6. Seguridad ¿a qué precio?

Para orientar el debate a términos económicos, un punto de vista determinante, máxime en tiempos de incertidumbre, Ángel González formuló dos preguntas clave: “¿Es medible el retorno de la inversión? ¿Es cara la seguridad?”

El consultor de Accenture rompió el hielo con decisión, reconociendo la dificultad de determinar un ROI de modo fiable: “Hay herramientas que permiten conocerlo y trabajar con fórmulas que permitan saber si tiene sentido una inversión o no, pero con cinco preguntas no se hace un ROI y menos para una empresa de 10.000 usuarios….”. Para Cortés el problema es asumir que la seguridad es un coste para la empresa, pero hay que saber lo que está aportando: “Cuando vienen los problemas nos acordamos de un plan de continuidad de negocio. Las organizaciones deben asumir un montante anual de seguridad, que desde mi punto de vista no es excesivo. Si lo que voy a salvaguardar cuesta menos que la solución, no invierto”.

Consultoras como Gartner o Forrester cifran entre el siete y el diez por ciento el presupuesto TI que se destina a soluciones y políticas de seguridad, una cifra a todas luces alejada del valor que está protegiendo.

El CIO de La Paz, Laureano Gómez, entiende que hay que establecer planes de seguridad con independencia de lo que cuesten, aunque todas las compañías no son iguales. Cada empresa es diferente y sus relaciones con proveedores y clientes son diferentes. Lo fundamental para Laureano Gómez es conocer los riesgos que atañen a su modelo de negocio. “En mi caso no hay venta a través de Internet, pero sí intercambio de información y los mecanismos de protección son muy necesarios”.

“¿Cuál es el nivel de protección de las empresas españolas?”, se cuestiona el portavoz del Hospital madrileño, quien argumenta que “se parte de la probabilidad de no ocurrencia y esto es lo que nos salva. ‘Como nunca pasa nada…’ entonces me acuerdo. El nivel de desprotección es alto, cuando lo más grave es el sabotaje o un siniestro. Un plan de contingencia también es relevante en este sentido. Los mensajes van enfocados a un análisis pormenorizado y que cada empresa implante las medidas que más se ajusten a sus eventualidades”.

Lage apoyó el planteamiento de Laureano Gómez con estas palabras: “La no seguridad cuesta más. El incremento de riesgo por la pérdida de seguridad sí se puede cuantificar. Lo que ya está hecho hay que ponerlo, aunque luego implantes alguna solución a medida, que puede suponer más dinero”.

Por su parte, César Peñacoba, sostiene que una fuga de datos en AAPP tiene distintas consecuencias y más graves que en otras ramas, motivo por el que “no hay que esperar a salir en los periódicos para justificar una inversión”.

Desde Symantec, Gerardo Gómez, subraya que cuando un directivo apuesta por ganar más frente a no perder tanto, la responsabilidad de organizaciones como la suya es hacer ver que “no ganar tanto a veces significa ganar más”. Los planes de continuidad de negocio no se consideraban hasta que no se han visto siniestros recientemente, por ejemplo. Casi un 77 por ciento de empresas españolas considera que el riesgo de perder datos es alto o muy alto, y son conscientes de que no están bien protegidas, atendiendo a Gómez.

Pablo Martínez añade a la exposición de su compañero que es posible medir el riesgo e incluso los partners de Symantec están capacitados para hacerlo.