Incentivos Mal Alineados de la seguridad en las MYPES

Jos Manuel Cuya Yaguana

Universidad Nacional de la Rioja, Mster en Seguridad Informtica

Definicin
Es la accin en donde las personas actan de acuerdo a sus propios intereses, en lugar de
los intereses del grupo, el resultado global del grupo podr ser subptima-y en algunos
casos- catastrfico.
A menudo es el caso de la adquisicin de que los individuos se enfrentan a situaciones en
las que sus incentivos pueden no alinearse con los objetivos del equipo. Del mismo modo,
los objetivos del equipo no pueden alinearse con los objetivos organizacionales, los cuales
son ms amplios (Novak, 2011).

Trabajos Realizados Anteriormente

Information Security Economics and Beyond, Ross Anderson and Tyler Moore

Introduction to Economics of Information Security, Murat Kantarcioglu

Introduccin
En un mundo donde abundan problemas de seguridad y los casos de ataques de
denegacin de servicio, prdida de informacin, ataques hackers, entre otros son pan de
cada da, es obvio que la seguridad se vuelve cada vez ms importante en las empresas. Sin
embargo, en algunos pases, sobre todo los que an estn en paales en cuanto al tema, a
las empresas les cuesta pensar que, ante un problema que es poco probable que suceda o
que sean casos que slo les sucedan a las grandes corporaciones, deban tomar medidas
preventivas y/o por lo menos considerarlos como una inversin.
Muchas empresas piensan en el corto plazo, aparentemente el problema no va a suceder
maana ni pasado maana, no piensan a futuro; inclusive tienen a menospreciar el tamao
del negocio, Mi empresa vende tortas, a qu hacker le puede interesar mi pgina web, y

asumen el riesgo; o en todo caso tienen sitios web compartidos para disminuir costos y
asumen la inmunidad del grupo o la seguridad general del servidor compartido. Tambin
es cierto que la ley en algunos pases por ejemplo Per, no es rigurosa o al menos no est
clara en el sentido de las responsabilidades. Por ejemplo, hace unos das, un equipo de
ftbol peruano anunci la promocin para el partido con un rival mostrando un aviso con
alusiones racistas (Depor.pe, 2014); el equipo inform que haba sido vctima de un ataque
hacker, librando as la sancin deportiva y judicial, pero entonces De quin es la
responsabilidad?

Concienciacin en Latinoamrica
La conciencia sobre seguridad informtica en Latinoamrica, sobre todo en el Per por
ejemplo, an resulta insuficiente. Hay muchas empresas funcionando sin planes de
seguridad, sin planes de contingencia y an menos un plan de continuidad, sobre todo en
las Mypes o Pymes donde la inversin necesaria para cubrir los niveles mnimos de
seguridad no ofrece un retorno de inversin necesaria o este no existe, tal vez simplemente
no encontraron la forma de lograr el beneficio. Segn McAfee, en Colombia por
ejemplo, Segn McAfee, solo el 8% del gasto en TI de las pequeas y medianas empresas
est destinado a la seguridad informtica. Teniendo en cuenta que el 73% de las Pymes
colombianas sufrieron por lo menos un ataque informtico, y que estas compaas mueven
el 96% de la economa del pas, es preocupante la falta de aseguramiento informtico
(Enter.co S.A.S., 2013).
Un problema es pensar que invertir en seguridad se considera un gasto que se puede
evitar. Eso hace que las empresas lo dejen de lado y lo consideren solo cuando el problema
de seguridad sucede. Hacer un plan para responder a un riesgo que pueda o no suceder
resulta costoso, no solo por la planificacin sino tambin por los recursos a utilizar antes,
durante y despus, y por tanto, se posterga, menos costoso es reparar que prevenir
podra pensar el ms optimista de los empresarios. El da en que el riesgo ocurre, se asume
la consecuencia de no estar protegido. Es como el seguro social, uno no sabe en qu
momento lo va a necesitar, ms vale tenerlo y no necesitarlo que, necesitarlo y no
tenerlo. En Per por ejemplo, an se est lejos de asumir concientemente la prevencin,
aunque en las trasnacionales s, se supone, que los estndares y polticas de seguridad
vienen desde la sede principal. Y est pasando lo mismo con el Estado, donde se est
tratando de regular y definir normativas, pero todava se est en estado incipiente.

Las empresas que sufren ataques o problemas de seguridad casi siempre lo ocultan a sus
clientes, porque la solucin a veces es ms rpida que la informacin del problema y es que
muchas veces el cliente tampoco cuenta con personal de monitoreo. Una empresa de
hosting por ejemplo que sufre un ataque de DOS, es muy probable que no informe del
problema a sus clientes al menos que estos llamen reportando el problema de cada del
servicio Al: mi pgina est cada, esto en el caso de que el cliente tenga una pgina web
que no tenga mucha concurrencia.

Las pequeas empresas y la seguridad de la informacin

En Per, como en la mayora de pases, la mayora de la actividad econmica es generada
por las pequeas y medianas empresas (pymes) y por los profesionales independientes.
Estos pequeos empresarios no tienen, en su mayora, conocimientos adecuados sobre
seguridad informtica y no disponen tampoco de una rea con profesionales formados en
la materia en sus empresas, un estudio del 2013 del INEI1, nos dice que slo el (INEI,
2013), participaron en eventos de tecnologas de informacin, esto nos da una clara seal
sobre el estado real de las empresas.
Resulta lgico que en una empresa, el personal especializado de informtica, a la hora de
tomar decisiones respecto a la seguridad, piense primero en Qu firewall es mejor? Qu
S.O. es mejor? Qu antivirus es mejor? Qu proxy es mejor?, cuando en la mayora de los
casos es mejor plantear polticas de seguridad y velar por el cumplimiento de estas. En una
entrevista hecha por El nuevo diario de Nicaragua a John Molina, director de
operaciones de SPC Internacional

se encuentra que El 70% de las prdidas de

informacin en las empresas a nivel mundial ocurren por el factor humano, mientras que
el resto se pierde por ataques cibernticos, as como por fallas en los programas de
procesamiento y almacenamiento? enfrentar ese riesgo es ms caro que prevenirlo, segn
John Molina (El Nuevo Diario, 2013). En cambio a los directivos que toman las decisiones
realmente no les interesan si los firewalls, sistemas de deteccin y prevencin de intrusos y
los programas de seguridad estn activos y dedicados a proteger la red y los servidores de
su organizacin o cual herramienta es mejor. Lo que ellos quieren saber con precisin, es
el impacto que la seguridad est teniendo (Custodio, 2013), si la inversin que van a
realizar les va a dar algn beneficio, y cunto es ste, un tema netamente econmico y no

INEI: Instituto Nacional de Estadstica e Informtica (Per)

tecnolgico, ya que resulta relevante al momento de tomar la decisin sobre si optar por
implementar o elevar la seguridad informtica en la empresa.

El uso de polticas de seguridad

Algunas de las polticas utilizadas es evitar que el correo corporativo sea utilizado para
comunicaciones de ndole personal, las suscripciones, los correos de los amigos con
adjuntos sospechosos. Otra poltica es el cambio de contraseas y el evitar el uso de
software pirata. Tambin el uso de las redes sociales ha sido prohibido en muchas
entidades por hacer perder el tiempo al personal, quienes inclusive pueden filtrar
informacin delicada a travs de este medio. Un ejemplo puede verse en las empresas
desarrolladoras de sitios web en las cuales el desarrollador o diseador enva una direccin
url a un amigo conectado en su red social para ver cmo se ve desde fuera.
Otro problema que suele ocasionar problemas de seguridad es el uso de software sin
licencia, o pirateado. Las amenazas informticas asociadas al uso de programas de
cmputo sin licencia pueden pasar una factura muy cara a una empresa, como prdida de
la productividad, paro de operaciones, daos en la reputacin corporativa y, por supuesto,
un sinfn de gastos derivados de la recuperacin de la informacin. Sin embargo los
usuarios no son conscientes de la importancia del cumplimiento de estas directivas. Es ms
fcil para ellos adquirir herramientas en internet que ayuden en su desempeo laboral
(editor de archivos pdf, rompedores de claves, editores de cdigo sin licencia o no
probados, complementos sin probar de navegadores).
Un ejemplo podemos ver en el estudio The Dangerous World of Counterfeit and Pirated
Software, IDC/Microsoft, nos dice que el malware en software falsificado ocasiona
prdidas por 12,9 billones de dlares en empresas de latinoamrica (Microsoft, 2013).
Tambin es cierto que a veces las empresas no cuentan con presupuesto para adquirir un
firewall o un proxy que bloquee las direcciones prohibidas o que consuman ancho de
banda, y an menos para contratar personal que pueda administrarlo, y las pocas
empresas que hacen el esfuerzo no siempre tienen los resultados esperados; con la
existencia de los proxy servers y la diversidad de dispositivos electrnicos propiedad del
personal, esta labor se vuelve cada vez ms titnica. De qu sirve que el administrador de
red bloquee las redes sociales a los usuarios, si igual ellos pueden hacerlo a travs de su
telfono mvil. Roberto Snchez, socio de consultora gerencial de PwC Espieira, Pacheco

y Asociados seal que en Venezuela por ejemplo, Solo el 42% de las empresas
desarrollan estrategias de seguridad mvil.
Decirle a un cliente que opte por determinado hardware, que tenga revisiones peridicas
de hardware y software, es costo que va a ir sumando; pero el directivo de la empresa
puede decir, si no pasa nada no estoy ahorrando, siempre estoy gastando dinero por algo
que no s si va a pasar". Pero, no es mejor estar seguro que, lo que no va a pasar es porque
estamos tomando las respectivas medidas de seguridad?
El manejo no apropiado de los datos confidenciales por parte de los empleados es otro
problema que ocurre en las empresas, no slo en las PYMES, la falta de controles en los
sistemas y la infraccin de las polticas (si es que las hay), son identificados, a nivel
internacional, como los grandes problemas de seguridad a nivel informtico. Esto es lgico
ya que no hay una consecuencia en el usuario; la seguridad en el sistema es propensa al
fracaso cuando la persona que los usa no asume el costo del mal uso; esto sin sumar
tambin que en las empresas chicas, es difcil observar -especialmente en el rea
informtica- el cumplimiento de manuales de procedimiento y definicin de roles ya que,
"todos tienden a hacer un poco de todo".
Una realidad que parece lejana pero que debe tenerse en cuenta, est vinculada con los
ataques informticos empresariales. A nivel global los ataques criminales y maliciosos son
los ms costosos para las empresas.
La prdida media resultante de los incidentes de seguridad TI en las
empresas de tamao medio es de aproximadamente 38.000 euros.
Alrededor de 28.000 euros derivados del incidente en s, mientras que los
restantes 10.000 provienen de otros gastos asociados., segn datos de la
Encuesta Global sobre seguridad TI corporativa 2013, llevada a cabo por
B2B Internacional (firma de servicios empresariales) junto a Kaspersky
Lab (proveedora de soluciones de seguridad informtica) y basado en 2.895
encuestas con profesionales de TI.
Los expertos calcularon los daos derivados de los ciberataques incluyendo
solo los incidentes ocurridos en los ltimos 12 meses y evaluando la
informacin de las prdidas sufridas como resultado directo de los
incidentes de seguridad. Los daos varan dependiendo de la regin
geogrfica en la que opera la empresa en cuestin. Por ejemplo, los daos

mayores se asocian con incidentes sufridos en las que operan en Amrica

del Norte, con un promedio de 624.000 euros, seguido de Amrica del Sur,
con 620.000 euros. Europa Occidental registr una media ms baja, pero
an considerable, de las prdidas derivadas de ciberataques, llegando a
478.000 euros (Kaspersky Lab, 2013).
Vemos entonces como se da un incremento en los ltimos aos de ataques a las empresas.
Esto es lgico ya que a medida que las empresas incrementan la utilizacin de los recursos
tecnolgicos, tanto en hardware y software, tambin incrementan los riesgos informticos.
Una solucin posible que est en auge en los ltimos tiempos es la virtualizacin. Cuando
las Pymes deciden implementar tecnologas de vanguardia -como la virtualizacinamplan su potencial comercial sin necesidad de una gran inversin en recursos. El uso de
herramientas avanzadas de gestin permite transformar los procesos de negocio, aumentar
la satisfaccin del cliente, mitigar los riesgos y proteger la informacin de la empresa.
Los intrusos no slo andan buscando la informacin relacionada con el dinero de la
empresa, tambin buscan capacidad de procesamiento, capacidad de almacenamiento,
enmascaramiento de ubicacin y conexin a Internet. Es ms, las computadoras de las
pymes son muy utilizadas por estos intrusos, ya que es ms difcil para la polica averiguar
de dnde procede el ataque realmente.

Conclusin
La mayora de las empresas chicas, no cuentan con sistemas o polticas que ayuden en la
seguridad de la informacin del negocio.
La informacin de la empresa o los sistemas asociados no interesan a nadie es un error
garrafal en el que inciden las empresas. Este es, sin duda alguna, el principal prejuicio en la
mejora de la seguridad de la informacin de una organizacin: pensar que no son el
objetivo de nadie.
As mismo, el alto costo de la implementacin de seguridad, es otro prejuicio que deben
superar, al ser un dinero no reembolsable.
Los intrusos no slo andan buscando la informacin importante, tambin buscan poder de
cmputo o simplemente mquinas esclavas desde la cual realizar un ataque.
A partir del 2012, se ha visto un incremento en ataques a PYMES, debido al auge de las
tecnologas y la tendencia a la utilizacin masiva de la Internet.

Bibliografa
Custodio, L. (29 de Julio de 2013). Diario el Pas Uruguay. (L. Custodio, Ed.) Recuperado el 22 de
Abril de 2014, de http://www.elpais.com.uy/economia-y-mercado/desafio-invertirseguridad-informatica-anadir.html
Depor.pe. (23 de Abril de 2014). Depor.pe. (Depor.pe, Ed.) Recuperado el 24 de Abril de 2014, de
http://depor.pe/futbol-peruano/real-garcilaso-aseguro-que-hacker-entro-su-pagina-weby-puso-ese-afiche-1014827
El Nuevo Diario. (29 de Octubre de 2013). Recuperado el 20 de Abril de 2014, de
http://www.elnuevodiario.com.ni/economia/300475-empresas-deben-mejorar-seguridadinformatica
Enter.co S.A.S. (07 de Mayo de 2013). http://www.enter.co. (E. S.A.S., Ed.) Recuperado el 25 de
Abril de 2014, de http://www.enter.co/especiales/enterprise/los-retos-de-seguridad-paralas-pymes/
INEI. (2013). http://www.inei.gob.pe. Recuperado el 28 de Abril de 2014, de
http://www.inei.gob.pe/media/MenuRecursivo/publicaciones_digitales/Est/Lib1139/inde
x.html
Kaspersky Lab. (2 de Julio de 2013). http://www.kaspersky.es/. Recuperado el 18 de Abril de 2014,
de
http://www.kaspersky.es/about/news/press/2013/Un_incidente_grave_de_seguridad_TI_
puede_costar__500000_euros_a_la_gran_empresa_
Microsoft. (2013, Mayo 13). http://www.microsoft.com/. Retrieved Abril 2014, 05, from
http://www.microsoft.com/enus/news/download/presskits/antipiracy/docs/idc030513.pdf
Novak, B. (16 de Mayo de 2011). http://blog.sei.cmu.edu. Recuperado el 15 de Abril de 2014, de
http://blog.sei.cmu.edu/post.cfm/a-series-on-overarching-themes-across-acquisitionprograms-first-theme-misaligned-incentives