Los expertos aseguran que el 11-S cambió radicalmente la seguridad informática

Reza una perla del refranero español que "cuando llueve, uno se acuerda de santa Bárbara". Algo similar sucede en el mundo de la seguridad informática, según varios de los expertos que participaron la semana pasada en una mesa redonda organizada por ASIMELEC (Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones).

"Uno se da cuenta de que necesita protegerse cuando es demasiado tarde", apuntó Jordi Gascón, de Computer Associates; para Olof Sandstrom, de RT, "no hay medidas preventivas en la mayor parte de los casos; se toman medidas correctivas como solución a cualquier problema que haya surgido".

En este sentido, el 11 de septiembre en Estados Unidos ha supuesto un punto de inflexión en la concienciación de los empresarios acerca de la necesidad de proteger sus sistemas mediante cortafuegos y otras herramientas de seguridad.

Las primeras reflexiones se remontan a años atrás: "Desde 1994, ya en Estados Unidos se habla de protección de infraestructuras críticas dependientes de sistemas de la información", aseguró José Luis Cano-Manuel, de EADS Telecom. "Pero por aquel entonces todos los esfuerzos se centraron en el famoso agujero del milenio ".

Un plan de continuidad

Los expertos coincidieron en que, en la mayor parte de los casos, las empresas optan por tomar medidas de seguridad a posteriori, gastando la menor cantidad de dinero posible en soluciones que no siempre se adaptan a sus necesidades. Ante esto, Olof Sandstrom advirtió de la conveniencia de un plan de continuidad: "No basta, por ejemplo, con instalar un antivirus y pensar que el sistema quedará inmune; un plan de continuidad se desarrolla para cuando suceda algo, no por si ocurre algo... Sucederá".

No en vano, y según Francisco Jordán, de Safelayer, "no existe ningún sistema seguro al 100%". "De hecho, es inviable alcanzar un nivel de seguridad 10 en todos los sistemas de una empresa; es necesario un análisis, no se pueden estandarizar soluciones", afirmó Martha Umpierre, de Finmatica.

La anécdota más plástica para explicar la inmadurez de la protección de las empresas la puso Olof Sandstrom, al explicar cómo "a un empleado despedido le basta con verter una lata de bebida sobre un servidor de millones de euros para dar con él al traste".

A pesar de que Carlos Jiménez, de Secuware, defendió la implantación de restricciones en beneficio de una mayor seguridad, el propio Sandstrom explicó que "un joyero no puede guardar sus joyas en una caja fuerte, debe exponerlas en su escaparate; por ello, es necesario buscar medidas apropiadas para cada caso". Y es que "no se trata de construir una fortaleza en torno a un sistema de información, porque hay gente que tiene que entrar y salir de él constantemente".

La causa principal de pérdida de datos en las empresas son los errores humanos, por lo que el factor educativo es todavía una de las grandes asignaturas pendientes de la seguridad informática; las otras dos, según los ponentes, serían la homologación de los sistemas de defensa a través de una certificación ISO que garantizase un compromiso de seguridad, y, según José Luis Cano-Manuel, la cooperación del sector público con el privado.

"Es fundamental que el Gobierno implante medidas para proteger las infraestructuras críticas, que actualmente basan su funcionamiento en la informática y serían la piedra angular de un ataque cibernético", afirmó. "A diferencia de lo que sucedía en las guerras convencionales, ahora ya no se sabe quién te está atacando ni cuáles son los motivos. Se acabaron los radares".