Inicio Noticias Eugene Spafford, experto en seguridad de datos: el tema debe ser tomado...

Eugene Spafford, experto en seguridad de datos: el tema debe ser tomado más en serio y a los niveles más altos en las empresas

Compartir

Recientemente, las grandes corporaciones han cometido errores graves relacionados con la seguridad de la información, lo que ha dado como resultado fracasos espectaculares a la hora de proteger los registros de los clientes y los de la propia empresa. Después de años de advertencias, ¿por qué todavía muchas empresas siguen sin tratar adecuadamente este problema? Eugene H. Spafford, profesor de ciencias informáticas en la Universidad Purdue, y que con frecuencia asesora al Gobierno, a los órganos de aplicación de la ley, y a grandes empresas, tiene algunas ideas.

TR: Usted recientemente testificó ante el Congreso sobre la filtración de Sony, que tuvo lugar después que la compañía ignorase ominosas señales de advertencia sobre los agujeros en su red de PlayStation. ¿Cómo una organización tan grande y tecnológicamente avanzada como Sony ha podido fallar de forma tan masiva en relación a la seguridad?

Spafford: Algunas organizaciones de gestión de negocios simplemente no poseen una organización de seguridad de TI adecuada, y muchas veces esa función sigue estando sujeta al director de información (CIO, chief information officer) de la compañía. Cuando eso sucede, las personas que se ocupan de la seguridad están muy por debajo de la línea de mando, y no tienen acceso al director general o a la junta de la compañía. Por tanto, la función de seguridad de esa organización no se financia y no tiene autoridad a un nivel lo suficientemente alto como para realmente operar de la forma que debería hacerlo. Muchas organizaciones de TI se han formado a partir del nivel de administradores de sistemas que comenzaron en la parte inferior de la jerarquía de la organización. Estas personas suelen poseer conocimientos técnicos e informáticos, pero no hablan el lenguaje de los negocios. No siempre comprenden el riesgo o el análisis del coste-beneficio. Como resultado, no son capaces de presentar un buen análisis desde el punto de vista de los negocios para las cuestiones de seguridad y privacidad. Nos enteramos hace poco que Sony no tenía un director de seguridad de la información [CISO, chief information security officer] antes de los ataques que expusieron los datos personales y financieros de más de 100 millones de clientes.

Pero, ¿existe alguna evidencia de que la falta de CISO en Sony contribuyese a la filtración? En otras palabras, ¿la respuesta a este tipo de filtraciones consiste realmente en gastar más dinero en seguridad y en agregar capas adicionales de burocracia dentro de la organización?

Bien, los CISO no están ahí exactamente para duplicar el trabajo de otra persona. Por un lado, existe un poco de un conflicto entre la definición del CIO y el CISO de una compañía. El trabajo del CIO consiste en hacer que la información esté disponible, y el trabajo del CISO es asegurarse de que cierta información no esté disponible—limitando los lugares a los que va la información, estableciendo normas sobre quién debe tener acceso a ella, y estableciendo reglas y consecuencias para cuando esas normas hayan sido violadas.

En relación a su segunda pregunta, hay muchas cosas que las empresas necesitan hacer, y recursos en los que deben invertir, que no tienen un retorno evidente a corto plazo, incluyendo el mantenimiento de sus edificios y terrenos, o la formación para la igualdad de oportunidades y contra la discriminación. Ocurre lo mismo con las políticas de seguridad: si no se gasta lo suficiente en ellas y se mantienen, en algún momento sucederá algo malo y se termina pagando muchísimo más de lo que se tendría que pagar si se hubiese adoptado una actitud más proactiva. Es responsabilidad de las partes informadas dentro de una organización entender los riesgos y planificar de forma adecuada la inversión inicial para construir defensas contra los riesgos más caros, y hacer planes sobre cómo hacer frente a lo que ocurre cuando se producen. Eso tiene que ser parte de la planificación general del negocio, pero alguien a un nivel lo suficientemente alto dentro de la organización tiene que entenderlo.

El caso de Sony no parece ser una anomalía. Parece que, en la actualidad, escuchamos casos casi a diario sobre filtraciones que exponen grandes cantidades de información de consumidores. ¿A qué cree que se debe esto?

Se trata de todo un conjunto de cosas, y no de un único factor. Tenemos más sistemas y datos disponibles en la red que nunca. Existen más personas que están en Internet y que son conocedoras de Internet, por lo que hay un conjunto mayor de objetivos y un mayor conjunto de personas que quieren explotar esos objetivos. Y estos crímenes están ocurriendo más rápido que el aumento de los recursos policiales y nuestra capacidad para tratar con ellos. Los crímenes también se están enmascarando mejor, y como resultado los criminales son capaces de ser más audaces y existe un menor valor disuasivo. Muchos de ellos van tras objetivos mucho más grandes.

Fuente: technologyreview.es