Los expertos aseguran que el 11-S cambi¨® radicalmente la seguridad inform¨¢tica

Reza una perla del refranero espa?ol que "cuando llueve, uno se acuerda de santa B¨¢rbara". Algo similar sucede en el mundo de la seguridad inform¨¢tica, seg¨²n varios de los expertos que participaron la semana pasada en una mesa redonda organizada por ASIMELEC (Asociaci¨®n Multisectorial de Empresas Espa?olas de Electr¨®nica y Comunicaciones).

"Uno se da cuenta de que necesita protegerse cuando es demasiado tarde", apunt¨® Jordi Gasc¨®n, de Computer Associates; para Olof Sandstrom, de RT, "no hay medidas preventivas en la mayor parte de los casos; se toman medidas correctivas como soluci¨®n a cualquier problema que haya surgido".

En este sentido, el 11 de septiembre en Estados Unidos ha supuesto un punto de inflexi¨®n en la concienciaci¨®n de los empresarios acerca de la necesidad de proteger sus sistemas mediante cortafuegos y otras herramientas de seguridad.

Las primeras reflexiones se remontan a a?os atr¨¢s: "Desde 1994, ya en Estados Unidos se habla de protecci¨®n de infraestructuras cr¨ªticas dependientes de sistemas de la informaci¨®n", asegur¨® Jos¨¦ Luis Cano-Manuel, de EADS Telecom. "Pero por aquel entonces todos los esfuerzos se centraron en el famoso agujero del milenio ".

Un plan de continuidad

Los expertos coincidieron en que, en la mayor parte de los casos, las empresas optan por tomar medidas de seguridad a posteriori, gastando la menor cantidad de dinero posible en soluciones que no siempre se adaptan a sus necesidades. Ante esto, Olof Sandstrom advirti¨® de la conveniencia de un plan de continuidad: "No basta, por ejemplo, con instalar un antivirus y pensar que el sistema quedar¨¢ inmune; un plan de continuidad se desarrolla para cuando suceda algo, no por si ocurre algo... Suceder¨¢".

No en vano, y seg¨²n Francisco Jord¨¢n, de Safelayer, "no existe ning¨²n sistema seguro al 100%". "De hecho, es inviable alcanzar un nivel de seguridad 10 en todos los sistemas de una empresa; es necesario un an¨¢lisis, no se pueden estandarizar soluciones", afirm¨® Martha Umpierre, de Finmatica.

La an¨¦cdota m¨¢s pl¨¢stica para explicar la inmadurez de la protecci¨®n de las empresas la puso Olof Sandstrom, al explicar c¨®mo "a un empleado despedido le basta con verter una lata de bebida sobre un servidor de millones de euros para dar con ¨¦l al traste".

A pesar de que Carlos Jim¨¦nez, de Secuware, defendi¨® la implantaci¨®n de restricciones en beneficio de una mayor seguridad, el propio Sandstrom explic¨® que "un joyero no puede guardar sus joyas en una caja fuerte, debe exponerlas en su escaparate; por ello, es necesario buscar medidas apropiadas para cada caso". Y es que "no se trata de construir una fortaleza en torno a un sistema de informaci¨®n, porque hay gente que tiene que entrar y salir de ¨¦l constantemente".

La causa principal de p¨¦rdida de datos en las empresas son los errores humanos, por lo que el factor educativo es todav¨ªa una de las grandes asignaturas pendientes de la seguridad inform¨¢tica; las otras dos, seg¨²n los ponentes, ser¨ªan la homologaci¨®n de los sistemas de defensa a trav¨¦s de una certificaci¨®n ISO que garantizase un compromiso de seguridad, y, seg¨²n Jos¨¦ Luis Cano-Manuel, la cooperaci¨®n del sector p¨²blico con el privado.

"Es fundamental que el Gobierno implante medidas para proteger las infraestructuras cr¨ªticas, que actualmente basan su funcionamiento en la inform¨¢tica y ser¨ªan la piedra angular de un ataque cibern¨¦tico", afirm¨®. "A diferencia de lo que suced¨ªa en las guerras convencionales, ahora ya no se sabe qui¨¦n te est¨¢ atacando ni cu¨¢les son los motivos. Se acabaron los radares".