Causas para invertir en Seguridad de la Información

¿Cuáles son las causas que motivan la inversión en seguridad de la información en Sudamérica?

Son dos las causas principales que motivan la inversión en seguridad de la información: por un lado, los requerimientos legales / contractuales y, por el otro, las experiencias no positivas ante algún evento ya vivido que desencadena el impulso por no volverlo a vivir, es decir, la necesidad de prevención.

La percepción en general que tienen las organizaciones acerca de la seguridad de la información es que se trata de un costo, en lugar de ser considerada una inversión. Lentamente, esa concepción se va adaptando a la situación real del mercado.

De todos modos, la buena noticia es que la idea tradicional está migrando hacia entender que la seguridad de la información va mucho más allá de una auditoría o un requerimiento: el beneficio intrínseco de invertir en seguridad es el de mitigar la posibilidad de que un riesgo se concrete o reducir el impacto del mismo, evitando pérdidas innecesarias de dinero y otros recursos.

Para comprender la importancia que seguridad de la información adquiere, es fundamental preguntarse acerca de la vulnerabilidad que tiene hoy la información de las compañías. Pero “vulnerabilidad” es un concepto bien amplio, ¿es una vulnerabilidad la falta de actualización en un sistema operativo que permite la ejecución de un ataque y entonces el impacto se hace real por ejemplo dejándonos con una denegación de servicio?

La respuesta obviamente es sí, pero también es una vulnerabilidad la falta de concientización de los usuarios que guardan sus contraseñas de manera insegura, por ejemplo en una planilla de cálculos o divulgando información confidencial, permitiendo entonces la ejecución de una amenaza.

Hay análisis que permiten informarnos acerca del grado de vulnerabilidades potenciales. De acuerdo al área que estudiemos esto puede ser técnico (análisis de vulnerabilidades), de recursos humanos (Ingeniería social) o interno (la mayoría de los ataques exitosos son internos), entre otros.

En mi opinión creo que la mayor vulnerabilidad que tienen las compañías hoy es la falta de concientización de quienes toman las decisiones de los riesgos técnicos, que en última instancia, son riesgos económicos.

Las consecuencias de ignorar un riesgo pueden ser múltiples y con diferentes impactos tanto en la confidencialidad, integridad y/o disponibiliad de la información. Esas consecuencias podrían conducir a inconvenientes legales, económicos y de imagen.

La incorrecta protección de datos podría, por ejemplo, llevar a incumplimientos legales y con consecuencia hasta de prisión. Un ejemplo de esto es la ley Sarbanes-Oxley. En el orden económico podría tener multas, por ejemplo, una proveedor de telecomunicaciones que tiene que abonar una parte del contrato por una disponibilidad menor al 99.9%.

En perjuicio de imagen hubo un caso conocido por ejemplo de un deface reciente a páginas gubernamentales de Canadá.

Evidentemente, es preciso recordar la máxima que dice que “un riesgo puede ser mitigado, trasladado o aceptado, nunca debe ser ignorado”.