La Ley, el Malware y el «Usaurio»

On By admincpwmx

Como en Narnia, esto parece de ficción, pero trataremos de recalcar la relación entre cada uno de los siguientes elementos: la Ley, el Malware y el "Usaurio".

 

Finalmente los gritos se callaron y los merolicos de la medicina milagrosa que cura de TODO se han calmado, una vez que han saciado su apetito de dólares. Muchos cayeron en el juego, pero la culpa no es del indio, sino de quien lo hace compadre.

 

La responsabilidad, en muchos casos, fue delegada a las áreas de tecnología, directamente responsable del cumplimiento de la LEY; la dirección, ante el desconocimiento -y con la confianza de quien acude a la farmacia y pide un remedio y lo obtiene siempre por parte de la gran farmacia de TI- calmó su estrés.

 

Se asignó presupuesto emergente, se contrataron consultores, otros más contrataron abogados expertos, realizaron sus avisos de privacidad, le cargaron a TI la oficina de protección de datos y ¡listo! Como quien compra un ojo de venado en el mercado de Sonora, sentimos que somos inocuos.

 

Pues déjenme decirles que sólo metieron la cabeza en un agujero. A finales de 2011 según datos de Mancera y PWC, de una muestra de mínimo un 5% de las empresas por sector, sólo el 35% de las empresas de la muestra mexicana, estaban considerando la importancia de un área de seguridad. Esto dejó al 65% indefensas y sin idea de qué hacer.

 

De este 35% de empresas interesadas, sólo un 80% aproximadamente, contaban con políticas de seguridad, que son la clave para poder establecer la seguridad en los datos personales y para el cumplimiento de la ley.

 

De ese 35%, el 90% cargó el cumplimiento de la LFPDPPP a TI, así que invirtieron en hardware, software y humanware desde una perspectiva de TI; esto es resolver la ley a fierrazos. Del 65% ni idea…

 

Me atrevo a pensar que del 35% que cuentan con un área de seguridad de la información y que de éstas un 80% cuentan con políticas actualizadas de seguridad, sólo un 5% reformaron sus procesos, iniciaron campaña de concienciación y asignaron a un responsable que coordinara abogados, tecnólogos, encargados de RH, administradores de procesos y a la dirección misma para poder atender la importancia del caso sin que este fuera directamente dependiente de TI, sino de la Dirección.

Imaginemos cómo está el 65% de las demás empresas… que tristemente son las que han comprado remedios temporales.

 

Sigamos con los numerología. En artículos recientes de Computerworld México, nos dan cifras de 2011: Un 20% de los encuestados ha confirmado que se ha producido la pérdida de datos en su empresa durante los últimos doce meses. Además, 32% no ha podido negar la posibilidad y ha asegurado que es posible que un problema de este tipo haya tenido lugar. De esta manera, más de la mitad de las empresas han podido sufrir este problema, con un importante número de casos confirmados.”

Shopos nos dice: “66% de memorias USB extraviadas contienen malware y no están encriptadas “ ( he aquí la importancia de las políticas de seguridad y concienciación)…

Otro artículo mas dice: “Norton se asoció con la firma de investigación independiente Sperling’s BestPlaces para descifrar cuáles son las 10 ciudades de Latinoamérica  que presentan el mayor riesgo potencial de delincuencia cibernética a sus habitantes" y agrega: ”México, dentro de las 10 ciudades online más riesgosas de la región“… ”tomando en consideración desde los gastos invertidos en computadoras de escritorios y teléfonos inteligentes, hasta las actividades potencialmente riesgosas como acceder a Wi-Fi desde algún lugar no seguro, la utilización de redes sociales, las compras en línea o la realización de operaciones bancarias, entre otros.”

 

“El Comportamiento de los Empleados Impacta la Seguridad de los Datos Móviles – La mayoría de las empresas creen que la falta de conciencia sobre la seguridad de los usuarios entre los empleados como el mayor factor que impacta los datos móviles – seguida por la navegación Web en los móviles (61%), conectividad Wi-Fi insegura (59%) dispositivos perdidos o robados (58%) y descargas de aplicaciones móviles maliciosas (57%)”

Además: ”El estudio El Impacto de los Dispositivos Móviles en la Seguridad de la Información realizado por Checkpoint, muestra que 71% de las empresas creen que los aparatos móviles han causado un incremento en incidentes de seguridad, mencionando preocupación significativa sobre la fuga y privacidad de datos delicados almacenados en los dispositivos de los empleados, incluyendo correo corporativo (79%), datos de clientes (47%) y credenciales de ingreso a la red (38%).”

Aquí se siente la carencia de un área de seguridad reportando a la dirección y sólo encargada de colocar parches y corretear virus. Igualmente, la falta de políticas y concientización del personal de las empresas.

Y hasta en las mejores familias sucede… “El grupo bancario HSBC perdió un disco de computadora que sólo estaba protegido con contraseña pero no encriptado, que contenía detalles de 370,000 clientes. El disco se perdió hace cuatro semanas luego de ser enviado por mensajería a través de una cuenta corporativa de Royal Mail desde Southampton a Swiss Re. “Los datos, que estaban protegidos con una contraseña, incluyen nombres, niveles de cobertura de seguros de vida, fechas de nacimiento y si el cliente fuma o no. No hay nada que pudiera comprometer a un cliente y no hay razón para suponer que el disco haya caído en las manos equivocadas”, aseguró el banco en un comunicado.”

Entonces y ante las alarmantes cifras, podemos correlacionar y concluir que si al menos 5% del 80% del 35% del 5% de empresas están listas a cumplir con la LFPDPPP, hay un gran número de éstas que aportarán mucho a las arcas cuando las auditorías del IFAE inicien.

Ahora el tema será cómo controlar la corrupción para que realmente se corrijan los problemas que pueden vulnerar la información personal de cada uno de nosotros como personas… como usuarios… o mejor dicho, "usaurios".