Seguridad informática: ¿Un problema de inversión?

Es verdad que la seguridad informática es una disciplina relativamente nueva, en particular en los países emergentes, pero ¿es esto excusa suficiente para pretender vivir como si no existiera? ¿Hasta cuánto se debe invertir en seguridad, y en específico en seguridad informática, más en una época en la que nadie está totalmente a salvo de un ataque?

CIO América Latina/Mario A. Beroes Ríos

El tema de la seguridad conlleva enormes discusiones y puntos de vista, por lo complejo, lo delicado y lo puntual. “Inversiones y no costos”, que podría ser esgrimido como un eslogan publicitario, es la premisa que maneja uno de los expertos en el tema. Francisco Michelich, ingeniero socio en la empresa Perspectives, basa su razonamiento en que la seguridad informática “es un pilar de los negocios en el siglo XXI; y en la época donde los datos y la computación monopolizan los negocios, resguardar la información y el acceso a la misma constituye un factor clave en la toma de decisiones“.

-No es una visión algo radical, ¿O es que en cuanto a este tema los radicalismos son parte del la seguridad como tema?

-No es para nada radical contar con seguridad, o contratar un seguro o una obra social, ¿verdad? Quizás contratar servicios de sistemas y seguridad informática no le parezca vital, pero es bueno hacer el siguiente ejercicio: ¿Qué sucedería si mañana llegara a su oficina y toda su información y la de sus clientes se hubiera perdido? ¿Cuánto tiempo le tomaría recuperarse de una situación así? ¿Cómo cree que lo tomarían sus clientes?. El mundo actual es muy competitivo, y simplemente no se pueden dar ese tipo de ventajas.

Michelich, quien es ingeniero residenciado en la ciudad de con sede en Buenos Aires, Argentina, se ha especializado en TI, Seguridad de la Información, Planificación Estratégica y Negociación y es fundador de “Perspectives”, una firma de consultoría que proporciona soluciones dentro de los mercados de América Latina para clientes que abarca desde Fortune 500 pasando por entes gubernamentales y PYMES, hace suya la frase del ex CEO de la General Electric, Jack Welch,  “Cambia antes que tengas que hacerlo”.

De una forma u otra, afirma el fundador de Perspectives, el entorno lleva a las empresas a adaptarse, y es mucho menos costoso hacerlo de forma preventiva (inversiones) que reactiva (costos). “La diferencia fundamental entre una inversión y un costo, más allá de lo contable, es que la inversión agrega valor al negocio, lo ayuda a mantener su equilibrio y solidez, mientras que el costo debilita el negocio y no agrega valor sino que le resta. Las inversiones bien realizadas generan más negocios, y los costos reducen la probabilidad de que eso suceda”.

Una cuestión de riesgo.

En cuanto al tema del riesgo, Francisco Michelich está convencido que lo primero que debe hacer una empresa es establecer su nivel de riesgo aceptable, ya que, afirma, es imposible que el riesgo sea totalmente cero. Añade a lo anterior que cada medida de seguridad que implemente ayudará a mitigar considerablemente los riesgos presentes, hasta alcanzar un nivel mínimo y, por el otro lado, un máximo de seguridad.

-¿Hasta dónde considera la compañía que el riesgo que se está corriendo es aceptable; hay algún parámetro o medida al respecto?

-El sentido común y las expectativas económicas de cualquier organización dictarían que no se debería permitir ningún ataque que pudiera dejar fuera de negocio o inoperativa a la empresa, al menos como medida fundamental…

-….¿Por qué entonces muchas empresas insisten en no invertir?

-Mayormente por desconocimiento. Por creencia de que los costos son inabordables. También por “falsa confianza”, la creencia de que la historia sirve como proyección del futuro. En realidad lo que no saben es que muy probablemente ya fueron víctimas de un ataque, sólo que eso no les generó un desembolso directo, pero si le pueden haber dado una ventaja a su competencia o haber reducido sus posibilidades de negocio a futuro. De hecho, las consecuencias son en general devastadoras cuando llegan al punto de enterarse, aún con tan pocas medidas de control. Es como enterarse de una enfermedad terminal luego de haber estado años sin controlarse, difícilmente se esté a tiempo de evitar resultados graves.

“Es de vital importancia establecer por lo tanto el nivel de riesgo a alcanzar y los planes de contingencia correspondientes para reducir los costos que pueda provocar un ataque”.

-¿De cuánto dinero estamos hablando en relación al tema inversión?

-En función del nivel de riesgo y las políticas establecidas por la compañía, resultarán las inversiones que serán necesarias. A modo de guía parecería razonable para una pequeña empresa resguardar su información de ataques del exterior mediante utilización de los mejores antivirus (siempre actualizados), un Firewall, un sistema de prevención de intrusiones y un sistema de backup, (bien implementado, con sus backups on site y offsite, y sus respectivas pruebas de restauración para verificar que en caso de que sean necesarios, puedan ser utilizados).

“Si bien alguno de estos productos dependen de la cantidad de licencias, como por ejemplo. un antivirus, suponiendo una pequeña empresa con 10 computadoras, el costo total anual de una solución integral de este tipo rondaría los 5.000 dólares el primer año, que es sólo un poco más que una de las mejores computadoras de Apple, y bajaría a unos 2.000 o 3.000 dólares a partir del primero, hasta que se decida invertir en modificar los equipos. Lo importante es tener en cuenta que la inversión económica no es privativa”

“Para una mediana empresa, vamos a suponer de unos 50 a 100 empleados, estos costos oscilan entre los 12.000 dólares y los 15.000 dólares en el primer año, descendiendo a unos 10.000 dólares anuales a partir del primero, y esto perfectamente podría incluir también la tercerización del soporte de informática. Otra inversión accesible para una empresa de ese tamaño”.

 Información vs desinformación.

-Si es tan accesible, ¿por qué entonces existen todavía muchas empresas que no toman medidas con respecto a esto?

-La mayoría de las empresas nacen asesoradas por un recurso de sistemas comúnmente externo, pero principalmente muy económico. El desconocimiento del rubro hace difícil evaluar la aptitud del recurso que se contrata, y al ser muy económico, generalmente viene recomendado por otra empresa que también lo contrato por económico y no por idóneo, y que seguramente corre el mismo riesgo que nuestra empresa.

“Esto no sólo genera vulnerabilidades y riesgos a nuestro negocio, sino que también impacta directamente en el crecimiento de nuestra estructura, por ejemplo, si un recurso inexperto diseña incorrectamente una red, al crecer la cantidad de empleados es posible que muchos equipos y configuraciones queden obsoletas, que de otra forma se podrían haber aprovechado. Es fácil entre tanta desinformación, estar mal asesorado en un montón de cuestiones que escapan al recurso, (muy económico), que usted contrató en un principio. Es muy probable que si es poco costoso es porque está poco capacitado, con poco trabajo, y que si tiene poco trabajo, sea porque no lo hace tan bien”.

Para terminar de concretar el tema, Michelich afirma que la informática es un pilar fundamental de cualquier negocio hoy en día, por lo tanto hay que considerar  muy bien antes de decidir invertir en los recursos de sistemas (ya sean internos o externos), pues de ello depende intrínsecamente su negocio.

El desafío para la pequeña y mediana empresa

“El desafío no es económico, la inversión es muy realizable, el desafío es mantenerse informado, y con el debido asesoramiento en una disciplina muy dinámica, y para ello recuerde, como dice el dicho: lo barato sale caro”.

Por último el directivo de Perspectives afirma que la seguridad informática es una disciplina relativamente nueva, en particular en los países emergentes, “pero ¿es esto excusa suficiente para pretender como si no existiera? Conozca cómo determinar hasta dónde invertir en seguridad informática, en una época en la que nadie está totalmente a salvo de un ataque informático”.