Seguridad: cuánto costó la crisis

Un relevamiento analiza el impacto en los presupuestos que las empresas dedican para protegerse. Cómo se comporta el mercado local, los nuevos desafíos y la necesidad de un responsable de área. 08 de Julio 2010
Seguridad: cuánto costó la crisis

De la simpleza a la sofisticación; de un modesto pendrive a un experimentado hacker. Con los datos convertidos en uno de los activos más importantes de una compañía, la seguridad de la información adquiere una valoración cada vez mayor, no sólo para los encargados directos de ocuparse del tema, sino también en otros estamentos dentro de las organizaciones. Tiene múltiples variables pero, en épocas de vida digital cuasi completa (y cada vez más compleja), algunos prevalecen por sobre otros.

Al menos ése es uno de los datos que surgen de “Global State of Information Security Survey” (Encuesta del Estado Global de la Seguridad de la Información), un relevamiento que realizó PricewaterhouseCoopers (PwC) por décimo segunda oportunidad y al que Information Technology tuvo acceso en exclusiva.

Más de 7.200 profesionales (CEOs, CFOs, CIOs, CSOs, vicepresidentes, directores de TI y de Seguridad de la Información), procedentes de 130 países, participaron de la encuesta de PwC; de ellos, aproximadamente 1.700 pertenecen a organizaciones sudamericanas y más de 200 se hallan en la Argentina.

Aunque, como destaca Edgardo Sajón, socio de PwC, no hay una vulnerabilidad específica que se diferencie del resto sino que existen distintos tipos de ataques. “Por eso, las empresas siguen invirtiendo en temas de seguridad y cada vez hay más Chief Information Segurity Officers (CISOs) y se trabaja como un área separada y con identidad propia, como también con un control independiente”, detalla Sajón. “Hemos detectado gente que reporta incidentes; pero en la Argentina el nivel de fraudes que son muy fuertes a nivel mundial, como los vinculados a tarjetas de crédito, es bajo con respecto a países como Brasil o Colombia, donde  las cifras son astronómicas”, enumera el socio de PwC.

Analizando los resultados en general de la encuesta, la mayoría de las organizaciones reconoce que han reportado incidentes, lo que no significa que los ataques se hayan concretado, gracias a los sistemas de seguridad. Es que la crisis que afectó a la economía a escala global desde finales de 2008 no impidió que continuaran las inversiones en este segmento de la IT. 

“A nivel global y según las opiniones recogidas en la encuesta, las amenazas a la seguridad de los activos del negocio se han incrementado debido a los despidos de empleados y a los riesgos asociados con socios del negocio y proveedores debilitados por la crisis. Estos factores representan desafíos que se presentan ante los líderes de seguridad”, resalta el informe de PwC.

En todo el mundo, desde 2006 a 2008, el porcentaje de encuestados que reportaron haber esperado un incremento en los gastos de seguridad varió muy poco (46 por ciento en 2006 y un 44 por ciento en los siguientes dos años). El año pasado se evidenció una caída de 6 puntos para este parámetro (al 38 por ciento). El 30 por ciento de los encuestados esperan que el presupuesto al menos se mantenga y un 24 por ciento de ellos proyectó el año pasado un incremento de aproximadamente 10 por ciento en los gastos de seguridad. Por otro lado, menos del 10 por ciento de los respondentes espera que la inversión en seguridad disminuya.

La Argentina no fue la excepción: los presupuestos de inversión en seguridad también se congelaron. “El nivel de inversión en seguridad de la información no se ha modificado comparado con el resto y eso responde a cierta lógica de que, cuando hay despidos, no debe haber bajas en el control. A largo plazo, la inversión en seguridad de la información es siempre positiva”, afirma Sajón, al tiempo que explica que “la crisis también tuvo efectos en la Argentina, pero lo que se precibe es que en América latina el nivel de protección no tiene diferencia con lo que puede verse en el Norte del planeta. Uno de los puntos importantes con respecto a la Argentina es que está siempre dentro de lo que es el promedio global, mientras que hace cinco años atrás tenía un ‘gap’ importante. Si bien muchas compañías recortaron gastos, en este tema no se escatima”. 

Los números resultantes de la encuesta lo muestran claramente: en la Argentina, el 36 por ciento de los encuestados consideró importante como estrategia para enfrentar la crisis, diferir o cancelar inversiones en seguridad, pero sólo el 8 por ciento de los líderes afirmó haber reducido costos en el presupuesto destinado a seguridad durante el último período.  

Más allá del dinero
Indudablemente que, cuando la plata escasea, la creatividad y el desarrollo de una mejor estrategia son fundamentales, sobre todo cuando cada vez es mayor la incidencia de distintas leyes. Con menos presupuesto, señalan los encuestados en un 59 por ciento de los casos, es mayor la dificultad para lograr el cumplimiento regulatorio. Pero el nivel de seguridad no se puede bajar: “La regulación ayuda: los roles del Banco Central de la República Argentina, la Superintendencia de Seguros de la Nación y la Comisión Nacional de Valores ayudan a que los requisitos permanezcan y deban cumplirse. La ley de Hábeas Data, por ejemplo, es relevante también para muchas empresas”, puntualiza Sajón. 

En las compañías admiten la preocupación por el impacto que pueda tener la reducción de costos en la seguridad. En la Argentina, el 58 por ciento de los encuestados afirmó que debido a los recortes en el presupuesto es más difícil cumplir con un adecuado nivel de seguridad informática. 

En este contexto, también intervienen los “puentes” entre la tecnología y el negocio. En la encuesta de 2008 se reveló una falta de alineación significativa entre los líderes de TI y los de negocio, remarcada por la diferencia en la perspectiva del CISO, quien veía una brecha considerable entre el gasto en materia de seguridad y los objetivos del negocio; en cambio, los CEOs no veían brecha alguna. 

El año pasado eso cambió: CEOs, CIOs, CFOs y CISOs coincidieron en la identificación de los efectos de la crisis sobre la seguridad informática en aspectos como el regulatorio, el desafío de mejorar procesos del área gastando menos y el incremento en la importancia del rol y la función de seguridad de la información. “El rol ya está instalado en muchos sectores, como el financiero, o en las empresas que cotizan en bolsa. Si se baja a Pymes no se lo encuentra, pero muchas medianas están preocupadas por este tema y tienen una estructura montada. En nuestros clientes es frecuente que encontremos en las firmas medianas y grandes a alguien abocado a seguridad de la información”, se explaya Sajón. 

¿Dónde se ubica al CISO? Ese es un tema que aún está en discusión y no tiene una receta universal. “En algunos casos está separado de Sistemas, que es la mejor práctica”, define Sajón, “porque si está bajo la estructura del CIO, éste le va apedir al CISO que abra las puertas que estaban cerradas. Lo mejor es que el CIO no tenga injerencia en el manejo de la seguridad. No es fácil, porque ahí surge otro tema: quién se hace cargo de su supervisión. En muchas compañías forma parte del área de seguridad física, mientras que otros han avanzado en la función de ‘compliance’ y lo meten dentro del área”, ejemplifica Sajón.

Su majestad el dato
Cuando se les consultó a los ejecutivos sobre cuál era la estrategia de seguridad preferida en medio de un entorno de crisis económica, la elección más difundida fue la protección de los datos. Como considera Sajón, “la información se filtra puertas afuera, con pendrives y DVDs.Muchas compañía están haciendo un ejercicio de clasificar la información en cuanto al riesgo que tienen y deshabilitan los puertos USB, por ejemplo. Porque la facilidad para robar información es muy grande. Si es un sitio web es más fácil de controlar. Más difícil es que alguien no se lleve la información en un pendrive, porque además no deja rastros”.

El 44 por ciento de los encuestados de todo el mundo afirmaron en 2009 que sus organizaciones cuentan con capacidades de prevención de la pérdida de datos (DLP, data loss prevention, según su sigla en inglés). En 2008, ese porcentaje llegaba al 29 por ciento. En la Argentina, en consonancia con el resto, la protección de los datos ha sido una de las tecnologías que mas avanzó en número de implementaciones durante 2008. “El número de encuestados que afirmaron que sus organizaciones contaban con capacidad DLP creció del 29 por ciento el año pasado a 40 por ciento en 2009”, detalla el informe de PwC.

Otro tema relevante es el de recuperación de desastres (disaster recovery). Si se piensa en cómo tras una catástrofe como el terremoto que sufrió Chile hace unos meses no hubo pérdidas masivas de datos, esto demuestra que las compañías hacen esfuerzos importantes en ese sentido. “El sistema bancario y financiero está muy bien equipado para eso, con data centers muy bien preparados. Las compañías grandes tienen su disaster recovery tercerizado o propio. Lo que hay son diferentes estrategias. Es distinto un cajero automático, que lo necesitan transparente para los clientes, a una compañía industrial, que puede continuar 24 horas después. La Argentina está bastante bien equipada, más la ventaja natural de que los desastres naturales no son graves”, comenta Sajón.

Los desafíos
Cada año se suman inquietudes a las existentes. Por ejemplo, con la crisis económica todavía vigente, sobre todo en Europa, que todavía parece estar lejos de encotrarle solución, otras problemáticas referidas a la seguridad tienen cada vez más peso. Sin dudas, la exposión de las redes sociales es una de ellas.

Si bien, como explica Sajón, muchas organizaciones impiden el acceso a estos sitios desde la red de la misma empresa, “hoy en día tienen aplicaciones comerciales y esto implica tener datos. En las grandes compañías es muy difícil ingresar a las redes sociales; por seguridad y por productividad optan por ser restrictivas”, justifica (de hecho, en PwC no se puede acceder a ellas).

Entre los resultados de la encuesta se destaca que la Argentina muestra mayor avance que el promedio global en este sentido, tanto en tecnología como en normativas con respecto a esta problemática. “A nivel global, el 40 por ciento de los consultados informaron que sus organizaciones cuentan con tecnología de seguridad que soporta intercambios de la Web 2.0 como las redes sociales, blogs, y wikis. Adicionalmente, el 36 por ciento audita y monitorea el ‘posteo’ en blogs externos o redes sociales. Un número menor, el 23 por ciento, ha desarrollado políticas de seguridad que incluyen el acceso y la publicación en redes sociales”, detalla el informe.

Además de la crisis que parece no tener un final a la vista y de los desafíos del mundo 2.0, un tercer aspecto viene de la mano de una de las mayores tendencias en IT del tiempo presente: la virtualización. Servidores, cloud computing y aplicaciones con datos residentes en distintos lugares abren un abanico de nuevos controles. Para los encuestados, el impacto ha sido positivo en cuanto a la seguridad de la información: aproximadamente la mitad de los consultados el año pasado, un 48 por ciento, destacaron que la virtualización ha mejorado la función de seguridad de la Información, mientras que un 42 por ciento respondió que no tiene efecto alguno sobre la seguridad y sólo el 10 por ciento afirmó que la virtualización, en realidad, incrementó los riesgos. 

Con este panorama, la buena noticia es que a nivel local, como destaca Sajón, se achicó la brecha con respecto a los países centrales, al menos en lo que a seguridad de la información se refiere. “La Argentina está bien parada según lo que se puede advertir en el mercado local en términos de seguridad. Pero las empresas no se tienen que dejar estar: es un viaje de ida una vez que se empezó. Porque en cuanto se deja de invertir y trabajar en esto, te pasan por encima. El desafío grande a futuro es cómo integrar las redes sociales. Y algún día llegará el gobierno digital con firma electrónica, que acá aún no se usa masivamente”, concluye Sajón.



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar