El valor real de lo sistemas TI de una organización en la era de Internet es muy superior al costo económico de reemplazarlos por completo. Así lo aseguró Dan Molina, Estratega de Seguridad de McAfee Latinoamérica, en su visita a Chile. Por ejemplo, indica, si un banco sufre un ataque informático público, probablemente experimentará un éxodo de clientes hacia una institución que ofrezca mayor seguridad.
“Por ello, hemos desarrollado un modelo económico para valorizar el riesgo informático, que considera no sólo hardware, software y datos, sino también la plusvalía de la empresa, es decir, el valor de su marca comercial”, explica el ejecutivo, agregando que “esto se refiere también al funcionamiento de la firma, entendiendo que una falla en su operación puede reflejarse en dicho valor”.
A juicio del especialista, entender las vulnerabilidades propias es necesario para cuantificar el riesgo informático. “Comprender las amenazas existentes, qué tan vulnerables son los diferentes sistemas TI de la empresa y cuál es el nivel de protección de cada segmento de la red, son aspectos que ayudan a valorar el riesgo informático”, añade.
Aprovechando las regulaciones
Además de ser un requerimiento para hacer negocios con algunas instituciones extranjeras, las diversas regulaciones y normas internacionales de seguridad informática, como ISO 17779 y 27001, Basilea II y Sarbanes-Oxley, son una excelente herramienta para evaluar la seguridad de TI. Para Molina, más que invertir en consultorías para cumplir con determinados reglamentos, las empresas deben generar sus propias políticas, tomando en cuenta mejores prácticas, procedimientos internos, leyes y normas externas, entre otros factores.
“Hoy día, los usuarios pierden mucho tiempo actualizando sus políticas y procedimientos para cumplir con requerimientos de socios comerciales o clientes. Sin embargo, todas las normas verifican aspectos similares, por lo que una empresa puede desarrollar una política de seguridad TI y luego actualizarla por medio de un análisis GAP (de brecha) a medida de que surjan nuevas necesidades”, indica.
Para facilitar esta tarea, el profesional comenta que el IT Compliance Institute ha generado una matriz de datos que ayuda a comparar 68 iniciativas diferentes y a generar una política a partir de los requerimientos solicitados.
Aumentan los peligros en la red
A medida de que crece la potencia de los PCs y el ancho de banda dis-ponible para los usuarios, también aumenta la capacidad de los criminales informáticos para realizar diversas fechorías. “Dos años atrás, un hacker buscaba principalmente fama y reconocimiento de sus pares, mientras que actualmente sus motivaciones son principalmente financieras. Por esa razón, tratan de mantener un perfil bajo y extraer la mayor cantidad de datos ‘vendibles’ sin levantar sospechas”, declara. “Al ser su objetivo el ganar dinero, entienden que es más fácil comprometer el web browser de un usuario que los servidores de un sitio de e-commerce”, agrega.
Por esta razón, McAfee adquirió SiteAdvisor, que desarrolló un sistema (disponible como un plug-in gratuito para IE, Firefox y otros nave-gadores) para calificar sitios web, evitando que el usuario sea víctima de phishing o spyware. Asimismo, en los próximos meses liberará una nueva versión de McAfee ePolicy Orchestrator, software de gestión de sistemas de seguridad que promete facilitar aún más el trabajo de los administradores. “McAfee está ampliando su portafolio para responder a las diversas amenazas que surgen y liberaremos un producto que ayudará a los administradores a cuantificar el riesgo y a tomar decisiones de negocios sobre asuntos de TI”, concluye.
Octubre de 2006