Un gerente para el Siglo XXI Publicado: 02/5/06 La complejidad de la tecnologa y la multiplicacin de las amenazas para las empresas impulsan

la figura del gerente de Seguridad Informtica. Pero no todas las compaas reconocen su importancia Por Flavio Cannilla La seguridad informtica sigue siendo una nuez difcil de roer para las empresas argentinas. Fiel reflejo, segn la opinin de los expertos, es la falta de una gestin integral del rea que, en la era de los dispositivos mviles, el trabajo online y el aumento de tareas en red, tiende a convertirse en un punto neurlgico para el negocio. "En cuestiones de seguridad informtica la inversin tiende a ser todava muy puntual", dice Andrs Gil, gerente de IT Risk Management de la consultora Deloitte. "Entre el 40 al 50% de las empresas no hacen nada", enfatiza tambin Gabriel Zurdo, director de prctica informtica de Ernst&Young. "En gran parte, se cree que la actividad en esta rea se reduce a garantizar que el firewall funcione", agrega. A primera vista, la impresin no concuerda con los nmeros. Los ltimos datos de la consultora de tecnologa IDC indican que el tema de seguridad tiene una importancia no menor para las empresas argentinas. Segn cifras preliminares, en 2005, las empresas argentinas invirtieron U$S 7,6 millones en el rea de seguridad informtica. Esto representara un aumento de 22% contra 2004. Para este ao se espera un crecimiento del 39%. Una reciente encuesta de IDC, realizada entre 400 empresas locales, revela que para el 31% de la muestra la mejora en los estndares de seguridad informtica ocupa el segundo lugar en el orden de prioridades de inversin. Entre las empresas con ms de 500 empleados el porcentaje se eleva a 44%. Sin embargo, a las palabras no siempre le siguen los hechos. "Vemos que el mensaje lleg. Pero la inversin anunciada tiende a no reflejarse en actos concretos", dice Pablo Pristupin, gerente de consultora de IDC Argentina. Entre las tareas pendientes que reclaman los expertos est la falta de un gerente de Seguridad Informtica -el Chief Informatin Security Officer (CISO o CSO, por sus siglas en ingls)- que cuente con el peso y la independencia de un puesto gerencial para garantizar la proteccin integral de los flujos de informacin de la empresa tambin con vistas al futuro. Tal es as, que el gerente de Seguridad Informtica es todava un rara avis en el entorno local. Slo una minora de las empresas argentinas incluyen este cargo en su organigrama, indican desde las consultoras. En su mayora se trata de bancos o empresas de telecomunicaciones, que por regulaciones del Banco Central (BCRA) o por normativas de sus casa matrices en el exterior estn obligadas a hacerlo. Un ejemplo del cambio que experiment, en los ltimos tiempos, la funcin del responsable de seguridad, se refleja en los nuevos hbitos de trabajo que hoy marca tambin en las empresas argentinas el da a da. En particular, por la

incorporacin de las nuevas tecnologas al proceso de trabajo. Cada vez son ms los empleados y gerentes que a travs de PDAs, Blackberries, Laptops u otros dispositivos mviles acceden va WiFi, WiMax o radio y se conectan a los centros de informacin interna desde el exterior. "Las empresas tienden a trabajar mucho ms con VPNs (redes privadas virtuales, por sus siglas en ingls) para incluir al personal que est fuera de la oficina. Esto aumenta la cantidad de posibles puertas de ingreso para los ataques", dice Andrs Gil, de Deloitte. Entre las intrusiones ms frecuentes identifica a los worms, virus, spyware o troyanos. El peligro externo El consultor destaca que tambin la creciente tendencia a la tercerizacin aumenta la vulnerabilidad en la medida que la cadena de valor incluya el aporte de proveedores. "El riesgo de sufrir un ataque aument no tanto en cantidad, como por el dao potencial que puede significar", agrega Gabriel Zurdo, desde Ernst& Young. "Un buen ejemplo es el home banking: hace dos aos, aqu en la Argentina lo implementaban solo algunos bancos. Hoy lo ofrece casi todo el sector", prosigue. El grado de sofisticacin que conllevan hoy los ataques y el alcance que tienen conducen a un cambio de enfoque. La funcin del encargado de seguridad dej de ser as un simple puesto de control para convertirse en un rea estratgica, cuyo responsable debe saber -y tener el peso para- enfocar el problema de la seguridad desde la perspectiva del negocio de su empresa. "Hasta hace poco tiempo, era comn tener un encargado de seguridad que reportaba al jefe de sistemas", indica Andrs Gil. "Su funcin se concentraba en dar de alta a los nuevos usuarios y controlar el nivel de accesos." El responsable de seguridad se utilizaba para cubrir de parches al armado informtico. En aquellas empresas que introdujeron el puesto a su nivel gerencial, el trabajo del CSO incluye hoy tanto la medicin y el cuidado de la confidencialidad de la informacin como el monitoreo del nivel de seguridad de los logs de los dispositivos o el seguimiento de sus accesos. Pero adems identifica el riesgo de seguridad asociado a nuevos proyectos. Todo, con el peso que le da su posicin gerencial que -supuestamente- cuenta con el apoyo de la dirigencia de la empresa. Apoyada en las obligaciones de regulaciones y normas, como la Ley Sarbanes Oxley, la tendencia marcada desde los mercados ms desarrollados tiende a entender el rea de la seguridad informtica como una unidad interna independiente, similar a la auditora interna. Eso incluye tanto a indicadores de gestin como mecanismos para medir el retorno de la inversin en el rea, segn indica un representante del sector. "No tener la informacin sobre seguridad actualizada, en el instante, y enfocada desde un punto de vista del negocio, puede llegar a hacer a una empresa inviable en estos tiempos", asegura Guillermo Vidal, CSO de Telecom Argentina. "El manejo de la informacin desde una posicin estratgica es

crtico para garantizar el beneficio y la subsistencia de la compaa", agrega quien lidera un grupo de 35 personas. En su funcin, Vidal administra un presupuesto que equivale al 6% del gasto tecnologa de la empresa. El directivo de Telecom puede considerarse afortunado. "En la Argentina, el presupuesto para seguridad informtica en relacin con el de sistemas llega a lo sumo al 3%, mientras que en la regin la media es del 5%", comenta Andrs Gil, de Deloitte. "La falta principal es que, en la mayora de los casos, la inversin no se apoya en una evaluacin de riesgos, un risk assesment concientizado. Esto incluye: evaluar desde una perspectiva global qu es lo que se quiere proteger, qu valor tiene la informacin y cuanto se debe invertir para proteger esa informacin", completa. Otro error comn es la exigencia a la que se ven expuestos los responsables de seguridad informtica en las empresas argentinas para implementar las medidas necesarias. "Las tecnologas de los distintos proveedores como Microsoft, Oracle o Linux, son hoy muy variadas. Es casi imposible que una sola persona logre dominarlas. Pero eso es lo que se le exige al responsable de seguridad informtica en muchas de las empresas locales", dice Gabriel Zurdo, de Ernst&Young. Su experiencia indica que una compaa tarda de tres a cuatro aos en implementar algn sistema de seguridad de informtica integral. CSO? No sabe, no contesta Las compaas argentinas no estn del todo solas con el problema. La Encuesta Global de Seguridad Informtica de 2005, de Ernst&Young, indica que a pesar de contar con mayor cantidad de medios y funciones gerenciales, la figura del CSO no siempre recibe una valoracin acorde a su funcin. El estudio cont con la participacin de 1300 empresas, entre ellas 279 de origen latinoamericano. El 74% de los encuestados fueron CIOs, CSOs y otros ejecutivos de tecnologa de informacin. Segn las respuestas, dos terceras partes de las empresas aumentaron sus esfuerzos en seguridad informtica, principalmente para cumplir con las regulaciones de control interno exigidas por legislaciones (Sarbanes Oxley) o para certificar normativas de calidad como ISO 17799. En tanto, el 81% consider el cumplimiento con las polticas y procedimientos corporativos como el rol ms importante de seguridad informtica. Los ejecutivos mencionaron el nivel de confianza que las empresas depositan en sus proveedores a la hora de compartir informacin de negocio: slo una sexta parte de los consultados requiere un control de seguridad a proveedores. Poca relacin muestra el nivel de preocupacin de las empresas con los actos que realiza para mejorar su situacin. La mitad de los encuestados reconocen que las nuevas tecnologas, por su forma de uso, representan uno de los puntos ms dbiles para la arquitectura informtica. Sin embargo, cerca de un tercio sostiene que no planea tomar acciones al respecto.

Sin olvidar el aprovechamiento reducido que se le da al CSO. Menos de la mitad de los encuestados indic que su funcin de seguridad informtica est relacionada con iniciativas estratgicas. Y el 40% se rene con la junta de directores y comits de auditora menos de una vez al ao, o nunca. Principales Impactos Respuestas de opcin mltiple En porcentaje Cumplimiento con las regulaciones Gusanos y virus Cumplir con los objetivos del negocio ltimos 12 meses 61 53 49 Prximos 12 meses 60 31 55

Fuente: Ernst & Young - Encuesta de seguridad 2005 Nuevas tecnologas que preocupan Posibles fallas de seguridad En porcentaje Computacin mvil Dispositivos removibles Redes inalmbricas Telefonas de voz sobre IP Software libre Virtualizacin de servidores Tiempos para enfrentar los problemas El momento indicado En porcentaje Computacin mvil Dispositivos removibles Redes inalmbricas Ahora 50 43 53 De 6-12 meses 26 32 24 31 18 34 Ms de 12 meses 24 25 23 36 31 28 53 49 48 21 10 8

Fuente: Ernst & Young - Encuesta de seguridad 2005

Telefonas de voz sobre 33 IP Software libre Virtualizacin de servidores 51 38

Fuente: Ernst & Young - Encuesta de seguridad 2005 Contctenos para ms informacin sobre este tema. Fuente: Deloitte & Co. S.R.L. - Argentina (Espaol)