Año 3 - N° 12 | Diciembre 2007   

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

Entrevista

 
 
 
“En Latinoamérica se vive una situación similar a la que se tenía en España hace unos años”
Entrevista a Adolfo Hernández

Security Consultant
WISeKey ELA (Spain & Latin America)

¿Cuál es su visión sobre el estado actual de la Seguridad de la Información en España? ¿Dista mucho de lo que ocurre en Latinoamérica?

El mercado de la Seguridad TIC en España atraviesa una etapa de madurez y bonanza para todos los jugadores implicados, ya sean fabricantes, consultores, integradores o auditores. El tejido empresarial en el sector es cada vez más estable y robusto, favoreciendo la aparición de Grupos de Interés, consorcios y plataformas industriales colaborativas en un intento de llegar al mercado ofreciendo las máximas garantías de calidad y servicio.

Se estima que el mercado de la seguridad TIC en España durante el 2007 ha movido unos 800 millones de euros, cifra que duplica la de los años precedentes. Esto, junto al hecho de que aproximadamente el 68% de las empresas españolas de entornos críticos tiene unos niveles de protección bajos en sus sistemas, pone de manifiesto que:

- La inversión en seguridad es un reto que todas las compañías deberán afrontar a corto plazo
- Las compañías de seguridad TIC, hasta ahora orientadas a nichos de mercado, deberán reorientar su estrategia para ofrecer servicios de seguridad globales y de valor añadido

En Latinoamérica se vive una situación similar a la que se tenía en España hace unos años, lo cual dista de ser un problema. Este hecho brinda la oportunidad a los mercados locales de no repetir los errores pasados y gozar de una mayor base de conocimiento  que permita potenciar un crecimiento orgánico y sostenible en el sector de la Seguridad TIC. Es importante remarcar la importancia de crear iniciativas que permitan establecer lazos de conocimiento entre España y los países latinoamericanos.

 ¿Qué rol juega el Gobierno Español respecto a la Seguridad de la Información? ¿Tiene un papel activo?

España no es un país que se caracterice por tomar iniciativas preventivas (tal vez sea inherente de lo latino) si no, generalmente, por actuar ante normativas y legislaciones punitivas. Buena prueba de este hecho son los datos arrojados por los Global Security Surveys llevados a cabo por las grandes firmas como Ernst & Young y Deloitte, en los cuales se refleja como principal preocupación de las empresas el cumplimiento normativo así como la gestión de la identidad digital.

En este sentido, el Gobierno actúa como catalizador y ente observante de la legislación y la normativa en muchos casos, estableciendo sanciones y promoviendo la aparición de nuevas leyes, así como promoviendo iniciativas cuyo objetivo es fomentar el despliegue y desarrollo de plataformas de seguridad TIC.

Sirva como referencia proyectos como el Documento Nacional de Identidad Electrónico o el Plan Avanza (I+D+i) derivados de la Estrategia de Lisboa del año 2000, por la cual la Unión Europea tiene como objetivo convertir el mercado común en la economía más competitiva y dinámica del mundo.

Desde su punto de vista, ¿cuál es el error más común que cometen las empresas a nivel de Seguridad de la Información?

En este sentido comparto la misma visión que el reputado Bruce Schneier: “la seguridad de la información es una inversión que se debe valorar con las mismas reglas que el resto de inversiones en el mundo empresarial”, ergo, está sujeta a las mismas valoraciones y análisis en términos de retorno de inversión y coste-beneficio.

El error más común es no tener en cuenta este hecho. Dado que el coste de la no-seguridad suele ser bastante alto bien por sanciones legales o por coste directo, el modus operandi común es tomar estas consideraciones tras sufrir un incidente de seguridad, adoleciendo de una clara falta de previsión.

¿Cuál es el panorama en España de la legislación vinculada a los llamados delitos informáticos? ¿Están faltando leyes concretas al respecto?

El Código Penal español tipifica el delito informático de manera que cubre de forma relativamente ágil la aparición de nuevas figuras delictivas para este medio. Aún así, existen numerosas lagunas que dificultan la aplicación de la legislación, entre las que cabe destacar:

- Problemas derivados de delitos extrafronterizos o ejecutados desde países en los que no existe regulación al respecto (pedofilia, sabotaje informático, fraude).
- Determinación de la jurisdicción
- Dificultad en la obtención de “pruebas digitales” y por lo tanto en la imputación del delito

Todo esto hace necesaria una revisión y modernización de las legislaciones así como el establecimiento de un marco de cooperación y colaboración entre los distintos países para combatir la cibercriminalidad.

Las estadísticas muestras cada vez con más fuerza un elevado índice de ataques internos. ¿Qué políticas se pueden implementar para paliar esta tendencia?

El establecimiento de un sistema de formación y concienciación sobre seguridad TIC en el entorno corporativo, con un sistema de recompensa/castigo (mediante auditorías internas) sobre su cumplimiento y sustentado por una Política de Seguridad corporativa robusta respaldada por la Dirección y el CISO es, bajo mi punto de vista, la mejor contramedida para paliar esta creciente tendencia.

Existe un gran debate en torno a la privacidad del correo electrónico. ¿Considera correcto que un directivo lea los mails de sus empleados?

Es un problema delicado. Depende de la casuística y la política de la empresa, la cual el empleado aprueba tácitamente al firmar el contrato laboral. Si en ésta se establece que el correo electrónico es una herramienta de estricto uso profesional y no personal, y se tiene conocimiento o sospecha de un uso fraudulento de dicha herramienta corporativa, es posible que justifique una investigación al respecto. Por otra parte, una lectura sistemática tipo “big-brother” por parte de los directivos no es justificable en ningún caso. Además es necesario tener en cuenta la legislación vigente en cada caso.
 

¿Es una utopía un “mundo” sin hackers y sin ciberdelitos?

Claramente sí. El afán de apropiarse y lucrarse de lo ajeno existe desde que el hombre es hombre. Y el robo de información parece ser un “buen negocio”: la información es un objeto pequeño, no es necesario el contacto físico con la misma, garantizándose la integridad física y el anonimato del propio delincuente; y, lo más importante, tiene un alto valor...

Supongo que nuestro trabajo consiste en ponérselo difícil, pero ¿qué puede más: una mente brillante con ánimo de robar algo que no es suyo o con ánimo de proteger algo, que por lo general, tampoco es suyo?

¿Cómo se imagina la situación de los delitos informáticos dentro de 10 años?

Similar a la que vivimos en la actualidad. Es bastante probable que el ciberdelincuente vaya por delante de los sistemas de protección y defensa, porque la falta de previsión, de un marco legislativo coherente y de nuevos vectores de ataque más allá de lo meramente técnico (pensemos en la ingeniería social y en cómo el clásico concepto de “timo” se ha unido al mundo digital) favorecerán el auge del ciberdelito. Además el aumento de la capacidad computacional, de transmisión de datos, la “aldea global” y la tendencia al estado “always connected”, favorece la proliferación y la exposición a los ciberdelincuentes... ¡Se nos presenta un auténtico desafio!


  
  Adolfo Hernández
Security Consultant
WISekey ELA (Spain & Latin America)		  


Entrevistado por
Juan Pablo Daniello

PR Coordinator
I-SEC Information Security Inc.

pablo.daniello@isec-global.com
 
Copyright © 2007 I-SEC. Todos los derechos reservados

Política de protección de Datos Personales