Muchas fuerzas están transformando el enfoque sobre la seguridad de la información y estos impulsos motrices son cuatro: medios sociales, la movilidad, la nube y la información. Su conjunción resulta clave para entender el futuro de la seguridad informática que, según Gartner, transformará las estrategias tanto de PyMEs como de grandes empresas.
La firma de investigación pronostica que 60 por ciento de los presupuestos de seguridad de la información de las empresas se destinará en 2020 a la detección y respuesta rápidas, frente a lo que se invierte hoy, menos del 10 por ciento actual.
Un personal cada vez más móvil exige un acceso a sistemas e información en cualquier momento y lugar. En este mundo interconectado y virtualizado, las políticas de seguridad vinculadas a los atributos físicos y a los dispositivos resulta redundantes y las empresas deben aprender a adaptarse a nuevas demandas de los usuarios, a la vez que mantienen los controles de seguridad tradicionales.
Para el vicepresidente de Gartner, Tom Scholtz, “nos enfrentamos a una ‘tormenta perfecta’ debido a la convergencia de la ‘socialización’, la ‘consumerización’, la virtualización y la ‘cloudificación’, que obligará a cambios radicales en la infraestructura de seguridad de la información en la próxima década”. Es más, incide en que las organizaciones están cambiando radicalmente, derribando y redefiniendo las fronteras tradicionales, a través de tendencias como la colaboración, externalización y adopción de servicios en la nube. Y la seguridad de la información debe cambiar en consecuencia.
Scholtz sostiene que los cambiantes entornos de negocio y el incremento de las amenazas, así como las cada vez más exigentes demandas de los usuarios, están poniendo en duda los modelos de seguridad estática. Por ello, concluye que infraestructura de seguridad de la información debe ser adaptativa, capaz de incorporar un contexto adicional en el momento en que se tome una decisión de seguridad, y ya hay signos de esta transformación.
La tendencia BYOD provoca una de las transformaciones más importantes actualmente. Las organizaciones se han dado cuenta de que pueden aprovechar esta demanda e iniciar un proceso de cambio en cuatro fases. La primera supone el rechazo de los dispositivos de propiedad personal, la segunda es la aceptación de que el empleado quiere utilizar su dispositivo, la tercera redunda en la adopción de la movilidad para mejorar procesos internos y la productividad y, por último, llega la fase de asimilación, donde la integración de la experiencia del usuario (aplicaciones y acceso a los datos) es un elemento clave. En este estadio, el BYOD es totalmente aprobado y la estrategia de la empresa pasa por optimizar, operar y desarrollar este nuevo mundo.
Los diferentes tipos de organizaciones son propensos a tomar ventaja de las diferentes formas de servicios en la nube aprovisionados externamente. Las organizaciones altamente sofisticadas, con grandes cantidades de datos que son de interés para cualquiera de sus competidores, son naturalmente reacios a ceder el control de sus datos a terceros. Las organizaciones más pequeñas y menos sofisticadas no sólo tienen menos preocupaciones al respecto, sino que también cuentan con menos capacidad para crear y mantener su propia infraestructura de TI.
En la práctica, la pequeña y mediana empresa es más propensa a confiar grandes cantidades de datos a otros agentes externos, así como su procesamiento o los servicios basados en la nube. Aparte de un mero almacenamiento, basado en PCs, este tipo de clientes tiene relativamente poca capacidad para crear sus propias aplicaciones, o incluso para gestionar sus propios servidores, por lo que son más propensos a tomar ventaja del software como servicio (SaaS).
Por el contrario, las organizaciones grandes y sofisticadas buscan entornos económicos y de calidad en el que desplegar máquinas virtuales. Tener mayores necesidades de gestión de datos y de una relativa mayor capacidad de sacar ventaja de ello, les hace más propensos a gravitar hacia una infraestructura como servicio (IaaS), en primer lugar. Sin embargo, las unidades de negocio dentro de una empresa bien pueden tener características de PYME, por lo que la mayoría de las organizaciones de este tipo podrían considerar también opciones SaaS.
“Las grandes tendencias de consumerización, movilidad y cloud computing están transformando radicalmente la relación entre las TI, el negocio y los usuarios individuales. Las organizaciones están reconociendo y respondiendo a la necesidad de pasar de una seguridad basada en el control a un enfoque centrado en las personas”, sostiene el experto de Gartner. En definitiva, se trataría de maximizar el potencial humano, mediante el aumento de la confianza y la promoción de una toma de decisiones independiente.
Francisco Carrasco, CIO America Latina