Esa es la pregunta que todos los ejecutivos de empresas y usuarios finales se hacen cientos de veces al año frente al avance del cibercrimen: en esta oportunidad, Horacio Bruera, gerente de investigación y desarrollo de Carranza Torres & Asociados, comparte su opinión al respecto.
El estudio de Symantec, State of Enterprise Security 2010, proporciona valiosos datos acerca del estado de la seguridad de la información en el ámbito empresarial a nivel mundial, mostrando, al mismo tiempo, algunas particularidades que se presentan en el mercado latinoamericano.
Según el reporte, la seguridad de la información empresarial muestra dos caras. Por un lado, el aumento en la frecuencia y eficacia de los ataques, fundamentalmente los ataques informáticos, que generan cuantiosas pérdidas económicas, afectando, adicionalmente, la productividad de las empresas, la confianza de los clientes y la reputación e imagen de la empresa en el mercado. El estudio destaca que el 75% de las empresas encuestadas manifestaron haber sufrido algún tipo de ataque informático en los 12 meses anteriores a la encuesta, cifra que alcanza el 49% cuando se analiza la región latinoamericana.
Por otro lado, la adopción de medidas de seguridad apropiadas se torna cada vez más dificultosa, lo cual se traduce en un aumento considerable de los costos en recursos humanos y tecnológicos para las empresas que pretenden contar con estándares de seguridad adecuados a la calidad de sus servicios y de su cartera de clientes.
Uno de los puntos más interesantes del informe tiene que ver con las pérdidas más comunes frente a los ciberataques. Entre los más citados destacan el robo de datos personales o de información sobre tarjetas de crédito de los clientes así como el robo de propiedad intelectual.
Ante este panorama que, sin duda, resulta amenazador, es bueno tener en cuenta que, además de los recursos humanos y tecnológicos, existen regulaciones que proporcionan a los empresarios herramientas legales con las que pueden enfrentar el flagelo de la delincuencia informática, dotando a la organización de un marco normativo eficaz tanto en la faz preventiva como correctiva.
La protección de la información confidencial
La Ley 24.766 de Confidencialidad de la Información establece que toda persona o empresa puede impedir que la información que esté legítimamente bajo su control sea divulgada a terceros o adquirida o utilizada por terceros sin su consentimiento de manera contraria a los usos comerciales honestos.
Condición necesaria para reclamar la protección que reconoce la ley mencionada es que esa información satisfaga tres requisitos básicos:
i) ser secreta, en el sentido de no ser generalmente conocida ni fácilmente accesible para personas o empresas introducidas en los círculos en que normalmente se utiliza el tipo de información en cuestión;
ii) tener valor comercial por ser secreta, lo cual implica que se trate de información valiosa para la empresa porque le otorga una ventaja competitiva en el mercado en el que lleva a cabo su actividad;
iii) que la persona o empresa que controla legítimamente esa información haya adoptado medidas razonables para mantenerla en secreto.
La razonabilidad de las medidas a adoptar por parte de la empresa supone que ellas sean adecuadas para salvaguardar la confidencialidad de la información. Por ejemplo, es razonable exigir el uso de una clave o password para acceder a los documentos que contienen información confidencial, fragmentar la información de acuerdo a las necesidades de producción de cada área, prohibir el uso de dispositivos móviles de almacenamiento de información o firmar con todos los miembros de la empresa acuerdos de confidencialidad.
La misma ley 24.766 establece responsabilidades civiles y penales en cabeza de quienes accedan o divulguen información que cumpla los requisitos enumerados, otorgando así a los empresarios una herramienta muy valiosa a la hora de proteger sus intangibles.
Los delitos informáticos
Otro instrumento legal que contribuye a reforzar la infraestructura de seguridad de las empresas es la Ley 26.388 de Delitos Informáticos, por la cual se incorporaron al Código Penal argentino, entre otros, el espionaje, el fraude y el daño informáticos.
El delito de espionaje informático se da en los casos en que el ciberdelincuente accede, por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido. La ley prevé una pena de 15 días a 6 meses de prisión. Como puede verse, la norma exige que la empresa haya adoptado las correspondientes medidas de seguridad o de autorización, como ser el uso de passwords o la implementación de firewalls.
Por su parte, la figura del fraude informático supone la defraudación mediante alguna técnica de manipulación informática que produzca como efecto la alteración del normal funcionamiento de un sistema informático o la transmisión de datos. La legislación prevé una pena de 1 mes a 6 años de prisión.
Finalmente, el delito de daño informático presenta dos modalidades. La primera se da cuando el ciberdelincuente altera, destruye o inutiliza datos, documentos, programas o sistemas informáticos de terceros; la segunda modalidad implica la venta, distribución, puesta en circulación o introducción en un sistema informático de un programa destinado a causar daños. Se prevé pena de 15 días a 1 año de prisión. Esta figura comprende a los programas conocidos comúnmente como malware, que son programas de computación destinados a causar daños, tales como los virus, gusanos y troyanos.
El marco legal de la seguridad de la información
La importancia y el valor de la información para las empresas aumentan día a día. El know how, los secretos comerciales, la propiedad intelectual y las bases de datos de clientes, proveedores y empleados forman una parte importante del capital de una empresa, constituyen su capital intangible. Correlativamente al aumento del valor de la información para quienes legítimamente la poseen, aumenta el interés de los ciberdelincuentes por apropiarse de ella, valiéndose de técnicas cada vez más sofisticadas e ingeniosas.
Afortunadamente existen recursos humanos y tecnológicos para hacer frente a los ciberataques. Pero, es muy importante que las empresas se concienticen que cuentan también con herramientas legales que les permiten prevenir el robo de información o, caso que éste se haya producido, adoptar correctivos para reducir los daños. La seguridad de la información requiere de la coordinación de tres pilares básicos: lo humano, lo tecnológico y lo legal.
Por Horacio Bruera
Ciertas variedades de la Ciberdelincuencia, entre otras:
No todo equipo relacionado con la ciber- criminalidad lo es, y no todo
ordenador relacionado es el delito informático. Una persona que utiliza un código de
teléfono robado para realizar llamadas gratuitas, aunque el número es procesado
por un ordenador, es la participación en el fraude de llamadas, no delitos
informáticos. Una persona que malversa $ 200 del cajero automático de una empresa para la que trabajan todavía comete peculado, no ciberdelincuencia. El uso de las computadoras como incidental a otro delito no es la ciberdelincuencia. Hay un montón de leyes en los libros ya de clasificar muchos tipos de delitos cibernéticos. Una forma de hacer esto implica pensar en la línea de extinción de dominio, o si los equipos compensar las frutas o los instrumentos del delito. Esta es una clasificación de los delitos cibernéticos con el ordenador como objetivo y el ordenador como herramienta.
Computer como Target: Este tipo de actividad es la toma ilegal de información o que se
causen daños a la información. Dirigidas a un ordenador sólo para obtener acceso no autorizado es el sello de la piratería y el delito más grave aquí es el
robo de información, seguido por malicia, picardía, y díscolo aventuras. Sin pasar por un sitio web protegido con contraseña para evitar el pago sería robo de servicios, y de inteligencia extranjera robos sería espionaje. Estos son todos los tipos conocidos de delitos, pero la piratería se realiza normalmente en cumplimiento de un plan
más amplio desde el hacker quiere explotar todas las capacidades computacionales y cifrado de un sistema hackeado con el fin de tejer a través de sistemas informáticos relacionados. La actividad puede variar de interrupción a gran escala de elegante hacking. Redireccionamiento de DNS y ataques de denegación de servicio son los más perjudiciales. Los cambios sutiles a una página web son elegantes. Los hackers también
generalmente recogen listas de contraseñas, información de tarjeta de crédito,
información corporativa propia y warez (software comercial pirata). Una lista de infracciones específicas en esta categoría podría incluir:
Incendio intencional (dirigidas a un centro de cómputo de los
daños por el fuego)
Extorsión (amenazando con dañar una computadora para obtener
dinero) Robo (robos de robar piezas de la computadora)
Conspiracy (la gente de aceptar cometer un acto ilegal en el
ordenador)
Espionaje / Sabotaje (robo de secretos o destruir los registros de
los competidores)
Falsificación (emisión de documentos o información a través del
ordenador falsas)
Hurto / Robo (robo de piezas de la computadora)
Destrucción maliciosa de la propiedad (la destrucción de hardware
o software)
Asesinato (manipulación de equipos de soporte vital computarizado)
Recepción de bienes robados (aceptando conocido robado bienes o
servicios a través del ordenador)
El ordenador como herramienta: Este tipo de actividad implica la modificación de un delito
tradicional a través de Internet de alguna manera. El análogo tradicional aquí es fraude. Es posible que algo tan simple como la venta ilegal en línea de venta con receta de medicamentos o algo tan sofisticado como el acoso cibernético. Los pedófilos también usan el Internet para intercambiar pornografía infantil, hacerse pasar por un niño, y atraer a las víctimas en los secuestros de la vida real. Las leyes que rigen el fraude se aplican con igual fuerza, independientemente de si la actividad es en línea o fuera de línea, pero algunas regulaciones especiales que se aplican a nivel estatal:
El fraude en Internet (publicidad engañosa, el fraude con tarjetas
de crédito, fraude electrónico, lavado de dinero)
La pornografía infantil en línea; atraer a los niños (explotación
sexual, el transporte para la actividad sexual)
Venta por Internet de medicamentos recetados y sustancias
controladas (contrabando; las leyes de control de drogas)
Venta por Internet de armas de fuego (leyes de control de armas de
fuego)
Las apuestas por Internet (las leyes de apuestas interestatales;
leyes de lotería; las empresas de juegos de azar ilegales)
Venta por Internet de alcohol (el tráfico de licor)
Fraude de valores en línea (valores actúe violaciones)
La piratería de software y el robo de la Propiedad Intelectual
(infracción de copyright, secretos comerciales)
Falsificación (uso de la computadora para hacer duplicados o farsantes)
Cyberbullying (publicar rumores o mensajes privados alterados de
alguien / fotos en línea), unas cuantas, que se quedan, para otro momento
Voy a hacer un aporte en el plano humano donde se descuida mucho la seguridad de la informacion debido a que en muchas empresas no se imparten politicas de cara a la seguridad de la informacion con lo que un usuario sea interno o proveedor de la empresa puede facilitar la tarea de los hackers al no cumplir las directivas que la firma dicta en ese sentido. Los ciberdelincuentes estan a la orden del dia en las ultimas tecnicas de hackeo y mientras los usuarios via concientizacion o por medio de un reglamento de seguridad que disponga medidas tendientes a resguardar los datos de la empresa. Independientemente de ello las soluciones tecnologicas van haciendo su aporte permanentemente y desde el marco legal nos encontramos en mejor situacion con respecto a hace unos años. El desafio es lograr el equilibrio de los tres pilares a los que se hace mención en el articulo. Todas las empresas deben trabajar en ese sentido. Un hackeo de una red puede reportar perdidas millonarias y de hecho se han producido muchos. El trabajo de prevencion es clave para hacer frente a los ataques de los hackers y ello implica contar con las soluciones adecuadas en materia de tecnologia y con usuarios con una clara conciendia de lo que significan los activos de información para la empresa.
Se pasaron con la imágen jaja
RE GALÁCTICO EL HACKER!!
Que grande Carlín! Que vuelva El Hacker por Volver! (valga la redundancia).
Me lo imagino en Full HD 1080p! Que lo saquen en Blu-Ray! Con escenas extras y comentarios del director! El Hacker: The Director’s cut.
“Si toco ese laser me quema”