Resulta complicado plasmar dentro de un plan de seguridad cuánto nos deberíamos gastar, de hecho, la mayoría de las veces realizamos el análisis inverso, sabemos cuánto podemos gastar y a partir de ahí elaboramos el plan de acción. Recientemente Gartner ha publicado un estudio relativo a la inversión de las empresas en seguridad de la información, que nos puede servir de guía para trazar nuestros planes de inversión, quizás no para saber cuánto deberíamos gastar, pero sí para conocer cuánto se está gastando la competencia.
Según Ian Reeves, vicepresidente de Gartner Consulting:
> La seguridad es un equilibrio entre el riesgo y el coste, y las empresas en diferentes industrias pueden pasar más o menos en función de su situación
El estudio, que cubrió a unas 1.500 empresas de todo el mundo, ofrece como conclusión que las empresas gastan una media de un 5% de su presupuesto total en el ámbito de la seguridad de la información. De hecho, Gartner calculó que el gasto de seguridad por empleado en Estados Unidos está en unos 525 dólares al año durante 2009 frente a los 636 dólares de 2008 y los 510 dólares de 2007. Dentro de este 5% del presupuesto total de las empresas que se invierte en seguridad de la información, el 37% se emplea en personal, el 25% en software, el 20% en hardware, 10% en externalización de servicios (outsourcing) y un 9% en consultorías y estudios.
La conclusión del vicepresidente de Gartner, para mi gusto, se acerca más a un comentario de patio de colegio que a la presentación de un informe técnico:
> Las empresas, necesariamente, no deben preocuparse si el gasto es más alto o más bajo que el promedio. La cuestión más importante es por qué el gasto se encuentra en un cierto nivel y si eso es bueno o malo
Tampoco es que haya sido una conclusión muy brillante. Lógicamente, la cuestión no es gastar más o menos dinero en seguridad; contar con un presupuesto elevadísimo en materia de seguridad no implica estar más seguro, puesto que si se gasta el dinero de manera ineficiente o sin un plan sólido de inversión, es posible que se esté malgastando el dinero e, incluso, exponiéndo la compañía a más riesgos y amenazas. Lo más caro no siempre es lo mejor. Los responsables de seguridad de las empresas suelen dedicar parte del presupuesto, y sus esfuerzos, a la protección contra virus y códigos maliciosos, el pishing y la suplantación de sitios web, el acceso remoto y el teletrabajo y, para complicar aún más el sistema de ecuaciones, los nuevos modelos de prestación de servicios, el cloud computing y, dentro de éste, el software-as-a-service.
Según el mismo estudio, las empresas tienen catalogada como la mayor de sus prioridades la detección de intrusos y la prevención, seguida por una política de actualización y aplicación de parches de seguridad a sus sistemas, la prevención de pérdidas de datos (backups, respaldos y planes de continuidad de negocio), gestión centralizada de identidades y permisos y la protección por antivirus. La verdad que es curioso cómo se suele asociar la seguridad de la información con el antivirus, si bien, dentro de la pila de tareas a realizar, es la que está más baja.
La información es uno de los activos de mayor valor dentro de cualquier empresa, por tanto, la implantación de un plan de seguridad de la información no debiera verse como un gasto, es una inversión en la protección del bien más preciado que una compañía posee, además, este tipo de planes no sólo protegen documentación o archivos, van más allá y regulan aspectos, normalmente algo descuidados, como por ejemplo la continuidad del negocio en caso de desastre, la política de backups o la política de permisos y accesos. Personalmente, creo que es un aspecto muy importante al que, en muchos casos, poca atención se presta, más allá de instalar un firewall o un antivirus.
Vía: PC World | Foto: Dilbert.com