En un trabajo sin precedente, la consultora internacional Ernst
& Young relevó las condiciones de seguridad de la
información en más de 4.329 compañías de
los cinco continentes, entre las cuales hay 237 de la Argentina.
Los resultados, que MERCADO publica con exclusividad, son
preocupantes:
- Las violaciones a la seguridad aumentan.
- Internet y las intranets ocasionan vulnerabilidad.
- Los virus aún representan un serio problema.
- La mayoría de los especialistas cree que los usuarios y
los empleados autorizados constituyen una amenaza a la seguridad
de los sistemas. - En general, las empresas son renuentes a invertir en seguridad
porque es muy difícil que ella contribuya a mejorar los
resultados. - Otras compañías, en cambio, contratan
profesionales full-time de seguridad informática e incluyen
en sus planes de negocios estrategias de recuperación para
casos de violaciones de acceso. - En la Argentina, 83% de los consultados estaría
dispuesto a aumentar el uso de Internet si las condiciones de
seguridad mejoraran.
Toda revolución tiene efectos negativos – obviamente,
no deseados – , a veces inevitables, a veces impredecibles. En
el caso de los fenomenales avances tecnológicos que
están transformando sustantivamente la vida de la humanidad, y
dentro de ella la de las empresas, la principal de esas consecuencias
nocivas es, sin duda, la vulnerabilidad de la seguridad de la
información.
Como sugieren los más elementales principios de sensatez,
el primer paso para atacar un problema es aproximarse a un correcto
diagnóstico. Ese paso fue dado por la consultora internacional
Ernst & Young, una de las Big Six, que entre julio y agosto
últimos realizó la Primera Encuesta Global sobre
Seguridad Informática. El único antecedente comparable
es el relevamiento que, sobre el mismo tema, efectuó la misma
consultora durante los cuatro años anteriores pero sólo
dentro de Estados Unidos.
En esta Primera Encuesta Global respondieron el cuestionario 4.329
compañías – de ellas, 237 en la Argentina –
de 29 países de los cinco continentes y las conclusiones, que
demandaron un extenso procesamiento de las respuestas, son publicadas
en la Argentina exclusivamente por MERCADO.
Tal como en el siempre efectivo dilema del vaso a medio llenar,
los resultados ofrecen simultáneamente lecturas optimistas y
pesimistas. Desde el primer enfoque puede destacarse que cada vez son
más las compañías que contratan profesionales
full-time de seguridad informática, centralizan el manejo de
la seguridad informática y desarrollan planes de negocios que
incluyen estrategias de recuperación para casos de violaciones
de acceso.
También se puede agregar que existen numerosas herramientas
disponibles para ayudar a proteger las redes de las empresas. Las
nuevas tecnologías, tales como los certificados digitales y
las conexiones de red privada virtual, brindan los niveles más
elevados de seguridad. Hoy, las compañías pueden
administrar mejor sus riesgos.
Sin embargo, los autores del trabajo destacan como principales
resultados que las violaciones a la seguridad están en
aumento, las intranets ocasionan vulnerabilidad, los virus aún
representan un serio peligro y el espionaje industrial es una
realidad concreta.
Con respecto a las principales amenazas a la seguridad de los
sistemas, más de 65% de los gerentes y profesionales
consultados en la Argentina señaló a los usuarios y
empleados autorizados; 55% apuntó a los hackers; una
proporción similar mencionó a los proveedores de
servicios, y 30% teme a los competidores.
Los bajos presupuestos contra la eficacia de los departamentos de
informática en la tarea de fortalecer la seguridad de los
sistemas de sus compañías: en la Argentina, casi 60% de
los encuestados mencionó ese aspecto como el principal
obstáculo. Hasta ahora, en general, las empresas se han
mostrado renuentes a invertir dinero en seguridad porque es
difícil medir su contribución a los resultados. Por
eso, la mayoría de las compañías aún
considera a la seguridad más como gasto que como
inversión.
Lo que cambia Internet
Sin embargo, la tendencia está cambiando: tanto en Estados
Unidos como en la Argentina, casi 75% de los encuestados
afirmó que la seguridad de la información es un tema
importante para la alta gerencia de sus compañías. Dos
años atrás, los norteamericanos que pensaban lo mismo
apenas superaban 65%. Mucho tiene que ver en esa evolución la
aparición de Internet, que, junto con nuevas e insospechadas
oportunidades de negocios, abrió literalmente las puertas de
las infraestructuras informáticas de las empresas,
haciéndolas más vulnerables.
Claro que el acceso a Internet no es muy parejo: sólo
está conectado 70% de los encuestados en todo el mundo,
proporción que crece a 82% si se mira sólo a Estados
Unidos y que cae a 30% si el foco recae sobre la Argentina, aunque,
en este último caso, 83% respondió que estaría
dispuesto a aumentar el uso de Internet si las condiciones de
seguridad mejoraran. Por otra parte, apenas 10% de los consultados
afirmó que maneja información vital a través de
la red (en Estados Unidos ese grupo constituye 22%).
Custodiados por expertos
En Estados Unidos, 70% de las compañías consultadas
contestó que tiene entre uno y cuatro profesionales full-time
dedicados a la seguridad de la información. Se trata de una
especialidad en alza: del ´96 al ´97, pese a que creció el
requerimiento de esta clase de expertos, bajó de 60% a 55% la
proporción de encuestados que denunció problemas de
recursos humanos entre los obstáculos para lograr una adecuada
administración de la seguridad informática.
Scott Ramsey, director de Servicios de Seguridad de la
Información de Ernst & Young en Cleveland, Estados Unidos,
asegura que “se ve a la seguridad como un facilitador de los
negocios”. Según Ramsey, “la gerencia comienza a comprender
que no existen esquemas de seguridad inexpugnables ni soluciones
mágicas, y que, por lo tanto, tiene que brindar recursos”. Su
conclusión es que los managers “se dan cuenta de que la
seguridad es un proceso continuo, no un proyecto, y entonces
contratan profesionales full-time”.
No obstante, más allá de cualquier enfoque
estratégico, a menudo la razón que impulsa a una
compañía a contratar personal especializado es haber
sufrido alguna clase de violación a la seguridad de sus datos.
Los expertos de la consultora citan el caso del National City Corp.,
un banco de Cleveland que opera en los estados norteamericanos de
Ohio, Indiana, Kentucky y Pennsylvania: pionero hasta la
obsesión en materia de seguridad informática, contaba
con un staff full-time de 15 profesionales dedicados a ella cuando,
pocos meses atrás, un virus paralizó sus operaciones
por dos días, con un costo de por lo menos US$ 400.000. El
resultado fue la inmediata contratación de un nuevo experto,
en este caso especializado en defensa contra los virus.
La preocupación no es excesiva: los virus continúan
siendo una amenaza muy costosa. Hasta ahora se han identificado unas
13.000 especies, de las cuales unas 230 están en
circulación con capacidad de daño, y cada día se
conocen nuevos tipos de virus. De hecho, más de la mitad de
los encuestados en Estados Unidos reconoció haber sido
afectado por algún macrovirus. En la Argentina, 29%
afirmó haber sufrido pérdidas de hasta $ 100.000 debido
a macrovirus, aunque 71% admitió no haber podido determinar
con precisión el monto de sus quebrantos por esa causa.
Virus en la red
A través de Internet, intranets y aun de redes
convencionales, se contagian nuevos virus cada vez más
peligrosos. El que paralizó las operaciones del National City
se esparció en todo el entorno Novell NetWare de la
compañía hasta afectar 300 servidores de archivos y
10.000 puestos de trabajo en seis ciudades de cuatro estados. El
virus infectó la red desde ocho notebooks compradas por el
banco, pese a que los administradores de informática de la
entidad habían revisado minuciosamente dos de ellas antes de
conectarlas todas a la red. ¿Qué sucedió? Que el
virus era muy nuevo y no pudo ser detectado por el software
antivirus.
El virus no causó estragos en la información del
banco, pero el departamento de sistemas debió movilizar
equipos de desarrollo de aplicaciones para construir alternativas, de
modo que los usuarios pudieran acceder a datos que normalmente eran
obtenidos en la red. Ello significó recurrir a impresiones y
restablecer 3.270 conexiones de terminales. Aun con la ayuda de
expertos de IBM, erradicar el virus llevó dos días.
Como suele suceder, tras el accidente aumentaron las precauciones:
hoy, por ejemplo, en el National City está sumamente
restringida la cantidad de personas que tiene acceso universal a los
servidores de archivos, y más aún lo está el
acceso al sistema operativo. Asimismo, el nuevo administrador
antivirus se asegura cotidianamente de que los sistemas estén
protegidos y de que al menos una vez por mes se actualicen todos los
softwares defensivos.
Espionajes y sabotajes
Las conclusiones de la Primera Encuesta Global subrayan que
“desafortunadamente, existen pocas herramientas para protegerse
contra amenazas a la seguridad más abstractas, como ataques
malintencionados de delincuentes tanto internos como externos, o el
espionaje industrial”.
De acuerdo con los resultados del relevamiento, el espionaje
industrial está en aumento y es un riesgo difícil de
manejar, dado que puede tener formas muy diversas, desde las
más elementales, como que un empleado copie documentos y los
entregue a la competencia, hasta los refinados hackers que se abren
camino en la Internet a través de un firewall, ganan niveles
de acceso con categoría de superusuarios en Unix y, en
última instancia, obtienen derechos indiscriminados sobre los
sistemas, programas y datos de las compañías. De hecho,
44% de los encuestados en la Argentina aseguró haber sido
víctima de espionaje industrial, aunque 96% de ese grupo no
supo estimar el impacto económico que le causaron esas
maniobras.
Años atrás, un grupo de empleados de una empresa
marítima internacional obtuvo planillas de navegación
guardadas en sistemas protegidos con claves de acceso y las
reveló a terceros. La información precisa sobre el
momento de los embarques permitió a los beneficiarios de la
información secuestrar los camiones y robar la
mercadería. Cualquier parecido con el argumento de una
película de clase B es pura coincidencia.
Por otra parte, también los ataques internos y externos
están aumentando considerablemente. En la Argentina, 53%
afirmó haber sufrido ataques externos y 51% aseguró
haber sido víctima de actos malintencionados de parte de
empleados propios. También en este aspecto es notable la
dificultad para mensurar los daños: sólo un encuestado
pudo evaluar pérdidas, en su caso por más de $ 100.000.
Pese a esas proporciones, los expertos en seguridad sostienen que
el frente interno es más peligroso que el externo a la hora de
los ataques a los sistemas de las empresas, sea con el fin de
paralizar su funcionamiento o para sustraer información. Una
de las debilidades más comunes de las compañías
frente a esa clase de violaciones es que, a menudo, las copias de
resguardo (back up) no se generan adecuadamente.
¿Más vale prevenir que curar?
A la hora de administrar los riesgos de la seguridad, los expertos
consideran fundamental controlar permanentemente la actividad de la
red y del sistema. Acaso suene obvio, pero no lo es: en todo el
mundo, sólo 61% de los encuestados reconoció efectuar
dicho control. Y peor si se trata de Internet: apenas 47% de los
consultados en toda la muestra (42% en la Argentina) afirmó
controlar metódicamente sus actividades en la red de redes.
Otra cosa que reclaman los especialistas en seguridad son planes
de acción que consideren los pasos a seguir en caso de un
ataque con consecuencias importantes. Sin embargo, sólo 53% de
los encuestados en todo el mundo aseguró tener un plan de
continuidad de negocios en vigencia. Esos planes requieren que las
compañías consideren a la seguridad como un proceso
continuo y, por lo tanto, necesitan revisión periódica
con posterioridad a cada prueba y evaluación cuidadosa.
Tal vez resulte sorprendente observar que en América del
Sur la proporción de empresas que tienen planes de continuidad
de negocios crece a 58%. Pero pronto se volverá a la realidad:
más de la mitad de esas firmas no prueban frecuentemente esos
planes ni hacen una evaluación continua de las medidas de
seguridad de sus hardwares y softwares.
La bomba del 2000
La encuesta de Ernst & Young indagó también
acerca de cómo se preparan las compañías para
superar el problema de registro del año 2000, dado que, en un
sentido más amplio, es también una cuestión de
seguridad: si los sistemas no estuvieran en condiciones de operar,
las empresas no podrán realizar su trabajo. Además, al
involucrar a un gran número de consultores internos y
externos, la solución al tema del 2000 es también,
potencialmente, una fuente extra de riesgos de filtraciones de
información y ataques, sin contar la falta de alternativas
viables y planes de contingencia para los casos en que las
compañías no pudieran completar a tiempo el proceso.
En la Argentina, 49% de los encuestados respondió que
está planificando comprar o desarrollar nuevas aplicaciones,
lo que implica descartar las actuales debido a la dificultad o
imposibilidad de adecuarlas. En tanto, casi 40% no pudo estimar
cuál será el costo del proyecto año 2000 para
sus compañías. En el otro extremo, 24% de los
consultados aseguró que sus empresas ya son año 2000
compatibles. Lo que no necesariamente significa que se acabaron sus
problemas: ahora tendrán que estar atentas a sus futuras
interconexiones con socios, proveedores y clientes que pueden no
estar preparados.