8 junio, 2010
Esa es la pregunta que todos los ejecutivos de empresas y usuarios finales se hacen cientos de veces al año frente al avance del cibercrimen: en esta oportunidad, Horacio Bruera, gerente de investigación y desarrollo de Carranza Torres & Asociados, comparte su opinión al respecto.
El estudio de Symantec, State of Enterprise Security 2010, proporciona valiosos datos acerca del estado de la seguridad de la información en el ámbito empresarial a nivel mundial, mostrando, al mismo tiempo, algunas particularidades que se presentan en el mercado latinoamericano.
Según el reporte, la seguridad de la información empresarial muestra dos caras. Por un lado, el aumento en la frecuencia y eficacia de los ataques, fundamentalmente los ataques informáticos, que generan cuantiosas pérdidas económicas, afectando, adicionalmente, la productividad de las empresas, la confianza de los clientes y la reputación e imagen de la empresa en el mercado. El estudio destaca que el 75% de las empresas encuestadas manifestaron haber sufrido algún tipo de ataque informático en los 12 meses anteriores a la encuesta, cifra que alcanza el 49% cuando se analiza la región latinoamericana.
Por otro lado, la adopción de medidas de seguridad apropiadas se torna cada vez más dificultosa, lo cual se traduce en un aumento considerable de los costos en recursos humanos y tecnológicos para las empresas que pretenden contar con estándares de seguridad adecuados a la calidad de sus servicios y de su cartera de clientes.
Uno de los puntos más interesantes del informe tiene que ver con las pérdidas más comunes frente a los ciberataques. Entre los más citados destacan el robo de datos personales o de información sobre tarjetas de crédito de los clientes así como el robo de propiedad intelectual.
Ante este panorama que, sin duda, resulta amenazador, es bueno tener en cuenta que, además de los recursos humanos y tecnológicos, existen regulaciones que proporcionan a los empresarios herramientas legales con las que pueden enfrentar el flagelo de la delincuencia informática, dotando a la organización de un marco normativo eficaz tanto en la faz preventiva como correctiva.
La protección de la información confidencial
La Ley 24.766 de Confidencialidad de la Información establece que toda persona o empresa puede impedir que la información que esté legítimamente bajo su control sea divulgada a terceros o adquirida o utilizada por terceros sin su consentimiento de manera contraria a los usos comerciales honestos.
Condición necesaria para reclamar la protección que reconoce la ley mencionada es que esa información satisfaga tres requisitos básicos:
i) ser secreta, en el sentido de no ser generalmente conocida ni fácilmente accesible para personas o empresas introducidas en los círculos en que normalmente se utiliza el tipo de información en cuestión;
ii) tener valor comercial por ser secreta, lo cual implica que se trate de información valiosa para la empresa porque le otorga una ventaja competitiva en el mercado en el que lleva a cabo su actividad;
iii) que la persona o empresa que controla legítimamente esa información haya adoptado medidas razonables para mantenerla en secreto.
La razonabilidad de las medidas a adoptar por parte de la empresa supone que ellas sean adecuadas para salvaguardar la confidencialidad de la información. Por ejemplo, es razonable exigir el uso de una clave o password para acceder a los documentos que contienen información confidencial, fragmentar la información de acuerdo a las necesidades de producción de cada área, prohibir el uso de dispositivos móviles de almacenamiento de información o firmar con todos los miembros de la empresa acuerdos de confidencialidad.
La misma ley 24.766 establece responsabilidades civiles y penales en cabeza de quienes accedan o divulguen información que cumpla los requisitos enumerados, otorgando así a los empresarios una herramienta muy valiosa a la hora de proteger sus intangibles.
Los delitos informáticos
Otro instrumento legal que contribuye a reforzar la infraestructura de seguridad de las empresas es la Ley 26.388 de Delitos Informáticos, por la cual se incorporaron al Código Penal argentino, entre otros, el espionaje, el fraude y el daño informáticos.
El delito de espionaje informático se da en los casos en que el ciberdelincuente accede, por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido. La ley prevé una pena de 15 días a 6 meses de prisión. Como puede verse, la norma exige que la empresa haya adoptado las correspondientes medidas de seguridad o de autorización, como ser el uso de passwords o la implementación de firewalls.
Por su parte, la figura del fraude informático supone la defraudación mediante alguna técnica de manipulación informática que produzca como efecto la alteración del normal funcionamiento de un sistema informático o la transmisión de datos. La legislación prevé una pena de 1 mes a 6 años de prisión.
Finalmente, el delito de daño informático presenta dos modalidades. La primera se da cuando el ciberdelincuente altera, destruye o inutiliza datos, documentos, programas o sistemas informáticos de terceros; la segunda modalidad implica la venta, distribución, puesta en circulación o introducción en un sistema informático de un programa destinado a causar daños. Se prevé pena de 15 días a 1 año de prisión. Esta figura comprende a los programas conocidos comúnmente como malware, que son programas de computación destinados a causar daños, tales como los virus, gusanos y troyanos.
El marco legal de la seguridad de la información
La importancia y el valor de la información para las empresas aumentan día a día. El know how, los secretos comerciales, la propiedad intelectual y las bases de datos de clientes, proveedores y empleados forman una parte importante del capital de una empresa, constituyen su capital intangible. Correlativamente al aumento del valor de la información para quienes legítimamente la poseen, aumenta el interés de los ciberdelincuentes por apropiarse de ella, valiéndose de técnicas cada vez más sofisticadas e ingeniosas.
Afortunadamente existen recursos humanos y tecnológicos para hacer frente a los ciberataques. Pero, es muy importante que las empresas se concienticen que cuentan también con herramientas legales que les permiten prevenir el robo de información o, caso que éste se haya producido, adoptar correctivos para reducir los daños. La seguridad de la información requiere de la coordinación de tres pilares básicos: lo humano, lo tecnológico y lo legal.
Por Horacio Bruera