Mitos sobre protección, hackers e Internet

En los últimos meses, hemos visto un incremento en reportajes sobre incidentes informáticos en sitios de Internet del país y de un auge en el número de individuos y compañías que dicen proveer de "soluciones de seguridad informática". Esto ha dado lugar a una serie de mitos que van en detrimento de los clientes, del comercio electrónico y de Internet en general.

El primero gira alrededor de la naturaleza de la "seguridad informática", que se debería basar principalmente en elementos operativos y no tecnológicos. Es decir, una "solución de seguridad informática" requiere un análisis exhaustivo de los procedimientos de manejo y acceso de información (si existen, si no hay que crearlos). Una vez hecho esto, debe incluirse, en detalle, perfiles de empleados, colaboradores y clientes que definan los límites sobre los tipos de información a los que deben y pueden tener acceso. Finalmente, se tienen que estudiar cuáles opciones existen ahora (y en un futuro no muy lejano) que se puedan adaptar a las necesidades de la empresa y que permitan llevar adelante las políticas, límites y controles definidos anteriormente.

Falsa creencia. Los proveedores tradicionales (empresas con trayectoria establecida en la venta de software y hardware ) están acostumbrados a cumplir cuotas de ventas de equipo y a acaparar a sus clientes, tratando de convertirse en sus proveedores únicos. Esto los ha llevado a fomentar la creencia de que con un equipo de firewall ya están 100% protegidos; que con un sistema de detección de intrusos es suficiente para saber quién quiere accesar sus redes; y que los sistemas que les pueden notificar por radiolocalizadores son monitoreo suficiente. La realidad es otra.

Nada de lo que ofrezca esta tecnología podrá aprovecharse, si la empresa que la implementa no ha pasado primero por la etapa de evaluación para definir qué es lo que quiere proteger, de quién lo quiere proteger y cuánto es el daño que le causaría si no lo protege de forma adecuada. La empresa debe invertir en el recurso humano para que este se encuentre capacitado en el manejo de la tecnología, para que conozca los conceptos sobre seguridad informática y pueda hacer frente a los incidentes de seguridad.

El segundo mito es creer que un hacker respeta las horas laborales, que tiene un perfil determinado y que sus ataques vendrán desde dentro del país. Como se ha venido observando, grupos brasileños, ingleses, palestinos, mexicanos, israelíes, rusos y chinos están bien organizados y se dedican al vandalismo de sitios web por diversas razones, incluyendo políticas y sociales, y no se ven limitados por fronteras, horarios ni idiomas. Por lo tanto, una solución de seguridad informática debe contemplar un monitoreo continuo, las 24 horas y 7 días a la semana, con personal en sitio capaz de tomar decisiones sobre la continuidad del servicio y del sitio. De nada sirve tener guardaespaldas si tienen que pedirle permiso al jefe cada vez que van a defenderlo ante un atentado.

De doble filo. Finalmente, es necesario que las empresas costarricenses se den cuenta de que Internet no debería ser un proyecto del departamento de Informática. Internet es una herramienta de doble filo de la gerencia general que, así como puede ayudarle a aumentar la presencia y las ventas de su empresa, también puede provocar la pérdida de confianza en ella; esto es especialmente cierto en entidades financieras e instituciones gubernamentales. No es necesario que un hacker consiga acceso a los sistemas internos de una empresa o institución ya que, al conseguir acceso a su sitio web , podría capturar la comunicación dirigida a este, incluyendo nombres de usuarios y sus claves.

Es de suma importancia para el desarrollo del comercio electrónico en nuestro país que las empresas e instituciones no se dejen llevar por supuestas soluciones, cuya verdadera razón de ser es cumplir con una cuota de ventas y evitar que algún otro proveedor venda la "solución" primero.