Interesante noticia leíamos y discutíamos la semana pasada aquí con el equipo de investigación de ESET Latinoamérica. La empresa internacional Verizon, a través de Peter Tippett, vicepresidente de tecnología e innovación, asegura que más de dos tercios de las inversiones en seguridad son un desperdicio.
Algunos fragmentos de la noticia publicada en Computer Weekly, en traducción libre:
"Más del 40% del dinero invertido en seguridad es un desperdicio", dijo Peter Tippett.
Muchas organizaciones están aumentando la inversión en la protección contra amenazas internas, cuando en realidad sólo el 11% de las vulnerabilidades explotadas exitosamente en los últimos años han sido de este tipo, según el último Business Data Breach Investigations Report.
La mayoría de las brechas de seguridad involucran múltiples orígenes, pero la investigación indica que sólo el 20% son de origen interno.
En base a estos resultados, parece poco aconsejable minimizar la amenaza que representan los ataques externos (outsiders), dice el reporte.
Las organizaciones terminan desperdiciando los presupuestos en seguridad, gastando mucho donde se percibe que están las amenazas , en lugar de dónde verdaderamente están.
Este informe da lugar a un interesante debate sobre las inversiones en seguridad, tema que ya hemos estado tratando antes en TCO: ¿Cómo evaluar una inversión en seguridad? y Retorno de inversión en seguridad.
Respecto a lo afirmado por el informe de Verizon, son dos los aspectos a analizar.
En primer lugar, si la afirmación respecto al desperdicio de la inversión es correcta, y eso dependerá de la apreciación de cada lector. Sí es importante remarcar que, por un lado, los números indicados son contundentes y se condicen con los que manejamos desde ESET Latinoamérica. Sin embargo, al momento de sacar las conclusiones, las mismas quedan sujetas a la interpretación de cada uno, ya que no se analiza el impacto de los incidentes en términos económicos. Es decir, a pesar de que sólo el 11% de los incidentes son internos, quizás el impacto de dicha amenaza en términos monetarios sea mayor al de los ataques externos, lo cual es probable dado que los ataques internos suelen ser más graves una vez consumados por la naturaleza de los mismos tanto del conocimiento por parte del atacante de la organización, como de los privilegios que este puede contar por su ubicación en la empresa. Como ya mencioné, el análisis es interesante aunque queda a criterio de cada lector sacar sus propias conclusiones con los números aquí planteados.
En segundo lugar, aparece un debate menos concreto pero a la vez más profundo: ¿cómo estamos decidiendo nuestras inversiones en seguridad? Aquí aparece un tema que hemos venido tratando aquí mismo y en varios congresos a dónde hemos asistido en los últimos años. En las empresas, decidir cómo invertir el dinero en la protección de la información es un proceso que no debe tomarse a la ligera, sin ser evaluado como un simple concurso de precios. Existen diversas metodologías para medir, cuantificar, comparar y decidir respecto a las inversiones en seguridad, y la utilización de estas hace al profesionalismo con el que se está considerando el dinero que se dedica a esta materia. Cuando se trata de una inversión corporativa, lo que debe quedar claro es que la misma debe realizarse de la misma forma que se analizan otras asignaciones monetarias en la empresa, y no como si se estuviera haciendo una inversión hogareña. Involucrados a todos los actores necesarios en el proceso es un factor fundamental para el éxito del mismo.
A modo de conclusión, luego de muchos años en dónde se fue afianzando la importancia de la seguridad de la información en la empresa, ahora que la misma ya está clara comienzan a aparecer estos asuntos en primera plana, y aquellos que respectan a cómo medir, definir y asignar la inversión en seguridad será un tema de amplio debate en el futuro cercano, conforme aquellos que hacen la seguridad en las empresas vayan definiendo y acostumbrándose a los estándares recomendados.
Sebastián Bortnik
Analista de Seguridad
