LAS CONSECUENCIAS DE LA EXPOSICIÓN (Continuación de “La vulnerabilidad informática amenaza…”)

“En la década de los 80, los virus se propagaban por medio de disquetes, únicamente infectaban a máquinas individuales y se propagaban en semanas o meses”, explica el informe “Redes Autodefensivas”, emitido por el proveedor de soluciones de conectividad y seguridad informática Cisco Systems en 2006. En los 90s, los virus se propagaban principalmente a través del correo electrónico y, en este período, se empezaron a registrar los primeros incidentes de hackers, afectando a redes empresariales en cuestión de días o semanas, indica la investigación.

El estudio concluye diciendo que, actualmente, las amenazas han adquirido diferentes modalidades y que “el impacto es a nivel global y la velocidad de propagación puede llegar a infectar a cientos de miles de computadores en sólo segundos”.

Si a lo anterior se suman los fraudes financieros y la falsificación de identidades, producto de la manipulación de los datos y otros ciberdelitos más sofisticados como el sabotaje informático –una técnica para obstruir el normal funcionamiento del sistema -, las consecuencias para las compañías latinoamericanas son de alto impacto, advierte Italo Foppiano, quien las resume esencialmente en pérdida de imagen y credibilidad.

“Para las pequeñas firmas las repercusiones no son tan perjudiciales”, indica Mellado. Sin embargo, dice, “las medianas y grandes empresas que no estén adaptadas al cambio tecnológico de una sociedad conectada como la actual, que elimina las barreras geográficas a través de la red, la omisión de estándares de seguridad puede restarles dinamismo, generar poca confiabilidad entre los clientes y, con el tiempo, afectar su competitividad en un mercado globalizado”.

Y en este punto, Mellado alerta que “muchas veces los robos de información son realizados por las mismas personas que trabajan al interior de la organización, y este tipo de ataques no son tan sofisticados”. En efecto, según una reciente investigación efectuada por la consultora tecnológica IDC (International Data Corporation), nada menos que un 70% de los ataques son generados por empleados descontentos con la empresa para la que trabajan.


“Por este motivo, una de las primeras medidas que Mellado recomienda para reducir el riesgo a un ataque como el robo de información confidencial, “es evaluar al personal antes de contratarlo y que esta evaluación sea asistida por un psicólogo, buscando un perfil de profesional comprometido con la ética y la probidad”.

Las medidas para mitigar las vulnerabilidades

Como segunda iniciativa, agrega Mellado, la organización debería dictar una política de gestión en seguridad, que determine responsabilidades y controles de accesos a distintos niveles de información. “Una tercera medida es aplicar sistemas de encriptación y una cuarta estrategia debería ser la aplicación de herramientas de autentificación con claves, y controles biométricos de identidad”.

Mientras que Foppiano sugiere que “los estándares de seguridad deben ser patrocinados por la alta gerencia, reafirmando así su compromiso con estos temas, tal como lo exige la norma ISO 27001:2005 sobre Sistema de Gestión de Seguridad de la Información”.

“La seguridad de los datos es un proceso integral que va desde la auditoría, programación y pruebas hasta la puesta en marcha y la operación”, asegura Horst Von Brand, indicando que lo anterior “también implica incorporar el tema de la seguridad en la formación de los profesionales del área, un ítem en el cual lamentablemente en la región aún estamos en pañales”.

De igual forma, para el académico la legislación cobra un rol medular, subrayando que “el actual sistema penal requiere de una urgente actualización en tópicos relacionados con la seguridad, tales como el concepto de “evidencia electrónica", que requiere de una definición especial para poder tipificar el delito electrónico”.


En tanto, Foppiano, señala que Chile ya ha dado un primer paso con la aprobación de la firma electrónica. “Por su parte, México, Brasil y Argentina están constituidos en Equipos de Respuesta a Incidentes (CERTs), que apoyan directamente a los gobiernos en estas temáticas”. La proliferación de estos grupos técnicos (ONGs) que se nutren de agrupaciones globales como el grupo de respuesta a los incidentes de seguridad FIRST, (Forum for Incident Response and Security Teams), agrega el profesor, pueden promover mayor conciencia y conocimiento en seguridad de la información.

“Pero, sin duda, Latinoamérica enfrenta un gran reto para instaurar un marco legislativo que regule la protección y privacidad de los datos”, concluye Foppiano.

Fuente: Warthon