Jesús Estévez es socio de PricewaterhouseCoopers, a cargo de la práctica de TI Advisory y además es el CIO de la consultora a nivel regional. En esta entrevista con Infobaeprofesional.com habla sobre la seguridad informática en las empresas argentinas.¿Cuáles son las principales preocupaciones que hay en las grandes empresas ante la TI?Jesús Estévez: la gente sabe que la información es el activo más importante de la compañí­a y por eso hoy las organizaciones están preocupadas en protegerla. Como es un elemento muy valioso la información es la más atacada. Y además, como es mayoritariamente digital, el nivel de exposición que tiene ese riesgo es aun más alto que el que podrí­a hacer hace 10 años atrás. El CEO sabe perfectamente que la TI es una diferencial en la competencia. El sector financiero fue el que antes emprendió el camino al darle seguridad a los bancos. Hoy el nivel de competencia entre bancos requiere que la mayorí­a de los servicios que una entidad da a sus clientes sea dado en tiempo real. Hay que disponer sistemas y esto trasciende las paredes de un edificio, lo fí­sico y requiere que se implementen mecanismos de protección de la información, tanto del usuario como de la entidad financiera. Es un segmento donde la competencia es muy alta y requiere de tecnologí­a para brindar servicios sofisticados.¿Y en otros sectores, como el retail, y el petróleo y el gas?

Ahí­ se minimizan los requerimientos de seguridad de la información, porque no hablamos de cuentas corrientes o cajas de ahorro. Esto es muy relativo porque muchas veces hay información estratégica de la compañí­a, como fórmulas, que requieren la misma puesta en valor que una caja de ahorro. Hay mucha más conciencia de esto, hay compañí­as que están más preocupadas en esto. Hay una transformación en el tema de la seguridad en la región. Se ve más como un proceso dentro de la organización que como un costo. Antes se veí­a como un costo poner un candado (digital), un antivirus y hoy son cosas que nadie discute. Hoy hay métricas sobre aquellos que tienen la responsabilidad de manejar esto y cumplir aspectos regulatorios y buscar estándares de confiabilidad internacional.¿Cuál es el rol del empleado en la seguridad informática de la empresa?

Las estadí­sticas generales dicen que el nivel de riesgo es el 80 por ciento adentro y 20 por ciento afuera. Se debe integrar al empleado como parte del proceso (de seguridad). Hoy hay ejercicios de seguridad que se hacen anualmente. No es un dí­a que se da un curso de seguridad y ya está. Nosotros internamente hacemos una vez por año ese ejercicio. Hay muchas compañí­as que lo están implementando. Hoy el personal de la compañí­a está siendo integrado a este proceso, y eso genera un compromiso adicional y un conocimiento más fuerte para respetar esos estándares de seguridad.La mayorí­a de los empleados de PWC tienen computadoras portátiles. ¿Cómo manejan el tema de la seguridad?

Nosotros tenemos un estándar regional. Las imágenes de las notebooks de los 6.300 usuarios que tenemos en la región son iguales. Esos estándares son a nivel de plataforma. Todos tienen Windows XP, Office y también los mecanismos de seguridad y control, como está configurado el antivirus, los procesos de escaneo recurrentes que se hacen sobre las notebooks. Esto es permanente y dinámico. Hoy estamos en un nivel 9 pero mañana estaremos en 7 porque aparecieron nuevos ataques y problemas. Es como una cinta continua.Hablando de niveles, ¿cómo se encuentra el nivel de la seguridad informática en las empresas argentinas en relación a los otros paí­ses de la región?

No tengo un detalle comparativo para decir que estamos adelante o atrás. Atrás no lo creo por lo que veo que hacen las empresas. Los presupuestos de seguridad han ido creciendo, acompañando a los presupuestos de TI. La Argentina en materia de seguridad no está por detrás de nadie en la región latinoamericana.¿Cuáles son las principales amenazas a la seguridad de los sistemas de las organizaciones?

Antes no se hablaba de hackers y de firewall. Las amenazas están por ahí­. La disponibilidad de la información trascendió las fronteras y el ambiente fí­sico de una institución. El chico que está hoy en la universidad tiene un acceso a la información que no lo tuve yo cuando estuve allí­. Me animarí­a a decir que el nivel de amenazas externas es muy importante. El conocimiento de la tecnologí­a está más al alcance de la mano. Los chicos son mucho más ávidos de bajarse cosas y probar. El valor de la información cobró más importancia: Hoy es más importante un archivo de información "hackeado" que tener la clave de una caja fuerte. No se puede desconocer el problema interno, sobre todo en organizaciones grandes, pero creo que tampoco se puede descansar en la estadí­stica que dice 70 por ciento de los ataques son internos y 30 por ciento, externos, porque nos olvidamos de un problema externo. Hoy aparece un promedio de mil virus por mes. Hace tres años aparecí­a esa cifra en un año. El nivel de agresión es mucho mayor. No mirar hacia fuera serí­a un error. Me parece que el tema clave es balancear los esfuerzos. ¿Qué están haciendo las empresas para prevenir esos ataques?

Se minimizan las actividades para reducir los efectos (de los ataques). Se piensa que cualquiera que tienen una PC y tiene un par de libros y se bajó un par de herramientas está en condiciones de detectar si uno está seguro o no. Eso es mucho menos costoso que alguien que hizo una carrera universitaria. La diferencia es importante y los resultados también. Muchas veces sucede que por estas cosas las compañí­as quedan dando vueltas. O cuando se implementan nuevas tecnologí­as queda alguna puertita abierta que puede ser el origen de un robo posterior.¿La alta gerencia es la Argentina es conciente de estos problemas de seguridad?

Yo creo que sí­, hoy por lo menos sabe. Por temas regulatorios necesariamente aprendió lo que debí­a conocer, y lo sabe por lo que públicamente se conoce. Hoy la alta gerencia tiene acceso a la información que hace 10 años no tení­a. Desde 1998 hasta 2005 el tema de la seguridad estaba dentro de los tres o cuatro temas de la agenda anual de la dirección y los presupuestos iban acompañando esa preocupación.César Dergarabedian[email protected]Infobaeprofesional.com