Las organizaciones argentinas, tanto oficinas gubernamentales como empresas, reciben entre 50 y 200 ataques informáticos por día, aunque hay extremos como la AFIP, que alcanza unos 2 mil intentos de penetración de sus sistemas. Sin embargo, el eslabón más débil en la cadena de la seguridad en el entorno de las tecnologías de la información y la comunicación (TIC) sigue siendo el interno, es decir, trabajadores y profesionales y ejecutivos que no son concientes de la necesidad de aplicar normas y precauciones.
“El riesgo lo tengo en mi propia gente. Hoy te robas una compañía en un pen drive”, afirmó Jorge Linskens, subdirector general de Sistemas y Telecomunicaciones de la AFIP, al ilustrar la facilidad con que se puede acceder y robar información crítica de una organización o de sus miembros.
El funcionario participó en un panel sobre “Internet en la organización: riesgos y medidas de protección”, que organizó la Oficina Nacional de Tecnologías de la Información (ONTI) en la Secretaría de la Gestión Pública, en el marco de la Semana de la Seguridad Informática, junto al especialista en seguridad Julio Ardita, de la empresa CYBSEC; Antonio Cerezo, presidente del Comité de Seguridad de la Cámara de Comercio de los Estados en la Argentina (Amcham), y Marcos Pueyrredón, presidente de la Cámara Argentina de Comercio Electrónico.
“La inseguridad está en los escritorios”, advirtió Cerezo, quien recordó que es común descubrir papeles en los ambientes de trabajo que tienen escritas las contraseñas y claves para ingresar a correo electrónico, sistemas internos y cuentas bancarias.
Ardita explicó que “lo más común” en cuanto a incidentes de seguridad informática en las empresas de la Argentina es el robo de información. Por ejemplo, sustracción de planes de negocios y planillas de clientes. Sin embargo, existe un crecimiento en el robo de identidad.
De acuerdo a este especialista, se registran entre 50 y 200 ataques por día contra las organizaciones. La gran mayoría de ellos son automatizados y provenientes de Asia y los Estados Unidos, en búsqueda de vulnerabilidades en los sistemas. El porcentaje de ataques directos es muy bajo.
Linskens describió el siguiente contexto que deben enfrentar los sistemas informáticos del ente recaudador del Estado nacional:
Por un lado, están los ataques externos, provenientes de programas automatizados, que llegan a unos 2 mil por día, buscando agujeros en los sistemas.
Por otro, “la falta de conciencia” por parte de los usuarios externos sobre el uso de la Red, quienes facilitan a terceros o dejan en público datos privados como la clave fiscal tributaria.
“Tenemos 8 millones de transacciones con clave fiscal por mes, de los cuales 2 o 3 son repudiados” por contribuyentes que no reconocen haber realizado esas operaciones, dijo el funcionario.
Finalmente, está el factor interno, “el de casa”. Al respecto, Linskens se pronunció a favor de políticas de seguridad equilibradas, sin caer en extremos como la libertad o la prohibición total.
En ese sentido, Cerezo destacó la necesidad de entrenar a los trabajadores y profesionales y ejecutivos de una organización en forma permanente sobre las normas de seguridad, a través de un constante envío de mensajes a lo largo del año.
Ardita comentó al respecto que sube el grado de madurez de las organizaciones sobre estos temas. Apuntó que este año hubo un record de empresas que realizan tareas de concientización con charlas y mensajes especiales en cartelerías internas. Y entre 2007 y 2008 por primera vez se llegó a los dueños y sus secretarías y accionistas, quienes manifestaron su preocupación por estas cuestiones.
Pueyrredón remarcó la necesidad de educar a las nuevas generaciones sobre estos temas. “Las falencias ya vienen con los jóvenes, porque no estamos educando a esta generación en el uso adecuado de estas tecnologías”.
Semana de actividades
El panel culminó una campaña lanzada desde el Estado para aumentar la conciencia sobre la seguridad entre los usuarios de las tecnologías de la información (TI).
La iniciativa contó con el respaldo de Google, el buscador más popular de la web, además de otras empresas y universidades y organismos gubernamentales.
La campaña, que comenzó 24 de noviembre y finalizó el 1 de diciembre bajo el lema “Dale valor a tu información”, incluyó actividades dentro de organizaciones del Estado, privadas y académicas, y eventos públicos.
Por ejemplo, se difundieron “mejores prácticas o consejos” en redes internas de empresas; se enviaron correos electrónicos a todos los usuarios con alguna consigna en la que se quiera focalizar (por ejemplo instando a que tomen acciones sobre las contraseñas); se generaron y entregan folletos; y se colocaron posters o noticias en las carteleras de oficinas del Estado, empresas y universidades.
También se crearon mensajes sobre la seguridad en TI en los recibos de salarios; se dictaron cursos de concientización y capacitación y se publicaron documentos de interés en las redes internas.
La cabeza de lanza de la campaña fue la Oficina Nacional de Tecnologías de Información (ONTI), el órgano rector en materia de empleo de tecnologías informáticas de la administración pública nacional.
La ONTI adoptó un modelo de trabajo en red para el armado de la semana. Se abrió un sitio web con formato de blog, que incluyó herramientas de calendario provistas por Google.
El aporte del buscador fue más allá, porque abrió en YouTube, su portal de videos, un canal premium, denominado “seguridad informática argentina”, donde se incluirán piezas de difusión sobre el tema.
“La seguridad informática no es sólo del Estado, sino que requiere un trabajo conjunto” con empresas y organizaciones sociales, dijo a iProfesional.com la directora de la ONTI, Elida Rodríguez.
La apuesta de la ONTI es generar una sinergia y una cooperación entre todos estos actores, que a lo largo del año ya realizan actividades internas o externas sobre el tema.
Más información, consultar en https://seguridadinformatica.sgp.gob.ar/
