|
P
ero parece ser que todos están tan enfocados en ganar dinero que nadie se preocupa por cuidarse de la nueva generación de ladrones.
Es como comprar un seguro para un automóvil: el beneficio del gasto no se aprecia hasta que se necesita. Desgraciadamente la seguridad en internet sufre del mismo problema y al parecer pocos lo están tomando en cuenta.
Este año, el FBI a través del IPCIS (Infrastructure Protection and Computer Intrusion Squad) realizó una investigación a 500 organizaciones de EE.UU. Resultó que el 90% de ellas sufrieron alguna especie de ataque informático en los últimos 12 meses y, aún así, 32% de ellas ni siquiera sabían acerca del ataque. Las pérdidas de estas organizaciones se reportaron alrededor de los $260mdd.
Lo peor del caso es que la problemática de la inseguridad es más profunda de lo que parece pues no se puede resolver simplemente instalando software o hardware de seguridad. Aparte del aspecto técnico, también está el social, académico, de recursos humanos y hasta moral.
Empezando por la tecnología, los retos para proteger la información yacen en la naturaleza misma de internet: el protocolo TCP/IP. La facilidad de conexión que éste permite incrementa la vulnerabilidad de los equipos. Después hay que lidiar con software mal hecho que resulta vulnerable por tener "bugs"; y a veces la complejidad técnica de éstos no permite arreglarlos con facilidad.
Socialmente también hay problemas, ya que la cultura de la seguridad es casi inexistente en muchas empresas de Latinoamérica. La teoría dice que en cuanto a seguridad siempre se debe actuar preventivamente, pero la triste realidad es que los encargados de TI suelen actuar correctivamente.
De las universidades ni se diga, pues tal parece que se dedican a forjar profesionistas listos para producir y administrar la información, pero no para protegerla. Existen muy pocos investigadores de seguridad informática en Latinoamérica, y la mayoría de ellos no tiene tiempo para enseñar. Aún cuando enseñan, las clases son un arma de dos filos ya que pueden ser usadas tanto para proteger como para atacar.
Pero no todo está perdido, todavía se puede enderezar el camino si existen el compromiso, la voluntad y, sobre todo, la paranoia suficientes. Lo primero es abordar el factor humano. Hay que asumir responsabilidades y cumplirlas ya que toda tecnología de protección requiere de un ser humano que la administre continuamente.
En cuanto a la estrategia, siempre es bueno tomar el mundo real como base para el mundo virtual. De aquí nace el modelo cebolla (en capas) que empieza por seguridad perimetral, seguridad en el sistema operativo, seguridad en la programación e incluso hasta el empleo de criptografía en documentos importantes.
En el mundo de internet parece haber una escasez de desconfianza. En la investigación del IPCIS, el 78% de los ataques fueron hechos por personal interno. Es increíble que en estos tiempos todavía se presente el típico caso del empleado al que despiden pero no desactivan sus cuentas de acceso. Lógicamente es muy probable que el desempleado encorajinado abuse de esta situación.
También es importante no vendarse los ojos con falsos dispositivos de seguridad. El candadito o la llavecita que aparece en el navegador al comprar en una página "segura" sólo garantiza la seguridad de los datos durante la transmisión. Una vez que la información llega al servidor de la tienda vuelve a quedar totalmente a merced de los criminales dependiendo de la seguridad que el servidor tenga.
A los grandes ya les pasó, CD Universe fue víctima de un ruso que logró burlar la "seguridad" del servidor y robó más de 350,000 números de tarjetas de crédito. Después pidió a la compañía $100,000usd para no publicar los números, cuando CD Universe se negó, los 350,000 números fueron publicados en una página de internet obligando a American Express y Discover a reemplazar las tarjetas comprometidas.
El caso es que siempre va a haber personas motivadas y con tiempo suficiente para encontrar y explotar vulnerabilidades, por lo tanto, es importante invertir en empleados que tengan suficiente experiencia en el campo y que sepan integrar diferentes métodos de protección.
Si usted se encuentra en el proceso de desarrollar una estrategia de comercio electrónico, dedíquele tiempo y recursos a la seguridad (considérelo una inversión). Cuando un proveedor le garantice "seguridad", verifíquelo tres veces antes de creerle. Y la próxima vez que alguien lo llame paranoico, considérelo un cumplido.
|
