Los robos de los números y pin de tarjetas de créditos, las claves de usuario para redes sociales y correos electrónicos, así como la venta de información personal por parte de las empresas, son los riesgos que enfrentan los usuarios de las TIC y se convierte en la preocupación de las organizaciones y los individuos de las naciones ricas y pobres.
Las estadísticas de Data Breach Investigation Report recopiladas en 2008, 2009 y 2010, colocan entre los primeros lugares de una lista de enemigos silenciosos de la seguridad de la información están los ataques relacionados con keyloggers (programas que registran los golpes de tecla), programas espías, puerta trasera, mandos de control, acceso no autorizado a través de credenciales y packet sniffers (programas que captan los datos transmitidos en una red).
“A estas amenazas se suma la venta o intercambio de información entre las empresas”, afirma Carlos Francavilla, un experto informático en uso de TI y director de Bitcompany.
Francavilla pone como ejemplo emblemático lo sucedido en abril pasado cuando se descubrió que la empresa TomTom, fabricante de GPS, vendió a la policía de Holanda los datos recopilados por sus aparatos acerca de la velocidad de conducción de los vehículos y la posición geográfica de sus clientes.
La privacidad de los datos en las redes de comunicación social como Facebook, Twitter, MySpace es uno de los temas que también tienen entre ceja y ceja los expertos en seguridad. Su preocupación no es exagerada, las noticias sobre intromisión de hackers a los perfiles de actores, cantantes y personajes públicos son algo común hoy día.
La seguridad de la información se ha convertido en una prioridad para el mundo desarrollado. El presidente de EE.UU., Barack Obama, ha anunciado que cualquier ataque cibernético será tomado como un acto de guerra, de manera que Estados Unidos podría responder con acciones bélicas.
Estados Unidos, Alemania, Francia e Inglaterra, llevan la delantera en esta área, luego de estar sometidos a constantes ataques cibernéticos han puesto en marcha planes para minimizarlos. Otras naciones, en particular las que están en vías de desarrollo, recién comienzan a volcar sus ojos en la temática.
Mantener el resguardo de los datos no es algo que se tome a la ligera en las naciones ricas; además de considerarlo como una cuestión de seguridad, ellas tienen la visión que implementar diversas políticas para minimizar los riesgos alientan a la economía del país.
Eso lo tiene claro Estados Unidos. Una muestra fueron las declaraciones que dio esta semana el Secretario de Comercio estadounidense, Gary Locke, quien afirmó: “Nuestra economía depende de la habilidad de las compañías para proveer confianza y servicios en línea. Es importante que se desarrollen políticas que mejoren la protección de los negocios y sus consumidores para asegurar que la Internet ayude al crecimiento de las economías”.
Locke presentó el estudio “Ciberseguridad, Innovación y Economía de la Internet” que incluye una serie de recomendaciones para la seguridad de la información en las transacciones comerciales hechas en línea, porque el Gobierno está preocupado por los ataques más frecuentes a las medianas y pequeñas empresas.
Un problema poco atendido
En el caso de Latinoamérica, aunque la seguridad y la privacidad de la información es una preocupación para unos cuantos, aún hace falta mucho por hacer. Los mecanismos para su resguardo no existen o están en pañales.
Para Francavilla la región latinoamericana incluso no cuenta con legislación suficiente para la seguridad de la información, porque muy pocos países tienen leyes para para ayudar a garantizarla.
Por eso las amenazas en América Latina están a todo nivel, incluso para las transacciones electrónicas bancarias consideradas las más seguras, porque en teoría tienen una mayor vigilancia. Sin embargo, la realidad muestra una cara diferente.
En un reporte presentado en mayo pasado por ESET, compañía vendedora de antivirus, se detalla que “los troyanos bancarios (códigos maliciosos que obtienen de forma ilegal las credenciales de acceso de los usuarios de la banca en línea para robarles dinero) son amenazas de alta propagación y desarrollo local en la región”. En particular en Brasil, México y Colombia.
En las revistas y secciones de economía de los periódicos latinoamericanos es común que las empresas bancarias convoquen a conferencias de prensa o emiten información para dar consejos a los usuarios para que se protejan del Phishing.
Mario Padilla, director ejecutivo de la Cámara Salvadoreña de Tecnologías de Información y Comunicaciones (Casatic) afirma que presentaron un proyecto de firma digital al Parlamento de El Salvador, pero ha estado empolvado por dos años, y no han recibido respuesta de los legisladores.
Este pequeño país, de apenas 21 mil kilómetros cuadrados,ubicado en Centroamérica no cuenta con un habeas data. “Lo que es un grave problema” afirma Padilla.
“La importancia de hacer un buen uso de las TIC, entre las que se incluye la seguridad de la información, es importante para mejorar la economía de un país”, afirma Juan Francisco Martínez, director presidente de Consisa, una empresa salvadoreña que brinda servicios de desarrollo informático.
El profesional considera importante llevar a cabo iniciativas para el resguardo de datos, la estandarización del país en el bueno uso de las tecnologías de la comunicación e información al adaptar normas isos y obtener certificaciones de DAT, Sisco, Microsoft y programación CMI pueden dar impulso a la economía de El Salvador, gracias a la industria informática.
Mesura ante las nuevas tendencias
La utilización de proveedores externos (outsourcing) y la computación en la nube, reconocidos en los países ricos pero que se comienzan a utilizar con mayor fuerza en las naciones subdesarrolladas o en vías de desarrollo, deben ser vistos con recelo, según muchos especialistas de las TIC, aunque las ventajas de sus usos sean pregonadas por todos lados.
El especialista australiano en gobierno IT y editor de la norma ISO, Mark Toomey, aconseja poner más atención a la seguridad que a las ventajas que anuncian quienes las venden.
Para la auditora Deloitte la experiencia al indagar sobre el mercado de outsourcing les ha revelado que algunas compañías se preocupan por la propiedad intelectual, los riesgos de confidencialidad y la pérdida del control sobre las funciones asignadas a terceros. Por lo tanto, las empresas que lo usan o están por contratar este tipo de servicios deben tomar sus precauciones.
Para el presidente de Consisa, empresa que brinda también servicios de outsourcing, ése debe ser el camino a seguir porque la empresa cliente puede disminuir la posibilidad de que los datos sean robados al tomar precauciones estructuradas a diversos niveles.
Martínez aconseja a las organizaciones clasificar la información. Por ejemplo determinar ¿Cuáles son los datos que les interesa proteger y los de dominio público?
El especialista en informática recomienda un diseño de organización. Por ejemplo, que las personas contratadas sólo puedan acceder a la información y servicios estrictamente necesarios para realizar sus funciones, de forma que cualquier fuga sea contenida.
También aconseja dejar en claro las relaciones contractuales como acuerdos de confidencialidad y otras cláusulas que resguarden legalmente a las empresas contra cualquier incidente.
También considera vital realizar auditorías periódicas para que todos los controles estén en su lugar y se estén ejecutando de forma apropiada.
Martínez también afirma que es importante el uso de tecnologías que permitan seguir de cerca y rastrear actividades anómalas que puedan comprometer los datos de la empresa.
Aún hay mucha tela por cortar con respecto a los temas de seguridad de la información. Los países ricos y pobres les ponen más atención conforme pasan los años, algunos por resguardo de datos y otros, los más inteligentes, porque ven un potencial para impulsar sus economías.
–Alma Romero