[LUG.ro] Nota de seguridad en clarin...

[Alejandro Gomez Fernandez]

Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad
de la información 

La gestión de las políticas de seguridad de la información obsesiona a
miles de empresas de todo el mundo. Ahora, ya no se conforman con
controlar los datos circulantes; también quieren ahorrar millones.


                                    
                                    

En la actualidad, la gestión de las políticas de seguridad de la
información es un área estratégica para gran parte de las empresas del
mundo. La razón es simple: concentra buena parte de las pérdidas
económicas que, en ocasiones, hasta pueden llevar a una empresa a la
bancarrota en apenas unas horas. ¿Por qué la seguridad de la información
se ha cristalizado en una obsesión tan común? Porque la
confidencialidad, la integridad y la disponibilidad de la información se
convirtieron en cualidades esenciales para mantener y asegurar la
ventaja competitiva, el flujo de fondos, la rentabilidad, el
cumplimiento de las leyes y la imagen comercial. Es decir, aplicar
políticas de seguridad de la información sobre equipos y personas es
cuidar la propia existencia de la compañía. 

“Las organizaciones, sus redes y sistemas de información enfrentan
crecientes amenazas a su seguridad que incluye el fraude asistido por
computadora, actos de espionaje, sabotaje, vandalismo y hasta incendio e
inundación. Otros daños, como los ataques de virus, el “hacking” y la
negación de servicio se están volviendo cada vez más habituales,
ambiciosos y sofisticados”, explica Emilio Borré, experto en seguridad
informática y profesor de Seguridad informática en el Instituto de
Tecnología ORT, de Buenos Aires. A su juicio, como los sistemas no han
sido diseñados para ser seguros, la seguridad sólo puede lograrse por
medios técnicos y, por lo tanto, es limitada y debe ser respaldada por
una gestión y unos procedimientos adecuados. 

Para empezar, la administración de la seguridad de la información exige
la participación de todos los empleados y, según el caso, puede requerir
la de los proveedores, clientes y accionistas. En la Argentina existe un
código de gestión de la seguridad: la norma IRAM ISO 17799
(www.iram.com.ar), basada en los estándares europeos y considerada “el
manual blanco” de la información segura. Según la norma, desde el punto
de vista legal, los controles que se consideran esenciales para proteger
la seguridad informática comprenden la protección de datos, la
confidencialidad de la información, la protección de los registros y
documentos de la organización y los derechos de propiedad intelectual. 

Los custodios de la seguridad informática corporativa suelen lidiar a
diario con errores e irregularidades. Según Borré, “los errores de
diseño de las estructuras informáticas son hechos accidentales y tienen
un impacto económico más importante a largo plazo. En cambio, las
irregularidades son hechos intencionales y su impacto económico es más
inmediato”. Lideran el ranking de los “desestabilizadores informáticos”
las llamadas “bombas lógicas“, que se activan al producirse un
acontecimiento determinado. La condición suele ser una fecha, una
combinación de teclas o un estilo técnico. También están los “hoax” (o
“camelos”), término utilizado para denominar a rumores falsos sobre
virus inexistentes. 

El caso es que, a menudo, estos “globos” se difunden por la red con gran
éxito, causando casi tanto daño como si fueran virus reales. Evocando la
épica del famoso caballo de Troya, la tecnología informática bautizó
como “troyanos” a los programas maliciosos que ocultan sus intenciones
reales bajo la apariencia de un juego o animación. Lo curioso es que,
para quienes trabajan en políticas de seguridad informática, los
“hackers” o piratas informáticos (hasta ahora, emblema del espionaje
tecnológico) ya no son “chicos malos”. Todo lo contrario: a partir de la
profesionalización de la tecnología de la información, los hackers
empezaron a ser considerados “intelectuales informáticos”. 

Las mismas normas IRAM ISO 17799 definen a los hackers como “personas
que gozan alcanzando un conocimiento profundo sobre el funcionamiento
interno de un sistema, de un ordenador o de una red de computadoras”.
Según el manual, el término “hacker” suele utilizarse en forma indebida,
con sentido peyorativo, cuando, para eso, sería más correcto utilizar el
termino “cracker” (alguien que “rompe”), ya que los hackers proclaman
defender un sentido ético y una serie de principios contestatarios e
inconformistas pero nunca delictivos. Por su parte, la Justicia
argentina, aunque lenta, también avanza en el marco legal de temas de
tecnología de la información. 

Dos leyes, la 25.326, conocida como Ley de habeas data, y la número
25.506, o Ley de firma digital, empiezan a dar cierto marco a la
vorágine tecnológica. La Ley de habeas data o de protección de datos
personales entró en vigencia en 200, para proteger el derecho de las
personas a saber lo que se publica sobre ellas Tiene el propósito de
evitar eventuales abusos en la manipulación de información personal y
comercial, regulando el tratamiento, uso y contenido de los archivos y
registros públicos o privados. En síntesis: nadie puede acceder a los
datos de nadie sin su consentimiento. El espíritu de la ley es proteger
y mantener el derecho a la intimidad, jaqueada por el manejo abusivo de
los sistemas informáticos. 

La Ley de firma digital está vigente desde 2001 y, por su alcance y
trascendencia, promete generar más revuelo “Pronto, la firma digital
será un elemento común en Internet. En poco tiempo más, habrá sido
incorporada a toda transacción comercial que genere derechos y
obligaciones entre las partes. Y las empresas deberán adaptarse a la
nueva forma de identificación, autenticación y codificación en el
ciberespacio”, explica Borré. Probablemente, la firma digital se
implemente utilizando la técnica conocida como criptográfica (basada en
la combinación de dos claves relacionadas), que pauta la utilización de
una clave (la clave privada) para crear una firma y otra, (la clave
pública), para confirmarla. 

Una firma digital tiene un valor único, superior aún a la firma de puño
y letra, más falsificadle que su homónima electrónica. No sólo confirma
la identidad del remitente sino, también, que nadie ha modificado el
contenido del e-mail durante la transmisión, antes de su llegada a
destino. Esto es, seguramente, lo más trascendente de la ley, ya que,
entre otras cosas, facilitará la implementación del sistema de voto
electrónico, permitirá a los legisladores votar antes de que cierre la
sesión desde cualquier lugar en el que se encuentren y hará posible que
los ciudadanos puedan sufragar desde su casa, a través de sus propias
computadoras personales.