domingo, 23 de mayo de 2010

Inversión en seguridad de la información: Volver a los principios

Recientemente se ha publicado un estudio del Instituto Ponemon sobre el estado de la seguridad en las aplicaciones web, donde muestra con claridad que se avanza poco en esta área tan crítica para las organizaciones en la actualidad. Sin embargo, llama la atención el estudio de la inversión en seguridad de la información que se presenta como parte de este reporte, que nos recuerda un ejercicio similar realizado por Peter Kuper en 2005 y publicado por el IEEE Security & Privacy en el mismo año.


Si las coincidencias no existen, estos dos reportes parece se han puesto de acuerdo en sus resultados. La diferencia de 5 años en su publicación y sus diferentes autores, nos dicen que algo está ocurriendo con los temas relacionados con la inversión en seguridad de la información. Es posible que los costos asociados con la infraestructura de seguridad de la información se han venido incrementando y la tendencia se mantiene, ó no hemos cambiado el foco de atención en los últimos 5 años en las prioridades de la seguridad de la información.


Tomado de: KUPER 2005


Si revisamos los resultados del estudio de KUPER, según sus análisis en 2005, la inversión en seguridad de la información se concentraba en el perímetro, donde se encuentran las cajas “anti” de la seguridad: antispam, antyspyware, antivirus, las cuales hoy por hoy son parte natural de las infraestructuras de seguridad de las organizaciones. De igual forma, los temas de redes y aplicaciones se consideraban en menor cuantía, dejando relegada la inversión en los temas de los datos. Parece increíble que la razón de ser de la seguridad no tuviese la mayor prioridad en la inversión. Sin embargo, luego de consultar a varios especialistas en el tema se dice que “si se atiende el segmento perimetral, mucho se avanza en la protección de los datos”, de no ser así la situación fuese peor.


Considerando lo anterior y las reflexiones de los especialistas parece que la dinámica interna de las organizaciones no se encuentra en el radar de prioridades, pues el atacante interno, uno de los principales protagonistas hoy en las organizaciones, parece estar desatendido y muchas veces subestimado. Basta con revisar las estadísticas de fuga de información que se han presentado durante este año, para ver que este fenómeno sigue ganando fuerza y afectado la imagen de las organizaciones modernas. Así las cosas, las inversiones perimetrales, si bien son necesarias y requieren su afinamiento, no es posible descuidar la fuerza, ni la dinámica de los datos en los procesos y flujos de información en los negocios, donde las personas son los principales protagonistas.


Tomado de: PONEMON INSTITUTE 2010


En este sentido, cuando revisamos los resultados del Instituto Ponemon, vemos que la seguridad de los datos, si bien ha avanzado en las inversiones de seguridad, la infraestructura es la “reina” que continúa mandando en los presupuestos de las áreas de seguridad. Los datos y la información de las empresas son la materia prima que los negocios del siglo XXI demandan para hacer la diferencia. Si este insumo fundamental no cuenta con las características mínimas de integridad, confidencialidad y disponibilidad, habrá una ola masiva de desconfianza que no permitirá elaborar y concretar relaciones estratégicas de largo plazo que comuniquen el valor a la gerencia y sus grupos de interés.


La seguridad de la información no se trata de medios, sino de fines. Se trata de principios y no de medios tecnológicos; es una reflexión, que centrada en las personas, nos permite entender las relaciones de confianza que se deben crear alrededor de los procesos de negocio, en los cuales la información y datos correctos, se entregan a las personas correctas. Es una dinámica de formalidad en el uso de la tecnología como habilitador de la acción, sustentada en una cultura de seguridad de la información, que no es otra cosa que un hábito consecuente y reiterado, que le dice a persona lo valioso de la custodia de los datos y la consistencia en la generación de la información.


No podemos avanzar en un fortalecimiento de la seguridad de la información sino nos concentramos en los principios. La tecnología evoluciona, las personas de igual forma, pero los fundamentos permanecen. Así las cosas, que cuando volvamos a revisar nuevamente el avance de la inversión en seguridad de la información, prevalezca la esencia del aseguramiento de la información y no las modas y procesos evolutivos de la tecnología, que si bien son necesarios y claves para el desarrollo de las estrategias de protección, nunca reemplazarán al eslabón más débil de la cadena y fin último de la seguridad: La gente.


Referencias

KUPER, P. (2005) The state of Security. IEEE Security & Privacy. Septiembre/Octubre.

PONEMON INSTITUTE (2010) The state of Web Application Security. Disponible en: http://www.imperva.com/ld/ponemon_web_application_security.asp

No hay comentarios:

Publicar un comentario