Documente Academic
Documente Profesional
Documente Cultură
Definicin
Es la accin en donde las personas actan de acuerdo a sus propios intereses, en lugar de
los intereses del grupo, el resultado global del grupo podr ser subptima-y en algunos
casos- catastrfico.
A menudo es el caso de la adquisicin de que los individuos se enfrentan a situaciones en
las que sus incentivos pueden no alinearse con los objetivos del equipo. Del mismo modo,
los objetivos del equipo no pueden alinearse con los objetivos organizacionales, los cuales
son ms amplios (Novak, 2011).
Information Security Economics and Beyond, Ross Anderson and Tyler Moore
Introduccin
En un mundo donde abundan problemas de seguridad y los casos de ataques de
denegacin de servicio, prdida de informacin, ataques hackers, entre otros son pan de
cada da, es obvio que la seguridad se vuelve cada vez ms importante en las empresas. Sin
embargo, en algunos pases, sobre todo los que an estn en paales en cuanto al tema, a
las empresas les cuesta pensar que, ante un problema que es poco probable que suceda o
que sean casos que slo les sucedan a las grandes corporaciones, deban tomar medidas
preventivas y/o por lo menos considerarlos como una inversin.
Muchas empresas piensan en el corto plazo, aparentemente el problema no va a suceder
maana ni pasado maana, no piensan a futuro; inclusive tienen a menospreciar el tamao
del negocio, Mi empresa vende tortas, a qu hacker le puede interesar mi pgina web, y
asumen el riesgo; o en todo caso tienen sitios web compartidos para disminuir costos y
asumen la inmunidad del grupo o la seguridad general del servidor compartido. Tambin
es cierto que la ley en algunos pases por ejemplo Per, no es rigurosa o al menos no est
clara en el sentido de las responsabilidades. Por ejemplo, hace unos das, un equipo de
ftbol peruano anunci la promocin para el partido con un rival mostrando un aviso con
alusiones racistas (Depor.pe, 2014); el equipo inform que haba sido vctima de un ataque
hacker, librando as la sancin deportiva y judicial, pero entonces De quin es la
responsabilidad?
Concienciacin en Latinoamrica
La conciencia sobre seguridad informtica en Latinoamrica, sobre todo en el Per por
ejemplo, an resulta insuficiente. Hay muchas empresas funcionando sin planes de
seguridad, sin planes de contingencia y an menos un plan de continuidad, sobre todo en
las Mypes o Pymes donde la inversin necesaria para cubrir los niveles mnimos de
seguridad no ofrece un retorno de inversin necesaria o este no existe, tal vez simplemente
no encontraron la forma de lograr el beneficio. Segn McAfee, en Colombia por
ejemplo, Segn McAfee, solo el 8% del gasto en TI de las pequeas y medianas empresas
est destinado a la seguridad informtica. Teniendo en cuenta que el 73% de las Pymes
colombianas sufrieron por lo menos un ataque informtico, y que estas compaas mueven
el 96% de la economa del pas, es preocupante la falta de aseguramiento informtico
(Enter.co S.A.S., 2013).
Un problema es pensar que invertir en seguridad se considera un gasto que se puede
evitar. Eso hace que las empresas lo dejen de lado y lo consideren solo cuando el problema
de seguridad sucede. Hacer un plan para responder a un riesgo que pueda o no suceder
resulta costoso, no solo por la planificacin sino tambin por los recursos a utilizar antes,
durante y despus, y por tanto, se posterga, menos costoso es reparar que prevenir
podra pensar el ms optimista de los empresarios. El da en que el riesgo ocurre, se asume
la consecuencia de no estar protegido. Es como el seguro social, uno no sabe en qu
momento lo va a necesitar, ms vale tenerlo y no necesitarlo que, necesitarlo y no
tenerlo. En Per por ejemplo, an se est lejos de asumir concientemente la prevencin,
aunque en las trasnacionales s, se supone, que los estndares y polticas de seguridad
vienen desde la sede principal. Y est pasando lo mismo con el Estado, donde se est
tratando de regular y definir normativas, pero todava se est en estado incipiente.
Las empresas que sufren ataques o problemas de seguridad casi siempre lo ocultan a sus
clientes, porque la solucin a veces es ms rpida que la informacin del problema y es que
muchas veces el cliente tampoco cuenta con personal de monitoreo. Una empresa de
hosting por ejemplo que sufre un ataque de DOS, es muy probable que no informe del
problema a sus clientes al menos que estos llamen reportando el problema de cada del
servicio Al: mi pgina est cada, esto en el caso de que el cliente tenga una pgina web
que no tenga mucha concurrencia.
informacin en las empresas a nivel mundial ocurren por el factor humano, mientras que
el resto se pierde por ataques cibernticos, as como por fallas en los programas de
procesamiento y almacenamiento? enfrentar ese riesgo es ms caro que prevenirlo, segn
John Molina (El Nuevo Diario, 2013). En cambio a los directivos que toman las decisiones
realmente no les interesan si los firewalls, sistemas de deteccin y prevencin de intrusos y
los programas de seguridad estn activos y dedicados a proteger la red y los servidores de
su organizacin o cual herramienta es mejor. Lo que ellos quieren saber con precisin, es
el impacto que la seguridad est teniendo (Custodio, 2013), si la inversin que van a
realizar les va a dar algn beneficio, y cunto es ste, un tema netamente econmico y no
tecnolgico, ya que resulta relevante al momento de tomar la decisin sobre si optar por
implementar o elevar la seguridad informtica en la empresa.
y Asociados seal que en Venezuela por ejemplo, Solo el 42% de las empresas
desarrollan estrategias de seguridad mvil.
Decirle a un cliente que opte por determinado hardware, que tenga revisiones peridicas
de hardware y software, es costo que va a ir sumando; pero el directivo de la empresa
puede decir, si no pasa nada no estoy ahorrando, siempre estoy gastando dinero por algo
que no s si va a pasar". Pero, no es mejor estar seguro que, lo que no va a pasar es porque
estamos tomando las respectivas medidas de seguridad?
El manejo no apropiado de los datos confidenciales por parte de los empleados es otro
problema que ocurre en las empresas, no slo en las PYMES, la falta de controles en los
sistemas y la infraccin de las polticas (si es que las hay), son identificados, a nivel
internacional, como los grandes problemas de seguridad a nivel informtico. Esto es lgico
ya que no hay una consecuencia en el usuario; la seguridad en el sistema es propensa al
fracaso cuando la persona que los usa no asume el costo del mal uso; esto sin sumar
tambin que en las empresas chicas, es difcil observar -especialmente en el rea
informtica- el cumplimiento de manuales de procedimiento y definicin de roles ya que,
"todos tienden a hacer un poco de todo".
Una realidad que parece lejana pero que debe tenerse en cuenta, est vinculada con los
ataques informticos empresariales. A nivel global los ataques criminales y maliciosos son
los ms costosos para las empresas.
La prdida media resultante de los incidentes de seguridad TI en las
empresas de tamao medio es de aproximadamente 38.000 euros.
Alrededor de 28.000 euros derivados del incidente en s, mientras que los
restantes 10.000 provienen de otros gastos asociados., segn datos de la
Encuesta Global sobre seguridad TI corporativa 2013, llevada a cabo por
B2B Internacional (firma de servicios empresariales) junto a Kaspersky
Lab (proveedora de soluciones de seguridad informtica) y basado en 2.895
encuestas con profesionales de TI.
Los expertos calcularon los daos derivados de los ciberataques incluyendo
solo los incidentes ocurridos en los ltimos 12 meses y evaluando la
informacin de las prdidas sufridas como resultado directo de los
incidentes de seguridad. Los daos varan dependiendo de la regin
geogrfica en la que opera la empresa en cuestin. Por ejemplo, los daos
Conclusin
La mayora de las empresas chicas, no cuentan con sistemas o polticas que ayuden en la
seguridad de la informacin del negocio.
La informacin de la empresa o los sistemas asociados no interesan a nadie es un error
garrafal en el que inciden las empresas. Este es, sin duda alguna, el principal prejuicio en la
mejora de la seguridad de la informacin de una organizacin: pensar que no son el
objetivo de nadie.
As mismo, el alto costo de la implementacin de seguridad, es otro prejuicio que deben
superar, al ser un dinero no reembolsable.
Los intrusos no slo andan buscando la informacin importante, tambin buscan poder de
cmputo o simplemente mquinas esclavas desde la cual realizar un ataque.
A partir del 2012, se ha visto un incremento en ataques a PYMES, debido al auge de las
tecnologas y la tendencia a la utilizacin masiva de la Internet.
Bibliografa
Custodio, L. (29 de Julio de 2013). Diario el Pas Uruguay. (L. Custodio, Ed.) Recuperado el 22 de
Abril de 2014, de http://www.elpais.com.uy/economia-y-mercado/desafio-invertirseguridad-informatica-anadir.html
Depor.pe. (23 de Abril de 2014). Depor.pe. (Depor.pe, Ed.) Recuperado el 24 de Abril de 2014, de
http://depor.pe/futbol-peruano/real-garcilaso-aseguro-que-hacker-entro-su-pagina-weby-puso-ese-afiche-1014827
El Nuevo Diario. (29 de Octubre de 2013). Recuperado el 20 de Abril de 2014, de
http://www.elnuevodiario.com.ni/economia/300475-empresas-deben-mejorar-seguridadinformatica
Enter.co S.A.S. (07 de Mayo de 2013). http://www.enter.co. (E. S.A.S., Ed.) Recuperado el 25 de
Abril de 2014, de http://www.enter.co/especiales/enterprise/los-retos-de-seguridad-paralas-pymes/
INEI. (2013). http://www.inei.gob.pe. Recuperado el 28 de Abril de 2014, de
http://www.inei.gob.pe/media/MenuRecursivo/publicaciones_digitales/Est/Lib1139/inde
x.html
Kaspersky Lab. (2 de Julio de 2013). http://www.kaspersky.es/. Recuperado el 18 de Abril de 2014,
de
http://www.kaspersky.es/about/news/press/2013/Un_incidente_grave_de_seguridad_TI_
puede_costar__500000_euros_a_la_gran_empresa_
Microsoft. (2013, Mayo 13). http://www.microsoft.com/. Retrieved Abril 2014, 05, from
http://www.microsoft.com/enus/news/download/presskits/antipiracy/docs/idc030513.pdf
Novak, B. (16 de Mayo de 2011). http://blog.sei.cmu.edu. Recuperado el 15 de Abril de 2014, de
http://blog.sei.cmu.edu/post.cfm/a-series-on-overarching-themes-across-acquisitionprograms-first-theme-misaligned-incentives