«En pymes la seguridad informática es una asignatura muy pendiente»

Un 98% de las pymes vascas ha implantado algún sistema de seguridad informática y un 56% se muestra «muy preocupada» por dicha seguridad. Alberto Sánchez-Escribano, especialista en seguridad de IBM, participó ayer como ponente en la jornada celebrada en San Sebastián, organizada por la Cámara de Gipuzkoa, el Gobierno Vasco y la Diputación. Y su diagnóstico fue claro: «En las pymes la seguridad informática es una asignatura muy pendiente».

- ¿En la era de internet las empresas están seguras en materia informática?

- La seguridad informática es uno de los problemas recientes que las empresas están empezando a abordar. Las empresas se han preocupado de dar una respuesta rápida a las soluciones que requiere su negocio en materia de tecnologías de la información, pero esto ha conllevado a generar problemas de seguridad. Y las empresas pierden el control sobre sus sistemas de información en el momento en que no abordan esos problemas de seguridad. ¿Están seguras las empresas? En las pymes en general sería una asignatura muy pendiente. En las grandes empresas es una asignatura aprobada.

- El tejido industrial guipuzcoano tiene una amplia base de pymes. ¿Qué les recomendaría al respecto?

- Para una empresa media o pequeña que a lo sumo tiene una o dos personas dedicadas a temas informáticos, ponerse a abordar cuestiones de seguridad a veces desanima. Por eso, lo primero que deben hacer es contactar con algún proveedor de sistemas o consultoría para que les haga un análisis de sus sistemas y les proponga mejoras paulatinas. Para una pyme la inversión es algo fundamental y tiene que ir poco a poco. Las pymes tienen que abordar el problema mediante un modelo de capas o etapas; es decir, primero ocuparse de lo muy crítico, como adaptarse a la Ley de Protección de Datos (LPD). Después pasas al siguiente campo, como puede ser la intercomunicación con otras empresas, nuevos canales on-line, problemas que se plantean al compartir sistemas de información, etc. y así sucesivamente.

- ¿En seguridad informática, qué amenazas les acechan a las empresas?

- A las pymes lo que más les afecta es todo lo relativo a ataques, vulnerabilidad de sus sistemas por no disponer de hardware adecuado, filtros de correo anti-spam (publicidad masiva por internet), cualquier familia de virus que se distribuya vía correo electrónico... y el tratamiento de datos en cumplimiento de la LPD (nóminas de sus empleados, información personal de los mismos, etc., que la ley exige que estén protegidos). En grandes empresas, y sobre en sectores como la banca, les afecta mucho el cumplimiento de la normativa y la necesidad de cambiar todo lo que ya tienen para adaptarte a ella. A estas empresas les preocupan sobre todo las brechas de seguridad que surjen cuando se quieren abrir al exterior, por ejemplo con un canal on-line para consultar con tu banco o la factura de la luz, etc.

- ¿Los ataques de virus son fruto de la mala leche de los 'hackers' o de estrategias empresariales?

- Si hablamos de virus en términos genéricos y en ellos incluimos a los spams como ataques maliciosos, en EE UU hay grandes empresarios de la publicidad que generan beneficios de 60 millones de dólares anuales por distribuir publicidad utilizando canales no legales en muchos países. Hay empresas que se dedican a los spams y tienen ingenieros informáticos que investigan cómo pasar los filtros de los demás. Y con los virus ocurre una cosa parecida, aunque su objetivo no sea generar un beneficio empresarial directo. Para un experto en informática cada vez es más fácil desarrollar virus, muchas veces para competir entre grupos, como ocurre en EE UU.

-¿Cómo se gestionan los riesgos en sistemas de información?

- Primero, teniendo una visión clara de dónde están tus puntos débiles. Después, y dependiendo de si son riesgos puramente técnicos o que comporten una parte técnica y otra parte organizativa, existen distintas metodologías. Está muy desarrollada la metodología para la gestión de riesgos de negocio con componente tecnológico. En cuanto a los otros, no hay una metodología como tal y te tienes que fiar de las soluciones que te ofrecen determinados fabricantes.

«Reinvertir parte de los beneficios»

- Cuando una empresa proyecta sus inversiones, ¿qué importancia debe darle a la seguridad informática?

- Las grandes empresas son otro mundo. Allí, cuando se habla de inversiones en informática se incluyen tácitamente las inversiones en seguridad. El caso de las pymes es distinto. Priorizan la inversión en informática para solucionar problemas que tiene el negocio a través del desarrollo de aplicaciones. La visión de las pymes sobre la seguridad es como algo auxiliar. Hablar de porcentajes es muy difícil. Pero se suele recomendar a las pymes que parte de los beneficios sean reinvertidos en infraestructuras de seguridad informática.

- ¿Cuáles son los nuevos retos y las estrategias de seguridad corporativa?

- Se pueden dividir dos partes. La primera, los retos y estrategias que te toca asumir porque te lo impone la LPD o la normativa internacional, que se traducen en sistemas para controlar qué está pasando en tiempo real en tus sistemas de información y en tu empresa. Y la segunda, los debidos a la necesidad de comunicarte con otras empresas, compartir y ofrecer canales. Eso provoca un crecimiento muy grande de la infraestructura informática y hay que abordar soluciones como el single sing on, es decir, si tienes el correo electrónico, internet y la intranet de tu empresa no necesites usar ocho contraseñas sino una.Y otros temas serían el control de accesos y la gestión federada de identidades, es decir, que las empresas, por cesiones o alianzas, necesitan compartir información siendo a la vez competidoras.