techWEEK. Según un estudio de Deloitte, el 29 por ciento de bancos y aseguradoras destina sólo entre un uno y un tres por ciento de su presupuesto de TI a seguridad. ¿Qué opina al respecto? ¿Es común esta proporción en otros sectores?

M. C.: Es muy bajo, sobre todo si tenemos en cuenta que consultoras como IDC apuntan como recomendable un 13 por ciento, aunque existen grandes diferencias si hablamos de gran cuenta, como banca, telco o gobierno, que son los que más invierten. Por ejemplo, las cajas de ahorros más pequeñas subcontratan servicios de seguridad y se puede ajustar más a esa cifra, pero la gran cuenta sí que está concienciada al respecto. Aún así soy bastante optimista, incluso con el panorama actual. La banca de gran tamaño sigue invirtiendo y abordando proyectos nuevos. Uno de los bancos más grandes de España ha incrementado su presupuesto en seguridad un 15 por ciento respecto a 2008.

El nivel de decisión ha subido y se miran con lupa todos los proyectos TI, pero hay empresas que están creciendo y no pueden pararse. Asimismo, la regulación también está impulsando proyectos de seguridad, así como todos aquellos proyectos de seguridad que pueden tener un impacto positivo en la cuenta de resultados.

María Campos, directora general de Stonesoft Ibérica

techWEEK. ¿Cuáles cree que son las medidas de seguridad imprescindibles para una empresa actualmente?

M. C.: Antes de lanzarse a invertir es fundamental evaluar los activos que tienes y ver qué riesgo estás dispuesto a asumir. Es necesario equilibrar inversión y nivel de riesgo. Desde el punto de vista de seguridad es un hecho que la regulación ha impulsado las inversiones, sobre todo en protección de datos, lo que se va a traducir en tres líneas de acción: seguridad perimetral, seguridad interna y control de accesos. Son tres patas que se deben unificar desde el punto de vista de gestión para tener una visión lo más global posible de tu infraestructura. Hay que ver la seguridad como un medio para hacer más productivo tu negocio. El resultado es definir activos confiables y no confiables para determinar quién accede a cada tipo de información, pero ahí no acaba todo.

Se viene hablando mucho de Data Loss Prevention (DLP) porque hay riesgos de fuga de información tanto dentro de la organización como por parte de hackers. Los trabajadores móviles deben estar protegidos y su control de acceso es fundamental porque es muy fácil meter un gusano a través de un USB… La tendencia es disponer de una visión lo más compacta posible, teniendo en cuenta el grado de complejidad de las TI.

techWEEK. ¿Y una pyme con un presupuesto TI reducido o sin un responsable de seguridad puede aunar la gestión de estas tres patas?

M. C.: Los retos y los riesgos son los mismos, pero no se le puede pedir el mismo esfuerzo de inversión a una empresa pequeña. En lugar de hacer un despliegue distribuido es mejor, por ejemplo, un dispositivo UTM con un coste asumible por la pyme. Si tampoco se puede permitir un diseño previo, existen unos servicios muy básicos de seguridad gestionada para garantizar que el tráfico de datos es limpio. Es un paso para complementar con medidas internas, es decir, que tecnología hay y a todos los precios, lo que es necesario es la concienciación y la formación, un cambio cultural.

techWEEK. ¿La falta de planificación o evaluación sería entonces el fallo imperdonable de un CIO o un CISO?

M. C.: No sé si el principal fallo, pero sí la clave. En las empresas trabajamos personas y es necesario invertir tiempo en políticas de seguridad. Quizá los fabricantes hemos saturado el mercado y hemos generado una oferta para la que las empresas no estaban preparadas, quedándose muchas herramientas sin sacarles todo el partido. Es necesaria una política coherente, sobre formación y recursos porque si no las herramientas por sí solas son tontas.

techWEEK. ¿Cree que la crisis económica va a impedir la evolución de la seguridad, una vez que las soluciones reactivas como antivirus o firewalls han alcanzado un estadio de madurez?

M. C.: Todo lo prescindible se congela, pero a día de hoy es imposible parar la implantación de soluciones de seguridad. No nos podemos permitir el lujo de dejar desatendida la seguridad, al margen de que el cibercrimen se incremente. Hay una serie de prácticas establecidas que no se pueden poner en riesgo, lo único fundamental es justificar muy bien esta inversión en estos tiempos.

Existe diferencia radical entre gran empresa y pyme. Ésta última sí se puede contentar con un antivirus o un firewall, pero la seguridad va mucho más allá. Esas soluciones no sirven para nada si no defines algo por detrás, pero la empresa grande es consciente de que sólo son la punta del iceberg y es básico un plan director orientado a no tener interrupciones, gestión de identidades, autenticación, etc. todo en aras de ser más eficiente y hacer más con menos.