cosas; por un
lado, la escasa presencia de estas tecnologías y, por otro, que la perspectiva de las
compañías se centra en una seguridad periférica que las proteja de los ataques exteriores.
Las empresas españolas deben asimilar que la seguridad no es una opción, es una
obligación para cualquier empresa. Como decisión estratégica, la política de seguridad
debe estar basada en el análisis y gestión del riesgo, bien definida e implantada en toda la
entidad. Y por último, que la evaluación de la eficacia de los mecanismos aplicados debe
ser permanente, porque la seguridad es un proceso, no un producto, y su implantación no
es una opción, sino una necesidad.
El 90% de las empresas ha detectado problemas de seguridad en sus sistemas
informáticos durante los últimos 12 meses Ante la introducción de elementos seguros,
como las técnicas criptográficas, algunos usuarios pueden reaccionar de forma pueril
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
3
Descargar