La seguridad de la información sortea la crisis

El mercado de la seguridad de la información es uno de los pocos que no ha sucumbido a la crisis económica internacional. Las organizaciones siguen invirtiendo en seguridad al mismo ritmo que antes e incluso con más fuerza. No en vano, la consultora IDC prevé que este mercado, a escala global, incremente su volumen de negocio hasta los 7.300 millones de dólares a finales de este año 2010, lo que supondría un crecimiento de un 11% respecto al año anterior. Es más, según datos de PricewaterhouseCoopers, la recesión no afectará a los presupuestos de seguridad TI. De hecho, el 63% de los encuestados por la consultora afirmaba recientemente que su inversión en seguridad incrementará o se mantendrá estable este año 2010. Sin duda la inestabilidad económica, junto con un incremento del riesgo y la mayor complejidad regulatoria han impactado positivamente en la función de seguridad y han intensificado la importancia de ésta en las compañías.

Para Gianluca D’Antonio, presidente de ISMS Forum Spain, “esto muestra cada vez más que la seguridad no es un nicho marginal de la industria tecnológica sino un elemento clave para el desarrollo de la sociedad de la información. De hecho, la razón que está haciendo que los organismos reguladores se centren en el sector TIC es incrementar la seguridad y la privacidad”. D’Antonio tiene claro que este ámbito se impulsará aún más con la proliferación del uso de las redes sociales en las organizaciones y con la exponencial adopción del modelo de suministro tecnológico ‘cloud computing’: “Estas tendencias deben ir asociadas con un mayor esfuerzo en garantizar la seguridad y la protección de los datos”.

Razonamiento que comparte el propio Udo Helmbrecht, director general de la Agencia Europea de Seguridad de las Redes y de la Información (Enisa). En una entrevista con ComputerWorld, Helmbrecht asegura que el motivo por el que este mercado sea uno de los que menos ha sufrido con la crisis es sencillo de entender: “Las organizaciones no pueden dejar de funcionar. Su negocio no puede parar. Sus directivos lo saben y por eso siguen invirtiendo en soluciones de seguridad y de continuidad de negocio. Además, la aparición de nuevos modelos tecnológicos como ‘cloud computing’ y la expansión del uso de Internet hacen que sea aún más importante reforzar la seguridad y la privacidad”.

La seguridad en la ‘nube’

El gran problema del modelo en la nube o ‘cloud’ es, según Helmbrecht, “que el cliente no sabe dónde están sus datos y los de sus clientes. Por eso, antes de adoptar cloud la empresa debe pensar muy bien en las necesidades de su negocio y, sobre todo, tener en cuenta el origen del proveedor de servicios en la nube que seleccione, pues éste se regirá por la legislación de su país en materia de protección de datos. Un buen contrato con el proveedor puede ayudar a minimizar los riesgos”. En este sentido, según el portavoz de Enisa, las compañías deberían prestar especial atención a sus derechos y obligaciones relacionados con la transferencia de datos, accesos a datos por imperativo legal o las notificaciones de brechas de seguridad.

Precisamente con el fin de promover el uso de mejores prácticas para garantizar la seguridad en la red el ISMS Forum Spain y Barcelona Digital Centro Tecnológico han impulsado el primer capítulo nacional de la organización internacional Cloud Security Alliance, denominado CSA-ES. Éste es el primer capítulo de la CSA a nivel mundial y tendrá como objetivo principal avanzar en el desarrollo seguro de la tecnología cloud computing en España y constituir un foro de discusión y reunión de los profesionales de seguridad en éste ámbito de trabajo.

Certificación

Eso sí, aunque las empresas sigan invirtiendo en seguridad, aún son pocas las que se certifican en normas de seguridad para la información como es ISO 27001. D’Antonio achaca parte de este aspecto a que “el Gobierno no tiene una política clara para fomentar la certificación. Aunque dentro del plan Avanza se subvenciona a las empresas que se certifiquen en esta normativa, las Administraciones no incluyen en sus pliegos de contratación la exigencia de que las empresas cuenten con la ISO 27001, lo que es un error”.

El rol del director de seguridad

Un aspecto que indica la madurez de una empresa en cuanto a la seguridad de la información es que tenga o no un director de seguridad de la información. Según D’Antonio, quien también es director de seguridad de la información de FCC, “cada vez hay más organizaciones que tienen estos perfiles”. Eso sí, hay que tener claro, según el directivo, que para desempeñar con acierto este papel se requieren más capacidades de gestión que técnicas. “Sobre todo –incide– hay que saber comunicar a los empleados el papel que tiene la seguridad, pues muchas veces se producen las incidencias por errores humanos”.

Helmbrecht, por su parte, asegura que el que una empresa esté más o menos avanzada en seguridad de la información depende de la dependencia que tenga de la información: “Empresas cuyo negocio se basa en la gestión de los datos, como son las del sector financiero, están mucho más concienciadas”.

El director de Enisa es optimista en lo que respecta a la mejora de la seguridad en Europa: “Estamos avanzando en el buen camino como lo muestran las últimas normativas aprobadas al respecto. Por ejemplo, la Directiva 2009/136/EC aprobada el año pasado supuso un paso significativo para proteger la privacidad de los datos en Internet. Lo único que necesitamos ahora para mejorar la seguridad en toda la UE es una mayor coordinación entre los diversos estados miembros”.