La buena noticia: una “radiografía” global de la seguridad de la información muestra el inicio de una innovadora fase de transición en la manera de entender los procesos de seguridad IT. Para los profesionales del ramo, implica pasar de una preocupación reactiva, enfocada en el simple combate del malware, a lograr una ocupación más proactiva, caracterizada por la evaluación sistémica de riesgos.

La mala noticia: quien establece cómo evaluar la seguridad regularmente no es la misma persona que determina sus prioridades de inversión en la empresa. El desfase entre islas decisorias en la alta dirección puede volver arduo el trabajo de conservar a salvo los activos intangibles de la organización. Por tal motivo, debe mantenerse la guardia en alto en todos los frentes ante la evolución de las amenazas, tanto internas como externas.

Estas son algunas de las principales conclusiones derivadas del Informe Anual de Seguridad de la Información 2008 , elaborado por InformationWeek México y que se basa en una encuesta ejecutada por Netmedia Research en junio pasado, contando con la participación de 139 profesionales IT de empresas medianas y grandes en todo el país.

LOS ENEMIGOS A VENCER. En el campo de los principales problemas que todavía quitan el sueño a los encargados de la seguridad IT, permanecen como una constante los virus, los gusanos y los ataques a las vulnerabilidades del sistema operativo, las cuales encabezan el listado de los problemas que aquejaron a las organizaciones en materia de seguridad en el último año, de acuerdo con la encuesta de Netmedia Research (ver Gráfica 1, “De nuevo ganan los virus”). La misma tendencia se observaba en la encuesta anual del año pasado (ver “Bomba de Tiempo”, InformationWeek México núm. 169, septiembre 2007), cuando los ataques más significativos fueron los virus y gusanos, con 62% de las respuestas.

Coincidentemente, en el informe que realiza con este mismo tema la publicación hermana InformationWeek, mediante encuestas elaboradas en Estados Unidos, se muestra que los virus, el phishing y los gusanos continúan causando agudos dolores de cabeza a las empresas, por lo que éstas seguirán invirtiendo prioritariamente en herramientas convencionales: firewalls y protección antivirus.

La prioridad sólo cambia en el caso del spam, que cede su posición frente a la preponderancia que hoy en día toman las debilidades descubiertas en el sistema operativo, principalmente en Windows. Este tipo de dificultades no es para nada desdeñable. De acuerdo con McAfee AvertLabs, desde el lanzamiento de Windows Vista se ha informado ya de 19 vulnerabilidades, y son de esperar muchas más durante el resto de 2008 y los años por venir.

En esta edición, el Informe Anual de Seguridad 2008 de InformationWeek México también deja claro que el enemigo está en casa. El 33.1% de los encuestados concentra sus principales sospechas en empleados/usuarios autorizados, en cuanto a posibles intrusiones; el 25.9%, en usuarios no autorizados, y el 24.5%, en empleados no autorizados (ver Gráfica 2, “El enemigo es interno”).

De nuevo, la convergencia con los resultados globales registrados en el estudio elaborado en Estados Unidos por InformationWeek es notable. En efecto, en la encuesta estadounidense se establece que “mientras el criminal de computadora anónimo es la fuente más terrorífica, los usuarios internos son la amenaza más grande porque tienen confianza, acceso y conocimiento”.

La tendencia global detectada por Netmedia Research tiene pleno respaldo en otros hallazgos empíricos, realizados por empresas especialistas como Mattica. De acuerdo con esta consultora, más de 80% de los robos de secretos industriales y de propiedad intelectual son efectuados por los propios trabajadores de las empresas.

¿Qué tan relevante es el robo de información por parte de empleados y usuarios internos? Mucho. Según un estudio patrocinado por McAfee (Datagate: The Next Inevitable Corporate Disaster), 61% de los encuestados concluye que la fuga de datos es responsabilidad de las personas que laboran al interior de las propias compañías.

¿Cuál sería el perfil del defraudador promedio? Para KPMG, se trata de un varón de entre 36 y 55 años de edad, en posición directiva, con más de seis años de antigüedad en la compañía, empleado en departamentos como Finanzas.

El criminal de cuello blanco saca provecho de una seguridad inapropiada, así como de deficientes o nulos mecanismos de control y rendición de cuentas; comete los hurtos de manera repetida y sin recibir ayuda. Su principal motivación es el dinero (47% de los fraudes registrados se cometieron por razones de avaricia).

HACKERS, A LA BAJA. Al tiempo que los empleados y usuarios internos se convierten en los sospechosos centrales, los muy temidos hackers van retrocediendo. En la encuesta de Netmedia Research para el actual informe, el temor por dichos individuos cayó hasta la cuarta posición, con 21.6% de los respondientes considerándolos fuentes de intromisión. La cifra representa un retroceso de 10.4 puntos porcentuales con relación a los resultados obtenidos en el ejercicio de 2007, cuando ocuparon la primera posición en materia de accesos ilícitos (con 32% de las respuestas).

El crimen organizado como fuente de intromisión era otra de las opciones en la encuesta que se ilustra en la gráfica “El enemigo es interno”, la cual obtuvo apenas 1.4% de las respuestas. Pero tal vez no habría que estar tan confiados. De acuerdo con investigaciones de Trend Micro, los hackers están intensificando sus ataques a sitios Web legítimos, mientras que una industria subterránea de código malicioso (con ejemplos como la Russian Business Network o la banda internacional ZLOB) está conformando todo un mercado criminal que prospera al explotar la ingenuidad de los internautas.

Asimismo, la acción de los hackers no sólo se está dando en sitios Web, sino que ha explotado nuevos “nichos de mercado”, como los dispositivos móviles, que ahora están en riesgo de sufrir casi los mismos tipos de amenazas (virus, spam, troyanos y demás). Los gadgets con capacidades Wi-Fi y Bluetooth se van convirtiendo poco a poco en las principales fuentes de fugas de datos y en los portadores potenciales de infecciones a través de los perímetros de la seguridad.

De hecho, los investigadores de McAfee AvertLabs pronostican un aumento de amenazas a Internet y al sistema operativo Windows Vista, al tiempo que prevén la disminución de programas publicitarios (adware).

Al respecto Jeff Green, vicepresidente senior de McAfee AvertLabs, menciona: “Los criminales profesionales y organizados siguen impulsando gran parte de la actividad maliciosa y, a medida que se vuelven más sofisticados, hay que estar más atentos y seguros cuando se navega en Internet”.

AVANCES Y PREOCUPACIONES. De acuerdo con la encuesta de InformationWeek México, los efectos centrales de los ataques tienen que ver, principalmente, con la afectación a la confidencialidad de la información (47.5%) en primerísimo lugar (ver Gráfica 3, “Los principales daños”), seguida muy de lejos por la pérdida o daño de otros registros internos (15.8%) y la posibilidad de experimentar daños financieros menores (15.1%).

Al respecto, Carlos Chalico, socio director del área de Control y Administración de Riesgos Electrónicos (CARE) de la consultora Ernst & Young, considera que la seguridad se está comenzando a ver como un tema de conveniencia del negocio, más que como un tema de exigencia regulatoria. “Su principal habilitador en 2008 es proteger la privacidad de los datos; el cumplimiento ha pasado a segundo término”, dice.

Para proteger la confidencialidad de la información en México, la herramienta de mayor uso consiste todavía en el empleo de contraseñas básicas de usuario. Así lo determina el 78.4% de las respuestas obtenidas por la encuesta realizada por Netmedia Research. De acuerdo con la encuesta de la publicación hermana, InformationWeek, la situación en Estados Unidos no es muy diferente, pues las compañías también están rezagadas en implementar herramientas de cifrado para proteger datos de clientes y empleados.

A futuro, se espera que las perspectivas cambien. Según los resultados de la encuesta elaborada en México, la prioridad para el año entrante es mejorar a través de innovadoras herramientas como la seguridad de las aplicaciones Web, con 51.1% de las respuestas; le siguen la instalación de mejores controles de acceso (44.6%) y la implementación de software de monitoreo (42.4%).

El proceso para determinar el conjunto de riesgos y amenazas en las organizaciones participantes en el presente informe se percibe como una responsabilidad de naturaleza más compartida, liderada por la figura del jefe de seguridad informática (CSO), de acuerdo con 41.7% de los encuestados (ver Gráfica 4, “¡Quién manda aquí!”). El cambio es significativo, sobre todo si se considera que en el estudio del año pasado, sólo 23% de los participantes consideró que este profesional llevaba las riendas del proceso.

En segunda posición a la hora de establecer políticas se ubica el equipo IT interno (sin CSO), con 31.7% de las respuestas. Destaca aquí el papel todavía hegemónico que desempeñan otros miembros internos de la alta dirección no especializados en el área, como el CIO y el vicepresidente IT como responsables de la conformación de políticas al interior de los equipos de trabajo.

Esta tendencia encuentra validación en otros estudios realizados. De acuerdo con Douglas Wallace, director de ingeniería de sistemas de Symantec para América Latina y El Caribe, y con base en una encuesta realizada por Symantec en 2007 sobre la integridad de la información para la pequeña y mediana empresa (PyME) en Argentina, Brasil, Chile, Colombia y México, a nivel regional existen dos tendencias en cuanto a la forma en la que se delega la responsabilidad del área de sistemas en las empresas: la interna y la externa. “En países como México y Brasil la responsabilidad tiende a ser de manera interna (98% y 97% respectivamente, de las muestras de cada mercado), mientras que en países como Argentina, Chile y Colombia, existe una mayor tendencia al outsourcing, reduciendo el porcentaje de responsabilidad interna hasta en 75%.”

Ahora bien, la evaluación de las políticas contrasta con el quién lo hace. De acuerdo con los resultados de la encuesta local, los CIO, vicepresidentes y directores IT aún son responsables a la hora de determinar las políticas de seguridad en las empresas en 18% de los casos. En tanto, los presidentes, CEO y directores generales participan como responsables en casi 8%, mientras que en el ejercicio de Netmedia Research del año pasado la cifra alcanzaba 27%.

La mayor descentralización y especialización en la toma de decisiones contrasta todavía más con la concentración en la determinación del gasto. Aquí las prioridades cambian, pues los presidentes, CEO y directores generales –que determinan la política de seguridad en 7.9% de los casos–, establecen el gasto a realizar en 14.4%. Y los CIO, vicepresidentes y directores IT, que son los que participan más activamente en el establecimiento de políticas (con 18% de las respuestas), definen el gasto en la misma proporción: 14.4%. En contraposición, los jefes de seguridad de la información, que participan en la determinación de las políticas en un 8.6%, apenas tienen decisión sobre los dineros (con 2.9% de las respuestas en el ramo de gasto).

De esta forma, existe una relación inversamente proporcional entre la determinación de las políticas y el establecimiento de los niveles de gasto: quien implanta el cómo se evalúa no suele ser la misma persona que fija las prioridades de inversión en seguridad en las empresas.

Como parte de las tendencias observadas en el estudio de 2008, comienza a destacar asimismo la preponderancia de los equipos de auditoría interna comandados por un responsable designado ex profeso para ejercer la función de evaluación de riesgos y amenazas corporativas, con 27.3% de las respuestas. La subcontratación de una firma de servicios de evaluación de riesgos empieza también a figurar importantemente en los resultados. En ambos casos, destaca la mayor importancia que se está dando a las mejores prácticas dentro de los marcos de seguridad al interior de las compañías encuestadas.
Según el estudio realizado por la revista hermana en Estados Unidos, 21% de las empresas nunca conducen evaluaciones de riesgo de la seguridad. De las que si lo hacen, apenas una de cada cinco impone el rigor de utilizar a un auditor externo especializado.

A futuro, esta tendencia será de lo más importante, pues reforzará la adopción de mejores prácticas. De acuerdo con un estudio del IT Policy Compliance Group (IT Governance, Risk, and Compliance. Improving Business Results and Mitigating Financial Risk), publicado en mayo pasado, los resultados empresariales entre las firmas con las prácticas más maduras, implican 96% menores pérdidas financieras derivadas del extravío o robo de datos de los clientes, y 50 veces menos probabilidad de perder o ser víctima del robo de información.

El problema, según este informe, es que “desafortunadamente, apenas poco más de una de cada 10 firmas está gozando de las ventajas extraordinarias del negocio asociadas a prácticas más maduras”.

LOS DINEROS, NO MUY CLAROS. De acuerdo con la encuesta de InformationWeek México, el porcentaje del presupuesto IT que se destinó a seguridad de la información fue de apenas 0.10%, en promedio.

Con todo, conseguir el dinero para la seguridad no es tal vez el problema más grande: 95% de los encuestados en Estados Unidos considera que sus presupuestos se mantendrán constantes o aumentarán. El problema real es que el dinero no está haciendo los datos más seguros.

Wallace, de Symantec, opina que los ejecutivos de sistemas no tienen muy claro qué porcentaje de todo el presupuesto IT asignado se debe destinar al rubro de la seguridad. “Según nuestro más reciente estudio, la PyME gasta en promedio $1,070 dólares en soluciones de seguridad”, comenta.
Chalico (Ernst&Young) habla, a su vez, de una diferencia histórica entre los presupuestos asignados y la importancia que se da al tema de la seguridad. “Por ello es necesario un mayor acercamiento entre los responsables de la seguridad y la alta administración.”

El tema no se resolverá, añade Gilberto Vicente, gerente de soluciones de seguridad de Cisco México, mientras la inversión en seguridad se siga considerando un tema de gasto. “Antes se compraban o implementaban sistemas y ya luego se pensaba en su seguridad. Hoy se demanda seguridad como un componente integral de cualquier planteamiento IT. Hay, pues, un cambio muy notable en la agenda.”