Seguridad: mucho ruido y pocas nueces
Un estudio de ComputerWorld y Ernst & Young
A pesar de las frecuentes afirmaciones en las empresas expresando un fuerte apoyo a la seguridad de la información, una cantidad sorprendente de compañías no están adoptando las acciones básicas necesarias para protegerse frente a hackers, empleados descontentos y espías industriales . Y la distancia entre las palabras y los hechos parece ir en aumento, mientras los escasos fondos destinados a Tecnología de la Información son absorbidos por el agujero negro de las reparaciones del año 2000 . Estas son algunas de las conclusiones del Estudio Sobre Seguridad Global de la Información realizado por Ernst & Young y ComputerWorld” entre 4 . 255 directores de TI de todo el mundo . Se trata del sexto año en el que Ernst & Young ha dirigido el estudio .
Aunque un 84% de los encuestados afirmaron que la Alta Dirección de su empresa considera que la seguridad de la información es “importante” o “extraordinariamente importante " , los resultados siguientes indican que esa preocupación no se está traduciendo en hechos:
• Un cuarenta y uno por ciento de los consultados dijeron que no tienen normas ni políticas formales sobre seguridad .
• Las tres cuartas partes dijeron que no tienen planes para responder a posibles incidentes .
• Más de la mitad afirmaron carecer de planes para recuperación en caso de desastre .
• Más de una tercera parte señalaron que no monitorizan sus redes en busca de posibles actividades sospechosas .
• Menos de uno de cada cinco utilizan tecnología de encriptación para salvaguardar la información sensible .
El estudio permitió también resaltar un malentendido básico respecto a los peligros para la seguridad de la información . Al pedírseles que identificaran las posibles amenazas a la seguridad, los encuestados que mencionaron a los hackers fueron casi el doble que los que mencionaron a los propios empleados, aunque hay estudios que demuestran que la inmensa mayoría de las infracciones a la seguridad proceden de dentro de la compañía .
Un treinta y dos por ciento de los directores consultados dijeron que la seguridad es el obstáculo más importante al comercio electrónico . ( Un 26% citó como obstáculo en este sentido la tecnología inadecuada, y los aspectos económicos desfavorables fueron mencionados por un 25% ) .
En sus conclusiones, el estudio de Ernst & Young asegura que durante los dos últimos años ha aumentado definitivamente el grado de concienciación respecto a la seguridad . No obstante, muchas personas continúan sin actuar al respecto, y la Alta Dirección no está contribuyendo hasta ahora con los fondos necesarios .
Ataques amistosos
Una forma de conseguir que la dirección de las empresas tome en serio la seguridad de la información es realizar tests de penetración, en los que una compañía utiliza herramientas automatizadas para sondear en sus propios sistemas en busca de “agujeros” en la seguridad . Esto muestra a la dirección los puntos vulnerables que aparecen, y sus implicaciones . Mostrar a la dirección los resultados de los tests de penetración puede ser efectivo, a condición de que los puntos vulnerables a la seguridad estén claramente relacionados con conceptos de tipo comercial . Si se les dice que alguien ha conseguido transferir toda la lista de clientes de una sucursal es seguro que será posible atraer su atención .
Sin embargo, hay al menos un profesional de la seguridad que aconseja a los directores de seguridad transmitir un mensaje positivo siempre que sea posible . La dirección suele cansarse y mostrarse escéptica ante los escenarios pesimistas, sobre todo si la compañía no ha sufrido nunca una pérdida de información .
Otro motivo para odiar el Y2K
El año 2000 es la disculpa más reciente para no asignar fondos a la seguridad de la información . Resulta fácil para la dirección asignar menos fondos a la seguridad, en favor de proyectos como el año 2000, ya que, a pesar de la gran cobertura que se concede en los medios a los hackers, la mayoría de las compañías no están sufriendo este tipo de ataques . En realidad, sólo un 4% de las compañías consultadas afirmaron haber sido “atacadas” desde Internet . Por el contrario, las compañías están sufriendo pérdidas “a la vieja usanza”, como consecuencia de fraudes no relacionados con ataques informáticos . La dirección está decepcionada por haber invertido tanto dinero en seguridad de la información, mientras que después es el contable el que se escapa con los libros .
La consultora Ernst & Young afirma no sentirse sorprendida por el alto porcentaje de encuestados que no tienen normas, políticas ni procedimientos de seguridad . “Una y otra vez observamos empresas en las que no existen esas normas, o han sido desarrolladas para el mainframe sin haber sido modificadas para el entorno cliente/servidor,” aseguran . Sin embargo, las políticas y procedimientos forman la base de toda arquitectura de seguridad, y su desarrollo requiere una inversión relativamente modesta .
Según algunos usuarios consultados, el impulso principal a la seguridad de la información no debería proceder de los directores de sistemas de información, de los profesionales de seguridad de la información, ni siquiera de la dirección corporativa superior, sino de los directores de unidades comerciales, que controlan los productos y servicios de la compañía . En el pasado, el departamento de Sistemas controlaba los datos, pero las personas del área comercial deben comprender que tienen esa responsabilidad .
Muchas personas piensan que la tecnología -paredes cortafuego, herramientas de detección de intrusiones y cosas similares- resolverá sus problemas de seguridad . Sin embargo, si se instala una firewall y un empleado llama a un ex-empleado y le facilita su contraseña, ¿ de qué vale la pared cortafuego ? Otra medida de protección que está ausente con demasiada frecuencia es el plan de respuesta a incidentes de seguridad de los ordenadores . En opinión de Ernst & Young, para conseguir unos planes de respuesta efectivos se requiere utilizar software de detección de intrusiones .
Los sistemas de detección de intrusiones pueden monitorizar las redes en busca de actividades sospechosas, como la repetición de intentos fallidos de conectarse al sistema ( log-on ) . El estudio parece sugerir un fuerte aumento en la utilización de alarmas . Sólo un 19% de las compañías consultadas no sabían si habían sido atacadas con éxito a través de la Internet, frente a un 42% el año anterior .
Mejores herramientas
Los resultados de la encuesta muestran que los profesionales de TI se están sintiendo más satisfechos con los productos de seguridad, y sólo un 18% dicen que las herramientas son “el principal obstáculo para resolver los problemas de seguridad . ” El año pasado, un 31% habían afirmado eso mismo . Las herramientas de gestión de sistemas de empresa, integradas con productos de detección de intrusiones y firewalls, están ofreciendo unas capacidades sin precedentes a los especialistas de seguridad de la información . Sin embargo, aún se requiere una mejor integración entre herramientas y productos para conseguir una gestión centralizada, como por ejemplo el control de las contraseñas .
Según la encuesta, la criptografía es un área que no ha sido aún muy explotada por los usuarios . Un 17% de ellos utiliza encriptación de datos para seguridad Internet, un 4% utiliza firmas digitales, y un 5% utiliza certificados digitales . Uno de los motivos es que resulta difícil superponer la tecnología encima de aplicaciones para las que no hay disponible codificación fuente . Otro motivo es que con frecuencia los usuarios adoptan un enfoque de “protección dura” respecto a la seguridad, pensando que si algunas cosas como las firewalls
