El pasado jueves, 22 de noviembre, ATI (Asociación de Técnicos de Informática) organizó un nuevo encuentro Picnic4Working contando, en esta ocasión, con la colaboración de la ACPJT (Asociación Catalana de Peritos Judiciales Tecnológicos).
La sesión, bajo el título "Los delitos informáticos en las organizaciones" contó con los siguientes ponentes:
- Juan Núñez, abogado, Socio-Director de BD Abogados
- Miguel Santander (@if_security), CEO de If-Security
- Rafael López Rivera, Perito Judicial, autor del blog Perito IT.
Desde la perspectiva de la empresa, de un experto en seguridad, o de un perito judicial, cada uno de ellos aportó su visión sobre la seguridad y los delitos informáticos.
En su intervención, el abogado Juan Núñez destacó que la principal preocupación de un empresario es dar servicio a los clientes de una forma rápida y eficaz para obtener la máxima rentabilidad en su negocio. Así, en la empresa actual, donde los procesos de negocio dependen de los sistemas informáticos, éstos son considerados como un "coste necesario". Para un empresario, la seguridad debería ser algo intrínseco a la informática y sus preocupaciones en este sentido vienen por el temor a perder datos, a no tener acceso a los mismos, a la pérdida de confidencialidad, o a la manipulación indebida, lo que, en la mayoría de casos, le impediría prestar sus servicios a los clientes.
Si el abogado nos habló de lo que preocupa a la empresa, el experto en seguridad Miguel Santander, nos habló de lo que debería preocupar a la empresa. Según sus palabras "Para una empresa el sistema de información representa su valor, es lo esencial que hay
que proteger. Si se compromete esto, la empresa estará comprometida". El ponente hizo un muy buen resumen sobre conceptos clave en seguridad informática: tipos de amenazas, clasificación de incidentes informáticos, vulnerabilidades, errores comunes, medidas de prevención, etc. todo acompañado de interesantes ejemplos. A modo de conclusión, destacar la idea de "entender la seguridad como un proceso".
Finalmente, el périto judicial Rafael López Rivera, aportó un punto de vista intermedio entre la empresa -que se preocupa por su negocio- y el que pretende obtener los datos de esa empresa. Cuando se produce un incidente de seguridad, se genera un conflicto entre el empresario, que quiere continuar trabajando, sin para ningún equipo, y el Responsable de Seguridad que necesita hacerse cargo de la situación para recopilar las evidencias.
El papel del perito judicial es, precisamente, recoger las evidencias cuando se ha cometido una intrusión o un incidente de seguridad que requiera de un análisis forense. Rafael López explicó con detalle las fases de una actuación pericial de campo, haciendo hincapié en mantener en todo momento la cadena de custodia, de principio a fin, empezando por "no tocar nada si no tengo autorización para ello" y siendo muy meticulosos en seguir adecuadamente todos los procedimientos.
Tras las intervenciones de los ponentes, se inició un interesante debate entre los asistentes en el que se destacó que en la mayoría de empresas no hay una "cultura de la seguridad". Aunque, sin duda, es esencial formar y concienciar a los usuarios en cuestiones de seguridad, más importante es que esta concienciación empiece en los niveles más altos del organigrama de la compañía, de donde debería partir el compromiso por la seguridad de los sistemas de información.
Como todo Picnic4Working, el debate continuó en el refrigerio posterior, donde de una forma distendida pudimos comentar con los ponentes y aprovechar para realizar networking con el resto de asistentes.
Pulsa aquí para ver la agenda del encuentro: http://www.ati.es/spip.php?article2238