shadow
shadow

Introducción:

Uno de los activos más valiosos en las empresas, es la información, sin embargo al tratarse de un activo intangible suele resultar que se protección llegue a ser tratada no con el mismo interés, que el que se impone en mecanismos de seguridad perimetral.
El primer pensamiento que viene a nuestra mente cuando hablamos de seguridad es el establecimiento de algún tipo de barrera o método de prevención para evitar que un ente extraño o ajeno a nuestra empresa pueda hacerse de los recursos de nuestra empresa, sin embargo cuando hablamos de la información como activo y más aun en el contexto de las nuevas tecnologías de información, como proteger este valioso activo de nuestras empresas conlleva nuevos e importantes retos, en particular al hablar de instituciones como son las financieras el potencial costos de una vulneración a la seguridad de su información tendría consecuencias catastróficas no solo para la empresa sino para los individuos que emplean sus servicios, en el presente ensayo se pondrá de manifiesto que lamentablemente paradójicamente una de las brechas más grandes de seguridad en estas instituciones proviene de quienes deberían tener mayor interés en que esta no se viera vulnerada como son los usuarios.

Desarrollo:

Cuando hablamos de seguridad esta puede tener ciertos matices dependiendo del contexto en el cual estemos hablando, por ejemplo podemos hablar de la seguridad pública, la cual constituye la garantía que los ciudadanos puedan ejercer libremente sus derechos y libertades (Polica, C.C.D.S.Y., 2005), la seguridad industrial, tiene su enfoque en la disminución de accidentes y por ende mejorar las condiciones laborales de los trabajadores, inclusive dependiendo el momento histórico la idea de seguridad que tenemos va cambiando, es innegable que los últimos hechos delictivos en nuestro país nos hagan pensar en la seguridad de una forma diferente, pero en lo relativo a la información electrónica hay el concepto que no interesa sería el relativo a la seguridad informática, si bien no es posible encontrar una definición formal de lo que es este tipo de seguridad tenemos diversas definiciones por ejemplo (Royer 2004), señala que es la protección contra todos los daños sufridos o causados por la herramienta informática y originados por el acto voluntario y de mala fe de un individuo, también podemos entender la seguridad informática como la capacidad de mantener intacta y protegida la información de sistemas informáticos, (Asensio, 2006).
En todos los casos las definiciones tienen algo en común tienen como base tres principios fundamentales en relación a la información y su seguridad y es el poder garantizar su integridad, confidencialidad y disponibilidad, es otras palabras todos los esfuerzos en seguridad informática estarán centrados a conseguir estos puntos, la razón principal es el valor de la información como el activo de vital importancia en cualquier organización , en el caso de una organización financiera, siempre asociamos esta figura con dinero, si bien la cuestión del dinero físico merece en términos de seguridad un tratamiento especial, en estos tiempos debemos de reflexionar sobre la cantidad de transacciones que realizamos en el día a día en numerosas ocasiones completamos operaciones monetarias sin en intercambio como tal de dinero físico, es decir el dinero como tal es maneja por medio de transacciones electrónicas y el dinero plástico ha venido a sustituir los billetes y monedas, y en términos simples que es lo que avala estas transacciones, pues es información , información financiera, estados de cuenta saldos, aun más las transacciones hechas en línea en muchos casos, ni siquiera cuentan con la protección de requerir la presencia física de tarjetas de crédito o algún otro tipo de comprobante para completar las transacciones.
Lo anterior nos permite entender lo importante que se vuelve la información en instituciones como esta, y por ende plantearnos que amenazas se presentan a estas instituciones, en primera lugar, tenemos la posibilidad de un ataque directo a su infraestructura informática este tipo de ataque puede buscar dos fines, por un lado un ataque que busca provocar un daño en el servicios ofrecido buscando como tal dañar la reputación de la empresa, o promover algún tipo de causa o fin político y/o ideológico , por grupos hacktivitas, como los sucedidos en los años anteriores por el grupo Anonymus en contra de visa, como protesta por no permitir usar sus servicios al sitio wikileaks, por otra parte el ataque puede buscar un fin de lucro, en cual de la el ataque tiene como objetivo el obtener datos bancarios con el fin de obtener beneficios económicos.
De qué manera se pueden proteger las empresas financieras ante este tipo de amenazas, en muchos casos, estas empresas cuentan con grandes sistemas de seguridad, se cuentan con controles estrictos, firewalls perimetrales, esquemas de DMZ, seguridad física en sus áreas de servidores, así como esquemas especializados de continuidad de negocios, con hotsites, procesos de respaldos automatizados, todos enmarcados en un procesos sólido de identificación y administración de riesgos.
Hablamos de los ataques que puede recibir una organización , pero por otra parte se encuentra el usuario que emplea servicios bancarios en línea, en muchos casos esta es la principal víctima de ataques, ya que a diferencia de las grandes empresas no cuenta con grandes recursos para proteger su información, y en muchos casos lamentablemente no cuenta con la herramienta de mayor importancia para prevenir estos ataques, que es una educación en cuestiones de seguridad de información, por esto no es extraño que la ingeniera social, tenga tanto éxito al afectar a usuarios finales, uno de los casos más frecuentes es el empleo del “phising”, en el cual se pretende obtener información del usuario, generalmente datos como son el usuario y contraseña, haciéndose pasar por una fuente confiable, mediante correos electrónico o sitios web apócrifos en los cuales por regla general , se mencionas promociones o actualizaciones de seguridad, en la cuales se piden esos datos a los usuarios.
La gran desventaja de los usuarios, es que en la mayoría de los casos no se cuenta con información sobre como detectar o prevenir este tipo de accione, las cuales cada día cobran mayor número de víctimas, esto también relacionado al número cada vez mayor de usuarios de este tipo de servicios.

Conclusión:

La seguridad informática , no es una materia que pueda ser tomada a la ligera y debe de ser atacada desde tres frentes, por una parte las empresas sin importar la naturaleza de su negocios, deben de integrar la seguridad informática como una práctica no solo común sino fundamental en su actuar, sujeta a lo mismo estándares de calidad que cualquier otro proceso, por otra parte se deben de establecer campañas de impacto sobre los usuarios de servicios financieros en línea sobre los riesgos y alternativas para prevenir los ataques informáticos , esto no con la finalidad de desalentar su uso, sino por el contrario el mostrar que con una adecuada prevención y algunas medidas básicas se pueden emplear estos servicios con tranquilidad, finalmente se debe trabajar desde el punto de vista legislativo, para establecer un marco legar que regule este tipo de actividades ilícitas en el país.

Bibliografía:

  •  Blackboard. (s.f.). Blackboard. Recuperado el 18 de Febrero 2012, de http://bbsistema.tecmilenio.edu.mx/
  •  e-libro, Corp, Cuadernos De Seguridad Y Polica (2005),La seguridad: una responsabilidad a compartir : una nueva etapa para Canarias, Librería-Editorial Dykinson
  •  Jean-Marc Royer (2004), Seguridad en la informática de empresa: riesgos, amenazas, prevención y soluciones, Ediciones ENI
  •  Gonzalo Asensio (2006), Seguridad en Internet: una guía práctica y eficaz para proteger su PC con software gratuito, Ediciones Nowtilus S.
shadow

shadow

Autor

mezcalito

Ingeniero en Sistemas , amante de los gadgets, comics, el cine y la tecnología