Estamos en:
"En España, al igual que en el resto del mundo, la seguridad informática sigue considerándose por parte de la dirección de las empresas como importante o muy importante, para el 82% de los encuestados".
Al leer este párrafo en la "Segunda Encuesta sobre Seguridad Informática", realizada por Ernst & Young, y publicada en la revista SIC en su número de Febrero, confieso que me sobresalté. El primer pensamiento que se me vino a la mente fué que yo estaba absolutamente equivocado, y me recriminé por ello. Resulta que después de llevar más de diez años en esto de la Seguridad de los Sistemas de Información, la impresión que yo tenía era absolutamente falsa.
Casi estuve a punto de alegrarme de mi soberano despiste largamente mantenido a lo largo de los años, con tal de que esa afirmación fuera verdad, cuando al continuar la lectura del citado informe, me dí cuenta de que "una cosa es predicar y otra dar trigo".
Cuando se analizan en profundidad los resultados del citado informe, , se pueden sacar algunas conclusiones que justifican mi impresión de que el interés y preocupación de los altos directivos por la seguridad de los sistemas de información, está excesivamente mediatizado por consideraciones de tipo económico a muy corto plazo. Sirvan como muestra algunas de estas conclusiones.
Mientras por una parte se observa un aumento espectacular del uso de Internet, nada menos que del 27% de las respuestas en 1997, al 84% en 1998, por otra parte nos encontramos con que el 80% de las empresas que han contestado, dicen no tener un plan de acción cuando un intruso es detectado intentando acceder a su sistema informático.
Otro dato: mientras en 1997, el 50% de las empresas que contestaron decían tener un plan de continuidad del negocio, en 1998 han contestado afirmativamente un 43%. La interpretación que Ernst & Young a esta disminución, que desde luego comparto al 100%, es que las empresas van conociendo mejor lo que es un plan de continuidad de negocio, y las afirmaciones en ese sentido han sido demasiado atrevidas en el pasado, y, en mi opinión, todavía lo siguen siendo.
Aparte de los resultados de esta encuesta, cuando conocemos alguna estimación de los recursos económicos asignados a la seguridad informática, el panorama tampoco resulta muy halagüeño. Según cifras manejadas por diversas publicaciones, parece que las empresas españolas dedican no más del 0.2% de su presupuesto informático a seguridad. Si tenemos en cuenta que las cifras que se manejan en países como Inglaterra, Francia o Alemania, por no hablar de los EE.UU., son de un 3 %, podemos hacernos una idea de lo lejos que aún estamos de ese grado de mentalización.
Por eso, cada vez que me invitan a dar una charla o escribir un artículo, como es el caso de mi buen amigo Emilio del Peso, se renuevan mis esperanzas y pienso que sigue mereciendo la pena trabajar en la sensibilización del sector, como vienen haciendo otras personas, como Emilio, que son absolutamente inasequibles al desaliento, y que aunque dé la sensación de estar predicando en el desierto, continúan con su labor.
Quizás sea cierto decir que la mayor parte de las empresas y entidades públicas españolas tienen implantadas medidas de seguridad, pero aunque parezca osadía por mi parte, estoy casi seguro de que, por lo menos en un 90 %, la implantación de medidas no ha correspondido al resultado de un auténtico Plan Estratégico de Seguridad impulsado por una política de Dirección coherente con los hechos. Más aún, la implantación de esas medidas es casi seguro que se habrá realizado a instancias de los responsables de los Departamentos de Sistemas de Información por considerar obvia su necesidad, sea una instalación de detección y extinción automática de incendios o un sistema de control de accesos lógico. Pero cuando en algún momento se ha planteado la necesidad de acometer el problema con un plan sistematizado, es muy probable que nos hayamos encontrado con la barrera de los presupuestos. En épocas de restricciones económicas, hay capítulos que tienen todas las probabilidades de verse reducidos o simplemente suprimidos.
Esta política, evidentemente no está enunciada por ningún alto directivo, pero está implantada "de facto" en muchas organizaciones. La detección de su existencia es relativamente fácil.
En primer lugar, nos encontramos con un responsable de Sistemas de Información sinceramente preocupado por la responsabilidad que recae sobre sus hombros, al ser depositario de los activos más importantes de su organización.
Como consecuencia de ello, comienza a dar los pasos a su alcance para tratar de que esos activos tengan la protección adecuada. Se nombra un responsable que, sin dejar de lado sus tareas habituales, empiece a indagar qué se debería hacer para mejorar la seguridad de los Sistemas de Información. Con un poco de suerte, y si le dejan tiempo sus otras ocupaciones, dicho responsable comenzará por realizar una auditoría, sea interna o externa, para conocer la situación de partida; sus puntos fuertes y débiles, y basar cualquier tipo de medida en los resultados de dicha auditoría.
Pero llega un momento en el que, además de los recursos aportados para conocer la situación presente, se hace preciso aportar más recursos para implantar las soluciones que nos la mejoren. Entonces surgen los inconvenientes
Falta de presupuesto
Falta de personal
Falta de tiempo
Proyectos más urgentes que se ponen por delante
en definitiva, falta de apoyo de la Dirección. Mientras se sigan considerando las inversiones en seguridad como un gasto del que se puede prescindir, estaremos utilizando la política del avestruz.
Y sin embargo, el coste de la seguridad debe considerarse como un coste más entre todos los que son necesarios para desempeñar la actividad que es el objeto de la existencia de la entidad, sea ésta la obtención de un beneficio o la prestación de un servicio público.
El coste de la seguridad, como el coste de la calidad, son los costes de funciones imprescindibles para desarrollar la actividad adecuadamente. Y por "adecuadamente" debe entenderse no sólo un nivel de calidad y precio que haga competitivo el servicio o producto suministrado, sino también un grado de garantía de que dichos productos o servicios van a seguir llegando a los usuarios en cualquier circunstancia.
Hace algún tiempo, en una cadena norteamericana de televisión, apareció un anuncio de una determinada marca de filtros de aceite para coche, en el que se veía a un mecánico con un filtro en una mano y en la otra unos cuantos segmentos de pistón completamente desgastados. El mecánico, mirando intermitentemente a una mano y a otra decía "Me puedes pagar ahora, o me puedes pagar más tarde". Así ocurre con la seguridad de la información, es un coste inevitable. La única elección posible es decidir sobre la forma de pago. Se puede pagar de una forma regular, planificada, cuantificada y controlada, o se puede pagar de una forma irregular e impredecible, pero pagar, hay que pagar. La cuestión está en saber cuánto y con qué fin. Sólo cuando las políticas de Dirección demuestren con hechos lo que nadie se atreve a poner en duda con palabras, podremos decir que la seguridad de la información ha dejado de ser una asignatura pendiente en nuestro país.
© 2009 IEE Informáticos Europeos Expertos.