Año 3 - N°7 | Julio 2007   

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities 

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

Entrevista

 

“La Seguridad es un tema de hábitos”

Entrevista a Teddy Víctor Mercado Rodrigo
 Petrobras Bolivia
Gerencia de Tecnología de la Información y Telecomunicaciones

¿Cuál es su visión sobre el estado actual de la Seguridad de la Información en Bolivia?

Es indudable que la Seguridad de la Información ha crecido en los últimos años. Actualmente, los usuarios y las empresas tienen un alto grado de conciencia que antes no existía. Este incremento fue consecuencia del auge de Internet en Bolivia, y tuvo como punto central hacer frente a todas las amenazas existentes en un mundo donde todos estamos "conectados". Por otro lado, se ha dado que entidades que regulan las actividades empresariales, como la Superintendencia de Bancos a nivel nacional, o leyes extranjeras como SOX a nivel internacional, han casi "obligado" a las empresas a implementar buenas prácticas y controles sobre la información, produciendo como consecuencia mejoras considerables en los niveles de seguridad.


¿Sobre qué tipo de ataques están poniendo más énfasis para combatir?

Los que están de "moda", como el phishing y el spam, pero principalmente sobre aquellos que obtuvieron los puntajes más altos en el último ejercicio de análisis de riesgos.


¿Qué recomendaciones o consejos les daría a los usuarios?

Creo que la Seguridad es un tema de hábitos. Del mismo modo que la gente se acostumbra a utilizar el cinturón cuando maneja para minimizar el daño en caso de accidente, también debería tener la conducta de cambiar rutinariamente las passwords, de actualizar los parches a medida que salen y mínimamente preocuparse por tener un antivirus actualizado: con esto se minimizará mucho el impacto causado por un incidente de seguridad.

 

¿Qué tan inseguro es Internet? ¿Cómo se hace para no caer en la paranoia?

Tan inseguro como nosotros queramos. La inseguridad la creamos nosotros mismos por falta de conocimiento, ingenuidad y cuidado al hacer las cosas, porque simplemente estábamos apurados y tomamos el camino corto. La mayoría de los riesgos pueden ser minimizados con medidas bastante simples para cualquier usuario. Estas medidas las escuchamos todo el tiempo: "no abra e-mails de fuente desconocida", "no navegue por sitios pornográficos", "cambie su password regularmente", "no utilice como contraseña el nombre de sus familiares", "utilice antivirus", "no utilicemos la tarjeta de crédito en sitios dudosos"... pero la pregunta es: ¿cuántos de nosotros hacemos caso a estas recomendaciones?. A modo de ejemplo, la inseguridad en Internet es comparable a la inseguridad que sentimos al enviar a nuestros hijos solos al colegio por primera vez. Podemos caer en la paranoia, pero debemos recordar que también podemos minimizar los riesgos al nivel donde nos sintamos tranquilos.

 

¿Es una utopía un “mundo” sin hackers y sin ciberdelitos?

Sin duda alguna. Así como en el mundo real es una utopía pensar que ya no habrá delitos. Por otro lado, no hay que olvidar que estos riesgos han impulsado el desarrollo de nuevas tecnologías y mejoras en los productos existentes, que al final han beneficiado de una manera u otra a los usuarios finales.

 

¿Cree que existe en “vacío legal” en Latinoamérica sobre Delitos Informáticos? ¿Qué es lo que está faltando a nivel legislación?

Y bueno... falta... legislación... a nivel de Latinoamérica me parece que Brasil es el país que más ha avanzado sobre este tema, el resto estamos en mayor o menor medida atrasados.

 

Las estadísticas muestras cada vez con más fuerza un elevado índice de ataques internos. ¿Qué políticas se pueden implementar para paliar esta tendencia?

Un informe publicado por CSI Computer Security Institute y el FBI, de fines del año pasado, detalla que sólo un 39% de los encuestados reporta que las pérdidas sufridas por atacantes internos superan el 20% de las ocasionadas por delitos informáticos. Este hecho muestra que dichos ataques se han ido reduciendo, probablemente debido a que las empresas han ido implementado cada vez más controles a sus empleados. En este sentido, las políticas que pueden aplicarse son: la firma de acuerdos de confidencialidad, la segregación de funciones, la reingeniería de procesos para hacerlos más "controlables", la clasificación de la información según los niveles de confidencialidad, y la implementación de controles para los niveles más sensibles.


 Existe un gran debate en torno a la privacidad del correo electrónico. ¿Considera correcto que un directivo lea los mails de sus empleados?

Lo más importante es dejar en claro la "Expectativa de Privacidad", esto es, un acuerdo entre las partes que debería integrarse a las normas de una empresa, donde se exprese concretamente cuál es el nivel de privacidad que los empleados deberían esperar de su empleador y viceversa. Este acuerdo podría dejar asentar, por ejemplo, que "los recursos tecnológicos que la empresa pone a disposición de sus empleados son exclusivamente con fines laborales y no pueden ser utilizados para uso personal". En dicho caso, la "expectativa de privacidad" que los empleados deberían esperar es nula, al no poder utilizar ningún recurso tecnológico para fines personales. Si bien este ejemplo representaría una situación extrema, la idea es mostrar que esta clase de cláusulas permiten a los empleadores investigar incidentes de seguridad de la información sin violar la privacidad de ninguno de sus empleados.

Internet ofrece grandes beneficios para los usuarios... pero... ¿qué es lo peor que trae aparejado su uso?

No encuentro qué podría ser lo peor. Como medio de comunicación, adolece de los mismos problemas que los medios de comunicación tradicionales. Te cuento un par de anécdotas al respecto: un amigo decía con mucha razón que es increíble (hablando del Internet) cómo la gente cree todo lo que lee. Esto se traduce en que hay mucha gente que cree todo lo que lee y lo toma como una verdad a ciegas, situación que puede ser aprovechada por gente malintencionada. Recuerdo también una caricatura que se publicó hace algunos años, donde se podía observar a un perro "chateando" por Internet y pensando "mmm... por Internet nadie sabe que soy un perro"...

¿Cómo se imagina la situación de los delitos informáticos dentro de 10 años?

Creo que los "cyber-delincuentes" serán gente muy especializada, con un nivel de conocimiento altísimo. Los ataques tenderán a ser más elaborados. Como ya se ha empezado a comentar en el mundo, las motivaciones de los hackers pasarán del mero reconocimiento intelectual a centrarse en el factor monetario. Pero en el fondo, con mayor o menor sofisticación, será muy parecido a la situación actual: por un lado gente queriendo vulnerar sistemas y, por el otro, gente tratando de defender dichos sistemas.


Teddy Víctor Mercado Rodrigo

Petrobras Bolivia Gerencia de Tecnología de la Información y Telecomunicaciones teddy.mercado@petrobras.com.bo


entrevistado por

Juan Pablo Daniello

PR Coordinator
I-SEC Information Security Inc.
Copyright © 2007 I-SEC. Todos los derechos reservados

Política de protección de Datos Personales