miércoles, 25 de noviembre de 2009

Reflexiones sobre la seguridad en la informática (Parte I)

La evolución de la informática ha sido uno de los hechos que más relevancia han tenido en las últimas décadas. La mayor parte de las empresas requieren de una infraestructura informática y de telecomunicaciones para poder realizar sus trabajos diarios, lo que ha conllevado a poder aumentar su eficiencia, competencia y especialización en el sector y ha llegar a un mayor número de clientes. Vivimos en la sociedad de la tecnología y de internet.

Según el estudio DigiWorld 2009 elaborado por ENTER en colaboración con IDATE, los sectores económicos mundiales basados en las TIC han vivido una etapa de crecimiento del 5,9%, generando unos beneficios de 902.000 millones de euros sólo en Europa.

Todos estos beneficios deben ser protegidos debidamente, al igual que cualquier trabajador guarda su sueldo en la caja fuerte de un banco. Para proteger los beneficios de las empresas es necesario invertir en seguridad. Con este motivo nació hace varios años un nuevo sector, el sector de la seguridad informática, que el año pasado generó más de 640 millones de euros en nuestro país.

El sector de la seguridad informática está aumentando considerablemente y cada vez se demandan más profesionales.

Las pérdidas producidas por las empresas debido a ataques hacking también ha aumentado enormemente principalmente debido a toda la información que tiene internet, y que pone en manos de cualquier usuario inexperto verdaderas armas capaces de robar cualquier tipo de información de las empresas mal protegidas. Por ello, los procesos de auditorías de seguridad son cada vez más necesarios y más demandados por las empresas.

Para ayudar en los procesos de auditoría de seguridad, han surgido numerosas herramientas, estándares y guías de buenas prácticas como la ISO27001, la OSSTMM y la OWASP.

Los riesgos producidos por una mala securización en los sistemas de una empresa derivan directamente en su margen de beneficios. En el siguiente esquema se puede ver como los fallos de seguridad pueden derivar en pérdidas de dinero, independientemente del tipo de vulnerabilidad que posea dicho sistema:

image

Los dos problemas principales que se han presentado en el gráfico anterior, la vulneración del sistema para modificación de datos y la vulneración del sistema para robo de datos, repercuten directamente en el capital de las empresas.

La vulneración del sistema para modificación de datos implica la malformación del sistema por usuarios no autorizados, o también conocidos como hackers, que puede conllevar desde una simple modificación en el sitio web de la empresa, hasta la eliminación de su base de datos, cualquiera de ellas repercute directamente en la imagen de la empresa hacia sus clientes, produciendo un efecto rechazo en los mismos y consecuentemente perdidas de dinero.

La vulneración del sistema para robo de datos implica que información privada de la empresa puede ser tomada por un extraño, pudiendo ser utilizada para venderse en el mercado ilegal a empresas de la competencia o simplemente para ser publicada en internet y dañar la imagen de la empresa. Aunque pueda parecer más propio de un film hollywoodense, el robo de datos internos para traficar en el mercado negro es por desgracia una práctica bastante habitual y que trae de cabeza a las brigadas de delitos informáticos de los cuerpos de seguridad del estado, que muchas veces acaban solicitando el apoyo de consultoras de seguridad para resolver este tipo de casos.

Está claro por tanto, que la seguridad de una empresa es un tema muy serio, y hay que tomar todas las medidas necesarias para evitar estos posibles problemas antes de que sea tarde. Para ello surgieron hace unos años las consultoras de seguridad, empresas especializadas en realizar procesos de auditorías de seguridad para ayudar a las empresas a securizar mejor sus sistemas y en procesos de análisis forense para averiguar cómo ha sido vulnerado el sistema en caso de que el ataque ya se haya producido.

No hay comentarios: