2 febrero, 2011
Las empresas toman decisiones todo el tiempo. Cambian tecnologías, implementan nuevas normas, contratan personal, crean productos, brindan servicios, etc. Todas tienen su objetivo, su corazón del negocio. Pero ¿qué papel juega la seguridad de la información en el negocio de las organizaciones?
Pensándolo bien, exceptuando las empresas que se dedican a prestar seguridad, la seguridad no es el foco del negocio de ninguna empresa, solo que su importancia superlativa obliga a que sea tenida en cuenta, pero en muchas ocasiones trata de evitarse por diversos motivos. ¿Y por qué razón se intentaría evitar la seguridad? ¿No es acaso siempre una buena idea estar más seguros? Propongamos algunas teorías:
- La seguridad puede ser muy costosa. Esta afirmación dependerá de muchos factores, pero lo cierto es que en muchos casos pueden obtenerse grandes avances y muy rápidos con muy poco esfuerzo (aplicación directa del principio de Pareto, del 80/20).
- La seguridad requiere personal muy capacitado. Esto es completamente cierto, pero también se requiere personal muy capacitado para otras tareas, y sin embargo no se evitan. Un especialista en asuntos legales es requerido en toda organización, y no se lo evita porque se corre el riesgo de incumplir la ley y que pueda llegarse a cese de las operaciones. Lo mismo ocurre con un especialista en finanzas, contabilidad, ingeniería, etc. En caso de que el problema sea la dificultad en la contratación de personal, la alternativa de la tercerización (outsourcing) de servicios siempre está como opción válida.
- No se puede garantizar la seguridad. Esto también es cierto, sin embargo pueden reducirse los márgenes de error y riesgo a límites muy pequeños, tales que la organización pueda sostenerlos en función de su propio negocio.
- La seguridad representa una inversión que no puede retornar. En cierta medida esto tiene tu veta de realidad, dado que al agregar mecanismos, hardware, software y herramientas de seguridad, no se busca hacer que la empresa gane mas dinero, sino más bien que exista la probabilidad de que no lo pierda.
Por estos y otros motivos, las empresas tienen muchos reparos a la hora de implementar seguridad, pero hay algo que puede observarse, y es que en ningún caso se consideran problemas tecnológicos, ya que a medida de que van apareciendo las distintas amenazas, aparecen soluciones correspondientes.
Y esto podemos ampliarlo al horizonte de la información más allá de la tecnología, como siempre decimos, ya que la seguridad informática solo se refiere a dichos temas, en tanto que la seguridad de la información amplía su definición a aspectos también administrativos, físicos y humanos.
En esta misma línea, sabemos bien que seguridad y comodidad siempre son inversamente proporcionales, por tanto, a mayor seguridad, menor comodidad, y viceversa. Dicha paradoja es una ecuación que apuntan a resolver los profesionales de la materia, ya que todos desearían tener alta seguridad y alta comodidad (imaginemos la incomodidad de una contraseña larga, y la seguridad asociada a la incomodidad de una contraseña larga, o la incomodidad de una puerta con 4 cerraduras versus la seguridad de la misma).
En conclusión, las decisiones de negocios se toman en base a elementos que permiten planificar y calcular los mejores resultados para los fines de la empresa, y la seguridad de la información parece ser un impedimento o entorpecedor directo de este proceso. La realidad indica que la seguridad es un asunto de negocios, y aumentará o disminuirá según se disponga (o no) a nivel de la dirección de la organización. Cualquier implementación de seguridad se realizará en función de una evaluación previa del impacto que podría tener el omitirla, o bien, en el peor de los casos, en los momentos posteriores a los incidentes, que obligan a tomar medidas correctivas costosas a todo nivel, por no haber tomado las medidas preventivas correspondientes.
Por Federico Pacheco
Obras del autor