Noticias Profesionales

Seguridad de la Información y Protección de Datos

Enviar a un amigo | Imprimir

El 60% de los bancos argentinos no posee sistemas de back up eficientes

Sólo el 40% de las entidades están protegidas y cubiertas con sistemas de replicación de sus datos en forma "instantánea y a distancia", lo que habla de la vulnerabilidad de la información bancaria ante catástrofes o antentados de magnitud

 

Aunque los bancos son los que más invierten en tecnología informática para cumplir con las regulaciones que impone el BCRA (Banco Central de la República Argentina), el 60% de las entidades financieras no protege su información con la profundidad que exige el negocio financiero.

Así, los clientes de esas entidades pueden encontrar dificultad cuando se requiera información comercial vinculada con la actividad bancaria en forma inmediata, la misma que tendría el Banco Central en caso de solicitar determinados datos.

Para la empresa EMC, dedicada a los sistemas de almacenamiento y recuperación de desastres, sólo el 40% de los bancos de la Argentina están cubiertos con sistemas de "replicación instantánea" de sus bases de datos, es decir, sistemas que permiten recuperar la información afectada por algún tipo de contingencia en menos de una hora.


Para la compañía, el 60% restante no presta suficiente atención al resguardo de volúmenes de datos que son confiados por el grueso de los clientes.

Según los datos brindados por EMC:

* Entre 30-40% de los bancos en la Argentina están en la categoría 1, es decir, tienen implementado disaster recovery con "espejamiento sincrónico" a distancia superior a los 3 km (distancia considerada razonable por el BCRA).

Espejamiento sincrónico significa que el lugar de contingencia está "sincronizado" permanentemente con el de producción. Es recomendable la mayor distancia posible por motivos de aislar los lugares de producción y el de back up para prevenirse de alguna catástrofe natural que pueda afectar a ambos. En la categoría 1, la recuperación de la información se realiza en menos de una hora, ya que toda la información producida se replica al instante (espejo sincrónico) y en un lugar seguro y distante de más de 3 km del lugar de producción.

* Un 10% se encuentra en la categoría 2, idéntica a la categoría 1, pero a distancias menores a 3 kilómetros.

* Entre un 20 y un 30% se ubica en la categoría 3, es decir, bancos que tienen implementado disaster recovery vía backup/restore de cintas. Este es un sistema de más lenta recuperación y de menor nivel de sofisticación tanto en hardware, software como en procedimientos.

* Y entre un 20 a 30% de las entidades financieras se encuentra en la categoría 4, es decir, se trata de bancos que sólo tienen un contrato firmado con un outsourcer, pero que sólo cubre los aspectos formales, es decir, no tienen contingencia real.

“Las dos últimas categorías demandan más de 12 horas para volver a tener la información disponible frente a una contingencia. Es decir que el 60% del sistema financiero no cumple con lo que el BCRA considera razonable”, explicó Marcelo Fandiño, director de Servicios Profesionales de EMC, cono Sur.

Costes de una solución de recovery site

Montar un sitio de contingencia, considerando la tecnología de almacenamiento, el vínculo de comunicación (enlace de fibra óptica) y los servidores, implica una inversión básica de 500.000 dólares, si se trata de un banco mediano.

En el caso de un banco grande se debe pensar en una solución base que arranque en el millón de dólares. Esto, sin considerar el valor del inmueble donde se montaría el sitio secundario, pues estos costos sólo abarcan el componente tecnológico de la inversión.

Proveedores de tecnologías de almacenamiento

Además de EMC, otras empresas que proveen soluciones de almacenamiento son Hitachi Data Systems, IBM, HP, Computer Associates (CA). EMC es la única empresa que se dedica con exclusividad al storage de información. Algunas de ellas ofrecen el hardware y el software y, otras, sólo el software, debiendo recurrir a alguna de las proveedoras de infraestructura para contar con el equipamiento informático necesario.

Insuficiente compromiso de las entidades financieras argentinas

Los resultados del estudio global de Seguridad Informática publicados por Ernst & Young lo confirman. Esa encuesta arrojó que el 80% de los CEO coincidieron en que la seguridad informática no está dentro de sus prioridades. Pese a que el 67% lo considera muy importante, sólo el 15% reporta a los directorios de las empresas el estado de seguridad o incidentes informáticos una vez al mes.

“Si bien el sistema financiero argentino está bien cuidado en líneas generales, ciertas normativas del BCRA no son 100% precisas. No es que exista un banco que no cumpla con ninguna disposición sino que hay muchos grises que dejan demasiadas cuestiones sin suficiente protección”, explicó Sergio Uassouff, consultor de Negocios para Cuentas Especiales de EMC.

“Hay aplicaciones que están bien cubiertas, como el movimiento monetario entre bancos, las cuentas corrientes, las cajas de ahorro o el pago de sueldos. Si alguna de estas operaciones no se pudiera realizar frente a una contingencia, que en la Argentina de los últimos tiempos está más asociada con la conflictividad social, se generaría un problema de grandes proporciones”, agregó Uassouff.

Las que menor cobertura tienen son aquellas aplicaciones menos críticas:

Sistemas de administración de cajas de seguridad.
Recaudación que ciertas empresas, como universidades y colegios privados, tercerizan en los bancos.
“En estos frentes no hay suficiente concientización y frente a una problemática cualquiera, la recuperación de los datos demoraría mucho más de lo que correspondería”, expresó.

Contingencias sociales

Además del aspecto social, un punto a tener en cuenta en la Argentina como país es la geografía:

Aunque Buenos Aires es la capital financiera, un gran número de sucursales bancarias e, inclusive, casas matrices de entidades provinciales se encuentran en zonas donde pueden surgir contingencias de otro tipo.

La zona de Cuyo es sísmica, es decir, proclive a los terremotos o sismos de gran intensidad, de modo que allí se necesitan sistemas de recuperación de desastres diferentes a los que pueden establecerse en una zona inundable como podría ser el litoral argentino, o la misma Capital Federal.

Injerencia del área tecnológica en el management de una entidad financiera

Porque a partir del año 1992 el Banco Central de la República Argentina da inicio a la aplicación de las normas de Basilea, introduciendo con este instrumental un cambio sustantivo en la supervisión de las entidades financieras. El estándar de Basilea se estructura a partir de un tipo de normativa denominada, por sus siglas en inglés: CAMEL.

Capital (Patrimonio)
Assets (Activos),
Management (Dirección),
Earnings (Utilidades),
Liquity (Liquidez).

La evaluación del área de Tecnología impacta sobre el ítem Management. Los bancos que tienen una calificación óptima de todos estos ítem son CAMEL1. En la industria se sostiene que lo tolerable son bancos hasta CAMEL3. Después empiezan los problemas.
 

Puntos importantes

- La replicación instantánea de información o disaster recovery permite recuperar la información afectada por algún tipo de contingencia (natural, accidental o intencional) en menos de una hora. - El 60% de los bancos está cubierto formalmente frente a una contingencia real, pero este tipo de protección no le deja recuperar la información de manera instantánea y pueden demorar más de 12 horas en hacerlo. - Las cajas de seguridad y la recaudación de empresas, como universidades y colegios privados, son dos de los sectores menos protegidos y frente a los cuales una entidad no sabría responder con eficiencia frente a una contingencia de cualquier tipo que afecte el resguardo de esa información

 

Fuente: Infobae
03.01.05

Noticias relacionadas:

* Un fallo informático descubre los datos de 650.000 clientes de Abbey Bank (10.11.04)
* Caja Madrid blinda la firma electrónica (02.09.04)
* La banca blinda a sus clientes contra los robos por Internet (23.08.04)
* Seis de cada diez empresas sufrieron delitos informáticos en el año 2002 (29.07.04)
* El Banco de España advierte del uso de su nombre en estafas de loterías por Internet (24.02.04)
* Nuevo intento de estafa sobre los usuarios de la banca electrónica de Banesto (06.02.04)
* Posible estafa a los usuarios de la banca por internet del banco popular (14.01.04)

© BELT.ES  Copyright. Belt Ibérica, S.A. Madrid - 2004. belt@belt.es