Hace unos años el desafío de toda empresa era desarrollarse comercialmente a través de Internet,no sólo para abrir su imagen corporativa hacia el mundo, sino que también para aumentar su nivel de transacciones comerciales. Por lo mismo, las corporaciones han tomado conciencia de la importancia de mantener un ambiente protegido con las precauciones debidas para no comprometer la confidencialidad y seguridad de la información que está viajando por la red. Las normas En 1995, el Instituto Británico de Normas Técnicas (BSI) publicó la primera norma técnica de seguridad, BS 7799, la cual fue redactada con el fin de abarcar los asuntos de seguridad relacionados con el e-Commerce. Sin embargo, esta norma fue considerada inflexible y no tuvo gran acogida. Cuatro años más tarde, el BSI intentó de nuevo publicar una segunda versión con muchas mejoras y perfeccionamientos, al mismo tiempo que la Organización Internacional de Normas Técnicas (ISO) comenzó a trabajar en la revisión de la norma técnica BS 7799. Finalmente, en Diciembre del 2000 se adoptó la ISO 17799 que cuenta con 10 puntos de control: 1. En toda organización debe existir un documento con las Políticas de Seguridad Internas. 2. Las responsabilidades de las prácticas de seguridad deben estar claramente asignadas. 3. Debe existir educación y capacitación en seguridad de la información para toda la empresa. 4. Se deben documentar todos los incidentes de seguridad ocurridos así como las acciones esperadas de acuerdo a cada uno. 5. Deben existir controles para la prevención y detección de virus. 6. Debe existir un Plan de Continuidad Operacional. 7. Debe existir control sobre los derechos de autor de los software existentes. 8. Deben existir salvaguardas a los registros críticos de los procesos administrativos. 9. Debe garantizarse la privacidad de los datos personales. 10. Debe revisarse periódicamente el cumplimiento de estos elementos de control. Algunas estadísticas ·Sólo en Estados Unidos, durante el año 2001 se registraron 52.658 incidentes esperándose para este año una cifra de 107.316 (CERT). ·A nivel mundial, más del 75% de las organizaciones ha experimentado interrupciones o incidentes en sus sistemas informáticos (Ernst & Young). ·Los proveedores de protección de redes generarán US$2.200 millones hacia el 2005, frente a los US$720 millones en el 2000 (IDC). ·Los principales incidentes de seguridad se debieron en el 2001 a ataques de virus (22%) seguido por el abuso del acceso a la red por parte de usuarios internos que no respetan las reglas de las empresas (20%) (CSI y FBI). ·Otras brechas de seguridad son la denegación de servicio, la penetración a sistemas y el acceso interno no autorizado, con un 10% (Orión 2000). ·Durante este año se habrán vendido en el mundo soluciones de seguridad por un monto superior a los US$80.000 millones (IDC). |