Latinoamérica comienza a formar líderes en Seguridad Informática

Aunque los ataques corporativos son corrientes en Latinoamérica, la seguridad
informática resulta hoy por hoy una herramienta nueva para las grandes
compañías, y sobre todo, para las pequeñas.

La necesidad de una asidua actualización, producto de la evolución constante
de los ataques, y la necesidad de toma de conciencia en la región de su
importancia es básica para los especialistas.

Por eso existen en la región políticas de capacitación y concienzación, una
de ellas es la
Academia
Latinoamericana de Seguridad, respaldada por
Microsoft Latinoamérica y el
Instituto Tecnológico y de
Estudios Superiores de Monterrey (ITESM
) con el apoyo de ISEC (Information
Security Inc.), cuyo objetivo es la formación de líderes en Seguridad
Informática, que ayuden a crear un ecosistema seguro. Según la institución, los
alumnos son mayoritariamente de México, seguidos por Argentina, Colombia, Perú y
Venezuela.

El mercado argentino de SI

La consultora realizó también una encuesta acerca de las prioridades en la
organización, lo que demostró el tema de la seguridad no tiene una gran
relevancia en comparación con los sistemas de Business, la infraestructura y la
capacitación de usuarios.

Todo ello muestra que el mercado de seguridad argentino está aún en proceso
de madurez, con una proyección para el 2008 del gasto total de IT de 3.630
millones de dólares, cifra que recupera los altos índices registrados en 2001.

La investigación sobre el mercado argentino de IT realizada este año por
Trends Consulting junto a Segurinfo muestra cifras contundentes:
El mercado de IT presenta un volumen de 3.175 millones de dólares, de ese total
88.4 millones corresponden a Seguridad Informática. Un importante aumento, en
comparación al año anterior que registró un gasto en seguridad de 69.8 millones.

Los datos reflejan a su vez que, la prioridad de la Seguridad Informática en
las organizaciones si bien no está en primer plano, se mantiene como un algo a
tener en cuenta.

Reacción o prevención

Hay un cambio de enfoque en la seguridad. En los comienzos, las compañías,
sea cual fuere su tamaño e importancia, se posicionaban desde un punto de vista
táctico de reacción, detectaban las irregularidades y amenazas y respondían a
los ataques, hoy esa visión ya no es suficiente.

“¿Detección o prevención? He aquí la diferencia entre medidas antivirus
activas y pasivas”, afirmó Patrick Bedwell, primer director de marketing de
producto para la prevención de intrusiones en el host de
McAfee.

Para la empresa dedicada a la tecnología de seguridad se ha pasado de la
detección pasiva a la prevención activa: ?El bloqueo de amenazas antes de que
puedan causar daños es muchísimo más importante”, afirmó Bedwell. “Alrededor del
80% de nuestros clientes están instalando bloqueos en nuestros productos.”

Aunque los responsables de seguridad son conscientes de esta necesidad de
prevención y en las grandes compañías sí se lleva a cabo, en la región los
ejecutivos toman medidas de reacción más que de prevención, reflejo de una
realidad latinoamericana, el CIO siempre se encuentra frente a un presupuesto
limitado.

Normas regulatorias
Las empresas deben respetar una serie de normativas. Entre ellas, las más
importantes son: la Sarbanes Oxlem Act (SOX) necesaria si la compañía quiere
cotizar en Bolsa; la Health Insurance Portability and Accountability Act
(HIPAA); Basilea II, o la Gramm-Leach-Bliley Act (GLBA) que establecen un marco
de seguridad para las entidades financieras.

El Banco Central de Argentina obliga a la implementación de normas de
seguridad, pero esto no rige para las compañías que no sean financieras. Lo que
sí se lleva a cabo en las empresas son los llamados marcos de referencia ISO
17799 y el CobIT, donde la meta es lograr una cierta independencia del sector de
seguridad dentro del departamento de IT, esto permite la implementación de los
llamados ?Planes de Contingencia?, utilizados incluso ya por las Pymes.

Esto mismo analizó Ernst & Young en su
novena Encuesta Global de Seguridad Informática, donde afirma que está cambiando
la preocupación empresarial hacia las normas de seguridad, ya que de las 1.200
organizaciones participantes, el 56% de ellas aseguró que el cumplimiento de
regulaciones y la protección de datos es clave.
Paradójicamente, el estudio muestra que, mientras hubo un aumento del respeto
normativo, el 80% de los encuestados afirmaron que la seguridad informática no
se encuentra dentro de las prioridades del CEO.

La responsabilidad del ejecutivo

Los ejecutivos ya han tomado conciencia de las amenazas más comunes como el
malware, el pishing y los troyanos y han comenzado a buscar personal
especializado en seguridad, pero la realidad indica que en la región, para la
mayoría de ellos, la seguridad no es una cuestión de prioridad, y esto se
refleja en la cantidad de ataques que reciben.

Estos incidentes en las empresas latinoamericanas continúan aumentando al
igual que el riesgo de ataques futuros, mientras disminuye la confidencia de los
ejecutivos de poder enfrentarlos, según se desprende del estudio ?Actitudes de
los gerentes de IT de Latinoamérica respecto a la seguridad? realizado por la
firma de investigación independiente Kaagan
Research and Associates
, y patrocinado por
Cisco Systems e
IBM.

?La encuesta reconfirma que la seguridad de los sistemas informáticos ocupa
un primerísimo lugar en las prioridades de los ejecutivos de IT de
Latinoamérica?, aseguró Gastón Tanoira, Gerente de Sistemas de Seguridad de
Cisco Systems en Latinoamérica, ?Sin embargo, las acciones para enfrentar estas
amenazas no se corresponden con los riesgos percibidos?.

El 38% de los ejecutivos entrevistados manifestaron haber sufrido un ataque a
la seguridad informática durante el último año, siendo las compañías mexicanas y
las brasileñas las más afectadas (46 y 42% respectivamente). Paralelamente, 63%
de los ejecutivos entrevistados manifestaron que los riesgos en seguridad
informática habían experimentado un ?aumento dramático? o habían ?aumentado de
alguna manera? en los últimos 3 años.

Para contrarrestar esta situación, se está comenzando a extender el cargo de
Jefe se Seguridad Informática pero implementado como política corporativa sólo
en grandes empresas, en las pymes este puesto es nulo.

Pero lo que no se puede dejar de tener en cuenta es el contexto
latinoamericano en donde trabaja el CIO, es decir, la inestabilidad externa,
aunque progresivamente la región está entrando en una etapa cada vez más estable
económicamente, el responsable de seguridad debe tener una política mucho más
flexible, con teorías menos conservadoras, donde debe ocuparse de tareas del
?aquí y ahora? más que de políticas a futuro, reflejo de la sociedad misma donde
se encuentra.