Tal vez éste sea uno de los temas más repetidos y abordados: las vulnerabilidades en los sistemas permiten, entre otras cosas, accesos no autorizados. La causa: inexistencia de gestión, baja en la prioridad, procesos que no funcionan, falta de mecanismos de control complementarios.
Sin embargo, el resultado es siempre el mismo, existe una vulnerabilidad electrónica y existe un hacker que la descubre. A esto se ha sumado la creciente utilización de vulnerabilidades electrónicas al nivel aplicativo que no son bien cubiertas por los mecanismos tradicionales.
Cuando en junio de 2005, Mastercard comunicó que habían sido robados datos de una base de 40 millones de usuarios de tarjetas de crédito, posiblemente pasó a la historia como el robo informático más grande de la historia. No obstante, detrás de ese y de muchos otros casos similares, el punto es que a pesar de las grandes inversiones en seguridad, moderna infraestructura y profesionales entrenados, hubo una vulnerabilidad que un hacker detectó.
En ese sentido, señala Fernando Fuentes, gerente de Marketing de Neosecure, es importante reconocer que el hacker ha sido subvalorado como un aventurero quinceañero hábil y ocioso. De acuerdo al ejecutivo, el punto es que las acciones del último tiempo están mostrando un nuevo perfil de atacantes, que buscan el lucro como fin principal, que trabajan con información interna y probablemente organizada, incluso mafias. Claramente, la subvaloración del hacker ha permitido el descuido en el perímetro Internet, precisa Fuentes.
Las claves
Para enfrentar este escenario, explica Fernando Fuentes, lo primero que se debe hacer es contar con un programa de seguridad que debe considerar los diversos factores que impactan en una estrategia global: personas, sistemas, aplicaciones, instalaciones, políticas y procesos, entre otras.
Además, es preciso conocer la ruta de los datos, es decir, aquellos lugares por los que por diversas razones debe circular la información, para así determinar cómo aplicar controles efectivos en cada punto.
Finalmente, asegura Fuentes, el riesgo asociado a las vulnerabilidades debe ser gestionado, lo que implica decisiones a varios niveles dentro de la organización (estratégico, táctico y operativo). No obstante, es vital tener claro que éste debe ser un proceso continuo y apoyado adecuadamente, el que permita obtener siempre mediciones del estado actual y de las tendencias de la organización. Si no, los datos seguirán en peligro, afirma.
