|
Julio
2000
|
Aunque una parte crucial de la economía de las empresas descansa sobre sus redes informáticas
(tanto Internet como las intranets), muchas compañías aún no prestan la atención suficiente a
la seguridad de éstas. Por lo que parece, la gran mayoría de los empresarios aún no son
conscientes de que el activo más valioso de sus empresas no es el software o los equipos, sino
los datos y la información recopilada por la empresa a través de toda su trayectoria.
En efecto, generalmente las medidas de seguridad aplicadas tienden a prestar más atención
a la seguridad física de los servidores, sin caer en la cuenta de que, actualmente, la mayoría
de estos servidores están emplazados en un área accesible a la mayor parte de los empleados
de las compañías. En cuanto a las intrusiones en el software, no hay más que estar un poco al
tanto de la actualidad, sin ser necesariamente un especialista, para tomar conciencia de que
los ataques de los 'piratas informáticos' se están convirtiendo en una actividad delictiva en
toda regla, que afecta a toda la sociedad, y por ello mismo, al tejido empresarial de todos los
países.
La desprotección a la que se enfrenta la parte física de las redes informáticas es mayor de lo
que parece a simple vista. Los servidores deberían ser accesibles sólo a personal autorizado o
a los administradores de sistemas. Las empresas más concienciadas con este problema han empezado
a implantar sistemas de seguridad que obligan a la identificación de los usuarios para acceder
a determinadas áreas. Además, algunas compañías cuentan ya con severas políticas de seguridad,
que sólo permiten el acceso al servidor si el usuario ha sido expresamente autorizado.
La internacionalización creciente de la economía debido al auge de Internet (realmente, los
entendidos hablan de 'globalidad') está alertando a muchos empresarios. De esta manera, están
surgiendo, de forma pareja a este fenómeno, empresas dedicadas precisamente a proveer de
soluciones de seguridad para cualquier problema que pueda presentarse en un negocio virtual.
Hispasecurity es una de ellas: una empresa joven pero con una amplia experiencia en el mercado
de la seguridad informática. Su director, D. Francisco Javier Núñez, quiso contarnos
en esta entrevista su visión sobre el presente y el futuro del sector.
Pregunta: ¿Cómo surgió la idea de Hispasecurity?
Respuesta: Éste es un proyecto que yo mismo concebí, ya que llevo unos cuantos años en contacto
con el mundo de la seguridad informática, de una u otra manera. A título particular, desde muy
joven empecé a interesarme por este sector, y poco a poco, primero a través de amigos que te
piden que les hagas determinado trabajo, y luego ya por medio de contactos a un nivel más
profesional, te vas dando cuenta de que lo que haces tiene futuro. En el momento en que empecé
a obtener resultados y a darme cuenta de que mis clientes quedaban satisfechos, me planteé
seriamente la idea de convertir esta afición en una forma de vida. Después de varios trabajos
para algunos portales en Internet, empecé a contratar a personas de mi confianza para montar mi
propia empresa. Yo creo que hemos encontrado un nicho de mercado espectacular, ya que actualmente
hay pocas empresas que puedan cubrir estos servicios de seguridad con la competencia y el rigor
adecuados. Nuestra empresa está dedicada exclusivamente a proporcionar soluciones en materia
de seguridad informática tanto a empresas como a propietarios de negocios virtuales, y ofrece un
servicio altamente especializado gracias a la labor de nuestros técnicos, divididos en grupos de
trabajo según las diferentes áreas (programación, firewalls, protocolos, servicios HTTP, etc.).
Pregunta: ¿Y cuáles son, en resumidas cuentas, esos servicios que proporciona su empresa?
Respuesta: Actualmente nos centramos en dos focos, en dos grandes grupos de servicios: por un
lado lo que son las auditorías de seguridad, es decir, la realización de estudios exhaustivos
para proponer soluciones de seguridad a las empresas con negocios virtuales en Internet, o
simplemente con sistemas que guardan información confidencial; y por otro lado, el mantenimiento
de cada uno de esos sistemas. Tenga en cuenta que la seguridad no es algo estático, continuamente
están surgiendo nuevas vulnerabilidades y ataques, y nuestro trabajo precisamente consiste en
cambiar la configuración de cada sistema a nuestro cargo para adaptarse a las nuevas necesidades
de la empresa. Para conseguir nuestros objetivos llevamos a cabo chequeos regulares del sistema,
y mantenemos continuamente informado a nuestro cliente. Un punto importante es que también
ofrecemos formación continua a los empleados, ya que muchos ataques a la seguridad pueden
prevenirse desde dentro de la propia empresa.
Pregunta: ¿Cuál es la pérdida más grave que provocan los agujeros de seguridad en las
empresas?
Respuesta: Indudablemente, la pérdida de información. Hay que tener en cuenta que, hoy en día,
el principal activo de una empresa es la información de que dispone. Si, por ejemplo, la
competencia puede acceder a determinados datos que componen tu 'know-how', es decir, el
conocimiento adquirido elaborado durante mucho tiempo, estamos hablando de una importante
pérdida de ventaja competitiva. Además, la información no sólo puede verse vulnerada desde
el exterior; hay que destacar que el 80 por ciento de los ataques que sufren las empresas
viene producido por personal de la propia empresa o gente vinculada: empleados insatisfechos
o personas que tengan acceso a determinados datos y que en algún momento pueden venderlos a
la competencia o directamente marcharse a ella.
Pregunta: ¿Están los empresarios españoles suficientemente concienciados con respecto al tema
de la seguridad informática?
Respuesta: Sinceramente, creo que no. No están concienciados porque se trata de un fenómeno
nuevo. Muchas veces, nos ponemos en contacto con directores generales de empresas constituidas
hace ya veinte años, que cuando les preguntas por la seguridad informática te contestan: "No
hay problema, ese aspecto ya está cubierto por nuestro departamento de informática". No niego
que sea así en algunos casos, pero según mi experiencia, estos departamentos de informática,
por lo general, descuidan mucho el tema de la seguridad. Esto es porque se trata de un campo
muy específico que requiere unos conocimientos muy concretos. Sin embargo, poco a poco se va
notando que cada vez hay más información y, por lo tanto, aumenta el nivel de concienciación.
Pregunta: Efectivamente, parece que estamos asistiendo a un auténtico 'boom' de noticias
relacionadas con la seguridad informática en todos los medios de comunicación...
Respuesta: Esto se produce, según mi opinión, debido a un conjunto de factores: el
acceso cada vez mayor de las empresas y los particulares a Internet, el traslado de todos los negocios
y todas la operaciones empresariales a la Red, etc. Al igual que en la economía tradicional se
producen robos, delitos o espionaje industrial, en Internet el campo no sólo está abierto, sino
que además es infinito. Por otra parte, es cierto que estamos asistiendo a una serie de hechos
muy graves en materia de ataques a la seguridad informática, de una manera masiva, y las personas
relacionadas con este sector, incluso el ciudadano de a pie, los están teniendo en cuenta.
Pregunta: ¿A qué nivel se encuentran los expertos en seguridad informática españoles?
Respuesta: Yo diría que a uno muy bueno. Hombre, con respecto a Estados Unidos, llevamos un
retraso qye se va acortando paulatinamente. Para hacerse una idea, no hay más que tener presentes
los encuentros y foros de 'hackers' internacionales, donde pone de manifiesto que los españoles
tenemos muchísimo que decir en materia de seguridad informática, y que en algunos casos estamos
al mismo nivel que grandes expertos norteamericanos, finlandeses o alemanes. A mí me parece que
donde estamos más retrasados, precisamente, es en la mentalidad. Es decir, creo que tenemos que
darnos cuenta de que la seguridad informática es algo que nos concierne a todos. La mentalidad
americana, por ejemplo, es mucho más dada al aprendizaje y a la búsqueda, cosa que aquí nos
cuesta bastante. Es innegable que existe un retraso, pero es irrelevante.
Pregunta: ¿Cuál es la peor amenaza para un negocio virtual?
Respuesta: Yo destacaría dos, sobre todo: el ataque 'Dennial of Service' (Denegación de Servicio),
en el que al venirse abajo completamente el sistema se produce una indisponibilidad del servicio
durante un tiempo determinado, con las consiguientes pérdidas, y por otro lado la anteriormente
comentada pérdida de la base de datos, como vemos que le ha pasado y le sigue pasando a VISA en
algunas ocasiones. Hoy, con Internet, se pueden intervenir datos para darles un uso fraudulento,
y esto es francamente nefasto para las empresas que basan su actividad en el negocio virtual.
Pregunta: ¿Qué medidas deberían tomar los Gobiernos para favorecer el auge del comercio
electrónico?
Respuesta: Desde luego, un gran paso adelante aquí en España ha sido la Ley Orgánica de Protección
de Datos, que supone un principio de regulación por parte del Gobierno. Los Gobiernos deben ser
conscientes de que todo el caos que es ahora mismo la Red debe ser regulado, para sentar las
bases de lo que va a ser el futuro. Creo que el camino a seguir pasa por el establecimiento de
una legislación con normas de obligado cumplimiento para todas las empresas que quieran competir
en Internet.
Pregunta: Una sociedad previsiblemente informatizada al máximo, ¿no puede suponer un gran riesgo
para la privacidad de los individuos?
Respuesta: Aunque eso es algo que se discute a menudo, yo creo que no hay nada que temer. Además,
el peligro de que Internet anule determinadas relaciones personales me parece muy remoto. Las
relaciones no están desapareciendo, se están transformando. Y desde luego, no creo que el tan
traído y llevado mito del 'Gran Hermano' se convierta en una realidad.
Pregunta: ¿Y que opina en relación a esta moda de los 'hackers'?
Respuesta: 'Hackers', 'crackers' y demás tribus que pueblan los laberintos de Internet siempre
los ha habido, y yo creo que siempre los habrá. La diferencia es que antes trabajaban con menos
medios y no se les daba tanta importancia. Ahora están saliendo a la luz, se les está dando más
publicidad. Yo mismo conozco a chavales de 14 años que están empujando muy fuerte y son
auténticos genios de la informática; cuando estas personas tengan 18, van a saber de seguridad
informática casi tanto como muchos de los que se autodenominan 'expertos'. Y detrás de ellos
vendrán otros... Es decir, que siempre va a haber personas curiosas, estudiosas de la seguridad,
no se trata realmente de una moda. Sí es verdad que cada vez más, nos encontramos con
chavales jovencísimos a la cabeza de departamentos especializados en seguridad informática,
ganando mucho dinero y con un futuro prometedor... No espero que esto produzca grandes
transformaciones a nivel social, desde luego, pero lo que sí está claro es que muchos jóvenes
se interesan por este tipo de cosas. Es importante que se centren en ello, porque es básico
que un país tenga especialistas expertos en seguridad informática.
Pregunta: Para terminar, una curiosidad que a veces se me plantea. Últimamente se está hablando
de lo mucho que va a cambiar nuestra vida con la implantación, a nivel global, de Internet.
Incluso hay 'gurús' que hablan de las amenazas informáticas que se pueden presentar cuando la
Red gestione aspectos tan básicos de nuestra existencia como los automóviles o incluso los
electrodomésticos. ¿Qué hay de cierto en todo esto?
Respuesta: Bueno, realmente creo que está ocurriendo lo mismo que en tantas ocasiones, a lo largo
de la historia de la Humanidad, cuando se vislumbra una revolución de algún tipo (en este caso,
estamos hablando de una revolución a nivel tecnológico). Enseguida surgen multitud de visionarios
que, en un tono apocalíptico, tratan de salvar a la sociedad poniéndola en guardia contra los
peligros más absurdos. Internet es una gran herramienta para la información, es un foro del
conocimiento y una plataforma para el comercio internacional... Pero pretender que debemos
conectar la nevera o el televisor a la Red, me parece exagerado. Cuando todo este 'boom' se
asiente y hayamos asimilado los cambios que conlleva, veremos que no es tan fiero el león como
lo pintan.
D. Francisco Javier Núñez Pérez
e-mail: javiern@hispasecurity.com
Director de HISPASECURITY (www.hispasecurity.com)
|
