«La Seguridad de la Información en Latinoamérica aún no tiene un carácter estratégico»
¿Cuál es su visión sobre el estado actual de la Seguridad de la Información en Latinoamérica? ¿Cuáles son las proyecciones para los próximos años a escala de Mercado?
La seguridad de la información en Latinoamérica es, en términos generales y salvo excepciones en verticales como el sector financiero, el de tecnología, o el petrolero, algo inmadura y rezagada respecto a otras regiones del mundo, debido a que las organizaciones aún no le dan la importancia estratégica que ésta tiene.
En otras regiones del mundo, las organizaciones ya reconocen a la información como un activo estratégico para la organización, y debido a ello ven la seguridad de la información como vital para su supervivencia organizacional y como responsabilidad directa de la alta gerencia. Como clara muestra de ello, la función de seguridad de la información en la organización es desligada del área de tecnología (o del área de auditoría, control interno, o cualquier otra área en donde se ubicara) para tener su propia vertical, y pasa a ser liderada por ejecutivos de nivel CXO (CISO o CSO), al mismo nivel que el CEO de la organización, y reportando directamente a la junta directiva.
Asimismo, en este tipo de organizaciones, la práctica de la seguridad de la información se desliga de lo técnico (aseguramiento de plataformas, análisis de vulnerabilidades, pruebas de penetración, firewalls, IDS, antivirus, etc.) para volverse más estratégica. Prácticas como la administración de riesgos, la continuidad del servicio, la continuidad del negocio, y la planeación estratégica de la seguridad de la información se vuelven vitales para mantener un nivel de seguridad adecuado a lo largo del tiempo.
En Latinoamérica, la seguridad de la información aún no tiene ese carácter estratégico (al menos, no de manera generalizada) y sigue siendo responsabilidad exclusiva del área de tecnología. Aún está enfocada en lo técnico, en la infraestructura y en los servicios asociados.
Sin embargo, de manera lenta pero constante ha habido una evolución liderada por la academia, organizaciones como ISACA, la ISO, y sectores empresariales como el financiero, que han empezado a generar demanda por servicios de seguridad más estratégicos en la región y han propendido por hacer que el mensaje de la seguridad como activo estratégico se empiece a difundir masivamente.
El mercado de la región es un mercado en crecimiento y en transformación. En este momento está enfocado en la infraestructura de seguridad y en los servicios técnicos asociados que es sobre lo que hay más demanda. Pero dadas las tendencias actuales, y su comportamiento en los últimos 3 años, el mercado evolucionará de manera rápida hacia una mayor demanda de servicios consultivos y estratégicos, que complementen la excelente oferta de productos y servicios técnicos en la región. Y debido a que cada vez más organizaciones invierten en seguridad, ese crecimiento ha de ser continuo y sostenido.
Ya se está viendo una fuerte demanda por servicios consultivos de seguridad, profesionales de seguridad, una creciente demanda por certificaciones no técnicas ni asociadas a proveedores, y una oferta de servicios consultivos de seguridad en crecimiento.
Desde su punto de vista, ¿Cuál es el error más común que cometen las empresas a nivel de Seguridad de la Información?
Subestimar el riesgo, subestimar su propia dependencia de los sistemas de información y de la información en sí misma, y el impacto que tendría que estos se afectaran.
¿Sobre qué tipo de ataques están poniendo más énfasis para combatir?
Los que se enfocan en procesos y procedimientos, y en el componente humano. Son a los que menos se les invierte y los que son más fáciles de realizar.
¿Qué rol juegan los Gobiernos en Latinoamérica respecto a la Seguridad de la Información? ¿Tienen un papel activo?
Mucho. Temas como el Hábeas Data, la validez de la información y los mensajes digitales, la tipificación del delito informático, el comercio electrónico, la validez de la evidencia digital, la protección de la privacidad y muchos otros más son responsabilidad de los gobiernos de la región. Y aunque se han visto iniciativas de gobierno electrónico en muchos países, en muy pocos se ha visto que esté acompañada de iniciativas claras asociadas a la seguridad de la información.
¿Qué recomendaciones o consejos les daría a los usuarios?
Que vean la información como un activo más de la organización, quizás el más importante. Y que obren en consecuencia.
¿Qué tan inseguro es Internet? ¿Cómo se hace para no caer en la paranoia?
Tan seguro o tan inseguro como uno quiera. Navegar en Internet es como caminar en una ciudad. Todas las ciudades tienen sitios peligrosos y sitios seguros. Hay comportamientos que ponen a las personas en riesgo, y otros que no.
Uno nunca caminaría en el Bronx a media noche con una cámara fotográfica colgando del cuello y luciendo joyas. Pero eso no hace a Nueva York segura o insegura per se.
¿Es una utopía un "mundo" sin hackers y sin ciberdelitos?
Sí lo es. Los sistemas de información siempre serán imperfectos, porque son diseñados y construidos por personas, y las personas son imperfectas. Luego, siempre habrá vulnerabilidades. Y la naturaleza humana llevará a alguien a buscarlas y explotarlas, por diversión, por dinero, o por que sí.
¿Cree que existe un "vacío legal" en Latinoamérica sobre Delitos Informáticos? ¿Qué es lo que está faltando a nivel legislación?
Mucho. Hay dos tipos de delitos informáticos: los tradicionales que ahora se cometen apoyados con tecnología (por ejemplo, la extorsión usando e-mails), y delitos nuevos (por ejemplo, el hacking). Los primeros se pueden castigar con la legislación vigente, pero los segundos no. Hay que tipificarlos e incluirlos en los códigos de procedimiento penal como conductas delictivas. Por supuesto, todo esto sobre la base de que la información digital es válida legalmente (y por ende, la evidencia digital).
Las estadísticas muestras cada vez con más fuerza un elevado índice de ataques internos. ¿Qué políticas se pueden implementar para paliar esta tendencia?
La más importante es la política del menor privilegio. La segunda, la de segregación de funciones.
Existe un gran debate en torno a la privacidad del correo electrónico. ¿Considera correcto que un directivo lea los mails de sus empleados?… Si bien internet ofrece grandes beneficios para los usuarios, ¿Qué es lo peor que trae aparejado su uso?
La cantidad de información basura que nos satura y nos bombardea continuamente. Y también, que con cada nueva tecnología emergen nuevos riesgos para los usuarios, pero éstos no los conocen. Y eso los hace blancos perfectos.
¿Cómo se imagina la situación de los delitos informáticos dentro de 10 años?
A medida que se masifican las TIs, serán usadas más y más para cometer delitos. Así que el delito informático deberá aumentar a medida que pase el tiempo. Pero también los marcos legales de los países y los organismos de control estarán mejor preparados para hacerle frente a esta nueva amenaza. Se hará necesario fortalecer los mecanismos de cooperación transnacionales para hacer frente a delitos electrónicos que por su naturaleza pueden ser realizados desde un país, y afectar a otros.
Roberto Arbeláez, Security Program Manager for LATAM – Microsoft LATAM, puede ser contactado en roberto.Arbelaez AT microsoft.com.
Fuente: Juan Pablo Daniello – infosecurityonline.org