Los delitos informáticos se han convertido en una plaga sin fronteras. A modo de resumen, se reportan aproximadamente 200 incidentes de gravedad en seguridad informática diariamente en el mundo; el 90% de las empresas son víctimas de algún tipo de ataque informático; el 70% de ellos, provenientes de Internet. Durante 2005 se reportaron alrededor de 500 nuevas vulnerabilidades, y los ataques provocaron pérdidas que oscilan entre los u$s 40.000 y 50.000 millones, según datos del CSI (Computer Security Institute), una organización dedicada a combatir el fraude informático.
Ante este panorama, las empresas se ven obligadas cada vez más a cuidar su mayor patrimonio, la información. Y existen normas y procedimientos de seguridad estandarizados que, tal como ocurrió con las ISO 9000 de calidad, poco a poco se van imponiendo y se transforman en un imperativo.
“Una de ellas es la norma ISO 17799:2005, que determina los distintos criterios para llevar adelante una correcta gestión de seguridad de la información”, destaca Claudio Avin, ingeniero de sistemas de Symantec, y uno de los directivos de la flamante Asociación de Seguridad Informática Argentina (Asiar). “Los principales objetivos de esta norma son preservar la confidencialidad (que los datos sean accesibles sólo a aquellas personas autorizadas), la integridad (exactitud y totalidad de la información) y la disponibilidad (acceso a la información y a los recursos relacionados con ella toda vez que se requiera)”.
Esta normativa abarca a casi todas las empresas, independientemente del rubro. Si bien no es certificable, está basada en una anterior, la British Standard (BS7799), que sí lo es. A fines del año pasado se homologó la ISO 27001, que se podrá certificar y seguramente dará lugar al nacimiento de una familia de normas, las ISO 27000, referidas a la seguridad.

EXPERTOS SE BUSCAN. A partir de los escándalos financieros de Enron, Worldcom y Arthur Andersen, nuevas normas de seguridad se sumaron a las existentes. La más destacada es la ley Sarbanes Oxley, que lleva el nombre de los parlamentarios norteamericanos que la crearon en 2002. Esta ley, que rige para las empresas que cotizan en la Bolsa de Valores de Estados Unidos, opera en la práctica para todas las compañías norteamericanas, sus filiales y proveedores. Su objetivo es prevenir el fraude, y para esto promueve la existencia de un CISO (Chief Information Security Officer), quien se co-responsabiliza junto con el gerente o director financiero (CFO), ante cualquier problema con la información financiera de la compañía.
En la Argentina, aún son pocas las empresas que cumplen con esta ley. Algunas como Repsol, Deloitte, Telecom, Pfizer y Aguas Argentinas cuentan con un departamento de seguridad informática. Pero en la mayoría de las compañías, el CISO o encargado de seguridad informática brilla por su ausencia.
Una de las mayores dificultades es encontrar profesionales con el perfil adecuado para esta posición. “Antes, el gerente de seguridad era un militar o comisario retirado, especialista en seguridad física. Ahora se tiende cada vez más a tener profesionales en seguridad informática, porque hoy la mayor parte de la información que manejan las empresas es digital y converge en redes”, señala Guillermo Pierazzoli, director comercial de Cidicom, una empresa local dedicada a la seguridad tecnológica y física.
“El problema es generar conciencia de la necesidad de una gerencia o departamento de seguridad independiente, ya que muchos ejecutivos piensan que esta es una función más del área de sistemas”, opinan Ezequiel Sallis y Martín Villa, de la consultora Information Security (I-sec) y miembros de la organización Asiar.
La seguridad en sistemas es una disciplina amplia y dinámica en sí misma, pero no existen carreras de grado en este área. Los pocos especialistas que tiene el mercado local se han formado a través de cursos de posgrado y certificaciones obtenidas aquí o en el exterior a través de organismos, o empresas como Cisco y Microsoft.
En cuanto al perfil de estos ejecutivos, además de tener conocimientos en informática, deben conocer sobre seguridad en general y actualizarse constantemente, ya que las técnicas de fraude y amenazas tanto físicas como virtuales evolucionan todo el tiempo.
Para Pierazzoli, de Cidicom, “puede venir del área de sistemas, o de Seguridad e Higiene industrial”. Esta tarea también se puede tercerizar, en aquellas empresas cuya infraestructura no justifica tener un departamento de seguridad interno. Para esto hay consultoras independientes que asesoran en la obtención de certificaciones, y otras que auditan el proceso.

CUESTIÓN CULTURAL. Más que de seguridad informática, hoy se habla de “seguridad de la información”, que es un concepto mucho más abarcativo. “De nada sirve poner los mejores firewalls y antivirus si la empresa no tiene una política de accesos seguros, la gente anota los passwords debajo del teclado o se olvida el plan de marketing en la impresora”, grafica Marcelo Tapia, gerente técnico de Datawaves.
Más allá de las cuestiones de hardware y de software, la seguridad es un tema cultural y de hábitos de trabajo. Los gerentes de las compañías otorgan mucha importancia a este tópico, pero en la práctica, las acciones para enfrentar posibles amenazas no se corresponden con los riesgos que se perciben. Esta es la conclusión central de una encuesta realizada a más de 200 gerentes de Tecnología, CISO y directores de seguridad de empresas latinoamericanas. El estudio, denominado Actitudes de los gerentes de tecnología con respecto a la seguridad informática, fue realizado en diciembre de 2005 por la consultora Kaagan Research, y patrocinado por Cisco e IBM. En él participaron directivos de compañías con más de 50 empleados de Argentina, Chile, Brasil, Colombia, México y Venezuela.
El 71% de los entrevistados otorgó una prioridad alta o muy alta a los temas de seguridad. Sin embargo, sólo el 37% de las empresas encuestadas cuentan con un jefe de seguridad informática o CISO. En general, las compañías más grandes son las que cuentan con mayor frecuencia este cargo en su staff (50%). El promedio del presupuesto de IT dedicado a seguridad en estas compañías es del 15,4%, y el 67% de los directivos manifiesta que es escaso pero aumentó en los últimos dos años.
Según el informe, el 38% de las empresas tuvo un incidente de seguridad en el último año. El 61% de los incidentes fueron de origen externo, aunque una de cada cuatro empresas sufrieron ataques tanto internos como externos.
En tanto, el 63% de las empresas manifestaron que los riesgos de seguridad aumentaron en los últimos tres años. Pero sólo el 18% afirma que su organización está “muy protegida” ante un posible incidente.