"El presupuesto y la gestión de la seguridad de la información"
En distintas épocas del año es común encontrar notas en muchos medios de comunicación acerca de cuál es el porcentaje del presupuesto de IT que se destina a la seguridad.
Según distintas organizaciones como Forrester Research y CompTIA, el gasto en seguridad de la información se estará ubicando entre el 10 y el 20 % del total del presupuesto de IT de las empresas durante este año.
Cuando comenzamos a analizar lo que necesitamos para mejorar la seguridad de nuestra empresa, el presupuesto actual que dedicamos es un buen punto de inicio, pero no para confirmar si estamos o no con el resto de la industria, si estamos gastando más o menos que los porcentajes antes mencionados, sino qué tan bien lo estamos haciendo.
Hablar de porcentajes del gasto total sin analizar en qué exactamente se lo está haciendo, es altamente irrelevante, dado que el valor de la inversión en seguridad no es directamente equivalente al nivel de protección de la infraestructura de TI y la información de la empresa.
La gestión de la seguridad de la información va más allá de cuánto se gasta en software y hardware sino que también debe tener en cuenta la inversión en educación interna, capital humano, campañas de awareness, gestión de riesgos, políticas internas, planes de contingencia y de continuidad del negocio, así como la auditoría de los sistemas.
Si alguna de todas estas cosas no está siendo contemplada en el presupuesto dedicado a la seguridad informática de nuestra empresa, estamos invirtiendo mal por más alto que sea el porcentaje del gasto total de TI que esté dedicado a este área.
Para comenzar a llevar adelante un buena gestión de la seguridad de la información que proteja la infraestructura y activos de la empresa es importante comenzar por definir dónde y no cuánto invertiremos, lo cual requiere de un relevamiento previo de nuestra situación actual, como compañía, para conocer nuestros puntos débiles e incrementar su fortaleza.
Es allí donde el presupuesto destinado al área se hace importante y no en su volumen. En subsiguientes posts, iremos analizando cada uno de estos puntos en mayor detalle, pero por ahora, los dejo con el ejercicio de relevar dónde están invirtiendo y dónde no.
Autor:
Este es el lema de la nueva campaña en la que el gigante informático Google se ha embarcado para celebrar de una forma un poco “diferente” su décimo aniversario.
La celebración se basa en una convocatoria para el concurso de ideas llamado Proyecto 10100 y cuya finalidad es ayudar al planeta.
“El proyecto 10100 es una convocatoria de ideas para cambiar el mundo y ayudar a la mayor cantidad de personas posible… Si tienes una idea que crees que puede ayudar a alguien, queremos escucharla. Buscamos ideas que ayuden a la mayor cantidad de gente posible, sea cómo sea, y nosotros nos encargaremos de financiarlas para llevarlas a la práctica”, cita la página del proyecto.
De acuerdo con las bases del concurso, la fecha límite para las entregas es el 20 de octubre de 2008 y las categorías son las siguientes:
Comunidad: ¿Qué podemos hacer para que las personas se comuniquen, creen comunidades y protejan culturas únicas?
Oportunidad: ¿Qué podemos hacer para que las personas y sus familias opten a mejores oportunidades?
Energía: ¿Qué podemos hacer para adoptar energías más económicas, ecológicas y seguras?
Medio ambiente: ¿Qué podemos hacer para fomentar un ecosistema mundial más ecológico y sostenible?
Salud: ¿Qué podemos hacer para que las personas puedan vivir más tiempo y con más calidad de vida?
Educación: ¿Qué podemos hacer para que más personas tengan un mayor acceso a una educación mejor?
Hogar: ¿Qué podemos hacer para que todas las personas tengan un lugar seguro para vivir?
Miscelánea: Algunas veces las mejores ideas no responden a ninguna categoría.
Más allá de que sea Google quien está detrás de esta iniciativa, creo que son este tipo de estrategias las que potencialmente pueden marcar una diferencia y definitivamente uno de los caminos a seguir es la responsabilidad social de las empresas.
De la página del concurso se desprende: “nunca antes tanta gente tuvo la información, las herramientas ni la manera de llevar a la práctica ideas buenas como ahora. Ni tanta gente, de distintas escalas sociales y laborales, se benefició de tanta ayuda, ya sea en pequeña o en gran medida”.
No soy amigo de las largas presentaciones ni de los pergaminos, aunque merecidos, que se recolectan y ganan a lo largo del camino, por lo que solo diré de mi que allá por fines de la década del 90 inicié uno de los primeros sitios de Internet que trataron el tema del malware (códigos maliciosos) en nuestro idioma (Virus Attack!) y que ello me llevó a poder estar hoy a cargo de todas las operaciones de la empresa ESET en América Latina.
A lo largo de los distintos posts de este blog espero poder lograr que vayamos conociendo y aprendiendo más sobre seguridad informática, juntos, a la vez que aprendamos de nosotros mismos. Si el espacio me lo permite, también intentaré explayarme sobre algunos otros temas dentro de la gestión de TI de una empresa de esta década y de la que viene.
La seguridad informática y la gestión de una empresa se han ido ligando cada vez más a lo largo de estos últimos tiempos, y en muchos casos, hoy ya no podemos hablar de un tema sin al menos rozar el otro, siendo el humano uno de los aspectos donde estos dos tópicos se encuentran más a menudo.
Cuando hablamos de seguridad informática - o seguridad de la información - muchas veces olvidamos que quienes están detrás, delante o en medio de la misma no son otra cosa que personas como nosotros, pero que interactúan con los sistemas de la empresa y los de su hogar de forma similar, aunque no siempre con las mismas herramientas, habilidades, responsabilidades y conocimientos.
En una compañía, que quiera llevar adelante una gestión sana de su tecnología informática, es importante que uno de los primeros temas que se consideren sea el capital humano con el que cuenta la empresa y la forma de que éste conozca los alcances de sus acciones al utilizar los sistemas de la organización.
Iniciar el análisis de la gestión de TI, y con ella, de la seguridad informática de la empresa, sin tener en cuenta el factor humano es como comenzar a construir un edificio desde la azotea.
A lo largo de los siguientes posts, iré explayándome en aquello que, desde mi punto de vista particular, entiendo es imprescindible para edificar los cimientos de una empresa correctamente gestionada y fuertemente asegurada en materia de TI.
Día a día diferentes empresas de todo el mundo van asimilando la importancia que tienen los blogs y sus escritores como formadores de opinión. Sobre este aspecto, se están dando los primeros pasos de importantes experimentos publicitarios donde el objetivo de las compañías es poder “encontrar” el camino para poder formar parte de lo que ocurre y poder de alguna manera influir en los blogs y bloggers.
Riot es una agencia de publicidad de Brasil que está trabajando en esta complicada y difícil área. Aprendiendo sobre la influencia y el poder de comunicación de las redes sociales y los blogs. Riot desde Brasil (Sao Paulo) está haciendo una campaña en Internet con algunos de los principales bloggers de Venezuela. Dicha campaña recibe el nombre de Fusionistas.
Esta agencia, junto con Nokia, están buscando formas para entender el fenómeno Blog, y como parte de esta iniciativa ya en una oportunidad patrocinaron uno de los eventos del mundo Blog más importantes de Venezuela: el Blogstock. Ahora Nokia lanza un proyecto novedoso para Latinoamérica, El Fusionistas Blog. Un espacio dónde están reunidos cinco reconocidos bloggers venezolanos que aportan temas como moda, gastronomía, música, tecnología y deportes a partir de pruebas que hacen de los teléfonos de la línea NSeries.
Los referidos móviles son testeados por los fusionistas Hugo Londoño, Greta Álvarez , el famoso Gianko, Antonio Azpiroz y María Luisa que incorporan a sus rutinas diarias las aplicaciones de los teléfonos de Nokia.
“El formato innovador de la campaña valoriza la potencialidad de los blogs como canales de comunicación y reúne personas de distintas áreas para probar los teléfonos de una forma dinámica en que todo se une bajo el concepto de fusión”, dice el comunicado oficial del lanzamiento.
Este proceso tiene muchas complejidades, por un lado, no hay un set de reglas escritas en lo que se refiere a blogs, los comentarios de los lectores y la “ética periodística” que pueda tener el Blogger. Así mismo, el resultado que pueda llegar a tener un cierto producto dentro de una comunidad abierta como un blog puede generar una ola de aceptación o rechazo masivo por parte de un enorme número de usuarios.
La Web 2.0, redes sociales, foros y blogs, son herramientas que de una u otra forma contribuyen a la propagación de la información en la Web. Ejemplos en temas de tecnología son Gizmodo, Lifehacker e inclusive Wired, algunos de ellos reportando cientos de miles de visitas diarias. A su vez estas comunidades virtuales estan definiendo tendencias tecnológicas y crean espacios de discusión donde los mismos usuarios, a través de los comentarios públicos, evalúan, opinan e inclusive votan por una tecnología en particular.
El que empresas de escala mundial como Nokia, estén buscando irse más alla de sus propios blogs corporativos, que ya casi todas las empresas tienen, si no de interactuar con los bloggers en su propio terreno, demuestra que los medios convencionales y los canales regulares de comunicación y difusión no están funcionando.
Hace un año y medio, durante el IP Today El Salvador, Juan Rosabal, gerente general de Grupo Roel, me invitaba a organizar un evento similar en Honduras. Desde el lanzamiento de IT NOW en 2005, organizamos eventos como el IP Today y el Security Day en Panamá, Costa Rica, El Salvador y Guatemala. Teníamos una deuda pendiente con Honduras y Nicaragua que empezamos a saldar este miércoles 3 de septiembre con el Technology Day en Tegucigalpa.
El evento superó las expectativas, con más de 400 responsables de sistemas. Logramos reunir una buena parte de la comunidad local y un gran número que llegó de San Pedro Sula e incluso Choluteca. Los comentarios fueron muy positivos y ya estamos pensando en el regreso.
Nos encontramos con buenos amigos de IT NOW como Mario Ramírez, de Banco de Occidente, Alfonso Alfonso, del Banco de los Trabajadores, entre tantos otros, que siempre colaboran cuando los molestamos con una entrevista. También pudimos conversar con una muy amable, Marina Castellanos, directora de Ingeniería en Computación de la UTH.
¡Hay mucha gente por agradecer y no quiero olvidarme de nadie! La industria respondió masivamente y nos acompañaron GBM, CCS Intelisys, Grupo CESA, HP, Panasonic, Symantec, 3Com, Avaya, ESET, Sodisa, APC, BT Global Services (ex GBnet), Tripp Lite, McAfee, Websense, Navega, Adobe, Multidata, Sefisa (partner de CheckPoint, entre otros), Grupo Popa, Accelera (junto a Fortinet), Sumitec (partner de Ricoh), Reytel, D-Link, CDC (partner de Xerox), Offitec y Soluciones Globales, entre otras.
Esta semana estarán todas las presentaciones on line para que puedan descargarlas y ya estamos alistando las maletas para República Dominicana, ya que el 17 de septiembre organizamos el Technology Day en la capital, Santo Domingo, si los huracanes y el tiempo no opinan lo contrario.
A todos los que nos acompañaron les cuento que ya estamos trabajando en el programa del evento para el 2009, así que todas las ideas y comentarios, son más que bienvenidos. Pueden escribirme a mi e-mail: damian@grupocerca.com. El Technology Day sigue el 3 de septiembre en Tegucigalpa, el 17 del mismo mes en República Dominicana y el 2 de octubre en Nicaragua. ¡Los esperamos!
Hablando de Nicaragua, esta semana estoy en Managua. Un mercado en el que hay mucho por hacer en materia de IT, pero en el que el factor precio es mucho más determinante, que en otros países del área. Cada vez son más las empresas de tecnología de Panamá, Costa Rica y Honduras que ven oportunidades en Nicaragua, y las mismas empresas locales están ampliando su oferta de productos. Tal es el caso de Alfanumeric, que recientemente sumó la división de aplicaciones comerciales (en este caso con los productos de Microsoft Dynamics) a sus tradicionales servicios de datos e Internet. En el próximo post habrá más impresiones de esta visita a Nicaragua.
Para presentarme no diré demasiado ya que, como descubrirán con el pasar de los post, no soy amigo de brindar información innecesaria en Internet y creo fervientemente en la frase "lo que ingresa a Internet, jamás sale".
Soy Licenciado en Sistemas, me dedico a ello desde que tengo memoria y he visto crecer la tecnología y los medios de comunicación como Internet desde su nacimiento. Considero que Internet es uno de los "descubrimientos" más fantástico de la humanidad pero también tengo los pies en la tierra y soy consciente que todo lo que puede ser utilizado para provecho también puede ser empleado para destruir, hacer daño y ser aprovechado por unos pocos.
Pensando en eso, hace unos años cree un sitio web sobre seguridad de la información llamado Segu-Info del cual soy Director y que actualmente reúne a la comunidad más grande de seguridad informática de habla hispana en donde el objetivo es compartir el conocimiento en este área.
Tengo una certificación internacional en seguridad y soy Director de Educación de la empresa ESET Latinomérica, dictando seminarios, congresos y charlas en distintas Universidad del continente y estando a cargo de un laboratorio de investigación sobre malware del cual se pueden ver las investigaciones realizadas en el blog del mismo.
Resumiendo, en este blog intentaré desarrollar temas de seguridad informática sobre las distintas problemáticas con las que podemos encontrarnos en cualquier momento en el mundo virtual en el que nos encontramos insertos.
Por ahora, punto y a parte con mi presentación y nos vemos pronto con el primer tema...
Cristian
Confieso que esta es mi primera experiencia como Blogger. Paso tantas horas por día frente a la computadora, que no encontraba el momento para compartir las impresiones de la industria en la región. Sin dudas, esta era una asignatura pendiente.
Afortunadamente, encontré la fórmula para administrar el cada vez más escaso y preciado tiempo libre, sin sacrificar más horas de sueño. Así que, a partir de ahora, nos encontraremos con una mayor frecuencia en este Blog.
Como breve introducción quiero comentar que IT NOW comenzó a circular en 2005 con su edición impresa en toda América Central. Este año entramos en República Dominicana y ahora también en Puerto Rico. Además, de la revista también organizamos nuestros eventos para la comunidad IT local, como lo fueron el IP Today, el Security Day y ahora el Technology Day.
Todo este crecimiento nos llevó a implementar un cambio en nuestra página Web, para hacerla más interactiva e interesante para los lectores.
Estamos lanzando nuestro newsletter semanal, abriendo estos nuevos canales de comunicación como el Blog y los foros, que van a ir creciendo en las próximas semanas.
Ahora, la pregunta del millón: ¿para qué abrir este Blog y qué vamos a encontrar en el? Como no podía ser de otra manera, no lo sé del todo aún. En realidad tengo más preguntas que respuestas. Tal vez, la idea de este espacio sea esa. La de plantear dudas, generar debates, confrontar ideas. También la de compartir las experiencias de las distintas comunidades IT de América Central y el Caribe. Aprovechar que casi todas las semanas me toca estar en un país distinto de la región y compartir las novedades que uno puede encontrar.
Saludos,
Damián Szafirsztein
Director Revista IT NOW
Autores Blog
BIENVENIDOS IT NOW abre este espacio para que la comunidad de IT de América Central y el Caribe tenga un nuevo punto de encuentro. Pronto tendremos más Bloggers compartiendo sus impresiones de la industria, con las últimas tendencias y novedades.
| |
 | Damián Szafirsztein Director IT NOW Ver Blog » |
 | Cristian Borghello Director Segu-Info Ver Blog » |
 | Ignacio Sbampato Director ESET Ver Blog » |
