Debaten sobre la seguridad en los sistemas bancarios

En el marco de la difusión de un relevamiento sobre ciberseguridad en el que participaron más de 400 entidades de 61 países, Marcos Nehme, director técnico para América Latina de la proveedora de seguridad informática RSA, explicó a Télam que "el dato más interesante es que la madurez del sistema de ciberdefensa de una compañía no depende de que tan grande sea esta: los bancos y las empresas de telecomunicaciones son las que más invierten en seguridad informática pero muestran menor grado de madurez que otras empresas más pequeñas o de menor presupuesto".

"Queda claro que la madurez tecnológica de los sistemas de ciberdefensa de una compañía no tiene que ver tanto con el volumen de lo invertido, sino con con la actualización permanente de sus procesos tecnológicos y la formación constante de sus recursos humanos para responder frente a incidentes", explicó.

"Antes de conocer los datos del relevamiento pensábamos que los bancos eran las organizaciones más seguras frente a ataques cibernéticos, porque junto a las empresas de telecomunicaciones y los organismos gubernamentales son de los que más invierten en la materia, pero sin embargo aún no han alcanzado el grado madurez que ya experimentan otros sectores", admitió el experto.

Según explicó, "la cuestión no es cuanto se invierte en seguridad informática sino la manera en la que se hace: hay empresas que siguen muy enfocadas en los procesos y las tecnologías de prevención, cosa que en el mundo cibernético actual de ataques complejos y avanzados ya no es eficiente".

Nehme sostuvo que "hay que cambiar el paradigma de los procesos de seguridad a uno de mayor capacidad de respuesta ante incidentes", y consideró que en este sentido "el problema funciona como la vacuna de la gripe que uno se la da todos los años, y sin embargo siempre hay un virus nuevo y se termina enfermando igual".

"Hoy es más importante la formación del recurso humano que la tecnología, porque a esta última hay acceso pero la formación de personas es insustituible en el proceso", apuntó el ingeniero en sistemas de origen brasileño.

En referencia al escenario de la ciberdefensa en América Latina, Nehme evaluó que "en rasgos generales la región presenta un escenario similar al que marca el informe global, con grandes compañías de menor madurez en seguridad informática invirtiendo mucho en el aspecto tecnológico".

"En el plano de la ciberdefensa, la región debe avanzar en la sanción y reglamentación de leyes específicas que regulen la actividad, y también es necesario que se construyan instancias de cooperación entre los estados y las grandes empresas, compartiendo información sobre ataques informáticos como hacen grandes multinacionales con el gobierno de Estados Unidos", agregó.

Respecto de las iniciativas de alfabetización digital cómo el Programa Conectar Igualdad que se desarrollan a nivel regional, Nehme analizó que "es fundamental apostar al largo plazo" ya que "el contacto con el mundo digital desde edades tempranas los prepara y este tipo de iniciativas nivela las oportunidades de nuestros chicos frente a los de otros lugares cómo Estados Unidos, dónde ese acceso es casi natural".

"Hay que incluir más contenidos informáticos en la formación académica de nuestros niños, porque van a ser ellos los responsables de administrar toda nuestra información en el futuro", completó.

El experto advirtió que "un punto de los más importantes es la necesidad de crear inteligencia de las amenazas externas".

"Lo que no hay que perder de vista es que hoy es posible que un incidente cibernético se convierta en algo realmente destructivo, que puede arruinar una central eléctrica, apagar todos los semáforos de una gran ciudad o tomar el control de tráfico aéreo en la zona de un aeropuerto internacional", ejemplificó.

"El desafío hoy es alcanzar un cambio de paradigma, que más allá de la inversión en tecnología se proponga desarrollar recursos capaces de identificar rápidamente los incidentes y habilitar a los sistemas de seguridad una capacidad de respuesta muy rápida ante ataques que ya son inevitables", continuó Nehme.

El relevamiento de RSA señala que el 75 por ciento de los encuestados admitieron "niveles insuficientes de madurez en seguridad", mientras que el 45 por ciento admite que su capacidad de evaluar o mitigar riesgos de seguridad informática es "inexistente" o "ad hoc", y que sólo el 21 por ciento informa madurez en ese aspecto.

El 83 por ciento de las empresas con más de 10.000 empleados calificaron sus capacidades como inferiores a “desarrolladas” en su nivel de madurez general.