HUMOR DE LA SEMANA
Seguridad Informática
¿La información como principal activo o la continuidad del
negocio? Disyuntiva actual que enmarca la competitividad de las empresas,
pese a la falta de una cultura de seguridad.
Por Luis Enrique Flores
La evolución de las Tecnologías de Información obliga a las empresas a
mantenerse actualizados en su uso para no perder competitividad, ser más
eficiente, no volverse obsoletos. Sin embargo, esta actualización trae
consigo también nuevas amenazas de seguridad para las empresas.
Los defectos de seguridad en los productos de software, las deficiencias
en la seguridad física de las instalaciones y la casi nula existencia de
una cultura de seguridad de la información ponen en alto riesgo al
principal activo de las empresas: la información, sea ésta personal,
financiera, de nuevos productos o servicios, de investigación y
desarrollo, de clientes, proveedores, socios de negocio.
Las amenazas de seguridad, sea cual sea su origen, hacen que la seguridad
informática en las organizaciones sea una necesidad obligada para la
implantación de un esquema de seguridad informática como práctica de
negocio para asegurar la confidencialidad, seguridad e integridad de la
información y de los demás activos informáticos de la empresa.
En México, las aplicaciones relacionadas a la Seguridad Informática están
creciendo de manera vertiginosa y con ello la necesidad de investigar y
desarrollar soluciones propias, mejorar las que se puedan tener, estudiar,
probar y analizar otras soluciones existentes para distintos ámbitos de
aplicación. Igualmente, este crecimiento requiere que se puedan realizar
estas actividades y adquieran con ello el conocimiento, en la práctica, de
distintas herramientas, problemas, soluciones y escenarios de seguridad
informática.
La falta de comprensión de las metodologías y estándares de seguridad por
parte del personal no técnico de niveles medio y alto resulta en la
carencia de políticas adecuadas de seguridad y, en muchos casos, en la
carencia total de ellas. Esto impide que en las empresas e instituciones
se implementen los mecanismos necesarios de seguridad. La ignorancia
generalizada acerca de la problemática de seguridad es finalmente costosa.
Pero también es cierto que un conocimiento meramente teórico no es
suficiente, se requiere experiencia práctica para poder diseñar e
implementar soluciones concretas a problemas específicos de seguridad y
parte medular de ese proceso esta en la Capacitación y la Certificación.
“La Seguridad Informática podemos entenderla como el proceso de minimizar
los riesgos de vulnerabilidades ocasionados a los bienes informáticos”,
afirmó José Luis Jiménez Torres, Channel Manager de Afina Sistemas México.
Esto conlleva a una regla básica que es integración informática,
disponibilidad y confiabilidad, cuando cumples con estos tres puntos
podemos decir que ya se cumple con los parámetros básicos de la seguridad
informática.
En este contexto, José Luis Jiménez, agrega que cuando cumples con estos
tres puntos ya tienes un porcentaje alto de seguridad en bienes
informáticos, en ello involucra aplicaciones, software, infraestructura,
toda una convergencia de soluciones enfocadas a proteger lo que
denominamos bienes informáticos.
Valga la analogía la seguridad informática va de la mano con la seguridad
física, para comprender este tema hay mirar la seguridad física de la
empresa, finalmente no es tan compleja, ya que hablando en la experiencia
personal, debes sentirte protegido desde la puerta, la chapa de la puerta
funcione, la llave correcta para abrirla, esto transpolando a la seguridad
informática es como tener un firewall, un antivirus, un detector de
intrusos, entre otras soluciones, en si para tener asegurado tus bienes
informáticos.
No obstante, como la misma tecnología ha avanzado, han evolucionado los
ataques, si bien antes decíamos que la seguridad de la información es el
principal activo, ahora el concepto que se esta viviendo, es la
continuidad del negocio. Esto aunado a que los ataques informáticos,
siempre van a existir, por lo que importa ahora es que el negocio continúe
su proceso pese a los posibles ataques externos o internos involuntarios
que se pueden llegar a efectuar.
El porque la información, ha cambiado se percepción como activo es que de
alguna forma u otra podría ser recuperada o recuperarse, pero lo que
preocupa ahora, es que no se caiga el negocio, la saturación de las redes,
el cambio o perdida de bases de datos, la alteración de passwords, la
encriptación de la información de agentes externos que ha derivado en el
secuestro de la información.
“Esto ha motivado interés en conocer sobre la seguridad informática por
parte de ejecutivos gerenciales que quieren entender el contexto de la
seguridad con la finalidad de llevarlo hacia los usuarios de cada
departamento o área de la empresa”, comentó Elisa Uribe Siordia, Formación
de Afina Systemas. No basta con aplicar una infraestructura de seguridad,
sino que se debe diseñar políticas adecuadas de seguridad que le permitan
a estas responder adecuadamente ante algún ataque externo.
Actualmente en la capacitación y formación de clientes y usuarios finales,
es importante, fomentar la cultura de la seguridad informática, no tanto
al nivel técnico, por lo mismo que en Afina se manejan productos de
seguridad, sino que ha despertado interés en conocer el ámbito de la
seguridad informática de departamentos y áreas que no estaban involucradas
con la parte técnica, como puede ser finanzas, recursos humanos, entre
otros.
En Afina, antes la capacitación que se ofrecía a los distribuidores como a
los usuarios finales no despertaba el interés que hoy en día se tiene.
Actualmente ante esta perspectiva de crecimiento y preocupación de conocer
el entorno de la seguridad informática, se ha extendido el interés otros
interlocutores de niveles gerenciales que no están ligados directamente
con la parte técnica.
La formación que se realiza en Afina conlleva implícitamente la seguridad
informática. El llevar al canal de distribución el concepto de la
seguridad informática, complementa la información de los productos que
venden y eso se retroalimenta al usuario final, lo que le permite que se
cierre el circulo del conocimiento y evangelización de la cultura de la
seguridad. Esto se incluye en los procesos de certificación de productos
del portafolio de seguridad.
Asimismo José Luis Jiménez reiteró que cualquiera puede tener acceso a la
información, tan sólo en quince minutos en una red wireless, sencillamente
puede penetrar ala red y lo que es peor, secuestrar la información, hay un
alto porcentaje de ataques no porque quieran causarte daño, sino que por
falta de una cultura de los usuarios que habiliten intencionalmente huecos
de inseguridad a través de medio de comunicación como el chat, el correo
electrónico o el hecho de entrar a una pagina electrónica en Internet.
Llevar a todas las empresas el concepto de la seguridad informática, hacer
una reflexión sobre las vulnerabilidades, todo un proceso de
evangelización de que las empresas tienen que estar protegidas, no tanto
por el costo, una analogía sobre esto, es como comprar un seguro, hace
años nadie compraba un seguro, actualmente se ha vuelto una norma.
La seguridad informática debe ser eso, un proceso que poco a poco, se vaya
generando cultura de que el usuario debe estar protegido y estar bien
definido por políticas más preventivas que reactivas. Es una nueva cultura
de prevención como un seguro, que te respalda ante cualquier contingencia,
más allá de la información, sino la continuidad del negocio.
Tan sólo tener la red “caída” empieza a visualizar los costes y gastos de
operación que puede representar un ataque informático ya que la empresa no
puede operar. En si, el mensaje a los usuarios, como a las empresas en lo
que respecta a la seguridad informática, es proteger la inversión del
negocio.
A nivel Latinoamérica, se esta trabajando en Venezuela, Colombia, Chile
Brasil y Costa Rica que es coordinado con la oficina de la Ciudad de
México. Como parte del portafolio de soluciones de seguridad de Afina, más
del 80 por ciento de los productos se manejan tanto en el mercado local
como en la región.
Entre las perspectivas de crecimiento, se pretende que en cada oficina
regional de Latinoamérica exista un Centro de Capacitación y Entrenamiento
Afina. En México, sólo se encuentra en la Ciudad de México y la ciudad de
Monterrey con una capacidad de más de 100 personas, pero existe la
disponibilidad de que Afina puede desplazarse a otra ciudad de interior
del país.
En Afina se ha cubierto las expectativas de formación, pero destaca el
crecimiento en esta área siendo aproximadamente del 30 por ciento anual.
Asimismo destaca el crecimiento en segmentos de usuario final, empresas
corporativas con respecto al canal de distribución e integradores
comentaron ambos ejecutivos de la empresa Afina.
Ha sido tal interés que ha captado la Seguridad Informática que
actualmente ya hay nuevas instituciones de capacitación y académicas que
están impulsando Diplomados en Seguridad Informática como la Universidad
Nacional Autónoma de México y el Tecnológico de Monterrey. Es el caso de
la ultima institución mencionada, Afina ha comenzado a colaborar a través
de una materia llamada Seguridad en Redes.
Hoy en día es común encontrar a profesionales dedicados a alguna
disciplina distante de lo que constituyó su educación universitaria
original. Abogados dedicados a la administración, ingenieros dedicados a
las altas finanzas, licenciados en administración de empresas
especializados en consultoría de integración de sistemas, etc. Muchos de
ellos seguramente probablemente no recuerdan los conocimientos que los
llevaron hace varios años a obtener su título profesional y sin embargo la
sociedad los sigue identificando bajo la etiqueta del título que
obtuvieron.
Un certificado de conocimientos emitido por un líder de la industria
acelera el proceso de incorporación de un profesional a una empresa ya que
otorga un voto de confianza al empleador sobre sus capacidades.
“Un profesional que haya obtenido títulos como por ejemplo Cisco Certified
Network Associate, Sun Certified Java Programmer o el Microsoft Certified
System Engineer, obtiene un reconocimiento mundial comparable o superior
al que obtendría después de haber cursado una maestría en una prestigiosa
universidad local”, señaló Marcelino Gómez, Presidente de Centro Netec.
“Al obtener un título de fabricante líder, el profesional puede
fehacientemente demostrar que posee los conocimientos sobre dicha
tecnología y que son aplicables en cualquier parte del mundo y por ende no
solo incrementa su valor profesional sino sus posibilidades de emplearse
en cualquier parte del mundo en donde se utiliza dicha tecnología.”
Centro Netec es el centro de capacitación en redes, telecomunicaciones e
informática. Su misión es proporcionar al mayor número posible de
profesionistas de nuestro país, la preparación para certificarse en las
Tecnologías de Información más prestigiadas y reconocidas mundialmente por
medio de programas con alto valor curricular.
De las cuarenta instituciones certificadoras en tecnologías de información
registradas en CertCities, solo nueve son organizaciones o consorcios no
asociados a algún fabricante líder y precisamente representan esfuerzos de
grupos típicamente competidores por establecer un estándar que rompa con
la hegemonía que naturalmente va creando la posición del líder de la
industria. La mayoría de éstos esfuerzos no han logrado imponerse en el
mercado siendo sólo cuatro de estas organizaciones las que gozan de cierto
reconocimiento: Computer Technology Information Association (CompTIA),
Project Management Institute (PMI), International Information Systems
Security Certification Consortium (ISC)2, y Linux Professional Institute (LPI).
Elevar la productividad y competitividad de las personas y las empresas de
nuestro país mediante la transferencia de conocimiento sobre tecnología de
informática y telecomunicaciones. En alianza con Cisco Systems, Sun
Microsystems y (Computer Technology Information Association)
respectivamente, Centro Netec ha lanzado al mercado varios programas que
tienen como objetivo ofrecerle al profesionista para certificarse para dar
ese cambio como medida que tienen los profesionales lo cual esta siendo
reconocido por la misma industria tecnológica.
En este contexto Marcelino Gómez nos comentó que las universidades por su
parte han enfrentado el reto del reconocimiento global mediante el
establecimiento de alianzas internacionales que son cada vez más comunes,
En México un gran número de ellas tiene programas de intercambio que
inclusive ofrecen a los alumnos títulos de universidades de los Estados
Unidos o de Europa al estudiar en ellas solo uno o dos semestres. Esto sin
duda ofrece amplios beneficios tanto para los alumnos como para las
empresas que los contratan, pero no resuelve el reto de transferir un
conocimiento verdaderamente global, como lo es sin duda el conocimiento
sobre un reconocido estándar internacional establecido por el fabricante
líder, ni tampoco permite al evaluador tener una medida tangible sobre el
nivel de conocimientos adquiridos como ciertamente lo representa un
profesional que ha obtenido una calificación aprobatoria al certificado de
conocimiento impuesto por dicho fabricante.
En la actualidad es reconocida la enorme brecha que existe entre las
necesidades de talento en el área y la oferta de profesionales emanados
del sistema educativo tradicional. Para las empresas esto se traduce en
costos asociados con largos procesos de inducción y entrenamiento interno
así como de la necesidad de asignar un presupuesto cada vez más demandante
de capacitación externa en centros especializados. Además son muy
frecuentes los casos en los que una empresa invierte durante un par de
años en el desarrollo de un profesional para finalmente concluir que se
trata de alguien con intereses dispersos o que simplemente no reúne las
características necesarias para especializarse técnicamente en cierta
disciplina.
Por contraparte, al seleccionar a profesionales que ya han logrado un
grado de certificación por si mismos, la empresa no solo minimiza los
gastos de inducción y capacitación sino además obtiene certidumbre sobre
las cualidades de motivación y logro del profesional. La empresa puede
dedicar su presupuesto de capacitación a tecnologías más avanzadas o temas
específicos necesarios para su operación.
Actualmente Centro Netec ha capacitado a más de dos mil profesionistas del
sector de tecnologías de información. No obstante, en el ramo de seguridad
informática, Marcelino Gómez admite que ha sido desproporcionado el
interés de profesionales, como de la industria por promover la
especialización en el rubro de seguridad informática. Entre las carreras
como bien se denomina por el concepto del modelo educativo que imparte
Netec, se encuentra Microsoft Certified Systems Engineer y SCP -Security
Certified Program.
Las tendencias de crecimiento en el número de profesionales certificados
en los últimos cinco años indican la preferencia que la industria de TI ya
ha dedicado a éste método de evaluar y apreciar a sus participantes. Es de
esperarse que hacia el futuro se incremente el valor percibido de las
certificaciones y con ello se incremente también el interés de todos los
profesionales en demostrar sus conocimientos mediante la obtención de
ellas.
Actualmente el número de profesionales certificados en TI en México se
estima en alrededor de 9,000. ¿Cómo se compara esta cifra con los
aproximadamente 600,000 profesionales que participan en la industria?
Hemos entrado ya en un camino cuyo destino es previsible, cada vez mas
profesionales buscarán certificarse y cada vez más la industria dará un
valor incremental al certificado. Existe una gran oportunidad para todos
los participantes de la industria de aprovechar esta tendencia tanto para
evaluar y reconocer al talento individual, como para demostrar los
conocimientos que se han adquirido y con ello aspirar a un mejor
desarrollo profesional y económico.
Según un estudio recientemente publicado por la revista Certification
Magazine, el sueldo promedio de los profesionales certificados en alguna
especialidad de TI en México se ha venido incrementado aceleradamente y
subió simplemente de 2004 a 2005 un 21por ciento al pasar de $22,522 pesos
al mes a $27,380, en una muestra en donde más del 50 por ciento de ellos
pertenece al grupo de 25 a 35 años. El crecimiento en ingresos de año a
año en México se compara muy positivamente contra sólo un 8 por ciento que
se incrementaron los sueldos promedio de profesionales certificados en los
Estados Unidos, pero están aun muy lejos de los US$5,882 dólares al mes
que ganan en ese país.
Una manera de interpretar lo anterior es sin duda que el mayor crecimiento
en los sueldos en México es un reflejo del efecto de la globalización
mediante el cual los sueldos a nivel mundial de profesionales que detentan
el mismo tipo de certificación tienden a igualarse y por tanto es de
esperarse que el ritmo de crecimiento en los salarios en nuestro país
continúe a un ritmo mayor.
Marcelino Gómez concluye que todos los profesionales de TI tienen el reto
de mantenerse actualizados no solo al exponerse a ambientes de trabajo en
donde se respire tecnología sino buscando activamente oportunidades de
entrenamiento y educación formal que le permitan obtener bases
tecnológicas actualizadas sobre las cuales incrementar sus capacidades. El
profesional de TI debe ser más proactivo al buscar oportunidades de
educación que los profesionales de otras industrias.
Capacitación para dar continuidad al negocio
Podemos
entender como seguridad una característica de cualquier sistema
(informático o no) que nos indica que ese sistema está libre de peligro,
daño o riesgo. Se entiende como peligro o daño todo aquello que pueda
afectar su funcionamiento directo o los resultados que se obtienen del
mismo. Para la mayoría de los expertos el concepto de seguridad en la
informática es utópico porque no existe un sistema 100 por ciento seguro.
Para que un sistema se pueda definir como seguro debemos de dotar de tres
características al mismo:
• Integridad
• Confidencialidad
• Disponibilidad
Dependiendo de las fuentes de amenazas, la seguridad puede dividirse en
seguridad lógica y seguridad física. En estos momentos la seguridad
informática es un tema de dominio obligado por cualquier usuario de la
Internet, para no permitir que su información sea robada.
Existe un viejo dicho en la seguridad informática que dicta: “Lo que no
está permitido debe estar prohibido” y esto es lo que debe hacer ésta
seguridad lógica.
Entre los objetivos para conseguirlo son:
• Restringir el acceso (de personas de la organización y de las que no lo
son) a los programas y archivos.
• Asegurar que los operadores puedan trabajar pero que no puedan modificar
los programas ni los archivos que no correspondan (sin una supervisión
minuciosa).
• Asegurar que se utilicen los datos, archivos y programas correctos
en/y/por el procedimiento elegido.
• Asegurar que la información transmitida sea la misma que reciba el
destinatario al cual se ha enviado y que no le llegue a otro.
• Asegurar que existan sistemas y pasos de emergencia alternativos de
transmisión entre diferentes puntos.
• Organizar a cada uno de los empleados por jerarquía informática, con
claves distintas y permisos bien establecidos, en todos y cada uno de los
sistemas o software empleados.
No obstante, deben implementarse controles de seguridad en la información
para tratar de prevenir las brechas de seguridad serias, pero también
debemos dar continuidad al plan, incluyendo las tecnologías y los sistemas
de recuperación, los cuales deberán proporcionarnos una estrategia de
soporte, para responder y regresar a la organización al estado usual si
una brecha de seguridad si esto ocurre.
Es claro que muchas empresas en el mundo no tienen un plan de continuidad
del negocio, incluyendo los equipos de respuesta y el proceso
indispensables de la actualización que lo sostiene, para una flexible
materialización de la amenaza de la seguridad de la información. Una forma
para comprobar esto es probarla con un ejercicio directo. Por ejemplo,
recibir a un equipo primario de respuesta en un cuarto de reunión y darles
un escenario para manejar, por ejemplo “Informarles que nuestros
principales competidores tienen una copia de nuestro plan de negocio
confidencial” o “un virus nuevo ha conseguido penetrar nuestras defensas y
está afectando la funcionalidad en nuestra red” o “un empleado acaba de
confesar que ha desfalcado a la organización con una fuerte suma de dinero
en los 5 años anteriores.”
Un plan bien preparado de la continuidad del negocio debería cubrir ya la
implicación de los gerentes y del experto para estos panoramas. Tal
ejercicio ayudará a entender si o no el plan de contingencia del negocio
es apropiado para manejar las amenazas relacionadas con la seguridad de la
información que se materializan. El plan debe también probar un
escalamiento de procesos existente y es apropiado a las aberturas serias
de la seguridad de la información.
Generalmente se ocupa exclusivamente de asegurar los derechos de acceso a
los datos y recursos con las herramientas de control y mecanismos de
identificación. Estos mecanismos permiten saber que los usuarios tienen
sólo los permisos que se les dio.
La seguridad informática debe ser estudiada para que no impida el trabajo
de los operadores en lo que les es necesario y que puedan utilizar el
sistema informático con toda confianza. Por eso en lo referente a elaborar
una política de seguridad, conviene:
• Elaborar reglas y procedimientos para cada servicio de la organización
• Definir las acciones a emprender y elegir las personas a contactar en
caso de detectar una posible intrusión
• Sensibilizar a los usuarios con los problemas ligados con la seguridad
de los sistemas informáticos.
Ante una fatídica perspectiva de estar fuera de los medios informáticos, o
de la supercarretera de la información, siendo éste un mundo nuevo o
nuevas reglas y normas, es lógico que siempre haya quien se quiera
aprovechar de estos medios, por lo que casi junto con el nacimiento de la
informática nació también la delincuencia en éstos medios; a lo que
podemos llamar crímenes informáticos.
Se debe considerar que la revolución del Internet no sólo nuevos medios
para comunicarnos e informarnos, el poder entablar amistad, entre otros
países, leer noticias, buscan información, realizar transacciones
financieras, contratar servicios, y adquirir bienes desde la comodidad de
nuestro hogar ya no es un sueño, sino una realidad.
Al contar con esta gran herramienta la seguridad se ha vuelto un elemento
esencial, lo que desgraciadamente se adolece en la mayoría de las
legislaciones de todos los países, además la creciente demanda del
comercio electrónico trae como consecuencia que haya revisiones periódicas
en la legislación sobre delincuencia informática, aunque las medidas
tomadas no son suficientes para hacer de comercio electrónico un lugar
seguro para conducir negocios.
La legislación tiene como fin primordial disuadir al delincuente, a efecto
que conozca que no se puede quedar impune cuando comete algún delito
electrónico o informático. Por lo general el delincuente informático no
realiza un solo acto, sino que sólo una serie continuada de ellos; y que
los daños pueden ser experimentados en un país distinto de aquel donde se
encuentra el delincuente físicamente; y que una vez realizados, es posible
eliminar toda evidencia de su comisión, por lo que hace difícil o
imposible descubrir y probar quién comete estos hechos ilícitos; y donde
con frecuencia la legislación no nos ayuda pues al ser inexistente o
confusa, nos impiden la acción de la justicia en tribunales.
Después de algunos estudios, los delincuentes informáticos, son por lo
general adolescentes con un coeficiente intelectual alto, los cuales no
cobran conciencia de que están obrando mal, puesto que para ellos es tan
sólo un juego; también entre el grupo de delincuentes informáticos podemos
encontrar empleados de confianza que conocen bien los sistemas de sus
empresas, así como delincuentes que utilizan estos medios a distancia para
ayudarse a este tipo de delitos como amenazas, fraudes o incluso
secuestros.
Como ejemplo de operación, mientras los usuarios navegan por Internet
pueden ser victimas sin saberlo de tener cambios en su navegador Internet
Explorer, sufriendo el secuestro por parte de spywares, acciones malignas
durante la navegación por Internet Java, código malicioso, gusanos,
ficheros falsos al intercambiar archivos P2P o correos con dialers que
modifican la configuración de la página de inicio.
Las víctimas son personas jurídicas como los bancos, compañías de seguros,
empresas y gente de alto renombre. En la mayoría de los casos no se
denunció los delitos por temor a pérdida de imagen corporativa, seriedad,
solvencia e incluso seguridad por lo que decía tomar medidas internas
tales como despidos o aumento en dichas medidas de seguridad.
Según se desprende del estudio “Actitudes de los gerentes de TI de
Latinoamérica respecto a la seguridad”, realizado por la firma de
investigación Kaagan Research and Associates, y patrocinado por Cisco
Systems e IBM, un 38 por ciento de los ejecutivos entrevistados
comunicaron el hecho de haber recibido un ataque de seguridad durante el
último año, en donde las compañías tanto mexicanas como brasileñas
resultaron ser las más afectadas (46 y 42 por ciento respectivamente).
Analizando los riesgos, el 63 por ciento de los entrevistados destacó que
los riegos en la seguridad informática han aumentado drásticamente en los
últimos tres años, mientras que un número menor manifestó estar muy
confiado de que sus empresas están muy protegidas ante las posibles
amenazas a su seguridad.
De acuerdo con los datos obtenidos, el 63 por ciento de las empresas no
cuentan con un gerente o director de seguridad TI, por lo que el 33 por
ciento tienen planeado contratar alguno dentro de los próximos dos años.
Es así, que la probabilidad de contar con un director es proporcional al
tamaño de una compañía, es decir que del 50 por ciento de las empresas que
cuentan con 1,000 o más empleados tienen un director.
Asimismo el estudio señala que La principal amenaza a los sistemas de TI,
de acuerdo a lo comentado por los ejecutivos entrevistados, son los
hackers, 47 por ciento de los ejecutivos están preocupados. Los ejecutivos
de grandes compañías (1,000 o más empleados) son los más preocupados (61
por ciento). La segunda preocupación en materia de seguridad son las
empresas competidoras. El 39 por ciento de los entrevistados manifestaron
que sus competidores son una amenaza a la seguridad de sus sistemas de TI.
Esta cifra es especialmente alta en México, donde el 52 por ciento de los
entrevistados considera a la competencia como una amenaza a la seguridad.
Lo único que nos queda por el momento son tomar medidas de prevención, que
van desde siempre recomendaciones en los lugares de trabajo, hasta los
famosos muros anti fuego (firewalls), software antivirus, herramienta de
directoras de intrusiones y servicios de autentificación. Asimismo
promover la cultura de la seguridad informática, capacitación y desde la
academia su especialidad.
Por ejemplo, la Dirección General de Servicios de Cómputo Académico, a
través del Departamento de Seguridad en Cómputo/UNAM-CERT, puso en marcha
el programa académico del Plan de Becarios de Seguridad en Cómputo, con la
finalidad de formar personas capacitadas en la investigación, apoyo y
desarrollo de estrategias de prevención, análisis y protección de
información, programas y aplicaciones de forma electrónica, física y
legal.
La capacitación se enfoca en guiar al alumno sobre las bases
teórico-metodológicas de seguridad en cómputo, el manejo de herramientas y
programas, la comprensión, desarrollo y aplicación de procesos preventivos
y correctivos, el desarrollo de instrumentos para cubrir las necesidades
de cada sistema de cómputo, análisis forense, etc., con base en
experiencias reales y el empleo de las herramientas específicas para cada
área.
Este programa busca la formación profesionistas que puedan coordinar,
diseñar y manipular los recursos necesarios de manera efectiva, para
atender adecuadamente las necesidades o problemas que se susciten en este
campo, el cual incluye todos aquellos donde se genere y manipule pequeñas
y grandes cantidades de información y recursos de informáticos.
La primera generación del plan se conformó y dio inicio con 23 alumnos de
alrededor de 100 aspirantes, quienes aprobaron el proceso de selección
requerido para ello.
Compuesto por un tronco común de conocimientos y líneas de
especialización, se capacitaron en diversas áreas de seguridad
informática, poniendo énfasis en la práctica de los conocimientos y
habilidades adquiridos en cada módulo.
Actualmente todos los becarios se encuentran laborando en el área de
seguridad de su especialización, directamente en el Departamento de
Seguridad en Cómputo de la DGSCA atendiendo problemas de seguridad
informática, o en otras instituciones académicas o particulares.
El Plan de Becarios es una gran oportunidad para los futuros
profesionistas de áreas relacionadas con esta materia, ya que provee los
conocimientos necesarios para poder enfrentar, resolver y prever los
problemas suscitados en las los equipos de cómputo, redes, servidores,
etc. Es una especialización complementaria a la formación recibida a nivel
superior, donde los asistentes amplían el panorama que tienen acerca de la
informática, es la adopción de una nueva cultura informática, resultado
del empleo de nuevas tecnologías en nuestro quehacer cotidiano, cuyo cauce
va creciendo.
Por otra parte, otra institución enfocada a la seguridad informática se
encuentra el Instituto Politécnico Nacional a través de la Escuela
Superior de Ingeniería Mecánica. En donde han creado la Especialidad en
Seguridad Informática y Tecnologías de Información, A partir de los
conocimientos teórico-prácticos adquiridos y de las herramientas
disponibles, los egresados de esta especialidad estarán capacitados para
resolver problemas relacionados con la Seguridad Informática y las
Tecnologías de la Información de una organización, aplicando mecanismos de
protección adecuados.
El ingeniero egresado del programa de Especialidad de Seguridad
Informática y Tecnologías de la Información tendrá la capacidad de
desarrollarse profesionalmente en la planeación, proyección, diseño,
instalación, preparación y administración de políticas, procedimientos y
tecnologías de seguridad informática.
Respecto a las defensas legales existen elementos influyentes sobre la
determinación de regular y como regular la delincuencia informática,
puesto que en primer lugar se ataca la privacidad esta entendida desde un
punto de vista personal o comercial, también se taca la credibilidad de
las empresas y su seriedad.
Es difícil hasta la fecha o de regular el crimen informático, puesto que
puede ser cometido en un lugar distinto de aquel donde va a ser cometido
ilícitos, solamente los convenios internacionales son los únicos que
pueden llegar a prevenir este tipo de situaciones jurídicas.
Son poco los países ibéricos que trata sobre el tema, entre ellos
encontramos a Argentina, España, Chile, y México los cuales han tratado de
incorporar en sus legislaciones las figuras de los delitos informáticos,
aunque desgraciadamente se ha centrado más en la protección de derechos de
autor en software que en otros temas como son la vulnerabilidad de las
empresas, y seguridad de las personas y comercios.
Enrique de Icaza, Director de Propiedad Intelectual, de Microsoft México,
manifestó: “65 por ciento de las máquinas en México tienen productos
piratas instalados, esto tiene un efecto más o menos de unos 406 millones
de dólares en pérdidas para todos los fabricantes nacionales,
internacionales en software en México. También estoy seguro que existe el
crimen organizado y no tan organizado, a mí se me hace como que hay de
todos los móviles”.
Las penas para los delitos informáticos van de tres a cinco años de
prisión, pero es necesario reformar la legislación para desaparecer la
querella y hacer que se persiga de oficio. Sin embargo, la formación en
Seguridad Informática es un rubro bastante virgen que ha despertado poco
interés en el sector, al grado de que son pocos los especialistas en
nuestro país que apenas alcanza un digito.