23 julio 2011

Informe Fortinet European Security Strategy Census

Leo en el suplemento de seguridad de la revista TCN, que como resultado de un estudio encargado por Fortinet, fabricante de dispositivos de seguridad, se desprende que la importancia que los directivos TI dan al cumplimiento de las normativas es de un 27%. Después siguen la lucha contra las amenazas (menos mal!) con un 22%, y la virtualización en un 18%. En últimos lugares, están la movilidad y el cloud computing con un 12%.

El estudio, Fortinet European Security Strategy Census, tuvo en cuenta la opinión de 300 responsables de TI de países como España, Francia, Alemania, Italia, Países Bajos y Reino Unido.

Hace ya unos cuantos posts escribimos una reflexión relacionada con la importancia dada a la normativa únicamente, que  desgraciadamente, se ha demostrado ser  tendencia. Queda demostrado que, efectivamente, la prioridad está donde aprieta el zapato y donde "no cumplir" nos puede llevar a una sanción. La búsqueda de hacer las cosas bien, por el mero hecho de preocuparnos por la seguridad de los datos y los procesos, así como de las amenazas existentes queda en segundo plano (y en este caso, prioridad).

Por otra parte, mejorar la seguridad en dispositivos móviles se encuentra en la estrategia del 88% de los encuestados. En las empresas españolas cabe destacar que el 49% de las consultadas opina que la responsabilidad de la protección de los dispositivos móviles es del usuario/propietario. Mi duda es: ¿se referirán a los terminales personales de los usuarios o a los corporativos? Si el dispositivo es corporativo, la responsabilidad de que el mismo esté bien protegido ante amenazas externas, debería recaer en el departamento de TI, y su saber hacer en materia de configuración, bastionado y utilización de herramientas de seguridad corporativas específicas para dispositivos móviles.    

Además, entre las "preocupaciones laborales" de los encuestados destaca la seguridad de redes inalámbricas (un 57% en Europa y 53% en España). Según el informe, el sobreabultado márketing realizado por alguno de los denominados Firewalls de nueva generación han llevado a plantearse a las empresas, la necesidad de control de las aplicaciones. Mi reflexión ante esto es: Dada la política de cambios (generalmente sin avisar con tiempo suficiente) que experimentan las aplicaciones web utilizadas por los usuarios a diario, como Facebook o Twitter, ¿están los cortafuegos de nueva generación a la altura de poder adaptarse y funcionar como corresponde ante los cambios de las aplicaciones?
El colofón del informe era aún más esperable. La frase que está en las pizarras del 69% de los despachos de los directivos TI de Europa (un 77% en el caso europeo) es común: "Reducción de costes". De hecho, en la misma revista TCN, me llamó la atención un artículo de opinión escrito por la country manager en España de un fabricante de soluciones de Disaster Recovery, potenciar la importancia de este tipo de procedimientos incluso como alternativa a la alta disponibilidad. Es decir, en esencia, el artículo "vende su producto" (como es normal), indicando que es más barato asumir el riesgo de tener un servicio sin alta disponibilidad, pero a cambio disponer de una solución de disaster recovery que deje todo como estaba en minutos, planteándose como una posibilidad para la reducción de costes.  

1 comments :

Román Ramírez dijo...

Hay que ser realista y tener claro que las empresas suelen tener conciencia y compromiso CERO. Lo que una empresa entiende por seguridad o control de riesgo es... gastar poco. Y ese gastar poco se plasma en que lo que la empresa entiende realmente por "seguridad", en realidad es cumplimiento.

Y como bien sabes el lema de "Cumplimiento NO es seguridad" es muy aplicable.

Yo siempre le pongo a todo el mundo el mismo ejemplo: ¿cuando contratas un seguro del hogar metes los calzoncillos o tratas de pagar lo menos posible en la cuota mensual? Es decir, metes exclusivamente electrodomésticos, ordenadores y ya.

Pero cuando la casa se quema, el seguro te cubre tu flamante tele de 56 pulgadas... pero no tienes ropa interior.

Pues esa misma mentalidad ocurre en las empresas (que no son más que la extensión de las acciones de personas con la presión adicional de ganar dinero, reducir costes, aumentar el margen).

Por desgracia nuestro trabajo avanza a base de sustos y desastres.

Como presentó Santiago Moral en un Securmatica con su charla sobre el Complejo de Casandra (era la adivina que avisó a los troyanos de que los griegos iban a colarles un caballo, bendecida y maldecida con el don de la adivinación pero a la que nadie creería nunca), si en seguridad haces bien tu trabajo y nunca pasa nada, te quitan presupuesto "porque no pasa nada". Pero si haces mal tu trabajo y pasan cosas, te echan.

¿Qué conclusión he sacado yo de observar a la gente que lleva muchos años dirigiendo departamentos de seguridad? Hay que dejar que pasen algunas cosas, magnificarlas, venderlas internamente y... conseguir más presupuesto.