“INVERTIR EN SEGURIDAD NO SIGNIFICA ADQUIRIR CAJAS” América Latina es el continente que menos invierte en seguridad informática. Con un 1.7% de inversión del Producto Bruto Interno (PBI), muchas empresas aún no valoran la importancia de la protección de sus redes. O en otras palabras, el cuidado de la información que ellas mismas manejan. En esta entrevista Juan Carlos Miranda, Jefe de Seguridad de ADEXUS, nos habla sobre este tema.
Juan Carlos Miranda Jefe de Seguridad de ADEXUS

¿ Qué tan importante es la seguridad informática en las organizaciones hoy en día?

Para darnos una idea de esto, sólo basta con ver los medios de comunicación., Cada vez son más las noticias sobre violaciones a las redes organizacionales. Los atacantes (hackers, crackers) ingresan a los sitios web públicos de las organizaciones modificando el contenido de los mismos, robando información confidencial de las bases de datos, entre otras acciones que perjudican a las organizaciones. Este problema de la falta de seguridad de las redes tiene un impacto económico elevado, no solamente por la pérdida generada por el uso indebido de la información sino por el impacto negativo que puede tener en la imagen de la organización. Estas son algunas razones por las que la seguridad informática es un elemento fundamental que debe ser tomado en cuenta por las organizaciones que quieran administrar de manera óptima su data.

¿Cómo establecer un esquema que me ayude como empresa a garantizar la integridad de la información?

Para establecer un esquema que nos ayude a garantizar la integridad de la información debemos formularnos preguntas como las indicadas a continuación:

¿Cuál es la información más valiosa de la organización?
¿ En cuánto está valorada dicha información?
¿ Dónde se almacena?
¿ Quién tiene acceso a esta información?
¿ Cuál sería el costo si esta información fuera revelada o modificada de forma incorrecta?

Con estas respuestas podemos proceder a analizar distintas soluciones para garantizar la integridad de la información, como la implantación de firewalls, preventores de intrusos, niveles de accesos, métodos de autenticación, que funcionando de manera integral nos van permitir contar con niveles de seguridad deseados.

Los sistemas de seguridad no adquieren importancia sino hasta cuando ocurre un daño real, ¿es esto cierto?

Así es. Muchas organizaciones se percatan de que tenían realmente un problema una vez que el daño esta hecho. Esto las obliga a buscar rápidamente una solución la cual no siempre es la más adecuada. Peor aún, existen organizaciones que pueden tener un gran esquema de seguridad, pero no poseen una administración adecuada del mismo. El daño ocurre y las organizaciones recién se preocupan en ese instante de capacitar a sus empleados para que tengan una administración adecuada de los sistemas de seguridad.

¿Qué sistemas pueden mantener mis redes seguras?

Los sistemas que pueden mantener las redes seguras son varios, y empiezan a nivel de usuario hasta la seguridad perimetral, pasando por antivirus, firewalls personales, encriptadores de discos, hasta preventores/detectores de intrusos a nivel de red y de host, firewalls, soluciones de vpn, soluciones de autenticación fuerte, biometría, por ejemplo.

¿Cómo prevengo posibles pérdidas de información?

Existen varias formas de prevenir las posibles fugas de información, pero debemos empezar con educar al usuario ya que a través de los ataques de ingeniería social fácilmente se puede obtener una contraseña, por ejemplo, y así tener acceso a sistemas críticos. Otra forma de prevenir la perdida de información es segmentando redes y utilizando control de accesos.

¿Aún existen organizaciones que piensan que invertir en seguridad es un gasto adicional? ¿Qué nos dice su experiencia al respecto?

Es una costumbre pensar que los ataques siempre van dirigidos hacia otros lugares y no hacia nuestra organización, por ello se piensa que invertir en seguridad no es prioritario; hasta que llega un ataque y hace que la red colapse.

Invertir en seguridad no significa adquirir cajas únicamente, debemos tomar en cuenta varios factores, sin embargo lo más importante es implementar buenas políticas de seguridad, cumplirlas al 100% y tener un buen manejo de los equipos adquiridos.

¿Por qué cree usted que América Latina es el continente que menos invierte en seguridad? Según la firma de investigación Kaagan Research Associates (2003), esta región invierte en TI 1,7% del Producto Bruto Interno, mientras que Estados Unidos invierte 5,2% y Europa 3,2%.

Creo que es básicamente por un tema de presupuesto. Por lo general, como mencioné líneas arriba se cree que la seguridad no es un tema prioritario, entonces al tener un presupuesto restringido se opta por adquirir equipos que poco a poco van cubriendo necesidades básicas, y no se adquiere una solución integral que realmente proteja los activos de la compañía.

¿Cuál es la propuesta integral de seguridad que Adexus propone al mercado?

La propuesta integral de Adexus Perú contempla como primer paso conocer de manera detallada cual es el nivel de seguridad informática de su empresa y de acuerdo a ello poder ofrecerle al cliente una óptima solución que refuerce y salvaguarde su infraestructura tecnológica.

Para lograr este objetivo nuestra organización cuenta con soluciones de seguridad perimetral como firewalls y preventores de intrusos tanto a nivel de red como a nivel de host. Para el caso de validación de usuarios tenemos soluciones de fuerte autenticación como Tokens o Certificados Digitales. Adexus Perú ofrece también esquemas de conexiones seguras a través de internet mediante el uso de VPN (Virtual Private Network) o Extranet Virtuales concepto bastante novedoso que utiliza conexiones de tipo SSL.

Finalmente debemos agregar que es importante que todos los eventos de seguridad producidos puedan ser correlacionados y agregados en un solo lugar, para lo cual Adexus Perú cuenta con una consola centralizada de seguridad que permite la gestión centralizada de toda la información generada por los diversos sistemas y dispositivos de seguridad como firewalls, IDSs, antivirus, etc.