A las compañías les cuesta pensar en un problema que no tienen a la vista en el corto plazo. Muchos dicen «a mí no me va a pasar» y asumen el riesgo; son varias las historias que recogen un final muy costoso.
En un mundo donde hackers, virus de computadoras o ciberterrorismo son términos cotidianos, no resulta extraño que la seguridad se haya convertido en prioridad para muchas organizaciones. Sin embargo, a nivel local, a las empresas les cuesta pensar que, ante un problema que aún no tienen a la vista, deban tomar previsiones y, al mismo tiempo, considerarlas como valor agregado.
La conciencia sobre seguridad informática en Uruguay, si bien está creciendo, aún es insuficiente. «En general, no es lo primero que se toma en cuenta -explicó el Ingeniero en Computación Pablo Romero, Gerente Senior de Consultoría Informática de KPMG- eso ocurre no solamente en el inicio de un proyecto. Hay muchas empresas funcionando que no tienen un plan de continuidad, donde no se preparan para las contingencias, lo que puede determinar, ante una situación adversa, que dejen de producir o tengan una baja notoria de la productividad».
Gasto excesivo
Parte del problema es que invertir en seguridad se considera un gasto que se puede evitar. «Eso hace que las empresas lo dejen de lado y lo consideren solo cuando les pasa algo. Ocurre muchas veces con los planes de contingencia. Prepararse para cubrirse de un eventual riesgo resulta caro, y por tanto, se posterga. El día en que pasa algo, se asume la conveniencia de estar más protegido. Es como el seguro del auto; si uno no lo tiene, y le pasa algo, vendrá luego el lamento», subrayó.
Otro aspecto es el ocultamiento de ese tipo de situaciones. Romero dijo que «si una institución financiera, por ejemplo, sufre un ataque, seguramente no nos enteremos, se intentará solucionar con la mayor reserva posible. Eso hace que no se visualice tanto el riesgo».
Al empresario, antes de decirle el costo, hay que convencerlo de que lo que se le está ofreciendo, va a mejorar su productividad, afirmó el experto. «Una forma de que la empresa aquilate la conveniencia es repasar casos que la misma organización ha tenido, y poder demostrarle que con medidas de seguridad, eso podría no haber pasado. Allí quizá se pueda justificar más fácilmente que es una inversión y no un costo», remarcó.
Reconoció que en Uruguay «todavía estamos bastante lejos de asumir conceptualmente esos temas», aunque en las empresas internacionales, donde las exigencias y la costumbre ya les viene desde la matriz, es más lógico. «Y está pasando lo mismo con el Estado, donde se está tratando de regular y definir normativas, aunque todavía es muy incipiente».
«Al resto de las empresas todavía les cuesta. Poco a poco, van siguiendo la tendencia, entendiendo la importancia de adquirir ciertas conductas de prevención. Claro está, cuando les sucede un contratiempo, eso les lleva rápidamente a tomar medidas. Lo otro que pesa son las exigencias de parte de otras empresas o del Estado, que les va obligando a ingresar en esa dinámica», indicó.
De todos modos, tampoco se trata de un problema que responda exclusivamente a la realidad local. Para entender el nivel de riesgo que afrontan las compañías y cómo se preparan para enfrentarlo, la consultora internacional Edelman desarrolló el Índice de Riesgo de Privacidad (PRI), un estudio que incluye la opinión de 6.400 ejecutivos, analistas de riesgos, privacidad y profesionales tecnológicos de 29 países.
Ese trabajo, divulgado en marzo pasado, revela que el 57% de las empresas no ve la protección de los datos personales y la privacidad como prioridades. A su vez, los profesionales reconocen que hay una falta de preparación frente a los potenciales daños vinculados con la pérdida o mal uso de la información personal, ubicando al riesgo de seguridad respecto de la privacidad, en un máximo histórico en todos los sectores.
Interrogantes
Resulta lógico que en una empresa, a la hora de tomar decisiones respecto a la seguridad informática, se plantee una serie de preguntas: ¿cuánta seguridad es suficiente?, ¿cómo se puede saber si su nivel de seguridad es adecuado?, ¿cuál es la inversión y el tiempo necesario para invertir en seguridad?
Un concepto reiterado en la industria es que a los ejecutivos responsables que toman las decisiones realmente no les interesan si los firewalls, sistemas de detección y prevención de intrusos y los programas de seguridad están activos y dedicados a proteger la red y los servidores de su organización. Lo que ellos quieren saber con precisión, es el impacto que la seguridad está teniendo.
Es difícil «vender» la necesidad de una inversión importante en seguridad, «porque no da un beneficio tangible, salvo que se valore lo que uno evita con esas medidas de seguridad», sostuvo Romero. «Decirle a un cliente que instale determinado equipo, que se hagan ciertos testeos cada cierto tiempo, son todos costos que se van a sumar; y la lectura es, si no pasa nada no estoy ahorrando, siempre estoy gastando dinero por algo que no sé si va a pasar».
Las inversiones en infraestructura tecnológica ya de por sí son onerosas, por lo que cualquier proyecto informático que involucre un cambio de sistema ya es un trago amargo; «si además hay que considerar que ese sistema debe ser seguro, muchas veces este último punto es algo que queda para más adelante. Se hacen testeos después y si hay errores, se intenta solucionarlos, pero todavía cuesta mucho asumirlo como una necesidad desde el momento inicial», puntualizó.
«Razonablemente, debería ser buena cosa que alguien más vinculado al negocio vea los beneficios de implementar esas cosas. Tener una revisión independiente que ayude a definir las necesidades, agrega seguridad, pero tiene costos que no siempre las empresas están dispuestas a asumir».
Procedimientos
Al hacer referencia a la seguridad, hay dos componentes en cuestión. Por un lado la parte más técnica, y por otro lo que tiene que ver con los controles, procedimientos y cultura de control de la organización. Romero afirmó que «por más que la tecnología sea muy buena, si la gente divulga información a la que tiene acceso, el problema va a estar presente. No alcanza con gastar solamente en equipos, si no existe un plan ordenado de trabajo».
Eso no es sencillo de incorporar en las organizaciones, «nos cuesta mucho», aseveró.
«Vemos como excesiva burocracia o sobrecarga de trabajo el hecho de cumplir con ciertos procedimientos que son importantes. Y sucede mucho en el área informática de las empresas, que generalmente es el eslabón más débil de la cadena. No tanto en las empresas grandes que tienen ya incorporado el tema de la seguridad tecnológica, pero en las chicas es bastante menos organizado, y en general toda el área informática tiene acceso absoluto a la información, lo que es riesgoso. Y más aún en las que tercerizan ese servicio. Por tanto, las compañías quedan expuestas a un mal manejo o a una acción desleal».
Fuga de datos
Precisamente, el manejo no apropiado de los datos confidenciales por parte de los empleados, la falta de controles en los sistemas y la infracción de las regulaciones industriales y gubernamentales, son identificados, a nivel internacional, como los grandes problemas de seguridad a nivel informático.
Según el Estudio sobre el Costo de las Fugas de Datos 2013 de Symantec y Ponemon Institute -un informe anual que releva datos de 277 compañías en Estados Unidos, Reino Unido, Francia, Alemania, Italia, India, Japón, Australia y Brasil- los errores humanos y los problemas en los sistemas causaron dos terceras partes de las fugas de datos en 2012. A nivel global, los sectores con fuertes regulaciones -como el financiero, farmacéutico y el de salud- sufrieron costos por fugas de datos 70 por ciento más altos que los de otros sectores. Además, las conclusiones del informe indican que los ataques maliciosos o con fines criminales causan el 37 por ciento de las fugas de datos y son los incidentes más costosos de este tipo en los nueve países participantes en el estudio.
Si hay fuga de datos, pocas veces es por debilidad de un sistema y en la mayoría de los casos es porque alguna persona los divulgó. «Eso no se arregla con sistemas seguros ni con definir personas autorizadas, porque fue una de ellas la culpable. Se tienen que tomar las medidas de seguridad técnicas para asegurarse que solo ingresen a esa información aquellos que deben hacerlo. Después, se deben establecer ciertas normas y políticas para saber que las personas que acceden, manejan adecuadamente esa información», destacó.
En las empresas chicas, es difícil observar -especialmente en el área informática- el cumplimiento de manuales de procedimiento y definición de roles. Dijo que en general «se tiende a organizarse, buscar la forma de optimizar el trabajo, lo que trae el beneficio de que los procesos más documentados y organizados son más eficientes, se pueden controlar mejor, se pueden asignar responsabilidades». Pero eso no se ve tanto en informática, donde generalmente, «todos hacen todo».
Certificación
Existen certificaciones que permiten a la empresa ubicarse en cierto escalón «de privilegio» frente a sus competidores, en temas de seguridad informática.
Así como hay normas de calidad, las existen para la seguridad, verificando que los procedimientos de seguridad cumplan cierto estándar. Eso en cuanto al funcionamiento de un área informática y su seguridad. «Pero además, respecto de sistemas o aplicaciones, hay ciertas normas específicas que se deben cumplir, por ejemplo en la autorización de tarjetas de créditos, donde hay un estándar específico que se llama CPI, que se convierte en una certificación que establece un diferencial, en un mundo donde cada vez hay más intercambio de datos y en el comercio se observa claramente», precisó Romero.
Hay un valor agregado en materia de certificaciones, que a la hora de convertirse en proveedor o en caso de servicios tercerizados, puede tomarse en cuenta, algo que en Uruguay se está viendo, según el experto.
Ciberataques
Una realidad que parece lejana pero que debe tenerse en cuenta, está vinculada con los ataques informáticos empresariales. A nivel global los ataques criminales y maliciosos son los más costosos para las empresas.
En Uruguay, «no se ve como una de las preocupaciones principales -aseguró Romero- cuando en las empresas hacemos matrices de riesgo y hablamos del potencial riesgo de que les roben información, pocos lo ven así. Entienden que no tienen nada interesante que pueda ser muy codiciado por la competencia. No es un tema muy visible, y tampoco hay mucha evidencia de ataques a nivel local», concluyó.
Alrededor de 500.000 euros es el costo medio en el que incurren las grandes empresas como consecuencia de un ciberataque, según datos de la Encuesta Global sobre seguridad TI corporativa 2013, llevada a cabo por B2B Internacional (firma de servicios empresariales) junto a Kaspersky Lab (proveedora de soluciones de seguridad informática) y basado en 2.895 encuestas con profesionales de IT.
Los expertos calcularon los daños derivados de los ciberataques incluyendo solo los incidentes ocurridos en los últimos 12 meses y evaluando la información de las pérdidas sufridas como resultado directo de los incidentes de seguridad. Los daños varían dependiendo de la región geográfica en la que opera la empresa en cuestión. Por ejemplo, los daños mayores se asocian con incidentes sufridos en las que operan en América del Norte, con un promedio de 624.000 euros, seguido de América del Sur, con 620.000 euros. Europa Occidental registró una media más baja, pero aún considerable, de las pérdidas derivadas de ciberataques, llegando a 478.000 euros.
Fuente: El País