Esa es la pregunta que todos los ejecutivos
de empresas y usuarios finales se hacen cientos de veces al año frente
al avance del cibercrimen: en esta oportunidad, Horacio Bruera, gerente
de investigación y desarrollo de Carranza Torres & Asociados,
comparte su opinión al respecto.
El estudio de Symantec, State of Enterprise Security 2010,
proporciona valiosos datos acerca del estado de la seguridad de la
información en el ámbito empresarial a nivel mundial, mostrando, al
mismo tiempo, algunas particularidades que se presentan en el mercado latinoamericano.
Según el reporte, la seguridad de la información empresarial muestra dos caras. Por un lado, el aumento en la frecuencia y eficacia de los ataques,
fundamentalmente los ataques informáticos, que generan cuantiosas
pérdidas económicas, afectando, adicionalmente, la productividad de las
empresas, la confianza de los clientes y la reputación e imagen de la
empresa en el mercado. El estudio destaca que el 75% de las empresas
encuestadas manifestaron haber sufrido algún tipo de ataque informático
en los 12 meses anteriores a la encuesta, cifra que alcanza el 49%
cuando se analiza la región latinoamericana.
Por otro lado, la adopción de medidas de seguridad apropiadas se torna cada vez más dificultosa, lo cual se traduce en un aumento considerable de los costos en recursos humanos y tecnológicos
para las empresas que pretenden contar con estándares de seguridad
adecuados a la calidad de sus servicios y de su cartera de clientes.
Uno de los puntos más interesantes del informe tiene que ver con las
pérdidas más comunes frente a los ciberataques. Entre los más citados
destacan el robo de datos personales o de información sobre tarjetas de crédito de los clientes así como el robo de propiedad intelectual.
Ante este panorama que, sin duda, resulta amenazador, es bueno tener
en cuenta que, además de los recursos humanos y tecnológicos, existen
regulaciones que proporcionan a los empresarios herramientas legales
con las que pueden enfrentar el flagelo de la delincuencia informática,
dotando a la organización de un marco normativo eficaz tanto en la faz
preventiva como correctiva.
La protección de la información confidencial
La Ley 24.766 de Confidencialidad de la Información
establece que toda persona o empresa puede impedir que la información
que esté legítimamente bajo su control sea divulgada a terceros o
adquirida o utilizada por terceros sin su consentimiento de manera
contraria a los usos comerciales honestos.
Condición necesaria para reclamar la protección que reconoce la ley mencionada es que esa información satisfaga tres requisitos básicos:
i) ser secreta, en el sentido de no ser generalmente conocida
ni fácilmente accesible para personas o empresas introducidas en los
círculos en que normalmente se utiliza el tipo de información en
cuestión;
ii) tener valor comercial por ser secreta, lo cual implica que
se trate de información valiosa para la empresa porque le otorga una
ventaja competitiva en el mercado en el que lleva a cabo su actividad;
iii) que la persona o empresa que controla legítimamente esa
información haya adoptado medidas razonables para mantenerla en secreto.
La razonabilidad de las medidas a adoptar por parte de la empresa
supone que ellas sean adecuadas para salvaguardar la confidencialidad
de la información. Por ejemplo, es razonable exigir el uso de una clave
o password para acceder a los documentos que contienen
información confidencial, fragmentar la información de acuerdo a las
necesidades de producción de cada área, prohibir el uso de dispositivos
móviles de almacenamiento de información o firmar con todos los
miembros de la empresa acuerdos de confidencialidad.
La misma ley 24.766 establece responsabilidades civiles y penales en
cabeza de quienes accedan o divulguen información que cumpla los
requisitos enumerados, otorgando así a los empresarios una herramienta
muy valiosa a la hora de proteger sus intangibles.
Los delitos informáticos
Otro instrumento legal que contribuye a reforzar la infraestructura de seguridad de las empresas es la Ley 26.388 de Delitos Informáticos, por la cual se incorporaron al Código Penal argentino, entre otros, el espionaje, el fraude y el daño informáticos.
El delito de espionaje informático se da en los casos en que el
ciberdelincuente accede, por cualquier medio, sin la debida
autorización o excediendo la que posea, a un sistema o dato informático
de acceso restringido. La ley prevé una pena de 15 días a 6 meses de
prisión. Como puede verse, la norma exige que la empresa haya adoptado
las correspondientes medidas de seguridad o de autorización, como ser
el uso de passwords o la implementación de firewalls.
Por su parte, la figura del fraude informático supone la
defraudación mediante alguna técnica de manipulación informática que
produzca como efecto la alteración del normal funcionamiento de un
sistema informático o la transmisión de datos. La legislación prevé una
pena de 1 mes a 6 años de prisión.
Finalmente, el delito de daño informático presenta dos modalidades.
La primera se da cuando el ciberdelincuente altera, destruye o
inutiliza datos, documentos, programas o sistemas informáticos de
terceros; la segunda modalidad implica la venta, distribución, puesta
en circulación o introducción en un sistema informático de un programa
destinado a causar daños. Se prevé pena de 15 días a 1 año de prisión.
Esta figura comprende a los programas conocidos comúnmente como malware, que son programas de computación destinados a causar daños, tales como los virus, gusanos y troyanos.
El marco legal de la seguridad de la información
La importancia y el valor de la información para las empresas aumentan día a día. El know how,
los secretos comerciales, la propiedad intelectual y las bases de datos
de clientes, proveedores y empleados forman una parte importante del
capital de una empresa, constituyen su capital intangible.
Correlativamente al aumento del valor de la información para quienes
legítimamente la poseen, aumenta el interés de los ciberdelincuentes
por apropiarse de ella, valiéndose de técnicas cada vez más
sofisticadas e ingeniosas.
Afortunadamente existen recursos humanos y tecnológicos para hacer
frente a los ciberataques. Pero, es muy importante que las empresas se
concienticen que cuentan también con herramientas legales que les
permiten prevenir el robo de información o, caso que éste se haya
producido, adoptar correctivos para reducir los daños. La seguridad de
la información requiere de la coordinación de tres pilares básicos: lo
humano, lo tecnológico y lo legal.
Por Horacio Bruera
|