Fenómenos como Phishing, mediante el cual los intrusos sustraen los datos de identificación de los usuarios de la banca electrónica para después realizar operaciones ilícitas, han ocasionado pérdidas por cientos de millones de dólares en el mundo, aseguró Aguirre, y agregó: Difícilmente se obtienen cifras de estos ilícitos, por que un banco nunca revelará que sus usuarios han sido víctimas de robos de este tipo, pero un reporte de Gartner de 2007, informa que durante ese año, sólo en los Estados Unidos, se registraron pérdidas por 3,200 millones de dólares.
En tanto en ese mismo año, otro estudio reporta que por espionaje y robo de información electrónica, el sector financiero alemán tuvo un quebranto de 2.8 billones de Euros, agregó Aguirre.
Pero el phishing es sólo uno de los muchos métodos diseñados para obtener acceso subrepticio en las bases de datos, ya sea a través de Internet o mediante engaños de otro tipo, por lo que la protección debe estar fundamentada en el seguimiento de políticas de seguridad muy precisas, expuso el directivo de ALAPSI y precisó: ya no basta con la protección antivirus o antispam. Se requiere una combinación de soluciones específicas a la problemática de cada base de datos, y las mejores prácticas internacionales en materia de políticas de seguridad.
Al hacer uso de la palabra, la especialista en seguridad de bases de datos, Oriana Weber, dijo que en la sociedad de la información, una proporción altísima de la población mundial ha registrado datos personales, financieros y de otro tipo en alguna base de datos que está disponible para su consulta en línea.
La consultora de la empresa alemana Red Database Security GMBH, firma especializada en seguridad informática, agregó que quién posee una clave de población o un número de seguridad social, emplea un buzón de correo electrónico o está inscrito en algún sitio de redes sociales; quien realiza compras electrónicas o transacciones bancarias en línea, tiene una línea telefónica o TV por cable, e incluso quien emplea firmas y certificados digitales, puede tener la certeza de que datos importantísimos sobre su vida y sus finanzas, están guardados en una base de datos.
Al detallar sobre las vulnerabilidades, la experta aseguró que la complejidad de un sistema de administración de bases de datos radica en que el mantenimiento de la seguridad está regido por una diversidad de parámetros: la arquitectura de acceso, las políticas de seguridad, las diferentes versiones tanto de la base de datos y del sistema operativo en clientes y en servidores y la actualización de los parches de seguridad de cada versión.
Agrego Weber que hay problemas muy comunes en el nivel de la administración del software, de las contraseñas y privilegios para cada tipo de usuario, que se vuelven más complejos cuando se combinan con los otros aspectos de riesgo.
Las empresas deben considerar que invertir en seguridad para las bases de datos es igual o más importante que invertir en software de anti-virus o anti- spyware; la educación en seguridad y la poca o nula definición de políticas de auditoría y control de seguridad a las bases de datos, por lo que es difícil de detectar o monitorear el acceso y la extracción de información de las bases de datos, finalizo Oriana Weber.
En el seminario Seguridad de Bases de Datos promovido por ALAPSI, participaron además de Raúl Aguirre y Oriana Weber, el señor Alexander Kornbrust, Fundador y Director Ejecutivo de la firma alemana Red Database Security (RDS), y Slavik Markovich, Co-fundador y Director de Tecnologías de Sentrigo, ambas empresas especializadas en la seguridad de los repositorios de datos, y que han desarrollado herramientas de automatización de las de políticas de seguridad para garantizar su cumplimiento entre los usuarios de la base se datos.
Este seminario es el primero de una serie de foros que la ALAPSI estará realizando durante este año con el propósito de conocer las experiencias mundiales en materia de seguridad informática y mantener una actualización oportuna sobre la prevención en contra de la ciberdelincuencia.
