La seguridad informática, asignatura pendiente

El célebre 'Precaución, amigo conductor' es un buen lema a seguir en las autopistas de la información. Los negocios pasan por la tecnología y sobre ésta planean amenazas internas y externas. Un informe de la asesora KPMG revela que en lo que va de año el 87% de las compañías ha sufrido algún tipo de fallo de seguridad. El año pasado, según PricewaterhouseCoopers, las empresas norteamericanas gastaron 310.000 millones de euros debido a las interrupciones del servicio producidas por fallos en la seguridad. A escala mundial, esta cifra se eleva hasta 1,55 billones. Antes de lamentarse y tomar medidas restrictivas hasta el exceso, cada compañía debe plantearse qué valor tienen sus datos y qué nivel de protección requieren. Evidentemente, los requisitos de seguridad de una pequeña web corporativa no son comparables a los de un banco online, pero hay un nexo común: conceder a la información la importancia que se merece.

Entre los pasos necesarios para abordar un proyecto de seguridad figuran: el estudio de la red, análisis de riesgos, formación en seguridad, implantación de las soluciones tecnológicas necesarias y el soporte y actualización de los sistemas. 'No es necesario realizar inversiones cuantiosas', asegura María Sánchez, product manager de Panda Software, 'el mayor peligro es la falta de cuidado'. Así, entre un 80% y un 90% de los virus se difunden a través del correo electrónico, explica Mario Velarde, director general de TrendMicro España y Portugal, lo que exige, además de la protección del servidor corporativo, sensatez en el empleado que los abre. Como dato curioso, en julio y agosto, los virus se multiplican. La razón: los estudiantes de informática disponen de más tiempo libre y los desarrollan para divertirse e incluso para darse a conocer entre las empresas.

La analogía con la seguridad física es evidente. 'De nada sirve gastar dinero en alarmas, porteros y vigilantes, si luego dejas la ventana abierta', compara Antonio Ropero, director general de la consultora de seguridad Hispasec, 'la seguridad total no existe, siempre puede haber un pequeño porcentaje de descuido, pero hay que asegurar los datos tanto como los equipos físicos'. Sobre esta premisa de concienciación, será cada compañía, en particular, la que, de acuerdo con las actividades que desarrolle, deberá buscar la eficacia de su inversión en seguridad, cuyo coste oscila desde 360 hasta 12.000 euros.

Los peligros que amenazan a una empresa son muchos, desde pérdidas de datos hasta la destrucción de sistemas de información, pasando por suplantaciones de la identidad para cometer delitos, sin que se perciba la intromisión. Durante el año pasado, el FBI registró un incremento del 40% en el número de ataques a sistemas tecnológicos.

En gran medida el objetivo prioritario se centra en conseguir bases de datos y la estrategia forma parte de la tendencia, cada vez mayor, a la profesionalización de los piratas informáticos, contratados no sólo por compañías de la competencia, sino, a veces, por la propia empresa, que recibe pingües beneficios por estas ventas encubiertas.

Sin embargo, y por encima de las intrusiones externas y los posibles ataques de los piratas informáticos, normalmente más fascinados por el reto de los datos valiosos y las grandes compañías, el riesgo más común en el entorno de la pequeña y mediana empresa se produce en el ámbito del propio personal interno.

'No son sólo los empleados descontentos, que atentan por motivos económicos o por venganza contra la empresa', aclara Joaquín Rosés, presidente de la asociación Abogados en Internet, sino que el riesgo más frecuente 'es la falta de cuidado en el manejo de los datos'.

Ante estas amenazas, ¿qué armas puede utilizar una pyme? 'En primer lugar, es indispensable disponer de copias de seguridad (backups) actualizadas', recomienda Rodolfo Lomascolo, director general de IPSCA, firma especializada en certificación digital, 'para proteger la red, son idóneos los antivirus (que suelen emplearse cuando el sistema ya se ha contagiado) y los cortafuegos. Hay también medidas avanzadas, como la detección de intrusiones'. Son precisamente los cortafuegos y antivirus, según la encuesta mundial 2002 de Ernst & Young, los que concentran el mayor porcentaje de las inversiones en seguridad, que se llevan alrededor del 5% del presupuesto corporativo. Para la consultora, esta cifra aumentará y también evolucionarán las preferencias en los próximos años, despuntando los sistemas de cifrado de datos, detección de intrusos y redes privadas.

Las pymes no ven claras las ventajas de su inversión en seguridad. 'Cada vez hay mayor conciencia de su importancia, pero la mayoría de las firmas carecen de capital o de expertos en seguridad', detalla Pedro Galatas, director de estrategia de negocio del mayorista Afina, 'una buena opción entonces es externalizar la seguridad, contratando empresas especializadas que, a cambio de una cuota mensual, se encarguen de la estudiar las necesidades, instalar, administrar y gestionar todo la protección necesaria'.

Para José Manuel Cea, director de Check Point, 'lo idóneo es disponer de una solución integrada por cortafuegos y red privada (VPN) y subcontratar el resto (antivirus, filtrado de contenidos, conectividad en intranet y extranet, certificación, etc.) en función a las necesidades de cada momento'.

Esta firma desarrolla, entre otros productos y aplicaciones, sistemas que refuerzan la protección en las conexiones mediante ADSL (línea de alta velocidad). Quienes se sientan atraídos por esta opción, deben ser conscientes de que 'la seguridad más eficaz es la que se adapta a los procesos de negocios concretos de cada empresa; por ello, hay que comprobar si estos servicios genéricos son idóneos para nuestro caso', recomienda Rodolfo Lomascolo.

Creadores de virus, piratas informáticos, espías, ladrones de datos, vándalos... la lista de los ciberdelincuentes aumenta cada día.

El sector de la seguridad es una de las plantas que más crecen en el jardín de la tecnología, cuyos presupuestos actuales son muy ajustados. Para la responsable de Panda, uno de los detonantes que suscitaron mayor interés por este sector fue la extensión del virus I love you. Otro punto de inflexión lo marcaron los dramáticos acontecimientos del 11 de septiembre, que han provocado un espectacular crecimiento en el volumen de negocio de las empresas dedicadas al desarrollo de sistemas de almacenamiento de datos. A pesar de la curiosidad creciente, 'las empresas y organizaciones españolas aún no conceden a la seguridad la importancia debida', sostiene Christian Mariusse, director de Varcity, empresa que distribuye soluciones de seguridad y conectividad, 'las expectativas son buenas, pero no se puede asegurar que las cuantiosas inversiones previstas por las consultoras se materialicen'. Según IDC, el mercado de la seguridad a escala mundial pasará de 14.000 millones de euros facturados en 2000 a 45.000 millones en 2005, gracias al desarrollo de Internet y las operaciones en la Red. Para Forrester Research, el mercado de la seguridad pasará de 6.040 millones de euros en 2001 a 20,877 millones en 2004. En comparación con otros países del planeta, 'España mantiene un nivel equiparable al de los países industrializados, tanto en intrusiones externas como en difusión de virus, ya que para éstos no hay fronteras', comenta María Sánchez; 'sí que hay diferencias en el uso del comercio electrónico, que es menor, y en la legislación'.

Por norma

La Ley Orgánica de Protección de Datos (LOPD), vigente desde 1999 y cuya moratoria finaliza el próximo día 26 de junio, impone deberes sobre la gestión y confidencialidad de los datos personales que se incumplen con frecuencia. Entre ellos, la obligación de declarar los ficheros de datos personales (no sólo datos financieros o de salud, también nombre, dirección o teléfono están contemplados) ante la Agencia de Protección de Datos, la necesidad del consentimiento del afectado para recoger la información y que ésta no se utilice para finalidades distintas de aquellas por las que se obtuvo. Según un estudio de las Cámaras de Comercio, el 95% de las empresas españolas no cumple con esta normativa.

'Normalmente son las pyme, los empresarios autónomos y los profesionales quienes, muchas veces por desconocimiento, incumplen la LOPD, exponiéndose a graves sanciones por parte de la Agencia', aclara el presidente de Abogados en Internet. Las multas varían según su gravedad desde 600 a 600.000 euros y, para Rosés, 'sería lamentable que se llegue a cumplir la ley por las sanciones y no por una mayor concienciación de entidades y usuarios'.

Los datos personales son codiciados por las empresas, 'como las de publicidad y marketing directo, que basan su activo comercial en estas informaciones personales', comenta Noelia García Noguera, abogada de www.portaley.com, 'las ventas de bases de datos están a la orden del día, todos recibimos publicidad sin haber dado nuestros datos pero estas ventas no se denuncian porque la gran mayoría de los afectados desconoce que la ley les protege'. Durante el ejercicio de 1999 las multas impuestas por la APD se elevaron a 11,8 millones de euros y se prevé que sigan en línea ascendente durante los próximos años.