MIE, 2 / FEB / 2011

Seguridad y Negocios: un noviazgo con relaciones complicadas

Las empresas toman decisiones todo el tiempo. Cambian tecnologías, implementan nuevas normas, contratan personal, crean productos, brindan servicios, etc. Todas tienen su objetivo, su corazón del negocio. Pero ¿qué papel juega la seguridad de la información en el negocio de las organizaciones? Pensándolo bien, exceptuando las empresas que se dedican a prestar seguridad, la seguridad no es el foco del negocio de ninguna empresa, solo que su importancia superlativa obliga a que sea tenida en cuenta, pero en muchas ocasiones trata de evitarse por diversos motivos. ¿Y por qué razón se intentaría evitar la seguridad? ¿No es acaso siempre una buena idea estar más seguros? Propongamos algunas teorías: La seguridad puede ser muy costosa. Esta afirmación dependerá de muchos factores, pero lo cierto es que en muchos casos pueden obtenerse grandes avances y muy rápidos con muy poco esfuerzo (aplicación directa del principio de Pareto, del 80/20). La seguridad requiere personal muy capacitado. Esto es completamente cierto, pero también se requiere personal muy capacitado para otras tareas, y sin embargo no se evitan. Un especialista en asuntos legales es requerido en toda organización, y no se lo evita porque se corre el riesgo de incumplir la ley y que pueda llegarse a cese de las operaciones. Lo mismo ocurre con un especialista en finanzas, contabilidad, ingeniería, etc. En caso de que el problema sea la dificultad en la contratación de personal, la alternativa de la tercerización (outsourcing) de servicios siempre está como opción válida. No se puede garantizar la seguridad. Esto también es cierto, sin embargo pueden reducirse los márgenes de error y riesgo a límites muy pequeños, tales que la organización pueda sostenerlos en función de su propio negocio. La seguridad representa una inversión que no puede retornar. En cierta medida esto tiene tu veta de realidad, dado que al agregar mecanismos, hardware, software y herramientas de seguridad, no se busca hacer que la empresa gane mas dinero, sino más bien que exista la probabilidad de que no lo pierda. Por estos y otros motivos, las empresas tienen muchos reparos a la hora de implementar seguridad, pero hay algo que puede observarse, y es que en ningún caso se consideran problemas tecnológicos, ya que a medida de que van apareciendo las distintas amenazas, aparecen soluciones correspondientes. Y esto podemos ampliarlo al horizonte de la información más allá de la tecnología, como siempre decimos, ya que la seguridad informática solo se refiere a dichos temas, en tanto que la seguridad de la información amplía su definición a aspectos también administrativos, físicos y humanos. En esta misma línea, sabemos bien que seguridad y comodidad siempre son inversamente proporcionales, por tanto, a mayor seguridad, menor comodidad, y viceversa. Dicha paradoja es una ecuación que apuntan a resolver los profesionales de la materia, ya que todos desearían tener alta seguridad y alta comodidad (imaginemos la incomodidad de una contraseña larga, y la seguridad asociada a la incomodidad de una contraseña larga, o la incomodidad de una puerta con 4 cerraduras versus la seguridad de la misma). En conclusión, las decisiones de negocios se toman en base a elementos que permiten planificar y calcular los mejores resultados para los fines de la empresa, y la seguridad de la información parece ser un impedimento o entorpecedor directo de este proceso. La realidad indica que la seguridad es un asunto de negocios, y aumentará o disminuirá según se disponga (o no) a nivel de la dirección de la organización. Cualquier implementación de seguridad se realizará en función de una evaluación previa del impacto que podría tener el omitirla, o bien, en el peor de los casos, en los momentos posteriores a los incidentes, que obligan a tomar medidas correctivas costosas a todo nivel, por no haber tomado las medidas preventivas correspondientes. Por Federico Pacheco Obras del autor HACKERS AL DESCUBIERTO Esta obra presenta un panorama de las principales técnicas y herramientas utilizadas por los hackers, y de los conceptos necesarios para entender su manera de pensar, prevenir sus ataques y estar preparados ante las amenazas más frecuentes. ETHICAL HACKING Esta obra expone una visión global de las técnicas que los hackers maliciosos utilizan en la actualidad para conseguir sus objetivos. Es una guía fundamental para conseguir sistemas seguros y dominar las herramientas que permiten lograrlo. Todos los post de Federico Pacheco en RedUSERS WikiLeaks o no WikiLeaks ¿cuál fue la verdadera cuestión? La futurología de la seguridad ¿con qué ánimos encarar el 2011? Seguridad: ¿un asunto de las empresas, de los programadores o de los usuarios?

Las empresas toman decisiones todo el tiempo. Cambian tecnologías, implementan nuevas normas, contratan personal, crean productos, brindan servicios, etc. Todas tienen su objetivo, su corazón del negocio. Pero ¿qué papel juega la seguridad de la información en el negocio de las organizaciones?

Pensándolo bien, exceptuando las empresas que se dedican a prestar seguridad, la seguridad no es el foco del negocio de ninguna empresa, solo que su importancia superlativa obliga a que sea tenida en cuenta, pero en muchas ocasiones trata de evitarse por diversos motivos. ¿Y por qué razón se intentaría evitar la seguridad? ¿No es acaso siempre una buena idea estar más seguros? Propongamos algunas teorías:

  • La seguridad puede ser muy costosa. Esta afirmación dependerá de muchos factores, pero lo cierto es que en muchos casos pueden obtenerse grandes avances y muy rápidos con muy poco esfuerzo (aplicación directa del principio de Pareto, del 80/20).
  • La seguridad requiere personal muy capacitado. Esto es completamente cierto, pero también se requiere personal muy capacitado para otras tareas, y sin embargo no se evitan. Un especialista en asuntos legales es requerido en toda organización, y no se lo evita porque se corre el riesgo de incumplir la ley y que pueda llegarse a cese de las operaciones. Lo mismo ocurre con un especialista en finanzas, contabilidad, ingeniería, etc. En caso de que el problema sea la dificultad en la contratación de personal, la alternativa de la tercerización (outsourcing) de servicios siempre está como opción válida.
  • No se puede garantizar la seguridad. Esto también es cierto, sin embargo pueden reducirse los márgenes de error y riesgo a límites muy pequeños, tales que la organización pueda sostenerlos en función de su propio negocio.
  • La seguridad representa una inversión que no puede retornar. En cierta medida esto tiene tu veta de realidad, dado que al agregar mecanismos, hardware, software y herramientas de seguridad, no se busca hacer que la empresa gane mas dinero, sino más bien que exista la probabilidad de que no lo pierda.

Por estos y otros motivos, las empresas tienen muchos reparos a la hora de implementar seguridad, pero hay algo que puede observarse, y es que en ningún caso se consideran problemas tecnológicos, ya que a medida de que van apareciendo las distintas amenazas, aparecen soluciones correspondientes.

Y esto podemos ampliarlo al horizonte de la información más allá de la tecnología, como siempre decimos, ya que la seguridad informática solo se refiere a dichos temas, en tanto que la seguridad de la información amplía su definición a aspectos también administrativos, físicos y humanos.

En esta misma línea, sabemos bien que seguridad y comodidad siempre son inversamente proporcionales, por tanto, a mayor seguridad, menor comodidad, y viceversa. Dicha paradoja es una ecuación que apuntan a resolver los profesionales de la materia, ya que todos desearían tener alta seguridad y alta comodidad (imaginemos la incomodidad de una contraseña larga, y la seguridad asociada a la incomodidad de una contraseña larga, o la incomodidad de una puerta con 4 cerraduras versus la seguridad de la misma).

En conclusión, las decisiones de negocios se toman en base a elementos que permiten planificar y calcular los mejores resultados para los fines de la empresa, y la seguridad de la información parece ser un impedimento o entorpecedor directo de este proceso. La realidad indica que la seguridad es un asunto de negocios, y aumentará o disminuirá según se disponga (o no) a nivel de la dirección de la organización. Cualquier implementación de seguridad se realizará en función de una evaluación previa del impacto que podría tener el omitirla, o bien, en el peor de los casos, en los momentos posteriores a los incidentes, que obligan a tomar medidas correctivas costosas a todo nivel, por no haber tomado las medidas preventivas correspondientes.

Por Federico Pacheco

Obras del autor

HACKERS AL DESCUBIERTO
Esta obra presenta un panorama de las principales técnicas y herramientas utilizadas por los hackers, y de los conceptos necesarios para entender su manera de pensar, prevenir sus ataques y estar preparados ante las amenazas más frecuentes.
ETHICAL HACKING
Esta obra expone una visión global de las técnicas que los hackers maliciosos utilizan en la actualidad para conseguir sus objetivos. Es una guía fundamental para conseguir sistemas seguros y dominar las herramientas que permiten lograrlo.

Todos los post de Federico Pacheco en RedUSERS

WikiLeaks o no WikiLeaks ¿cuál fue la verdadera cuestión?

La futurología de la seguridad ¿con qué ánimos encarar el 2011?

Seguridad: ¿un asunto de las empresas, de los programadores o de los usuarios?

¡Comparte esta noticia!