En tiempos de crisis económicas, como los que vivimos, es común que las compañías realicen diversos ajustes presupuestarios, recortando aquellos gastos que parecen prescindibles. Hasta hace algunos años era frecuente ver en esa lista los recursos destinados a Tecnologías de Información. Sin embargo, en las actuales turbulencias ello parece haber cambiado.
De acuerdo a la Encuesta Global de Seguridad Informática, realizada por Ernst & Young a 1.400 ejecutivos de compañías de todo el orbe, las empresas ya no ven la seguridad de la información como un ítem prescindible.
Según el catastro, solamente un 5% de los encuestados indica que reducirá su gasto anual en este ítem. Más aún, contrario a lo que se podría pensar, un 50% de los encuestados proyecta incrementar su inversión en seguridad informática.
¿Qué razones hay para este cambio? Primero, la reducción de los gastos en seguridad de la información probablemente tendría un impacto negativo en las perspectivas de los accionistas -ya bastante golpeados con la crisis- y, segundo, las amenazas, vulnerabilidades y frecuencias de ataques no disminuyen durante una contracción económica (incluso hay evidencias de que éstas aumentan ante los problemas).
Integrada como una estrategia de negocios
Ahora bien, junto con los aumentos o mantenciones de los presupuestos de seguridad de la información, hay un aspecto que las compañías muchas veces pasan por alto y que es fundamental considerar cuando se realizan inversiones en TI. Esto es determinar si los dineros se están colocando en los lugares correctos.
El mismo estudio de Ernst & Young Global indica que sólo el 20% de los encuestados tiene una estrategia documentada de seguridad de la información y menos de la mitad realiza análisis de riesgo formal para dirigir las actividades en este ámbito.
Esto es clave, ya que en lo que respecta a gasto en TI, como en otros sectores, es necesario que las compañías tengan una estrategia clara sobre la seguridad de la información, idealmente integrándola a la estrategia de negocios de la firma.
En este sentido, la encuesta global señala que sólo el 18% de las empresas declara tener integrada la seguridad de la información como una parte de su estrategia de negocios.
Esta parece ser una gran falencia no sólo internacional, sino también para el caso particular de Chile, ya que el desarrollo de una estrategia en el área, que se integra con la estrategia del negocio, condiciona muchas veces el éxito de la seguridad en ese ámbito y para abordar completamente los riegos de la organización.
Además, en nuestro país, las empresas están comenzando a entender cuán importante es la seguridad de la información no sólo para apoyar el cumplimiento reglamentario, sino también para la protección de su reputación y marca.
Así, en los actuales momentos de incertidumbre económica, el desafío para las áreas de TI parece ser no sólo mantener los presupuestos inalterables, pese a las ya comunes reducciones de gastos, sino también integrar la seguridad de la información completamente y hacerla parte del negocio.
