No gaste en seguridad, invierta en confianza
El pasado año invertimos mil euros en que no pasara nada y este año debemos gastar mil por dos para que siga sin pasar nada. Indudablemente, la partida del presupuesto dedicado a seguridad, por mucho que preocupe y que asusten los virus, gusanos y demás fauna digital, seguirá siendo la primera partida en recortar si no somos capaces de convertir este gasto en una inversión. Para ello, la nueva visión de la seguridad se sitúa más cercana al concepto de confianza, entendiendo esta inversión como una capacitadora de la generación de negocio.
Durante muchísimo tiempo la seguridad se ha vendido con el mensaje del miedo; y, desde luego, convencer a alguien de que, en ese caso, la seguridad es una inversión resulta realmente complicado. El gasto en seguridad es visto por muchos directores de negocio como algo similar a un “impuesto revolucionario”.
“El miedo es el más ignorante, el más injusto y el más cruel de los consejos”, decía Burke hace casi dos siglos. No obstante, la industria de la seguridad parece llevar muchos años tratando de vender sus productos con ese único mensaje, sin tener en cuenta el efecto que ello ha tenido en los usuarios. Sin duda, la conciencia existe: todo el mundo dice estar preocupadísimo por la seguridad, el miedo ha surtido efecto y todos los directores de sistemas han incluido en sus pesadillas las desgracias que las amenazas digitales pueden causar en sus compañías. Sin embargo, la inversión en seguridad sigue sin despegar, especialmente en las compañías medianas y pequeñas, que muchas veces no entienden la necesidad de esta inversión: “Usted me está diciendo que he de gastar dinero en protegerme, pero que la protección absoluta no existe. Entonces, ¿para qué gastarme mi cada vez más famélico presupuesto en algo que ni siquiera entiendo?”
Construyendo confianza
Frente al miedo, el mensaje que empieza a darse y que, sin duda, es el mensaje del futuro (futuro que esta vez empieza ayer) es el de la inversión en seguridad para construir la confianza. Confianza en que nuestros sistemas de la información siempre van a estar ahí, en que, pase lo que pase, la tecnología siempre va a responder. Esto es, desde luego, una utopía, pues la seguridad y/o disponibilidad absoluta nunca existe, ni en tecnología ni en nada, ¿o es que alguien en esta vida puede estar totalmente seguro de algo? Por eso introducimos el concepto de confianza como resultado de la seguridad y la disponibilidad suficiente para que el usuario tenga la percepción de esa seguridad/disponibilidad absoluta.
El que, para bien o para mal, es uno de los padres de la economía moderna, John Maynard Keynes, decía al explicar la confianza empresarial: “Para los accionistas, la confianza se traduce en rentabilidad y transparencia; para los clientes, en calidad de servicio y cumplimiento de las promesas; para los empleados, en claridad en la relación y el desarrollo profesional”. Del mismo modo, la confianza TI tiene efecto sobre estos mismos agentes:
- Sobre los accionistas, propietarios o directores, que pueden dormir tranquilos al saber que “el minuto de gloria” de su empresa en las noticias no lo será por la caída de sus sistemas. No olvidemos la caída del valor bursátil que produjo la de los sistemas de eBay, ni el efecto que puede tener en el brand de una firma bancaria el que se descubra un “agujero” en sus sistemas.
- Sobre los clientes, que, sin duda, valoran el hecho de poder contar siempre con los servicios de su proveedor sin temer riesgos de falsa identificación o indisponibilidad del servicio. El cliente hoy es mucho más exigente; de hecho, cada día es más palpable que la nueva economía de la que tanto hablamos no es la de los ordenadores ni Internet ni los móviles, es la economía del cliente. Este cliente todopoderoso no da segundas oportunidades: si su servicio no funciona, la próxima vez buscará otro proveedor.
- Sobre los empleados: no cabe duda de que, a mayor disponibilidad, mayor productividad de los empleados, que pueden utilizar en todo momento las herramientas que la tecnología pone en su mano.
Como vemos, la confianza tiene un gran potencial como generación de valor en todos los agentes de la empresa. No obstante, el concepto de confianza se enfrenta a dos barreras que frenan aún la inversión en lo que podríamos llamar tecnologías de confianza (antes conocidas como tecnologías de seguridad).
Una nueva visión
Podemos entender como seguridad una característica de cualquier sistema que nos indica que ese sistema está libre de todo peligro, daño o riesgo y que es, en cierta manera, infalible, siempre disponible, que va a estar ahí cuando se necesite. Este concepto va, por tanto, más allá de lo que tradicionalmente se ha entendido por seguridad TI. Cuando encendemos el interruptor, lo normal es que haya luz; cuando abrimos el grifo siempre esperamos que salga agua. ¿Por qué, entonces, cuando encendemos nuestros ordenadores lo sorprendente es muchas veces que funcionen a la primera?
Esta nueva visión de la seguridad, que preferimos llamar “confianza” para diferenciarla de la visión convencional, incluye, además de las tradicionales tecnologías de seguridad, las soluciones de business continuity y disaster recovery, todas ellas con el objetivo común de que, pase lo que pase, nuestros sistemas siempre estén en condiciones de responder.
Esta nueva visión viene arropada por la necesidad de protegerse de amenazas que van más allá de la tecnología. Es cierto que necesitamos estar protegidos frente a virus, hackers, troyanos y demás fauna, pero también lo es que hemos de estarlo ante caídas de luz, inundaciones, fallos y todo tipo de problemas que pueden poner en peligro el correcto funcionamiento de los sistemas. Y es que, si sólo nos protegemos de las amenazas lógicas, estamos dejando descubiertas gran parte de las posibles amenazas. Por eso, cuando en IDC hacemos nuestras previsiones sobre inversión en seguridad, incluimos ya todos estos conceptos con la intención de marcar el objetivo común consistente en lograr la disponibilidad absoluta de nuestros sistemas.
En esta solución tienen y tendrán una importancia extrema las redes. Su disponibilidad es, sin duda, un factor crítico en la continuidad del negocio; garantizar la fiabilidad de nuestras redes es un objetivo prioritario en cualquier plan de contingencia que se precie. En cualquier caso, ésta no es la única contribución de las redes, pues también pueden funcionar como mecanismo protector de otros elementos de nuestros sistemas, lo que las convierte en un componente esencial en los planes de replicación y protección frente a desastres.
A grandes rasgos, se entiende que mantener un sistema seguro (o fiable) consiste básicamente en garantizar tres aspectos: confidencialidad, integridad y disponibilidad. ¿Qué implica cada uno de estos tres aspectos? La confidencialidad nos dice que sólo los elementos autorizados pueden acceder al sistema y, además, que esos elementos autorizados no van a convertir esa información en disponible para otras entidades. La integridad significa que los objetos sólo pueden ser modificados por elementos autorizados y de una manera controlada. La disponibilidad, finalmente, indica que los objetos del sistema tienen que permanecer siempre accesibles a elementos autorizados; es lo contrario de la negación de servicio. Depend
Durante muchísimo tiempo la seguridad se ha vendido con el mensaje del miedo; y, desde luego, convencer a alguien de que, en ese caso, la seguridad es una inversión resulta realmente complicado. El gasto en seguridad es visto por muchos directores de negocio como algo similar a un “impuesto revolucionario”.
“El miedo es el más ignorante, el más injusto y el más cruel de los consejos”, decía Burke hace casi dos siglos. No obstante, la industria de la seguridad parece llevar muchos años tratando de vender sus productos con ese único mensaje, sin tener en cuenta el efecto que ello ha tenido en los usuarios. Sin duda, la conciencia existe: todo el mundo dice estar preocupadísimo por la seguridad, el miedo ha surtido efecto y todos los directores de sistemas han incluido en sus pesadillas las desgracias que las amenazas digitales pueden causar en sus compañías. Sin embargo, la inversión en seguridad sigue sin despegar, especialmente en las compañías medianas y pequeñas, que muchas veces no entienden la necesidad de esta inversión: “Usted me está diciendo que he de gastar dinero en protegerme, pero que la protección absoluta no existe. Entonces, ¿para qué gastarme mi cada vez más famélico presupuesto en algo que ni siquiera entiendo?”
Construyendo confianza
Frente al miedo, el mensaje que empieza a darse y que, sin duda, es el mensaje del futuro (futuro que esta vez empieza ayer) es el de la inversión en seguridad para construir la confianza. Confianza en que nuestros sistemas de la información siempre van a estar ahí, en que, pase lo que pase, la tecnología siempre va a responder. Esto es, desde luego, una utopía, pues la seguridad y/o disponibilidad absoluta nunca existe, ni en tecnología ni en nada, ¿o es que alguien en esta vida puede estar totalmente seguro de algo? Por eso introducimos el concepto de confianza como resultado de la seguridad y la disponibilidad suficiente para que el usuario tenga la percepción de esa seguridad/disponibilidad absoluta.
El que, para bien o para mal, es uno de los padres de la economía moderna, John Maynard Keynes, decía al explicar la confianza empresarial: “Para los accionistas, la confianza se traduce en rentabilidad y transparencia; para los clientes, en calidad de servicio y cumplimiento de las promesas; para los empleados, en claridad en la relación y el desarrollo profesional”. Del mismo modo, la confianza TI tiene efecto sobre estos mismos agentes:
- Sobre los accionistas, propietarios o directores, que pueden dormir tranquilos al saber que “el minuto de gloria” de su empresa en las noticias no lo será por la caída de sus sistemas. No olvidemos la caída del valor bursátil que produjo la de los sistemas de eBay, ni el efecto que puede tener en el brand de una firma bancaria el que se descubra un “agujero” en sus sistemas.
- Sobre los clientes, que, sin duda, valoran el hecho de poder contar siempre con los servicios de su proveedor sin temer riesgos de falsa identificación o indisponibilidad del servicio. El cliente hoy es mucho más exigente; de hecho, cada día es más palpable que la nueva economía de la que tanto hablamos no es la de los ordenadores ni Internet ni los móviles, es la economía del cliente. Este cliente todopoderoso no da segundas oportunidades: si su servicio no funciona, la próxima vez buscará otro proveedor.
- Sobre los empleados: no cabe duda de que, a mayor disponibilidad, mayor productividad de los empleados, que pueden utilizar en todo momento las herramientas que la tecnología pone en su mano.
Como vemos, la confianza tiene un gran potencial como generación de valor en todos los agentes de la empresa. No obstante, el concepto de confianza se enfrenta a dos barreras que frenan aún la inversión en lo que podríamos llamar tecnologías de confianza (antes conocidas como tecnologías de seguridad).
Una nueva visión
Podemos entender como seguridad una característica de cualquier sistema que nos indica que ese sistema está libre de todo peligro, daño o riesgo y que es, en cierta manera, infalible, siempre disponible, que va a estar ahí cuando se necesite. Este concepto va, por tanto, más allá de lo que tradicionalmente se ha entendido por seguridad TI. Cuando encendemos el interruptor, lo normal es que haya luz; cuando abrimos el grifo siempre esperamos que salga agua. ¿Por qué, entonces, cuando encendemos nuestros ordenadores lo sorprendente es muchas veces que funcionen a la primera?
Esta nueva visión de la seguridad, que preferimos llamar “confianza” para diferenciarla de la visión convencional, incluye, además de las tradicionales tecnologías de seguridad, las soluciones de business continuity y disaster recovery, todas ellas con el objetivo común de que, pase lo que pase, nuestros sistemas siempre estén en condiciones de responder.
Esta nueva visión viene arropada por la necesidad de protegerse de amenazas que van más allá de la tecnología. Es cierto que necesitamos estar protegidos frente a virus, hackers, troyanos y demás fauna, pero también lo es que hemos de estarlo ante caídas de luz, inundaciones, fallos y todo tipo de problemas que pueden poner en peligro el correcto funcionamiento de los sistemas. Y es que, si sólo nos protegemos de las amenazas lógicas, estamos dejando descubiertas gran parte de las posibles amenazas. Por eso, cuando en IDC hacemos nuestras previsiones sobre inversión en seguridad, incluimos ya todos estos conceptos con la intención de marcar el objetivo común consistente en lograr la disponibilidad absoluta de nuestros sistemas.
En esta solución tienen y tendrán una importancia extrema las redes. Su disponibilidad es, sin duda, un factor crítico en la continuidad del negocio; garantizar la fiabilidad de nuestras redes es un objetivo prioritario en cualquier plan de contingencia que se precie. En cualquier caso, ésta no es la única contribución de las redes, pues también pueden funcionar como mecanismo protector de otros elementos de nuestros sistemas, lo que las convierte en un componente esencial en los planes de replicación y protección frente a desastres.
A grandes rasgos, se entiende que mantener un sistema seguro (o fiable) consiste básicamente en garantizar tres aspectos: confidencialidad, integridad y disponibilidad. ¿Qué implica cada uno de estos tres aspectos? La confidencialidad nos dice que sólo los elementos autorizados pueden acceder al sistema y, además, que esos elementos autorizados no van a convertir esa información en disponible para otras entidades. La integridad significa que los objetos sólo pueden ser modificados por elementos autorizados y de una manera controlada. La disponibilidad, finalmente, indica que los objetos del sistema tienen que permanecer siempre accesibles a elementos autorizados; es lo contrario de la negación de servicio. Depend
