Negocio vs Seguridad

El tema de la seguridad es muy extenso y complejo, podemos verlo desde varios puntos de vista: aspectos “simples” de seguridad física como: ¿la puerta que tenemos es la adecuada? Cuestiones de  awarness como ¿están conscientes los empleados de la importancia de la seguridad? Cuestiones de políticas de seguridad como ¿Quién puede hacer qué y quién no? ¿Cada cuándo se debe hacer un respaldo? Aspectos de continuidad de negocio como ¿Cuánto puede sobrevivir la empresa sin tener acceso a cierta información? E incluso ¿Se puede hablar de un retorno de inversión en seguridad? Bueno el tema es muy extenso e iremos viendo poco a poco diversos aspectos de la seguridad.

Seguramente usted se ha preguntado de una u otra forma ¿Qué tanta seguridad se necesita en el negocio? ¿Qué tipo de controles puedo adoptar para asegurar cierta cosa sin perjudicar o “burocratizar” los procesos de la empresa? Por supuesto que cada caso es diferente y no existe una receta mágica que nos diga “si haces esto, esto y aquello” automáticamente ya estás seguro, claro que existen varios estándares y mejores prácticas que podemos adecuar a la empresa para ir mejorando su seguridad, pero aún con estándares el traje debe ser a la medida.

Lo importante según mi punto de vista es ver a la seguridad de manera integral, de poco sirve tener un súper Firewall y un IPS de última generación si puede entrar al centro de datos cualquier hijo de vecino o si los empleados se prestan las contraseñas o si las dejan apuntadas en un post-it en el monitor, o si el respaldo está arriba del equipo que se respaldó (en caso de incendio se quema uno y se quema con todo y respaldo).

Pero entonces ¿Por dónde empezar?

Acabo de recibir (cortesía de los amigos de Secure Information Technologies) el estudio de percepción seguridad en informática México 2008 (del cual ya comentaré con más detalle en próximos blogs) y de entrada me encontré con un dato bien interesante, según el estudio el 38% percibe que la seguridad en informática es poco o nada importante dentro de su empresa. Seguramente este 38% basa su seguridad en encomendarse diario a todos los santos y hasta ahora le ha funcionado la estrategia, no dudo del alcance de esos poderes divinos pero habría que preguntarles a estos amigos ¿Cómo andan en seguridad? Y seguramente su desconocimiento y falta de interés en la seguridad los llevará a responder: “pos tamos bien” lo peor es que le apuesto que varios de ellos tienen sensación de estar seguros: “pos vino el inge y nos puso el antivirus”. Todo este choro viene a que si la gente no está convencida de la importancia de la seguridad todos los esfuerzos posteriores de poco van a servir, más aún, la seguridad debe permear desde arriba hacia abajo, empezando por evangelizar a los altos niveles de la empresa para que ellos conscientes del tema (y que conste que dije TEMA y no PROBLEMA). Bueno le dejamos hasta aquí y la siguiente semana continuamos platicando sobre la forma en que debemos concientizar a los niveles directivos.