Los expertos reivindican el valor estratégico de la seguridad de la información como parte de la Responsabilidad Corporativa y piden una mayor regulación y control del sector

Más de 250 profesionales del sector se dieron cita el pasado 20 de noviembre de 2007 en el Palacio Municipal de Congresos para escuchar, entre otros, a Bruce Schneier y Meng-Chow Kang. Bajo el título genérico de “Seguridad de la Información: una cuestión de Responsabilidad Social Corporativa”, la II Jornada Internacional de la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, repasó en cuatro fases la situación actual del sector dentro y fuera de España y reivindicó el papel estratégico de los SGSI para la continuidad de las compañías.

Con un video promocional de la Asociación que pone de manifiesto la necesidad de inversiones adecuadas al nivel de protección necesario, arrancó la mañana entre la lluvia y la prisa del primer ponente, Enrique Martínez, que se disculpó por tener que irse a León a preparar su propio congreso –el del Instituto Nacional de Tecnologías de la Comunicación, que comenzaba al día siguiente-. El director del INTECO señaló ya a primera hora una de las grandes conclusiones de la mañana: “el gran reto del sector, al igual que el estándar BRL, es empezar a hablar como la gente normal de los problemas de los hogares, las Pymes y los clientes”. Esa búsqueda de la sencillez, tanto en los sistemas de información como en el lenguaje fue también una de las claves marcadas por Schneier, que le siguió ante el micrófono. Se refería Martínez a la dificultad de entendimiento del lenguaje del sector, que provoca que los usuarios no entiendan la importancia crucial de la protección de los sistemas de información. Según la última encuesta del Instituto que dirige, dependiente del Ministerio de Industria, “el 72% de los hogares españoles tiene algún tipo de código malicioso (más del 50% troyanos)”. En una intervención repleta de datos poco halagüeños afirmó que “no hemos sabido transmitir este problema, explicar que, al igual que el colesterol no se siente pero está ahí, los problemas de seguridad existen”.

El estudio “La seguridad de la información y la e-confianza en las Pymes y en los hogares españoles” en el que apoyó su ponencia Martínez (accesible en la web de INTECO), no es una novedad pero arrojó algunos datos sintomáticos y que deben ser tenidos en cuenta por los profesionales del sector. Así, el 95% de los encuestados por INTECO declaraba tener un antivirus, mientras que sólo el 87% de ellos lo tiene realmente, sencillamente “la gente da por supuestas las medidas de seguridad”. En cuanto al uso de herramientas, el 76% dice utilizar cortafuegos, el 69% bloqueo de páginas y el 56% sistemas anti-spam. Los porcentajes descienden al 34% en el caso de copias de seguridad, partición del disco duro, etc, y en el caso de la encriptación, sólo es utilizada por el 8% de los usuarios. Por otro lado, las Pymes no consideran los SGSI como una inversión necesaria y la “dificultad técnica y económica” a la hora de enfrentarse a estas cuestiones “les supera”.

Según Martínez, tanto en hogares como en Pymes, la mayoría se limita a las medidas automatizables y tiene una actitud despreocupada ante los riesgos. Ante esta situación, es también reseñable a su juicio que “frente al mito de una comunidad web auto regulada, los encuestados piden una mayor intervención”. Como conclusión señaló que “hay que tener hábitos de seguridad y no sólo medidas de protección”. Asimismo, abogó por una mayor regulación, que vigile y persiga a los delincuentes, y una mayor divulgación desde las Administraciones Públicas.  

Schneier: tendencias del mercado

La gran estrella de la mañana, Bruce Schneier, uno de los máximos expertos internacionales en seguridad de la información, fundador y CTO de BT Counterpane, atrajo la atención de los presentes sin apenas ser presentado por el Presidente de ISMS Forum Spain, Gianluca D´Antonio. No hacía falta y no defraudó. Con una presentación dinámica y directa, el norteamericano trasladó lo que para él son “Las diez tendencias que marcarán la Economía de la Seguridad de la Información” ahora y para los próximos años. El autor de Beyond Fear y Secrets and Lies enunció diez puntos claros y bien diferenciados, comenzando por el incremento del valor económico de la información para las empresas, especialmente en empresas cuyo gran valor son las bases de datos (como Amazon, Google o Yahoo, por ejemplo); en segundo lugar, hizo hincapié en el hecho de que hoy es más barato “asegurar” los datos que hace 10 años y en que, en la mayoría de los casos la seguridad de los sistemas de información es más importante que la propia información contenida en nuestros e-mails y cpu´s. La tercera tendencia o hecho apuntado por Schneier se refiere a la irrealidad de pensar que controlamos la información, “siempre son otros, no sabemos quiénes ni desde donde, los que controlan “nuestra información”. Esa “confianza ciega” ante la falta de control y protección por parte del usuario es, a su juicio, “incorrecta y muy peligrosa, si pensamos que se trata de datos económicos, sanitarios, telefónicos…Nuestros datos no están bajo nuestro control. Pero –añade- no se puede hacer nada más que intentar sobrevivir. Igual que no podemos hacer nada ante la existencia del crimen organizado”.
 
En lo que se refiere a los diseñadores de sistemas, al propio mercado, el gurú llegado de Minnesota señaló que el progreso y la sofisticación de las TIC son buenos pero, “al aumentar la complejidad de los sistemas, aumenta la dificultad de asegurarlos, lo cual supone un nuevo y mayor riesgo; “Internet es lo más complejo que ha inventado el hombre. Aunque la seguridad mejora, la complejidad va más rápido”.

Ante esta circunstancia, señala Schneier como quinta tendencia la necesidad de una reflexión y actuación por parte de las empresas y autoridades para proteger los servidores, ya que los criminales en la Red son cada vez más, más sofisticados y más profesionales, con nuevas motivaciones “ya no se trata de los hackers adolescentes de hace diez años que sólo buscaban notoriedad. Ahora se trata de un gran Mercado Negro donde la única motivación es económica”. Enlaza esto con su siguiente conclusión: “El incremento en la sofisticación de los cibercriminales, de sus códigos y el uso de tecnologías avanzadas por su parte hacen imperiosa la necesidad de una mayor y más estricta regulación. Hay que arrestarles”. En esta línea, su siguiente advertencia se refiere a que, dado que los criminales van más rápido, la industria se ha “visto forzada” a sacar al mercado programas no lo suficientemente probados, de tal forma que es el usuario quien sufre las consecuencias de forma directa e inevitable. El octavo punto de su exposición señaló que “la encriptación de datos  entre 2 puntos es útil y lo ha sido desde la II Guerra Mundial, pero no sirve de nada cuando lo que se atacan son los puntos de origen y destino; cuando no hay forma de asegurar los servidores y cuando los ordenadores de los hogares están comprometidos”. En esta línea añadió que “no importa cómo se encripten los datos, ya que lo que robarán serán las bases de datos de destino. Así es el fraude bancario y aunque Apple y Microsoft están trabajando para evitarlo, la dificultad de proteger los host es evidente”.

Economía de las TIC

Para dar respuesta a todas estas necesidades Schneier resaltó el creciente valor de las redes sociales (networks); así como la necesidad de que los proveedores no trasladen al usuario el coste de productos insuficientemente probados, aun exponiendo la problemática de que se trata de productos en los que la inversión es enorme y la copia es gratis “En las calles de Hong Kong puedes encontrar versiones pirata de software cuyo coste de desarrollo ha sido elevadísimo, prácticamente gratis, y al día siguiente de salir. Y las cosas van a ir a peor, no van a mejorar si no nos apoyamos en principios económicos y en una mayor regulación. La regulación es el futuro en un mercado en el que el vendedor sabe mucho más que el comprador sobre el producto, lo cual se presta a que el usuario sea un “pardillo”, esté indefenso y no sepa diferenciar entre un buen o un mal producto”. Habló también el norteamericano sobre el “mal empleado” y sobre la responsabilidad del riesgo en comparación con otros productos de uso común. Con este panorama, Schneier señaló que hay que fomentar lo que llamó “señales de garantía” así como una mayor regulación y persecución del delito, para terminar con la rotunda afirmación de que “Cada día hay más cibercriminales, más sofisticados y más rápidos. Son, con mucha diferencia, el mayor peligro porque pueden hacer un daño enorme. No podemos hacer nada más que sobrevivir y concienciar a la gente de la importancia de la seguridad”.

El valor de la confianza

A continuación, la mesa redonda dedicada a la Responsabilidad Social Corporativa fue presentada por Javier López-Galiacho, director de RSC del Grupo FCC, quien centró la sesión con estas palabras: “la Responsabilidad Corporativa va más allá de la acción social y afecta a todo el desarrollo de la empresa, siendo una parte fundamental la calidad y seguridad de los sistemas de información”, refiriéndose a las últimas recomendaciones internacionales en materia de Buen Gobierno (Informe Gartner) y lanzando una serie de interesantes preguntas a la mesa sobre los modelos de gobierno de la información, responsabilidad en esta área o cómo el buen gobierno de la información puede alinearse con los objetivos de la compañía. Félix Bonet, CFO del Grupo Generalli España fue el primero en intentar responder a algunas de estas dudas, señalando que “la vital importancia de la calidad en el suministro de información financiera requiere implantar unos procesos y soporte tecnológico que articulen estas necesidades”. “El foco de los procedimientos-añadió- debe ser la capacidad de identificar, monitorizar y mitigar los riesgos administrativos y contables en los que se basa el suministro de información”; con esta idea Bonet centró su ponencia en la descripción de los procesos de seguridad del área de sistemas, los estándares y los planes de contingencia. Por su parte Enrique Polanco, director de Seguridad Corporativa del Grupo PRISA, reivindicó la importancia estratégica y fundamental de la Seguridad de la Información, con mayor motivo en una empresa que, como la suya, se basa en la información. En la misma línea incidió Joaquín Reyes Vallejo, director de Sistemas de Información de CEPSA, quien planteó la dificultad de poner en valor la seguridad y la necesidad de reducir el riesgo. Reyes Vallejo expuso una radiografía de la seguridad en las empresas basada en el Informe de PWC “Global State of Information Security 2007”, algo más optimistas que las expuestas por INTECO. Así, situó la inversión en seguridad entre el 5% y el 12% del presupuesto TI; señaló que el 98% de las compañías usa monitorización, cortafuegos y detección de intrusos, y que el 72% utiliza cifrado de datos, aunque menos de la mitad recurre a los estándares y otras herramientas. Finalmente concluyó que “para el negocio, el valor de la seguridad es la confianza”.

La situación en el continente asiático

La sesión se reanudó tras un almuerzo, con la ponencia del singapureño Meng–Chow Kang. El copresidente de Regional Asia Information Security Exchange (RAISE) Forum comenzó su intervención señalando que “las diferencias socioculturales en los países en vías de desarrollo de la región asiática hacen que se encuentren con más dificultades a la hora de estandarizar sistemas de seguridad de la información”. La dificultad de traducción del inglés a las lenguas nativas y el menor número de expertos en la materia con los que cuentan, son, entre otros motivos, las causas apuntadas por Meng-Chow Kang, para explicar esta situación. “Países como China, Japón, Singapur o Corea, pese a estar avanzados, están comenzando un viaje que Occidente ya tiene avanzado y que empieza por el uso de criptografía para la seguridad nacional, tecnologías y economía de Seguridad de la Información, gestión de esos complejos sistemas y finalmente la adopción de una cultura de la responsabilidad social en la materia”. En occidente, ya se ha hecho gran parte de ese viaje pero en China, por ejemplo, “la población desconoce los riesgos del uso de Internet y está más expuesta a los ataques”.

El hogar, foco de riesgos

El Chief Executive & Privacy Advisor de Microsoft Greater China Region remarcó, en una presentación con diversos casos ejemplarizantes, la importancia de foros como el RAISE en los que se comparten experiencias y apuntó algunas características necesarias para el desarrollo de la industria en estos países como la necesaria participación estatal, la rigidez de las regulaciones para impulsar las mejoras y cómo, en algunos de estos países se considera la Seguridad de la Información una materia de seguridad nacional. El phising en Singapur, las infecciones malware en China, el robo de identidades en juegos en línea en Corea y el Antinny Worm en Japón son los problemas más comunes a los que se enfrentan los cuatro países más desarrollados en la materia de esta región del globo, si bien señaló que “el crimen es internacional, no local, y los tipos de ataques son similares, aunque los ataques que parten desde China, por ejemplo, son escasos ya que la policía actúa con mucha rapidez, pero los colegios y los hogares no están bien protegidos”. De nuevo, pues, y desde la otra parte del globo, se señalan los ordenadores domésticos como focos de riesgo para todo el sistema global.

La jornada terminó con una mesa redonda dedicada a la continuidad de Negocio. En ella participaron Avelino Brito, subdirector general de AENOR; Pablo de Vera, director de Continuidad de Negocio de BBVA; Joanne Gagnon, presidenta de BCI Spain y Manel Medina, catedrático de la UPC, quienes departieron sobre las experiencias y avances de sus organizaciones en este campo. Una sesión que trató de concienciar a las empresas acerca de la importancia estratégica de la seguridad de la información como uno de los pilares de la gestión empresarial responsable, eficaz y competitiva en el ámbito global.