Los antivirus y firewalls ya no constituyen por sí solos una garantía de seguridad para las empresas. Al mismo tiempo que se perfeccionan, los ataques a los sistemas se agudizan y aumentan en intensidad y frecuencia, lo que hace necesario escalar a un nivel superior de seguridad informática para mantener a salvo la información. Determinar el riesgo que implica para cada compañía ver develados o interferidos sus planes estratégicos, las bases de datos de sus clientes o sus programas de marketing; establecer políticas de seguridad definidas, continuas y conocidas para proteger la información y enfocar el tema de la seguridad con una visión de negocios, son algunos de los nuevos conceptos que circulan alrededor de esta problemática y para conocerlos en profundidad, conversamos con empresas especialistas en este tema en el desayuno organizado por la Revista Gerencia.
La dependencia tecnológica de los sistemas y el aumento de conectividad a nivel global, mantienen en la cuerda floja a aquellas organizaciones que no cuentan con estrategias de seguridad definidas y permanentes. El nivel de exposición de la industria, creciente y sostenido, junto a la necesidad de estar en constante comunicación, convierte la información crítica de las empresas en un recurso cada vez más disponible y vulnerable.
Sitios como www.cert.org, entre otros, señalan que durante los últimos cuatro años los ataques informáticos se han duplicado con respecto al año anterior, mientras otras estadísticas indican que del total de incidentes registrados anualmente, el 40% corresponde a ataques no casuales, es decir, dirigidos para afectar concretamente a compañías y organizaciones en particular.
Para los proveedores de sistemas de seguridad las empresas perciben cada vez con más fuerza el peligro de estas amenazas y, por lo mismo, están comenzando a evaluar los ataques informáticos como una amenaza real para su negocio. De esta manera, así como el riesgo financiero o comercial, el tema de la seguridad -más que tratarse de un siniestro- se vuelve para las empresas una variable constante que administrar.
Más que tecnología, políticas
Incluso empresas que adquieren productos con un alto nivel de desarrollo tecnológico son atacadas por los virus de moda y ven interferidos sus sistemas internamente o por extraños. Esto se explica, según Eduardo Díaz, Director Ejecutivo de ICSA, «porque los antivirus, firewalls e incluso los sistemas de detección de intrusos (IDS) no son herramientas que operen de manera independiente y requieren necesariamente de interpretación y control permanente para que sean realmente eficaces».
En este sentido, Andrés Cargill, Gerente Comercial de Orión 2000, comenta que, a pesar de que el 90% de las empresas de tecnología tiene instalado sistemas antivirus, el 80% de ellas sufre problemas por ataques de virus al menos una vez al año, porque éstos no están actualizados. Como indica, «esto es producto de la falta de políticas, lo que deriva muchas veces del poco presupuesto asignado al área de tecnología de las empresas, que ven el tema de la seguridad como un hecho puntual y no como un proceso. Todavía hay muchas compañías en las que esta problemática no es de preocupación del dueño, del gerente general o de los directores de las empresas y eso tiene que cambiar para que se logre disminuir su grado de vulnerabilidad frente a los ataques».
Carlos Aguiar, Gerente General de Extension, comenta que en Chile, incluso, empresas que manejan información muy crítica, como el caso de las instituciones financieras, todavía trabajan con sistemas muy débiles en cuanto a seguridad. «Hemos sido testigos de casos como el de compañías que de un total de 5 mil usuarios autorizados para utilizar sus sistemas, tienen dentro de sus listados a 800 que ya no trabajan para la empresa o que corresponden a antiguos proveedores y eso es un ejemplo clásico de falta de políticas de administración de seguridad, que pone en riesgo la información estratégica de las compañías».
En el país son muchas las empresas que ya han adoptado productos y sistemas de seguridad. Sin embargo, como indica Alfredo González, Senior Manager de Deloitte & Touche, «ahora es necesario guiar a las empresas hacia una etapa superior en el tema de seguridad, para enfocarla ya no respecto de los ataques, sino que desde el punto de vista del riesgo que implica para su plataforma TI el no estar protegido. A partir de esta alerta y aplicando la tecnología existente, es posible hacer análisis de riesgo y definir qué nivel de seguridad es el que necesitan para controlar las amenazas que existen a su alrededor».
Seguridad certificada
Como explica Cargill, «por un lado, aumentan los problemas de seguridad y la cantidad de incidentes y ataques en la red y, por otro, la información crece y cobra cada vez mayor importancia para las empresas, por lo tanto, mientras más valor le adjudiquen las organizaciones a la protección de sus planes financieros y sus estrategias de marketing, más importante será su inversión en tecnología». En este sentido, Roberto Opazo, Gerente General de Acepta.com, agrega que «hoy las empresas perciben la seguridad como parte del negocio. Por ello, es importante establecer parámetros de seguridad acordes con él, es decir, no se debe insistir en la defensa por la defensa, sino cómo la falta de seguridad puede afectar la posibilidad de cumplir el plan de negocios de una compañía».
La necesidad de abordar este tema como un elemento central dentro del enfoque de negocios de las empresas es, a juicio de Antonio Velásquez, Gerente General de LatLink.Net, cada vez más frecuente. Muchas organizaciones requieren actualmente conectar sus sistemas ERP con los de otras compañías para poder hacer transacciones a través de Internet, como una forma de darle una nueva dimensión a la inversión que realizaron en estos sistemas y para poder, a través de ellos, hacer negocios en línea en los grandes marketplaces que existen en la red. Según indica el ejecutivo, «existe un fuerte compromiso de las empresas por comenzar a operar en el esquema B2B, pero la condición para ello es que de por medio existan garantías ciertas de seguridad y los clientes están exigiéndolas porque necesitan tener la certeza de que su información no será interceptada en la red».
La certificación es un hecho que algunos proveedores señalan como la próxima tendencia en el tema de la seguridad informática. Ignacio Aguirre, Subgerente Servicios & Soluciones de Telectronic, indica que «a través de la certificación en seguridad, las empresas pueden dar garantía a otras de que sus sistemas son confiables y, asimismo, exigir este nivel de seguridad a otras como condición para hacer negocios con ella».
Respecto a la certificación, González señala que «actualmente una de las normas más conocidas es la BS 7799, estándar de origen británico que entrega a las empresas lineamientos generales para ordenarse en el tema de la seguridad». Por su parte, Díaz comenta que de acuerdo a la experiencia de ICSA como ente certificador de empresas en Chile, «en los procesos de certificación no se utilizan estándares puntuales, sino más bien normas genéricas según el tipo de industria, porque no es posible certificar a una clínica con la misma norma que a un banco y esa es una tendencia predominante en mercados tan importantes como el norteamericano».
Alianza proveedor-cliente
Debido a la complejidad que implica establecer arquitecturas de seguridad al interior de las compañías, las empresas proveedoras coinciden en que deben posicionarse frente a los clientes como aliados que les permitan a las compañías mantener actualizados sus sistemas de seguridad a un menor costo y, al mismo tiempo, dedicarse de lleno a su core business. Pablo Fuenzalida, Subgerente Centro Soporte y Seguridad de Un0 Computerland Microcare, manifiesta que en continuos sondeos a clientes han podido percibir que lo que las empresas necesitan es administrar continuamente el tema de la seguridad «de manera que no interfiera con su plan de negocios y le permita orientar sus esfuerzos a cumplir los objetivos de su organización, lo que es posible de conseguir si la compañía cuenta con un aliado estratégico que le proporcione de manera permanente un esquema de administración de seguridad de sus sistemas».
No trabajar en un esquema de alianzas, implica, según Cargill, «altos costos para las empresas porque mantenerse al día, además de ser complejo es muy costoso. Por ejemplo, para comprobar empíricamente el nivel de seguridad de una organización, se llevan a cabo pruebas de penetración, que consisten en verificar si la arquitectura de seguridad de una empresa es capaz de sobrevivir o soportar un ataque y para hacerlas, se requiere dedicación completa, mucha experiencia y aplicación de conocimientos específicos».
Iván Salinero, Gerente General de Pentagon, agrega que es fundamental hacer un trabajo conjunto con los clientes a través del tiempo, «y los proveedores de soluciones de seguridad que lo logran, son aquellos que se involucran en los procesos de negocios de sus clientes, porque de esa manera pueden determinar efectivamente el riesgo al que están expuestas».
Concretamente, se trata de copiar el modelo de trabajo de los auditores y trasladarlo a la consultoría de seguridad en TI, porque los proveedores proponen a las empresas acceder a una nueva dimensión en la administración de seguridad, basada más que en tecnologías, en políticas específicas y permanentes, en la capacitación de los usuarios y en la participación de la alta gerencia en la determinación de las estrategias de seguridad. Estas condiciones permiten crear un modelo de gestión de seguridad continuo y enfocado a controlar el riesgo teniendo en cuenta el plan de negocios de las empresas y, lejos de ser una fuerte inversión, genera importantes beneficios económicos, ya que al trabajar con un esquema de seguridad, no hay ataques imprevistos que resolver y se mantiene la información estratégica de las compañías a salvo de los ataques de la red.
Eduardo Díaz,
ICSAAndrés Cargill,
ORION 2000Carlos Aguiar,
EXTENSIONAlfredo González,
DELOITTE & TOUCHERoberto Opazo,
ACEPTA.COMAntonio Velásquez,
LATLINK.NETIgnacio Aguirre,
TELECTRONICPablo Fuenzalida,
UN0 COMPUTERLAND MICROCAREIván Salinero,
PENTAGONDeloitte & ToucheSeguridad y Administración
de Riesgos
Orientada al Negocio Alfredo González,
Senior Manager de
Deloitte & Touche.
Entre los especialistas de la industria de Tecnologías de la Información (TI) aumenta la necesidad de contar con una estrategia de administración de riesgos para proteger su negocio. Deloitte & Touche brinda una novedosa propuesta integral de soluciones y servicios en materia de riesgo y seguridad. Como explica Alfredo González, Senior Manager de la firma, «a diferencia de otras compañías que sólo ofrecen productos aislados, nos enfocamos 100% al negocio de nuestros
clientes, incorporándolos en un programa global que evita que problemas en la plataforma TI atenten contra el éxito del negocio. Esto permite mantener la continuidad operacional y genera ahorros significativos al mitigar el daño que conllevaría no cumplir con el plan de gestión trazado». El ejecutivo explica que, como parte de este programa, Deloitte & Touche desarrolla proyectos en base a la norma internacional BS 7799, análisis de riesgos, planes de continuidad, seguridad en ERP, políticas de seguridad,
monitoreo de redes, hacking ético y servicios legales, entre otros. Agrega que la compañía posee especialistas en seguridad en los diferentes rubros de la industria y mantiene alianzas estratégicas con los proveedores de tecnología más destacados a nivel mundial. Recientemente, Deloitte & Touche lanzó un boletín informativo denominado «Alertas Informá-ticas», el cual contiene diversas noticias de interés relacionadas con estos temas. Mayor información solicitar al fono 2703281 o al e-mail erschile@deloitte.cl
