En los últimos años, en Estados Unidos se ha triplicado el porcentaje del presupuesto TI que las empresas destinan a seguridad, pasando de un 3,2% en el 2001 a un 8,2% el 2003.
En nuestro país, la seguridad de la información también se ha transformado en un tema relevante para las empresas. Un ejemplo de ello es la alta demanda por capacitación en esta área (en el ENTI 2004, el 66,5% de las empresas lo señala como una prioridad alta o muy alta). Sin embargo, existe un bajo grado de uso de estándares de seguridad (un 60% de las empresas ni siquiera tiene planes de implementar estándares como BS-7799 o ISO-17799). Esta dicotomía se puede explicar por la inmadurez que tienen las empresas nacionales en esta materia.
Podemos entender la seguridad informática como la protección de los activos de la compañía, garantizando la operación constante y segura de los sistemas de información y la protección de hardware, software y datos.
Para esto no es suficiente tener un antivirus o un firewall, sino que es necesario buscar soluciones más amplias, siendo vital capacitar a los usuarios de la red respecto de cómo salvaguardar la integridad de la misma y generar políticas de seguridad adecuadas y comunes para todos los sistemas. Para ello, es necesario que exista una comunicación fluida entre el Departamento de Informática y el resto de la compañía, que redunde en que todos los usuarios respeten las normas de seguridad. Además, debemos crear planes de contingencia con una estructura que sea flexible, permitiéndonos responder rápidamente a las amenazas. Estas normas o políticas han de sustentarse en un equilibrio entre la confiabilidad y disponibilidad de la información, ya que sólo así podremos garantizar la integridad de nuestros datos.
Algunos estándares abordan el tema de la seguridad en forma continua utilizando el “Ciclo PDCA”, el cual se divide en cuatro etapas:
• Planificación: Hay que definir qué esperamos de la seguridad de nuestros sistemas y cuáles son las prácticas que se deben realizar para cumplir estos objetivos.
• Ejecución de la planificación planteada y definición de los procedimientos a seguir frente a un ataque.
• Verificar la eficacia y eficiencia de los sistemas y definiciones implantadas mediante la utilización de indicadores apropiados para este proceso.
• Actuar mediante la realización de acciones correctivas apropiadas para la solución de los problemas y vulnerabilidades que se presenten.
Aunque el costo de la implementación de una solución de seguridad es elevado, siempre será más cara la pérdida o robo de nuestra información o la parálisis de las actividades de nuestra empresa. Para lograr una integridad eficaz de nuestros datos es preciso hacer notar a los usuarios los riesgos que se encuentran en la red y las consecuencias que éstos pueden acarrear para la empresa.
Enero de 2005
