A lo largo de la historia la seguridad en los sistemas informáticos se ha tomado de una forma muy superficial, como si fuera un problema que afectaba a círculos reducidos y no se han tomado nunca las medidas necesarias para erradicar un problema que siempre ha ido a más. Francisco Valencia, director general de Secure&IT, nos habla de ello.
En 1942 Japón vio cómo se destruían cuatro de sus principales portaaviones por un problema criptográfico. Las consecuencias fueron la pérdida del dominio japonés en el Pacífico. En 1988 un joven estadounidense inventa el primer Worm (Gusano) de la historia aprovechando algunas vulnerabilidades de UNIX. Consiguió en pocas horas infectar miles de ordenadores con un nivel de efectividad impresionantes. Más recientemente, en el año 2005, un hacker consiguió penetrar en los servidores de las principales entidades financieras y accedió a un listado de 40 millones de usuarios de tarjetas de crédito. Saltaron todas las alarmas y se empezó a respetar la “profesión” de hacker y a diseñar protocolos para evitar este tipo de ataques y superar sus efectos en caso de producirse.
El caso más reciente son los ataques cibernéticos a la compañía Sony Pictures, primero con un hackeo masivo que permitió el robo de 100 terabytes de datos y la filtración de películas de estreno y datos comprometedores de altos mandatarios de la compañía e incluso estrellas de cine y también con el bloqueo de la “Playstation Network”.
Son sólo unos ejemplos de la destrucción que puede originar una seguridad deficiente en los sistemas de información a nivel mundial. Sin embargo, a pesar de casos tan impactantes como los descritos anteriormente, las empresas continúan un tanto reacias a englobar la ciberseguridad dentro de las tecnologías de la información. Hace veinte años los riesgos eran mínimos y no había hackers con los conocimientos suficientes. Las empresas por tanto, no tenían entre sus prioridades la inversión en seguridad de sus sistemas de información, de hecho en las universidades no había asignaturas relacionadas con este tema.
Pero la aparición de las nuevas tecnologías y la era de la globalización y digitalización ha cambiado por completo el panorama. El número de amenazas y vulnerabilidades se ha disparado y las pérdidas económicas de las empresas empiezan a ser preocupantes. Según un reciente estudio publicado por Kaspersky Lab’s, en el último año, el 91% de las compañías sufrieron algún incidente externo de seguridad TIC y el 85% sufren diversos incidentes internos. Las pérdidas ocasionadas por estos problemas, sin duda son mucho superiores a la inversión en seguridad que deberían haber hecho previamente.
Las empresas podrían vivir sin seguridad (sería una elección, muy arriesgada, pero una elección al fin y al cabo), sin embargo no pueden sobrevivir sin sus comunicaciones y aquí es donde la nueva era se impone, porque la mayoría de comunicaciones son online, incluso hay muchas empresas que funcionan única y exclusivamente en la red como el caso de los e-commerce. Por tanto una buena política de seguridad es totalmente necesaria para cualquier organismo público o privado que desee desarrollar su actividad sin sobresaltos.
Las auditorías y consultorías de seguridad son muy importantes para conocer y valorar los riesgos de la entidad y poner soluciones inmediatas. Un buen análisis y gestión de riesgos, junto a herramientas como el llamado “hacking ético” o la implantación de planes directores, son servicios cada vez más demandados a empresas especializadas en seguridad cibernética.
A nivel de seguridad IT, procedimientos como la implementación de Firewalls (de red y de aplicación), antivirus, antispam, antimalware, IPS/IDS, concentrador de VPN y muchas otras herramientas de seguridad, son de vital importancia para una protección óptima de cualquier entidad.
Por tanto, pensamos que la inversión en ciberseguridad debe ser no sólo una opción, sino una prioridad para instituciones y empresas. La contratación de compañías especializadas en la materia y la confianza en la innovación tecnológica para detectar y solventar cualquier posible ataque, debe ser la tendencia actual si queremos elevar la seguridad de todas los sistemas de información.
