Jorge Vidal
El 5 de agosto pasado el periódico The New York Times reveló que se había descubierto tal vez el mayor robo de información de la historia, que incluía datos confidenciales obtenidos desde múltiples sitios web. Esto se suma a la larga lista de importantes empresas que recientemente han sufrido incidentes como Adobe Systems y el retailer norteamericano Target. Este caso ha sido muy comentado. Todo se inició justo antes de la última Navidad, cuando la empresa se vio obligada a confirmar que la información de las tarjetas de débito y crédito de unos 40 millones de sus clientes había sido robada. Una vez que la noticia salió a la luz pública las ventas sufrieron un serio revés, estimándose que se habrían gastado sobre US$60 millones en el incidente. Luego se vio obligada a renunciar la principal ejecutiva a cargo del área de tecnología.
¿Seguridad en Latinoamérica y en países como Chile?
En los últimos años ha habido progresos. La mayoría de las organizaciones grandes ha reconocido la necesidad de formular una política de seguridad, ha efectuado inversiones en elementos asociados (como por ejemplo firewalls y antivirus) y ha asignado personal técnico al tema.
Sin embargo, los riesgos tecnológicos, incluido el cibercrimen y sus técnicas, también han evolucionado. Lo que antes era un ataque sofisticado hoy lo puede hacer un estudiante con alguna herramienta disponible en Internet. Además, muchos ataques a las redes y sitios de comercio electrónico se hacen desde el extranjero por parte de grupos especializados. Por otra parte, tecnologías del tipo cloud también introducen nuevas amenazas. Tal vez lo más preocupante es que muchas empresas desconocen los riesgos a los que están expuestas y solamente se enteran una vez que han sido víctimas de un fraude o de un robo.
La nueva norma ISO 27001:2013
Desde su primera publicación en 2005 la norma ISO 27001 ha sido adoptada como guía por miles de organizaciones a nivel mundial para abordar en forma sistemática la Gestión de la Seguridad de la Información.
A fines de 2013 se publicó la nueva versión ISO 27001:2013, que introduce importantes actualizaciones a esta reconocida norma. También se publicó la versión actualizada de la norma ISO 27002:2013, que especifica 114 controles agrupados en 14 categorías temáticas y que aborda con mayor nivel de profundidad todo lo relativo a la gestión de los riesgos cibernéticos.
¿Qué puede hacer una empresa para reducir los riesgos cibernéticos en el corto plazo?
Muchas organizaciones están utilizando ISO 27001:2013 para volver a revisar su nivel de exposición a los riesgos tecnológicos. La buena noticia es que aproximadamente el 80% de los ataques se puede evitar tomando medidas sencillas y de un mínimo costo. Esto se debe a que en la mayoría de los casos los hackers aprovechan vulnerabilidades existentes y que son de fácil solución, como por ejemplo debilidades en la configuración de redes o fallas en la gestión de usuarios y privilegios.
Una buena medida es obtener una opinión independiente respecto a los controles cibernéticos existentes aprovechando los conocimientos de consultores experimentados y usando como marco de referencia a ISO 27001:2013. Nuestra experiencia nos ha demostrado que muchas organizaciones tienen debilidades de fácil solución. Otra medida crucial es capacitar y sensibilizar a todo el personal en materias de seguridad de la información tal como lo recomienda la norma. Muchos ataques se inician a través de la Ingeniería Social, y son conocidos los casos en que usuarios desprevenidos entregan sus contraseñas y otra información sensible a terceros malintencionados.
Jorge Vidal posee certificaciones en Seguridad de la Información (ISO:27001) y Continuidad de los Negocios (ISO:22301). Colabora periódicamente con Revista Gerencia como relator en seminarios (e-mail: jorge.vidal@ expertserviceschile.com)
