Los días previos al cierre de la más reciente edición de CSO en CIO México fueron de trabajo e investigación constante sobre seguridad informática, tanto por la elaboración de la portada como por la generación de contenidos para nuestro más reciente evento de seguridad de la información, el CSO Forum 2012, el cual se realiza mañana y será todo un éxito en cuanto a asistencia y en las pláticas ofrecidas por nuestros expositores expertos.
Sin embargo, mis lecturas, las charlas con profesionales de seguridad y la participación en foros especializados en redes sociales me hacen cuestionarme constantemente: ¿no habíamos tocado ya este tema hace algunos meses, o incluso hace varios años?
Los resultados de la encuesta del artículo de portada de esta edición corroboraron mis sospechas: se sigue hablando de los mismos temas porque aún no se tienen los resultados esperados. Y no se tienen los resultados deseados porque no se toman las acciones pertinentes. Y no se toman esas acciones porque no hay presupuesto suficiente.
Pero, ¿por qué no llega el presupuesto al área de seguridad cuando llevamos más de diez años hablando sobre los riesgos de seguridad de la información para el negocio? Es más, los números de diversas encuestas globales de seguridad informática apuntan a que las amenazas no disminuyen, sino que evolucionan y encuentran nuevas formas de aprovechar las vulnerabilidades, pero ahora con objetivos más claros: robo de información, daño a la reputación empresarial y daño a infraestructuras de servicios. Estamos hablando de incidentes que repercuten en gastos y/o pérdidas financieras de miles de millones de dólares. ¿Por qué, entonces, no aterriza debidamente el presupuesto de seguridad de la información?
George V. Hulme, CSO y autor del artículo de portada, recoge las opiniones de algunos colegas suyos y el consenso es que los profesionales de seguridad no han aprendido a comunicar de manera adecuada sus necesidades a los directivos del negocio. Y tal vez sea cierto, pero no solamente con los directivos.
Uno de los debates que más polémica ha generado en un foro de seguridad informática en LinkedIn, ASIMX, se relaciona con el gastado concepto de Security Awareness, o conciencia de la seguridad de la información. Hay quienes argumentan que no tiene sentido realizar campañas de educación para los empleados porque a éstos les interesa más tener acceso a aplicaciones no autorizadas o a sitios de entretenimiento, o incluso obtener cortesías para el cine a cambio de compartir su información (que muchas veces implica el proporcionar la cuenta de correo de la compañía para la cual trabajan).
Otros opinan que, si de por sí el factor humano es el eslabón más débil, una estrategia de seguridad que no contemple un mecanismo de educación para el usuario es una estrategia incompleta. Pero lo cierto es que pocas son las compañías en donde la campaña de concientización ha obtenido los resultados esperados.
¿Será que en verdad los usuarios no se interesan por la seguridad corporativa, o simplemente no se les ha comunicado de manera efectiva el por qué es importante? Como diría un amigo: no es sino hasta que a alguien le pisan los callos, que reacciona como se espera. Así pues, ¿qué tan efectivos son ustedes, estimados lectores, al momento de “pisarle los callos” a los empleados de su organización? Más aún, ¿con qué grado de efectividad logran “pisar los callos” de los ejecutivos del negocio?
Creo que es hora de empezar a considerar este tema. De lo contrario, seguramente en algunos años nos encontraremos en reuniones de seguridad informática preguntándonos de nuevo si acaso no hemos hablado de ciertos temas con anterioridad…
