Sala de Prensa

Cristián Lefevre

Cristián Lefevre

Negocios, empresas y estrategia EY.

Rubén López

Rubén López

Assurance

Horacio Bustos

Horacio Bustos

Temas regionales

Eliminado

Eliminado

Riesgos corporativos

Eliminado

Eliminado

Tecnología de la información

Ver todos

Negocios, empresas y estrategia EY.

Cristián Lefevre

Negocios, empresas y estrategia EY.

Assurance

Rubén López

Assurance

Temas regionales

Horacio Bustos

Temas regionales

Riesgos corporativos

Eliminado

Riesgos corporativos

Tecnología de la información

Eliminado

Tecnología de la información

Ver todos

Sala de Prensa

21 de Agosto, 2014

Protegiéndose de los enemigos internos

Imagine el siguiente escenario: en un diminuto pendrive viajan todos los datos de sus clientes, incluyendo históricos de pedidos y precios, hacia las oficinas de su mayor rival comercial. ¿El culpable? Un empleado “disconforme” con su política de aumento de sueldos. Aunque pueden sonar como una novela “cyberthriller”, este escenario puede estar sucediendo al interior de varias organizaciones locales.

“Si bien es cierto en los últimos años aparecen nuevas amenazas sobre la seguridad de la información, la realidad de las empresas nacionales es muy diversa. Por ejemplo, muchas compañías aún no tienen sistemas de gestión asociados a la seguridad de la información, y por lo tanto, no abordan en forma sistemática el problema. Si no existen políticas y procedimientos sobre la seguridad, es difícil que existan controles efectivos que mitiguen los principales riesgos a los que están expuestas las empresas”, señala Raúl Monge Anwandter, Director de Departamento de Informática y Director del Magíster en Tecnologías de la Información de la Universidad Técnica Federico Santa María (UTFSM).

Al respecto, Marcelo Zanotti, Socio de Consultoría en Gestión y Tecnología de EY (ex Ernst&Young), afirma que en el ámbito local existe conciencia de la importancia de la seguridad de la información, pero que frecuentemente no se asume como una inversión, sino como un gasto. “Incluso creo que se tiende a minimizar el impacto que puede tener una fuga de información o un incidente de seguridad. Generalmente estos acontecimientos, cuando ocurren, afectan gravemente la reputación de las empresas”, indica.

Al respecto, Nicolás Boettcher, Académico de la Escuela de Informática y Telecomunicaciones de la Universidad Diego Portales, tiene una visión similar: “Dado que existen pocos recursos para preocuparse de la seguridad, no se implementan las herramientas necesarias para prevenir ataques. El típico ‘no creo que nos pase a nosotros’, es precisamente lo que buscan los atacantes y les facilita el trabajo al momento de realizar un ataque. Otro aspecto importante es que no se obliga a las empresas a implementar los mecanismos mínimos necesarios para proteger los datos de los clientes, por lo que la seguridad muchas veces dependerá del que las implementa, lo que muchas veces puede depender de un alumno practicante”.

En tanto, Juan Carlos Márquez, Ingeniero de Proyectos de Infocorp, añade que “hoy en día, lo que está pasando es que muy pocos atacan para hacer daño, sino que el objetivo es robar información para venderla. El robo de información se hace tratando de explotar las vulnerabilidades que tienen las empresas o sus servicios o a través de ingeniería social”.


El enemigo interno
Cuando se habla de seguridad informática, se supone que los principales riesgos provienen desde el exterior de la organización, pero –como sostiene Zanotti- las amenazas internas son más comunes de lo que solemos creer. “En nuestra ‘Encuesta anual de Seguridad de la Información en Chile’, entre las amenazas y vulnerabilidades que han aumentado en los últimos 12 meses, figuran en primer lugar, con casi el 80% de las menciones, los empleados descuidados o no concientizados. Normalmente, ese es el eslabón más débil en la fuga de información o ataques de seguridad”, añade.

Al respecto, Miguel Varas, Jefe de Recursos Técnicos del Departamento de Informática de la UTFSM, comenta que si bien un alto número de ataques (muchos de ellos “de fuerza bruta”) vienen desde el exterior, “muchos ataques son generados desde el interior de las empresas, donde los empleados (o exempleados) violan accesos y ejecutan operaciones no autorizadas con un mayor conocimiento que tendría un hacker “tradicional”, lo que los hace muy peligrosos. Un alumno que repruebe algún ramo en alguna universidad, un empleado despedido, el típico ‘papel amarillo’ pegado en la pantalla del computador con datos de acceso a sistemas internos, son, entre otros, potenciales riesgos al interior de la empresa”.

“Por esta razón, hay disponibles herramientas que se dedican al DLP (prevención de pérdida de datos) que monitorizan cada estación de trabajo en busca de la fuga de información, que muchas veces pueden ser listas de clientes que algún trabajador está vendiendo a la competencia”, añade Boettcher.


El phishing
En este sentido, el phishing (la suplantación de identidad obteniendo claves y datos que permitan pasar por otra persona), es uno de los fraudes informáticos más comunes en la banca latinoamericana. De acuerdo a Marcelo Román, Gerente General de la Asociación Chilena de Empresas de Tecnología de Información (ACTI), las entidades financieras ya están trabajando para reducir su impacto. “En el caso del phishing –que en Chile comenzó en 2007-, se está trabajando para implementar la firma de transacción que usa parámetros de autenticación único contra las credenciales del usuario hacia el banco, entre ellos el uso de códigos QR para verificar. Ello también se llevará a los dispositivos móviles, como los smartphones donde también se está pensando utilizar los códigos QR”.

“El fraude en Internet es un proceso adaptativo. Al igual que las Tecnologías de la Información, quienes cometen fraude también están en proceso de evolución permanente. Descubierto un sistema o forma de defraudar se migra hacia otra fórmula, para burlar los sistemas informáticos diseñados para descubrir estas actividades delictivas”, aclara.

Fuente: Revista EMB Dinero