Los riesgos para la seguridad informática de las personas y las organizaciones no son nuevos, aunque este año han dado un salto en cantidad y peligrosidad –o, por lo menos, ahora son más visibles que nunca–, con organizaciones globales como Anonymous y WikiLeaks, y con la consolidación de las mafias organizadas. Por ello, mejorar la prevención y reacción ante ataques informáticos es hoy una prioridad para los Estados, las personas y las organizaciones de todo tipo.
En este punto surgen preguntas de todo tipo: ¿Están preparados los gobiernos latinoamericanos para proteger la información nacional? ¿Los empresarios son conscientes de la importancia de resguardar sus datos? ¿Qué se debe tener en cuenta para asegurar la información y no caer en una falsa sensación de seguridad?
Estos fueron algunos de los temas que tuvieron lugar en el marco de la decimosexta edición del Congreso Interamericano de Seguridad de la Información, SegurInfo, el evento anual más importante en este campo en la región, que por primera vez se hacía en Colombia. SegurInfo, liderado por Gustavo Majerowicz, presidente del Comité Académico de SegurInfo, y organizado por la Asociación Argentina de Usuarios de la Informática y las Comunicaciones (Usuaria), se realiza desde hace varios años en Argentina, Uruguay, Chile y Ecuador, y en esta primera vez en Colombia contó con más de 700 asistentes.
El congreso ofreció conferencias y paneles con expertos de seguridad en diferentes campos, dirigidos especialmente a la alta gerencia y a responsables de tecnología y seguridad informática en el sector gobierno, las grandes organizaciones y las pymes. Entre los participantes se destacaron la viceministra para Estrategia y Planeación del Ministerio de Defensa Nacional, Yaneth Giha Tovar; el director de la firma Abalid Abogados, Andrés Guzman; Luidmila Riano y Marlon Jabbur, de Ernst & Young Brasil; el director de revista ENTER.CO, Guillermo Santos; el ingeniero Luis Alberto Leguizamón Delgado, de Redeban Multicolor; Eduardo Martínez de la Oficina Nacional de Tecnologías de la Información de Argentina, y Joaquín Rodríguez Varela, coordinador del Laboratorio ESET Latinoamérica, entre otros expertos.
Andrés Guzmán, presidente de la firma Adalid Abogados y miembro del consejo académico de SegurInfo, habló de la seguridad en las empresas, la intimidad de los empleados y el aseguramiento legal de datos, y también se refirió a las autoridades: “Los Estados no tienen los suficientes conocimientos técnicos y legales para hacer investigaciones, por lo que es importante señalar que algunas conductas normalmente pueden ser delitos comunes, como es el caso de un hurto que hoy se puede cometer usando como medio Internet, así como sucede con las amenazas, injurias, calumnias, entre otros”.
Por su parte, el ingeniero Luis Alberto Leguizamón, de Redeban Multicolor, habló sobre los problemas de seguridad de la banca móvil, y aseguró que una solución es la SIM Browsing, que ofrece seguridad al usuario, pues todas las transacciones intercambiadas entre el dispositivo móvil y el sistema central se cifran de manera dinámica.
Sobre la tercerización (outsourcing) de servicios de seguridad se desarrolló un panel en el que se pretendía ofrecer una visión sobre las ventajas y desventajas de dejar en un proveedor externo el manejo de la seguridad informática. Joaquin Rodríguez, coordinador del Laboratorio de ESET Latinoamérica situado en Buenos Aires, destacó que con la tercerización las organizaciones ganan en calidad de servicio, tiempo invertido en capacitación y en trabajo del personal y foco en el verdadero negocio. Además, enfatizó sobre la necesidad de tercerizar el servicio de seguridad siempre y cuando exista un acuerdo previo de no divulgación que contemple cómo se va a manejar la información, y después de finalizar el contrato establecer cuánto tiempo va a permanecer esa información en manos de la empresa de seguridad informática.
Por su parte, el ingeniero Omar Calvo habló sobre la importancia de la confidencialidad e hizo referencia a la necesidad de que los responsables de tecnología de las empresas estén permanentemente actualizados, para responder de manera oportuna a cualquier eventualidad. Con respecto a la tercerización, Calvo insistió en que es importante determinar qué información puede salir de la organización, pues hay aspectos que por confidencialidad o por razones legales no pueden estar al alcance de un tercero y no se deben delegar.
Guillermo Santos, de ENTER.CO, dio una conferencia sobre la ingeniería social, que según él es una forma más fácil de hackear, pues pocas personas tienen conciencia de este tipo de ataques y es altamente efectiva. Hizo referencia a las conductas típicas del ser humano por las que es mucho más fácil implementar este tipo de ataques, tales como la ilusión de invulnerabilidad, la tendencia a confiar en terceros, la pereza de aplicar los protocolos de seguridad y la subestimación del valor de la información. Además, habló sobre la forma en que los hackers que utilizan la ingeniería social recolectan la información a través del uso de Internet, del barrido de correo basura o del phishing.
La informática forense también tuvo su espacio en SegurInfo. Marlon Santos Jabbur, director ejecutivo de la Práctica FIDS (Fraud Investigation and Dispute Services), habló sobre la forma como es detectado un fraude en las empresas, afirmando que según datos del informe de ACFE sobre fraude corporativo, el 40,2% de detección del fraude ocupacional se establece mediante denuncia.
Así mismo, durante la conferencia estableció que la comunicación por correo electrónico de los empleados puede ser un fuerte indicador de la ocurrencia de casos de fraude que involucran a los miembros de la empresa. Al abordar este tema, Santos Jabbur aseguró que las empresas mundiales pierden el 5% de sus ingresos anuales debido a eventos de fraude. “Para detectar un fraude hay que estar atentos y hacer auditorias externas e internas, revisión, análisis de documentos, monitoreo y vigilancia», dijo.
En cuanto a la estrategia nacional en ciberseguridad y ciberdefensa, la viceministra para Estrategia y Planeación del Ministerio de Defensa Nacional, Yaneth Giha Tovar, habló sobre la necesidad de trabajar en una política en este campo y puso en la mesa tres ejes bajo los que trabajarán para mejorar la capacidad del Estado a la hora de enfrentar las ciberamenazas.
En primer lugar, la viceministra hizo referencia a la necesidad de contar con una institucionalidad apropiada, hecho que se centraría en la creación de un grupo del Ministerio de Defensa Nacional integrado por funcionarios civiles, personal militar y en comisión de otras entidades. Este grupo contará con el apoyo del Centro Cibernético Policial (CCP), que estará encargado de la ciberseguridad del territorio colombiano. Del mismo modo, planteó la necesidad de capacitar a nivel nacional al sector público y privado, en especial a los funcionarios directamente involucrados, sobre temas de ciberseguridad y ciberdefensa, y como último eje, mencionó la legislación y la cooperación internacional. Sobre este punto, afirmó que el Ministerio del Interior y de Justicia, en coordinación con el Ministerio de Defensa Nacional y el Ministerio TIC deberán elaborar un documento en el que se analice la normatividad actual y se propongan las modificaciones pertinentes en materia de seguridad de la información y protección de datos para prevenir el ciberdelito. Estos lineamientos de política de ciberseguridad y ciberdefensa se encuentran disponibles en línea en el sitio web del Departamento Nacional de Planeación.
Más información sobre SegurInfo, en el sitio web oficial.
Es prioritario que compren los servicios que ofrecemos, y claro que es muy conveniente también.