¿Seguridad Informática – Gasto o Inversión?

Históricamente asegurar los activos informáticos ha sido considerado como un

gasto para muchas empresas, y fue así como varios proyectos millonarios de
comunicaciones, ERP o bases de datos sufrieron posteriormente un costo por
incidentes o ataques informáticos varias veces mayor al que hubiera
correspondido a tomar los recaudos necesarios para minimizar los riesgos.

Se habla generalmente de este tema como un proceso de “tomar conciencia”,

cuando en realidad la seguridad informática no es ni mas ni menos que otro
proyecto (o parte de otros proyectos de sistemas) al que hay que encontrarle la
viabilidad económica para que se considere inversión y no gasto.

La pregunta siempre es ¿cuánto hay que invertir?, es allí donde tenemos que
utilizar un criterio simple que nos da la respuesta: si tenemos activos informáticos
por un determinado valor, vamos a invertir más en asegurarlo?, evidentemente no.
Lo importante entonces es conocer cuanto valen nuestros activos informáticos.

Cuando hablamos de activos informáticos, no solo consideramos las

computadoras, routers, impresoras, etc. Esos recursos de hardware o software
tienen un costo perfectamente medible y se pueden asegurar con cualquier
compañía de seguros. Una computadora o un Microsoft Word se pueden
recuperar, los datos generados con dichos elementos... no siempre.

El real activo informático de una empresa es la información que circula a través

de ellos. Cuánto representa para la empresa que la misma sea robada, modificada
o no accesible.

Los costos no deben medirse sólo en termino de dinero, ¿cuanto cuesta a la

imagen de una compañía que ésta no pueda dar respuesta a sus clientes durante
dos días porque “se cayó el sistema”? Eso dependerá de la industria en la que la
empresa se desempeña, no es lo mismo un banco que una pequeña empresa
textil, pero los conceptos son idénticos, y en ambos casos las consecuencias de
no tomar los recaudos necesarios pueden ser muy perjudiciales para el negocio
(hasta llegar a casos extremos de quiebras).

Cuando se habla de implementar seguridad, otra “falacia” es creer que instalar

únicamente soluciones de tecnología (firewalls, Intrusion Detection Systems,
antivirus) es suficiente, y que los peligros estan “afuera”.

Es necesario entender que la seguridad 100% no existe, sólo podemos aumentar

o disminuir el riesgo, aumentar o disminuir la seguridad. Además, la información
de una empresa es manejada hoy por casi todos sus empleados (no solo por la
gente de sistemas), que en mayor o menor medida interactúan con la red
corporativa.

Sabemos por estadística que mas del 60% de los incidentes o ataques sufridos
por empresas a nivel informático son provocados voluntaria o involuntariamente
“desde adentro”, y allí además de productos que nos ayuden a controlar los
riesgos es importantísimo educar a los usuarios para que conozcan los peligros,
sepan como actuar ante ellos y sean corresponsales de cuidar la información de la
empresa, así como cuidan de sus activos físicos.

La pregunta que nos hacen generalmente responsables de empresas o gerentes

de sistemas es ¿cómo sé cuán vulnerable somos?, para ello es importante
estudiar la red corporativa, determinar los riesgos reales (internos y externo) y
establecer una estrategia de seguridad, siempre alineada con los objetivos del
negocio

Las inversiones en tecnología se han reducido, y por supuesto dentro de ellas el

de seguridad informática. Pero hemos visto este año que hay una mayor cantidad
de empresas que han entendido cuanto es el costo de perder su información o no
poder dar respuesta a sus clientes, y han comenzado a evaluar el estado de su
seguridad (estudio que puede realizarse en poco tiempo), para comenzar a
implementar las soluciones a medida que su presupuesto lo permita.

Y eso es muy saludable.

Claudio F. Pasik
Director de NextVISION – Seguridad Informática
cpasik@nextvision.com
www.nextvision.com