A pesar del esfuerzo desarrollado por un gran número de compañías con un modelo de negocio basado en el e-business para implantar adecuadas políticas de seguridad, muchas de ellas aún persisten en repetir pasados errores. Según pone de manifiesto un estudio efectuado por KPMG entre directivos de compañías de 12 países, la mayoría desconocen los verdaderos puntos débiles en sus sistemas informáticos. De hecho, el 70 por ciento de los CEOs, CIOs y directivos de gestión, creen que los peligros del e-commerce se realizarían a través de Internet o de forma externa subestimando los riesgos procedentes de los ataques de origen interno.
La mayoría de los entrevistados identifican a los hackers, inadecuadas implantaciones en las políticas de seguridad y a la falta de conocimiento por parte de sus empleados como las principales amenazas a sus sistemas de comercio electrónico. Sin embargo, apenas mencionan los peligros procedentes del interior de la compañía, como pueden ser antiguos trabajadores de la compañía, empleados poco satisfechos con su situación en la empresa, o incluso ex proveedores externos, como las principales amenazas, bien de forma directa o bien cediendo a otros la información necesaria para atacar los sistemas de seguridad.
La mayoría de los fallos de seguridad son cometidos por individuos con un amplio conocimiento de los sistemas de la compañía que deciden atacar. Si los directores de gestión comprendieran esto, podrían contemplar su política de seguridad de forma muy diferente, explica Norman Inkster, presidente de KMPG Investigation forenses adecuadas para recoger pistas que les ayuden a descubrir el origen de los ataques.
Como medidas de prevención, KPMG recomienda implantar programas de seguridad basados en el modelo de la cebolla, caracterizado por sus diversos niveles de protección. Este sistema incluye el uso de encriptación, cortafuegos, sistemas de detección de intrusos, procedimientos de respuestas a incidentes -incluyendo políticas forenses, monitorización y auditorías externas.
