SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

11 ago 2009

Segu-Info » » Cómo reducir gastos sin comprometer la seguridad

Cómo reducir gastos sin comprometer la seguridad

11 ago 2009, 11:57:00 p.m.   Comenta primero!
   

Ya no es una novedad para nadie involucrado con las TI que un ataque informático puede tener consecuencias de distinta gravedad para la organización. Y si se tiene en cuenta que la actividad de la Industria del malware y los delitos digitales continúa creciendo cada día, es difícil situarse en un escenario más peligroso. La lista de “amenazas” es larga y va desde el robo o suplantación de identidad hasta el fraude financiero, pasando por el robo o difusión de información sensible o confidencial. Sólo por mencionar un ejemplo difundido recientemente: los proyectos financieros de Twitter aparecieron publicados en un importante medio gracias a que un hacker vulneró una clave demasiado débil y así tuvo acceso al correo electrónico de uno de los ejecutivos de la empresa.

No obstante, ante la difícil coyuntura que atraviesa la economía mundial, muchas empresas se ven obligadas a reducir costos y según un reciente estudio de Deloitte, 32 por ciento ha optado por recortar el presupuesto en seguridad TI. Pero las empresas, tanto en tiempos de bonanza como de recesión, requieren soluciones que achiquen sus gastos, pero nunca sus prestaciones. En consecuencia, antes de reducir la partida de seguridad, es necesario plantearse si existen otras alternativas para ahorrar.

El Software como Servicio (SaaS, por sus siglas en inglés) y “la nube”, hoy tan en boga, se presentan como otro camino para recortar gastos, así como la posibilidad para las PyMEs de acceder a aplicaciones robustas o world class a costos razonables. Lo mismo para compañías que por su naturaleza no están interesadas en montar una infraestructura de TI.

Y si bien el potencial de este modelo ya estaban dando de qué hablar antes de que estallara la tormenta financiera, según las grandes consultoras como Gartner e IDC, será de aquí a los próximos tres años cuando se producirá un crecimiento exponencial en su adopción, hasta convertirse en referencia del mercado, frente al tradicional enfoque de pago por licencias y cliente-servidor.

En el modelo SaaS o de “pago por uso” el usuario accede a servicios y aplicaciones a través de Internet, con lo que elimina la necesidad de adquirir licencias, gestionar la infraestructura y preocuparse por el mantenimiento y actualización. Esto implica rápida adopción, costes iniciales reducidos, actualizaciones sencillas; integración perfecta en la infraestructura TI de la empresa, mayor ROI, fácil distribución, portabilidad y escalabilidad (los usuarios pueden estar distribuidos en sitios remotos y acceder en cualquier momento al sistema tan sólo con una conexión a Internet). En definitiva, permite a la empresa enfocarse en sus objetivos de negocio y no en manejar sistemas.

Sin embargo, a pesar de sus múltiples ventajas, muchas organizaciones se muestran renuentes a implementar esta modalidad porque consideran riesgoso delegar el control y administración de su información y datos sensibles a terceros. Y la preocupación no es infundada: toda esta arquitectura multiusuario requieren prestar especial atención a la seguridad, tanta o más que la que se dedica a los sistemas internos.

En este contexto, la firma y los certificados digitales ofrecen un enorme potencial, como el complemento perfecto para controlar y gestionar identidades y privilegios, garantizando la seguridad y confidencialidad. Y si antes dependían de cada terminal físico y lo que se almacenaba en él o en el servidor de la empresa, ahora todo puede estar en la famosa “nube”.

La firma digital en formato SaaS es ideal para empresas que, bien por su infraestructura o por requerir esta tecnología sólo en momentos puntuales, no se inclinan por implementar un sistema de este tipo. Ahora, contratándolo en modalidad de software como servicio, pueden pagar únicamente por cada documento que necesiten firmar digitalmente, o como soporte de seguridad para otras aplicaciones.

En el caso puntual de Argentina, es llamativo el bajo nivel de penetración que ha alcanzado la tecnología de firma digital, a pesar de los casi ocho años trascurridos desde la sanción de la Ley 25.506 -que le otorgó el mismo status legal que a la firma manuscrita- y a dos de establecido el marco normativo aplicable al otorgamiento y revocación de licencias para emitir certificados digitales (Decisión Administrativa Nº 6/07).

Lo cierto es que hasta hoy, AFIP y ANSES son los únicos organismos autorizados por la Oficina Nacional de Tecnologías de Información (ONTI) para emitir certificados, mientras que no existe todavía ninguna entidad privada licenciada. Hasta hace apenas unos días, dichos certificados solamente se utilizaban en el ámbito de la administración pública. Pero a principios de agosto AFIP dio a conocer una serie de medidas para agilizar y controlar el comercio, entre las que se encuentran el uso de la firma digital en los contratos de compra-venta de granos. Según subrayó el titular del organismo, Ricardo Echegaray "será el primer contrato con firma digital entre privados”. Para eso, la entidad aprobó la resolución 2651 mediante la cual establece el procedimiento para la emisión de certificados a los contribuyentes. Se trata sin duda de un avance importante y cabe esperar que poco a poco las empresas comiencen a incorporar esta herramienta a sus procesos de negocio. Pero será una transición lenta.

Por su parte, las principales cámaras del sector TI han llamado la atención sobre la eficacia de la firma digital. En documento “Bases y lineamientos para una Agenda Digital Argentina” expresa en el capítulo dedicado al marco jurídico que “El adecuado desarrollo de la nueva economía y del gobierno electrónico requieren de una nueva forma de interactuar entre las personas privadas, entre éstas y la administración pública, reconociéndose la validez y valor probatorio al documento digital y autorizándose el uso de mecanismos de autenticación que puedan utilizarse en dicho ambiente (entre otros, la firma digital) -por lo menos- en las mismas condiciones de validez que posee el formato papel”. Y continúa: “(…) podemos afirmar que, si bien se ha avanzado en la materia, existen aplicaciones que utilizan métodos alternativos de autenticación en forma exitosa y que están siendo utilizadas masivamente sin generar repudio de transacciones”. El documento cita como ejemplo el sistema de declaraciones juradas de la AFIP, como una de las aplicaciones que utilizan autenticación sin firma digital. Pero no es la única.

En ese sentido, vale la pena mencionar que hay una gran confusión sobre que la firma electrónica (para lo que no se requiere un certificado asociado) tiene menos validez que la digital, una imprecisión que ha retrasado el despegue de estas tecnologías. La realidad es que ambas tienen valor legal. La diferencia radica en el valor probatorio de cada una: en el caso de la firma digital existe una presunción "iuris tantum" en su favor; esto significa que se presume salvo prueba en contrario por parte del demandante que proviene del suscriptor del certificado asociado. En la firma electrónica se invierte la carga probatoria: en caso de ser desconocida la firma, corresponde a quien invoca su autenticidad acreditar su validez. Por ejemplo, si dos partes que celebran un contrato firmado digitalmente una de ellas alegara la invalidez de alguna de las firmas, le corresponde a ésta demostrarlo ante la ley. Si en cambio, las partes firmasen el contrato con firma electrónica, corresponde a la parte que clama por su validez demostrar ante la ley la autenticidad y sólo en caso de no poder demostrarla, esa firma electrónica no es válida.

Nuestra experiencia en Europa indica que el factor determinante para el despegue de la firma digital fue que las empresas comenzaron incorporando la firma electrónica y poco a poco fueron migrando a la digital. Y prácticamente no se conocen casos de repudio que haya llegado a un tribunal.

Estamos en un punto en el que el mercado TI, es más competitivo, en calidad, seguridad y reducción de costes y tiempo. Al juntar estas vertientes encontramos en el modelo SaaS y su aplicación para la e-firma una solución viable para que las empresas le den un valor añadido a sus servicios.



Autor: Rodolfo Lomascolo
Fuente: Infotechnology.com



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!