El Perú aun tiene un largo camino hacia la seguridad corporativa
Los sistemas de gestión de Seguridad de la Información (SGSI) tendrán mayor demanda relacionado al crecimiento de la empresa
Gracias a la norma ISO 27000, las empresas están obligadas a seguir y concretar ciertos estándares de seguridad propicia para trabajadores y clientes.
Solo 1% ó 3% del presupuesto general de inversión tecnológico de las organizaciones se destina a esta actividad, ya que el sistema de gestión involucra las siguientes fases: educación, concientización, análisis de riesgos, ecuación de mecanismos de control y seguridad.
Cuando mencionamos o conversamos acerca de la seguridad corporativa, debemos, necesariamente referirnos a los Sistemas de Gestión de Seguridad de la Información (SGSI). A través de la adopción de un SGSI las compañías mejoran su productividad, competitividad, su capacidad de reducir, mitigar o evitar incidentes al igual como ofrecer garantías a sus empleados, clientes y socios de negocio como elemento referenciador.
Según Andréz Lamouroux, Consultor Especialista en Seguridad de la Información y Gerente de Soluciones de Seguridad de Aranda Software, debemos ser precisos y certeros al momento en que buscamos soluciones globales para cuidar el mayor activo del negocio, como lo es la información corporativa.
“Ante las circunstancias actuales, en donde la información es el valor del negocio y empresas de alcance mundial sufren ataques cibernéticos y podemos ser víctimas del robo de la información, es imprescindible que las compañías evalúen los riesgos asociados y establezcan las estrategias y controles adecuados que aseguren una permanente protección y salvaguarda de la data” asegura Lamouroux.
El presente y el futuro del robo cibernético
Muchas entidades locales e internacionales han sabido tomar conciencia de la importancia, no solo de cuidar la data vital de las empresas, sino también de asegurarse el futuro de la misma en un sistema competitivo. Por tal motivo, ya se encuentran actualizando sus sistemas y plataformas para enfrentar mejor los ataques e incidentes relacionados en seguridad de la información.
Actualmente Perú ocupa el quinto puesto en el ranking de ataques de robo cibernético en Latinoamérica detrás de México, Brasil y Colombia. Según afirma Andréz Lamouroux, el aumento se debe al crecimiento de la población y de la penetración de internet en la región, además de la realidad económica peruana, la cual ha sido lo suficiente estable como para motivar el interés para realizar ataques de fraude y robo cibernético.
Otra realidad de importancia que se puede mejorar para futuros ataques cibernéticos son las soluciones que las entidades bancarias brindan a los usuarios, localmente, el Perú no esta acostumbrado a conocer y explorar todas distintas formas de fraude o de robo de identidad, no estamos aun preparados para afrontar y cuidar nuestra información privada. De igual forma deben invertir en cambiar sus sistemas de seguridad y pasar a plataformas más seguras que permitan implementar múltiples algoritmos en sus sistemas de autenticación.
Las buenas prácticas
La certificación en la norma ISO 9001 es un elemento que hoy en día cualquier compañía u organización no puede obviar si quiere garantizar la calidad en sus productos y/o servicios. En la actualidad, solo el 20% ó 25% de organizaciones que operan en Perú han implementado la norma, en donde el mayor porcentaje lo comprenden organizaciones que reportan sus estados financieros al extranjero.
Actualmente, la Norma Técnica Peruana ISO/IEC 17799 (Código de Buenas Prácticas para la Gestión de la Seguridad de la Información) es de implementación obligatoria en todas las instituciones públicas del Perú desde agosto del 2004,
El pasado 21 de julio del 2011, la Presidencia del Consejo de Ministros del Perú (PCM) mediante la Resolución Ministerial N° 197-2011-PCM, estableció que 50 Organismos e Instituciones Públicas del Perú deberán implementar el Plan de Seguridad de la Información indicado en la norma NTP ISO/IEC 17799 (ahora ISO 27002), antes del 31 de Diciembre del presente año.
Entre los 50 organismos, se listan del Poder Legislativo, Poder Judicial, Organismos Autónomos y Poder Ejecutivo. El especialista Andréz Lamouroux comenta que esta acción no es el único esfuerzo que el gobierno peruano ha evidenciado sobre implementar la norma de seguridad de la información. “En el año 2004, cuando se publica la norma en Perú, establecieron su cumplimiento obligatorio y un plazo de 18 meses para su implementación en todas las entidades del estado, lamentablemente la realidad de estas entidades no les permitió cumplir, variándose en el futuro las normas”.
Mucho camino por recorrer
Cuando las empresas empiezan el cumplimiento de certificarse según la norma, es el momento en que nuevos retos y soluciones son esperados y requeridos, para poder formar parte del estándar básico.
Uno de los cambios más complejos y el que demanda más tiempo, es el cambio cultural entre los colaboradores. Además, un requisito previo necesario para tener éxito involucra la perspectiva de la Junta Directiva y la alta gerencia. Solo después de que sus miembros tomen conciencia de que los activos de información son un factor vital para el éxito de la organización, es que la certificación de un SGSI es apreciada como un asunto serio que merece atención.
“Los ataques informáticos van en aumento, la cifra supera el 50%, lo que significa que de cada cien empresas que hay en el Perú más del 80% son vulnerables a los ataques informáticos; mientras que de los 25 ministerios del Estado, alrededor de 17 son vulnerables” precisa Andréz Lamouroux, Gerente de Soluciones de Seguridad de Aranda Software.
El primer paso es definir e integrar la política de seguridad en la organización. Las empresas deben establecer su propia configuración de privacidad y definir claramente quién tiene derecho a acceder a cada tipo de información, así como quién puede ver los datos confidenciales. En segundo lugar, implementar soluciones específicas de seguridad de datos que aseguren la información sensible en múltiples formas y en todo su ciclo de vida: datos en reposo, datos en movimiento y datos en uso.