Creando una cultura de Seguridad en TI

Por Mundo Contact | 20 noviembre 2009 | Tecnología

Las necesidades de seguridad corporativas son las mismas desde Hong Kong hasta la Patagonia: las empresas aún no crean una cultura de seguridad empresarialLa globalización, las nuevas tecnologías, la Web 2.0 y  la alta capacidad de consumo de las TI están deshaciendo los procesos tradicionales de seguridad. Por lo tanto, es necesario aplicar nuevos enfoques y tecnologías para la protección de sistemas de información crítica para el negocio.

A pesar de que estamos viviendo uno de los años más difíciles denuestra historia reciente en materia económica, las inversiones enseguridad tecnológica se han mantenido. De acuerdo con la consultoraGartner, el mercado de software de seguridad facturó 13,500 millones dedólares el año pasado, lo cual representó un incremento de 18.6%respecto a 2007. Según los especialistas de Gartner, dicho crecimientoresponde sobre todo a una mayor demanda de soluciones para algunasáreas como son protección de correo electrónico y gateways.

Para leer este artículo completo, consulta el número más reciente de la Revista Mundo-Contact.

Creando una cultura de Seguridad en TI

Por Mundo Contact | 1 octubre 2009 | Articulos, Web

Revista Mundo-Contact

   

Creando una cultura de Seguridad en TI

Por Adrián Campos

A pesar de que estamos viviendo uno de los años más difíciles de nuestra historia reciente en materia económica, las inversiones en seguridad tecnológica se han mantenido. De acuerdo con la consultora Gartner, el mercado de software de seguridad facturó 13,500 millones de dólares el año pasado, lo cual representó un incremento de 18.6% respecto a 2007. Según los especialistas de Gartner, dicho crecimiento responde sobre todo a una mayor demanda de soluciones para algunas áreas como son protección de correo electrónico y gateways.

Las empresas han buscado la manera de que sus procesos de seguridad abarquen no solamente la infraestructura de Tecnologías de la Información. Andrew Walls, Director de Investigación en Seguridad para Gartner, mencionó en entrevista exclusiva para MUNDO-CONTACT que “las necesidades de seguridad corporativas son las mismas desde Hong Kong hasta la Patagonia: las empresas aún no crean una cultura de seguridad empresarial”. La privacidad y seguridad de datos, junto con la protección de infraestructuras de TI y los constantes ataques de hackers, hacen de la industria de infraestructura de seguridad uno de los principales ejes de desarrollo del mercado de las TI.

De acuerdo con Walls, los riesgos en materia informática en México son los mismos en todo el mundo. Las empresas se enfrentan a retos de seguridad cada vez mayores, pues la cultura de negocios no está enfocada a atender los riesgos, por lo que es necesario cambiar la mentalidad de los encargados de los sistemas de TI. Según Walls, una de las mejores maneras de hacerlo es vinculando los objetivos de seguridad con las responsabilidades de los directivos; por ejemplo, creando incentivos. “Los empleados podrían dejar de recibir un bono anual por tener infracciones en lo referente a seguridad de la información, ya que muchas veces los problemas no son ocasionados por la falta de infraestructura de seguridad, sino por dificultades en el manejo de la información.”

Las inversiones en seguridad pueden llegar a ser inútiles si no se va creando una cultura de trabajo correcta. La eficiencia en el trabajo de la gente influye en las pérdidas de información. Por ejemplo, se pueden presentar problemas con la exactitud de la cantidad de ingresos de datos recibidos, pero que no necesariamente tienen que ver con la infraestructura de seguridad, sino con el mal manejo de parte de los gerentes que operan los negocios.
Las amenazas cibernéticas siguen evolucionando, con importantes incrementos en sus ataques, motivadas financieramente, con objetivos muy específicos y muy perjudiciales. La globalización, las nuevas tecnologías, la Web 2.0 y la alta capacidad de consumo de las TI están deshaciendo los procesos tradicionales de seguridad. Por lo tanto, es necesario aplicar nuevos enfoques y tecnologías para la protección de sistemas de información crítica para el negocio, para así responder a los nuevos desafíos.

Transformar la cultura organizacional para mejorar la seguridad

De acuerdo con Walls, México presenta una gran área de oportunidad para efectuar un cambio en la cultura organizacional en torno a la seguridad. “Las empresas podrán dedicar un buen porcentaje de sus presupuestos y tiempo a crear una excelente infraestructura de seguridad, pero con un solo empleado que no acate las normativas se rompe con toda la planificación y planes de desarrollo.

Las estadísticas de Gartner muestran que mientras más maduros sean los procesos de seguridad, menos gastos posteriores realizarán las empresas, porque están de manera continua mejorando sus políticas de seguridad. Por otro lado, las empresas que no alcanzan una madurez en inversión de infraestructura de seguridad se quedan en un nivel inferior y gastan más que las organizaciones que invirtieron en recursos humanos adecuados.

Cambiar la cultura empresarial es algo complicado y puede llevar mucho tiempo: se debe de planear con un año de anticipación para cada nivel administrativo de la empresa, comenzando por el director general y después siguiendo por cada nivel de la empresa, de tal manera que si una organización tiene 8 niveles, serán 8 años en los que se logrará ese cambio. El cambio de cultura empresarial requiere un gran esfuerzo de inversión en tiempo y recursos económicos que no se verá reflejado sino hasta después de varios años, pero “tendrá un impacto a largo plazo en la empresa, los procesos de negocio serán más seguros, y la seguridad del negocio ya no dependerá únicamente de la gente de TI, sino de la participación plena de todos los niveles que forman parte de la organización”, afirma Walls.

La falta de apoyo de directivos y una alta rotación de personal son algunos de los factores por los cuales las empresas consideran que no tendrán éxito al poner en práctica programas para crear una nueva cultura de seguridad empresarial entre su personal, asegura Walls. Para las organizaciones que tienen este tipo de problemática es más factible que la seguridad se base en tecnología para proteger la información, a pesar de que esta solución resulte más costosa que el crear conciencia entre sus empleados. De acuerdo con el especialista, es necesario un análisis profundo de cada caso para determinar cual es el proceso adecuado dependiendo del nivel del problema: “si no se sabe en qué tipo de empresa nos encontramos, debemos invertir en infraestructura, porque se va a lo seguro.”

Con respecto al retorno de inversión (ROI, por sus siglas en inglés), Walls afirma que en lo referente a seguridad es casi imposible estimar en cuánto tiempo se verá. Sin embargo, es posible predecir las pérdidas que pueden tenerse y debido a intrusiones no deseadas. De esta manera, suponiendo que una empresa predice un millón de dólares en pérdidas debido a ataques de seguridad, esto significa que si logra evitar dichos ataques con una adecuada infraestructura, ésa es la cantidad que ahorrarán.

Para el especialista de Gartner, es mucho mejor evaluar los niveles de riesgo dentro de la organización y demostrar qué tanto se han reducido éstos, haciendo que las inversiones en seguridad se hagan más notorias, ya que vincular el ROI en seguridad con un valor monetario es algo muy alejado de la realidad.

La seguridad y la virtualización

En opinión de Walls, el tema de las amenazas para la información virtualizada presentará grandes retos para el 2010, ya que la mayor parte de los despliegues virtuales serán menos seguros que las máquinas físicas que lo contienen, pues la gente encargada de los sistemas no cuenta con el conocimiento adecuado para mantener un buen nivel de seguridad. Para Walls, esta situación mejorará con el paso del tiempo, cuando los encargados de las áreas de TI empiecen a tener mayor conocimiento en los rubros de seguridad. De esta manera, si una empresa desea obtener los beneficios de la virtualización, deberá invertir primeramente en el personal, capacitándolo en este tema.

Para que un programa se pueda decir seguro, es necesario conocer las necesidades de la empresa. Para iniciar este proceso es necesario conocer las directrices de los CEO y CIO de las organizaciones, y entre esas directrices estará siempre la reducción de costos.
Algunos de los retos clave para los siguientes meses en materia de seguridad informática serán:

Reducción de los costos operativos Plataformas Recursos Afrontar amenazas Malware arbitrario Reforzamiento de autentificación Una mejor seguridad en los datos

Finalmente, Andrew Walls comentó que las perspectivas de seguridad para los próximos dos años muestran una gran posibilidad de mejorar, siendo la sangre nueva la que más puede contribuir en este sentido. “Muchas empresas mexicanas dependen del área de TI, y ésta ya es muy vieja. Además, muchas de las personas que configuraron estos sistemas empiezan ya a jubilarse, y cada vez es más difícil encontrar el personal adecuado para estos sistemas heredados. Por lo tanto, la opción ante la falta de personal con conocimiento de estos sistemas es el reemplazamiento de tecnologías con lenguajes más modernos. Creo que los próximos dos años serán positivos para México en cuanto a los presupuestos destinados a seguridad, pues a pesar de la crisis no han disminuido” concluyó Walls.

 

Las necesidades de seguridad corporativas son las mismas desde Hong Kong hasta la Patagonia: las empresas aún no crean una cultura de seguridad empresarial.

La globalización, las nuevas tecnologías, la Web 2.0 y  la alta capacidad de consumo de las TI están deshaciendo los procesos tradicionales de seguridad. Por lo tanto, es necesario aplicar nuevos enfoques y tecnologías para la protección de sistemas de información crítica para el negocio.

El cambio de cultura empresarial requiere un gran esfuerzo de inversión en tiempo y recursos económicos que no se verá reflejado sino hasta después de varios años.

Es mucho mejor evaluar los niveles de riesgo dentro de la organización y demostrar qué tanto se han reducido éstos, haciendo que las inversiones en seguridad se hagan más notorias, ya que vincular el ROI en seguridad con un valor monetario es algo muy alejado de la realidad.