Las empresas empiezan a pasar de la detección pasiva a la prevención activa, conscientes de que invertir en el bloqueo de posibles amenazas es más rentable que paliar daños
Aunque los ataques corporativos son corrientes en Latinoamérica, la seguridad informática resulta hoy por hoy una herramienta nueva para las grandes compañías, y sobre todo, para las pequeñas.
La necesidad de una asidua actualización, producto de la evolución constante de los ataques, y la necesidad de toma de conciencia en la región de su importancia es básica para los especialistas.
Por eso existen en la región políticas de capacitación y concienzación, una de ellas es la Academia Latinoamericana de Seguridad, respaldada por Microsoft Latinoamérica y el Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) con el apoyo de ISEC (Information Security Inc.), cuyo objetivo es la formación de líderes en Seguridad Informática, que ayuden a crear un ecosistema seguro. Según la institución, los alumnos son mayoritariamente de México, seguidos por Argentina, Colombia, Perú y Venezuela.
El mercado argentino de SI
La consultora realizó también una encuesta acerca de las prioridades en la organización, lo que demostró el tema de la seguridad no tiene una gran relevancia en comparación con los sistemas de Business, la infraestructura y la capacitación de usuarios.
Todo ello muestra que el mercado de seguridad argentino está aún en proceso de madurez, con una proyección para el 2008 del gasto total de IT de 3.630 millones de dólares, cifra que recupera los altos índices registrados en 2001.
La investigación sobre el mercado argentino de IT realizada este año por Trends Consulting junto a Segurinfo muestra cifras contundentes:
El mercado de IT presenta un volumen de 3.175 millones de dólares, de ese total 88.4 millones corresponden a Seguridad Informática. Un importante aumento, en comparación al año anterior que registró un gasto en seguridad de 69.8 millones.
Los datos reflejan a su vez que, la prioridad de la Seguridad Informática en las organizaciones si bien no está en primer plano, se mantiene como un algo a tener en cuenta.
Reacción o prevención
Hay un cambio de enfoque en la seguridad. En los comienzos, las compañías, sea cual fuere su tamaño e importancia, se posicionaban desde un punto de vista táctico de reacción, detectaban las irregularidades y amenazas y respondían a los ataques, hoy esa visión ya no es suficiente.
«¿Detección o prevención? He aquí la diferencia entre medidas antivirus activas y pasivas», afirmó Patrick Bedwell, primer director de marketing de producto para la prevención de intrusiones en el host de McAfee.
Para la empresa dedicada a la tecnología de seguridad se ha pasado de la detección pasiva a la prevención activa: “El bloqueo de amenazas antes de que puedan causar daños es muchísimo más importante», afirmó Bedwell. «Alrededor del 80% de nuestros clientes están instalando bloqueos en nuestros productos.»
Aunque los responsables de seguridad son conscientes de esta necesidad de prevención y en las grandes compañías sí se lleva a cabo, en la región los ejecutivos toman medidas de reacción más que de prevención, reflejo de una realidad latinoamericana, el CIO siempre se encuentra frente a un presupuesto limitado.
Normas regulatorias
Las empresas deben respetar una serie de normativas. Entre ellas, las más importantes son: la Sarbanes Oxlem Act (SOX) necesaria si la compañía quiere cotizar en Bolsa; la Health Insurance Portability and Accountability Act (HIPAA); Basilea II, o la Gramm-Leach-Bliley Act (GLBA) que establecen un marco de seguridad para las entidades financieras.
El Banco Central de Argentina obliga a la implementación de normas de seguridad, pero esto no rige para las compañías que no sean financieras. Lo que sí se lleva a cabo en las empresas son los llamados marcos de referencia ISO 17799 y el CobIT, donde la meta es lograr una cierta independencia del sector de seguridad dentro del departamento de IT, esto permite la implementación de los llamados “Planes de Contingencia”, utilizados incluso ya por las Pymes.
Esto mismo analizó Ernst & Young en su novena Encuesta Global de Seguridad Informática, donde afirma que está cambiando la preocupación empresarial hacia las normas de seguridad, ya que de las 1.200 organizaciones participantes, el 56% de ellas aseguró que el cumplimiento de regulaciones y la protección de datos es clave.
Paradójicamente, el estudio muestra que, mientras hubo un aumento del respeto normativo, el 80% de los encuestados afirmaron que la seguridad informática no se encuentra dentro de las prioridades del CEO.
La responsabilidad del ejecutivo
Los ejecutivos ya han tomado conciencia de las amenazas más comunes como el malware, el pishing y los troyanos y han comenzado a buscar personal especializado en seguridad, pero la realidad indica que en la región, para la mayoría de ellos, la seguridad no es una cuestión de prioridad, y esto se refleja en la cantidad de ataques que reciben.
Estos incidentes en las empresas latinoamericanas continúan aumentando al igual que el riesgo de ataques futuros, mientras disminuye la confidencia de los ejecutivos de poder enfrentarlos, según se desprende del estudio “Actitudes de los gerentes de IT de Latinoamérica respecto a la seguridad” realizado por la firma de investigación independiente Kaagan Research and Associates, y patrocinado por Cisco Systems e IBM.
“La encuesta reconfirma que la seguridad de los sistemas informáticos ocupa un primerísimo lugar en las prioridades de los ejecutivos de IT de Latinoamérica”, aseguró Gastón Tanoira, Gerente de Sistemas de Seguridad de Cisco Systems en Latinoamérica, “Sin embargo, las acciones para enfrentar estas amenazas no se corresponden con los riesgos percibidos”.
El 38% de los ejecutivos entrevistados manifestaron haber sufrido un ataque a la seguridad informática durante el último año, siendo las compañías mexicanas y las brasileñas las más afectadas (46 y 42% respectivamente). Paralelamente, 63% de los ejecutivos entrevistados manifestaron que los riesgos en seguridad informática habían experimentado un “aumento dramático” o habían “aumentado de alguna manera” en los últimos 3 años.
Para contrarrestar esta situación, se está comenzando a extender el cargo de Jefe se Seguridad Informática pero implementado como política corporativa sólo en grandes empresas, en las pymes este puesto es nulo.
Pero lo que no se puede dejar de tener en cuenta es el contexto latinoamericano en donde trabaja el CIO, es decir, la inestabilidad externa, aunque progresivamente la región está entrando en una etapa cada vez más estable económicamente, el responsable de seguridad debe tener una política mucho más flexible, con teorías menos conservadoras, donde debe ocuparse de tareas del “aquí y ahora” más que de políticas a futuro, reflejo de la sociedad misma donde se encuentra.
Fuente: Silicon News, España
