¿Cuál es su visión sobre el estado actual de la Seguridad de la Información en Latinoamérica? ¿Cuáles son las proyecciones de crecimiento para los próximos años?
Hasta hace un tiempo, las empresas vinculaban a la seguridad de sus operaciones con la protección de su perímetro de IT a través de firewalls. Paralelamente, por el año 2000, se realizaron muchas adquisiciones de empresas. Consecuentemente, y debido a la falta de control de la identidad y accesos de los sistemas, se generaron irregularidades en los reportes financieros. Cuando estos fraudes salieron a la luz, las consecuencias alcanzaron incluso a las bolsas de comercio de las economías globales de algunos países.
A fin de reconstruir la credibilidad para con los accionistas, el Congreso de los Estados Unidos generó la regulación Sarbannes-Oxley (SOX). Esta suponía que, a partir de ese momento, las empresas debían estar en compliance con la regulación frente a las auditorías.
Hoy en día, las empresas enfrentan varios desafíos respecto de las normas de cumplimiento: la posibilidad de rastrear datos históricos sobre derechos de acceso y desarrollar certificaciones listas para usar regularmente.
La seguridad informática está tomando un rol mucho más representativo en las compañías. En un alto porcentaje de empresas de primer nivel, el departamento de seguridad informática depende de la gerencia general directamente; lo que demuestra el nivel de autonomía que está teniendo en la organización. La seguridad informática va de la mano de las regulaciones, tanto locales como internacionales.
Desde su punto de vista, ¿cuál es el error más común que cometen las empresas a nivel de Seguridad de la Información?
Por lo general, las compañías destinan un presupuesto relativamente acotado a Infraestructura y Aplicaciones. El presupuesto IT asignado en las compañías representa un porcentaje de las ventas. Una vez aprobado, una importante porción de este porcentaje se dirige automáticamente a las operaciones. El poco margen que resta puede ser asignado a iniciativas de IT.
Sin embargo, con la “ola de compliance” que está atravesando el mundo, países como Japón, Chile y Corea están creando presupuestos exclusivos para invertir en I&A, y automatizar procesos de cumplimiento.
Las industrias más reguladas en cuanto a su compliance son: Finanzas, Salud, Gobierno y Telecomunicaciones.
Las estadísticas muestras cada vez con más fuerza un elevado índice de ataques internos. ¿Qué políticas se pueden implementar para paliar esta tendencia?
En términos de infraestructura tecnológica, actualmente la industria está virando desde un modelo de Network Security hacia uno de Application Security.
En el caso de Oracle, y a través de Oracle Identity Management, la compañía ofrece su experiencia en aplicaciones para protegerlas de manera que no se vulnere la información crítica de las compañías. Recientemente, Oracle ha presentado su visión integral de la seguridad llamada “Service-Oriented Security”. Esta seguridad Orientada a Servicios permite a las organizaciones simplificar y centralizar varios de sus procesos críticos de seguridad incluyendo autenticación, autorización, administración de usuario, Gestión de Roles y políticas de Governance, así como la gestión de procesos integrales de Auditoría y control.
Según la visión de Oracle, la unificación y consolidación de las identidades en una compañía, permite definir e implementar una política integral y consistente desde el punto de vista de la seguridad en las aplicaciones.
Oracle ofrece una solución de gestión de identidades que puede integrarse no sólo los productos Oracle, sino también a los de la competencia, además de poder ser implementada en diferentes plataformas.
¿Qué rol juegan los gobiernos locales respecto a la Seguridad de la Información? ¿Tienen un papel activo?
Como resultado del uso de Tecnologías de la Información se han creado o modificado leyes y/o reglamentos en el último año y medio; algunos que mejoran la privacidad de los usuarios, y otros, la seguridad de los servicios o un mejor acceso a la información.
El marco legal y normativo es un factor que puede facilitar el desarrollo de proyectos de Gobierno Electrónico. Todo es parte del mismo proceso de diálogo y debate, de modo de llegar a un punto que sirva a todos los sectores.
¿Cree que existe en “vacío legal” en Latinoamérica sobre Delitos Informáticos?
En realidad lo que considero que falta es mayor conocimiento sobre el tema. Los delitos informáticos han crecido. Ante este panorama las únicas herramientas con las que se cuenta son la prevención y la definición de políticas claras, desde el punto de vista de los sistemas de información, así como con la definición de leyes que ayuden a delimitar responsabilidades.
¿Qué es lo que está faltando a nivel legislación? ¿Cómo se ven afectadas las compañías por dicho vacío legal?
En Argentina y en varios países de Latinoamérica ya existe jurisprudencia que busca clarificar qué grado de responsabilidad tienen las personas jurídicas y físicas sobre determinados delitos informáticos. Sin embargo, lo que queda pendiente como desafío es una mayor educación sobre el tema a las empresas y las personas.
Las compañías, por desconocimiento en temas jurídicos/informáticos, pueden ser victimas de acciones legales que impliquen pérdidas económicas.
Existe un gran debate en torno a la privacidad del correo electrónico. ¿Considera correcto que un directivo lea los mails de sus empleados?
Por un lado, se interpreta que el correo electrónico es un tipo de correspondencia; por lo tanto, según la Constitución Argentina, la correspondencia es inviolable.
Por otra parte, las organizaciones deben velar por la información que manejan los empleados, dado que en definitiva esta información es de la compañía y es lógico que se preocupe por sus intereses.
¿Qué tan inseguro es Internet? ¿Cómo se hace para no caer en la paranoia?
Todos sabemos que lo desconocido genera inseguridad e Internet es algo relativamente nuevo para una gran cantidad de personas.
En Internet, al igual que en otros temas informáticos, el peor enemigo es la falta de información, sobre los principales riesgos que presenta y cómo evitarlos. Muchos de estos riesgos son evitables por software, otros, con políticas claramente definidas.
Si abordamos esta temática desde un punto de vista doméstico y no tan corporativo, la clave es la misma: en ambos casos es importante entender para luego prevenir.
Entrevistado por
Juan Pablo Daniello
Coordinador General InfoSecurity News
pablo.daniello@infosecurityonline.org
|
