Seguridad de la información: un desafío para las pymes


En el mundo, cada vez es mayor la inversión en prevención de posibles ciberataques. Sin embargo, entre las pymes uruguayas todavía falta concientización sobre la importancia de cuidar los datos informáticos.

Por Melissa Lewis

Los escándalos relacionados a seguridad de la información generados en el último tiempo, con empresas como la cinematográfica Sony Pictures en noviembre, han llevado a que las compañías a nivel mundial inviertan cada vez más presupuesto en prevención de posibles ciberataques. En 2014 el gasto mundial en seguridad informática fue de US$ 70.000 millones, según datos de la consultora Gartner citados por Reuters, y esa cifra viene en aumento.

Las empresas uruguayas, por su parte, no están del todo ajenas a esta problemática e intentan protegerse más, de acuerdo a sus posibilidades y dependiendo del sector. Los ejecutivos consultados coinciden en que el punto débil frente a esa realidad está en las pymes y que, en la gran mayoría de los casos, a los empresarios locales les cuesta invertir en seguridad porque lo ven como un gasto más que una inversión. Para el presidente de la Cámara Uruguaya de Tecnologías de la Información (CUTI), Carlos Caetano, todavía existe poca conciencia en Uruguay acerca de los riesgos a los que están expuestas las empresas, donde el principal activo es la información.

En 2014 se registraron un total de 499 incidentes de seguridad en Uruguay, según una investigación de CERTuy.

Trabajo en conjunto

A nivel estatal, en 2008 se creó el Centro Nacional de Respuesta a Incidentes (CERTuy), una unidad dentro de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), que lleva a cabo una política de protección de los activos de información críticos del Estado con el fin de generar confianza en los usuarios. Además promueve el conocimiento en seguridad de la información para prevenir incidentes. CERTuy no solo trabaja en medidas para la seguridad de organismos públicos, sino que brinda ayuda a empresas que tienen problemas de este tipo además de cuando se generan incidentes de seguridad masivos.

“Nuestra función es lo más parecido a un departamento de Bomberos. Lo primero que hacemos es ir a contener el incidente, pero además tenemos una función proactiva, de evitar que ocurra.  Como los bomberos, que dan capacitaciones y habilitan edificios, evaluamos los sistemas y vemos qué seguridad tienen”, explicó el director de Seguridad Informática de CERTuy, Santiago Paz.

El jerarca explicó que se está trabajando por sectores: “Las primeras empresas que comenzaron fuerte fueron las del sector financiero. Hoy los bancos en Uruguay tienen un buen nivel de seguridad, están maduros en el tema, interaccionan entre ellos y con nosotros sobre cómo actuar. Además, el Banco Central exige determinadas medidas de seguridad”.

Algunos bancos crearon sus propios equipos de seguridad como por ejemplo Santander, que tiene oficinas especializadas. La institución aborda el tema con una visión integral, que involucra a personas y tecnologías, dijo el gerente de Cumplimiento, Riesgo Operacional, Sistemas y Procesos,  Gabriel Alegre.

Otro de los sectores donde se está poniendo especial énfasis en la seguridad informática es el de la salud, sobre todo porque en países como Estados Unidos ese tipo de instituciones pasaron a ser las elegidas por los estafadores, debido a que el daño que se genera con los datos robados es más rentable a largo plazo. “La tarjeta de crédito la cancelás al momento pero en estos casos están meses haciendo el fraude en silencio”, explicó Álvaro Tamborindeguy, de la empresa Universal Soluciones Tecnológicas, que tiene a cargo la seguridad de Medicina Personalizada (MP), SEMM, Sanatorio Mautone y Cosem. Según contó, MP cuenta con fuertes políticas corporativas desde hace algunos años, sobre todo desde que se comenzó a trabajar con historias clínicas, donde hay información muy importante de pacientes.

“La idea es ayudar a la empresa a mejorar su operativa para que maneje la información de forma segura. No hay nada que diga esto es seguro o inseguro. La seguridad absoluta no existe; le entran a Google, a Sony, al Pentágono. Nada es invulnerable, pero se hacen evaluaciones para ver cuáles son los riesgos y se define un nivel de seguridad”, apuntó.

Para Tamborindeguy hay un crecimiento de la demanda de servicios en Uruguay, pero la conciencia no está generada como tal. “La reacción de los usuarios cuando se les pide que actualicen sus contraseñas es de molestia, cuando en realidad es una acción de la empresa en su favor”, ejemplificó. “De nada sirve si en tu casa tenés una puerta blindada pero dejás la ventana abierta todos los días. Lo mismo ocurre con la información”, agregó.

Un gasto innecesario

Las pymes son un desafío en Uruguay y a nivel mundial, según Santiago Paz, de CERTuy. “Les cuesta invertir en seguridad porque no es tan simple ver cómo les puede afectar económicamente un incidente de este tipo”, apuntó, al subrayar que en Uruguay existen gran cantidad de empresas de este tipo donde la seguridad “no está desarrollada”.

“EEUU y Europa están haciendo mucha fuerza y generando sensibilización al respecto para incentivar la inversión en ciberseguridad de las pymes, porque es el cuento de la cadena, se rompe por el lado más débil”, añadió. Según una encuesta de ESET el 55% de las empresas uruguayas afirman reconocer la importancia del tema de la seguridad, pero solo tienen en cuenta algunos aspectos, descuidando otros flancos vulnerables que pueden hacerlas víctima de ataques o de pérdidas de productividad y competitividad

José Luis López está al frente de Eset Uruguay, compañía de seguridad informática internacional, y lamenta que muchas empresas que deberían tener seguridad solo acuden por ayuda cuando tienen un problema instalado. “La prevención no es el máximo de prioridad de estas empresas y la concientización de los empleados es el punto más flojo en nuestro país”, explicó.

Según el director de Eset, estos empresarios ven solo la parte de números: “Muchas empresas eligen por precio. La mentalidad del empresario uruguayo es ir por lo más barato; prefieren tener menos protección para invertir menos. No valoran lo que pueden llegar a perder en un ataque, no tienen idea del riesgo”.

Para López, lo principal es generar políticas internas. “Hay empresas que lo hacen, pero siguen siendo muy pocas. No importa si tenés una computadora o cien, lo importante es concientizar del valor de la información y de que cada vez dependemos más de la tecnología para manejarla. Mucha gente tiene más niveles de seguridad para su Facebook que para su empresa”, agregó.

A mí no me van a sacar plata

Los incidentes que más se han detectado en el último año son los del tipo “pishing” que apuntan a robar datos de usuarios, según CERTuy. Infectan la computadora, cifran los archivos y le piden al usuario dinero a cambio. López de Eset explicó que los virus, tal como los conocíamos hace algunos años, no existen. “Ahora son mucho más complejos que un simple archivo que te modifica cosas, buscan sacar dinero, el objetivo cambió”, detalló.

Según el director de Panda Security, Gonzalo Mendioros, las empresas uruguayas están bastante desprotegidas en ese sentido, ya que no creen que vayan a ser víctimas de un ataque  con efectos económicos: “La gente se sigue manteniendo con el antivirus, pero no cree que le pueda quitar dinero”. Las redes sociales son una puerta de entrada de códigos maliciosos. Existen aplicaciones de Facebook y Twitter para revisar perfiles y detectar peligros. 

Según  el Índice de Ciberseguridad Global, presentado por la Unión Internacional de Telecomunicaciones (UIT) –organismo especializado de las Naciones Unidas para las tecnologías de la información y la comunicación–, Uruguay está posicionado como segundo país en América Latina y el Caribe y octavo en el mundo. Este estudio mide el nivel de desarrollo de los países analizando sus medidas jurídicas, técnicas, de organización, de capacitación y cooperación.  “Se está trabajando, estamos preparados, lo que no significa que seamos más inmunes”, explicó el director de Seguridad Informática de CERTuy, Agesic.

Servicios y costos

En Uruguay lo más común es que se invierta en un paquete de programas de protección para computadoras o celulares. Los precios dependen de la cantidad de equipos, con un mínimo de US$ 200 para cinco, de acuerdo a Eset. Esta empresa tiene un servicio de consultorías en donde se analiza cuán segura es la empresa, cuán seguros están los datos y aconseja qué acción tomar, pero como en Uruguay es muy poco solicitado, directamente no se ofrece.

Lo mismo pasa con la empresa Panda Security. En países como  Chile, está realizando asociaciones con empresas para evitar el robo de dinero, pero no visualiza esa demanda en Uruguay, donde ofrece “bloquear cualquier intromisión”, pero no vende consultoría.

Universal Soluciones Tecnológicas cuenta con un servicio de consultoría para empresas. El valor depende de la empresa y de cuántas horas se necesite, pero en promedio el costo es de US$ 50 la hora.

Deja un comentario