Mejorar las políticas, proteger datos de los clientes, establecer una estrategia y hacer más confiable la operación, son las prioridades. La voz de los proveedores y los resultados de encuestas a las que accedió en exclusiva. Information Technology.

 

Ante la consulta sobre cuáles son los principales desafíos de seguridad que las empresas encontrarán durante 2007, Kai Axford, senior Security Strategist - Trustworthy Computing Group, con siete años en Microsoft, enumera: "Primero, afrontar los procesos de seguridad en forma adecuada; segundo, el cumplimiento de los requerimientos legales; y tercero, la protección de datos confidenciales y de los clientes*. En el mismo sentido opina Marta García Rey, Senior Manager de la Práctica de Enterprise Risk Services y Especialista en Servicios de Privacidad y Protección de Datos Personales de Deloitte España. "Las prioridades son el cumplimiento normativo y la continuidad del negocio, entendiéndolo mucho más que como continuidad de sistemas tecnológicos, asegura.

 

Lo dicho se verifica con otras encuestas a las que accedió INFORMATION TECHNOLOGY y que se desarrollan en esta nota, que ponen el foco en la necesidad de los CIO´s de superar las debilidades en los procesos de seguridad, además de tópicos como la protección de la privacidad de los datos y la atención a la demanda de los clientes que operan online, por un acceso a sus cuentas bancarias con algo más que un simple nombre de usuario y password.

 

Un paso más

"Una primera consideración es que en la Argentina está más maduro lo referente a implementaciones de IT que a procesos", asegura Nicolás Severino, gerente de Ingeniería de Symantec. A escala mundial, según un relevamiento de Symantec, la tendencia es similar ya que 33 por ciento de los encuestados calificó de "fuerte" la efectividad de las implementaciones de IT, mientras que un 25 por ciento utilizó la misma categoría para los procesos. Los procesos de autenticación, autorización y accesos son considerados entre los más efectivos en las instalaciones. Les siguen los de estructura organizacional de roles y responsabilidades. Los menos exitosos en las implementaciones son la administración y clasificación de activos e inventarios de IT y el diseño operacional (soluciones automatizadas, workflow y administración de recursos).

 

Para Severino, no habría mayores diferencias en una encuesta realizada a la Argentina, aunque cree que "cuanto más grande es la organización, mayor es la capacidad de respuesta a los incidentes. Sería esperable localmente un mejor posicionamiento de las políticas de IT, por la madurez de la infraestructura".

 

En Microsoft esgrimen como ejemplo su propio desarrollo de Vista y los cambios en los procesos de fabricación de software que experimentaron en carne propia y ahora trasladan a sus clientes.

 

"Desde 2002, cuando aplicamos el concepto de computación confiable, elaboramos una secuencia de siete pasos, que es el ciclo de vida de desarrollo de software, y en todos se contempla la seguridad", afirma Axford. "El conocimiento de procesos que acumulamos lo compartimos en la forma de guías gratuitas en 20 idiomas."

 

Los dilemas de la operación OnLine

De los usuarios de home banking que respondieron a la Encuesta Anual sobre Fraude al Cliente de Banca Online RSA, la división de Seguridad de EMC, el 42 por ciento preferirían un mecanismo más sólido de identificación y 27 por ciento lo reclaman enfáticamente. Los que aceptarían un token (dispositivo físico de autenticación) como remedio fueron un 40 por ciento. Antonio Moraes, Regional Manager de RSA para Brasil y Cono Sur, explica: "El token genera claves aleatorias es muy eficiente, pero incómodo para el cliente. La alternativa es la autenticación basada en riesgos, que se logra colectando hábitos del usuario, los días del mes que suele hacer ciertas transacciones y de qué tipo, lugar y monto", detalla. En 2005 y en 2006 esa metodología midió un 74 por ciento de aceptación. ¿Esto no viola la privacidad? "No -responde Moraes-, porque sólo se toma información de la transacción http del diálogo del browser con el servidor". La mayor amenaza, para el experto, es el phishing, o robo de identidad. "No es tan fuerte en la Argentina como en Brasil, donde un mismo banco ha llegado a sufrir más de un centenar de intentos por mes. Sin embargo, registramos un crecimiento en la Argentina en los dos últimos trimestres", advierte.

 

Cuidar el dato ajeno

"Entre las prioridades más destacadas está la protección de los datos personales, catapultada a un lugar de importancia por los consumidores", dice Fernando Conesa, socio de la Práctica de Administración de Riesgos Tecnológicos y Seguridad de Ernst&Young sobre los resultados de un relevamiento de la consultora. Cuando se les pidió a los entrevistados que mencionasen los tres aspectos que más impactaron en sus prácticas de seguridad en los últimos doce meses y los tres que más impactarían en el año siguiente, a escala global el cumplimiento de las regulaciones ocupó el primer lugar con 56 por ciento de las menciones, aunque bajando a 50 por ciento para el futuro próximo. En segundo lugar, se ubicaron privacidad y protección de los datos. En la Argentina, la prioridad fue y será esta última necesidad, con 59 y 69 por ciento. "Se debe a la mala prensa que cayó sobre las empresas y entes gubernamentales que fallaron en la protección de los datos de los consumidores", apunta el experto. "La protección de los datos abarca desde los recaudos que hay que tomar cuando un empleado deja la compañía, hasta medidas de prevención por si un ejecutivo pierde su laptop en un taxi", asegura Axford. En la Argentina quedó en segundo lugar el cumplimiento de las regulaciones, una cuestión comprensible en tanto el Banco Central ha dictado normas de seguridad, pero no se ha extendido esa práctica a otras industrias. De todos modos, la ley 25.326 de Protección de Datos Personales es un desafío para todo tipo de empresas. García Rey, de Deloitte España, recomienda: "Lo fundamental es tener muy claro en punto de que se parte y comenzar con proyectos de análisis muy importantes. Dónde se está, adónde se quiere llegar y en qué plazo." Y añade: "El plan de acción es muy amplio. Porque no se trata sólo de cumplir con la normativa, hay mucho para trabajar de carácter organizativo".