Según un estudio de Forrester, publicado en el tercer trimestre de 2008, la previsión de gasto en seguridad para 2009 mostraba una tendencia claramente ascendente, aunque a raíz de la crisis económica mundial es posible que dicha previsión se aleje de la realidad más de lo esperado. A continuación les resumo brevemente las principales conclusiones del estudio, que pueden obtener, previo pago, en este enlace de Forrester.
De manera general, tal y como puede verse en la gráfica de la izquierda, entre 2007 y 2008 (sobre un muestreo de corte radicalmente diferente), la parte del presupuesto informático ligado a los gastos en seguridad progresó de una manera importante, pasando de 7,2% al 11,7%. Este aumento que puede interpretarse como la toma de conciencia por parte de las empresas de la necesidad de inversión en seguridad.
Según el informe, este crecimiento del gasto continuará durante 2009, un dato que probablemente puede sorprender, ya que tradicionalmente los presupuestos ligados a las inversiones en Tecnología de la Información son revisados a la baja en tiempos de crisis. Una de las posibles explicaciones para dicha previsión podría ser el hecho de que el estudio de Forrester fuese realizado en el transcurso del tercer trimestre del 2008, cuando se desconocía parcialmente la magnitud de la crisis económica (como evidencia de este hecho, en septiembre de 2008 la Fed tenía los tipos de interés oficiales en el 2%, y el BCE los mantenía en el 4,75%, cuando los valores actuales son del 0%-0.25% y 1% respectivamente).
Entre 2008 y 2009, la estimación es que la asignación de medios otorgada a la seguridad debería permanecer estable. Sin embargo, hay dos ramas de IT que se benefician de una ligera alza: Se trata de la Innovación (I+D+i) y los servicios externos, entendidos éstos como servicios gestionados, consultoría y outsourcing.
En cualquier caso, la crisis debería traducirse en una consolidación y afianzamiento de las infraestructuras existentes, más que en el inicio de nuevos proyectos; nuestra experiencia nos está demostrando que las iniciativas relacionadas con IT, y particularmente con seguridad, son abordadas de una manera más conservadora. En cuanto a los gastos a favor de la externalización de servicios, y al contrario que en el caso anterior, este tipo de iniciativas podrían ser favorecidas por la crisis, al ser consideradas como políticas de reducción de costes de los Departamentos de Sistemas de Información. No obstante, teniendo en cuenta que la seguridad es percibida cómo un aspecto clave en la mayor parte de las organizaciones, es razonable asumir que la externalización permanecerá moderada.
En relación con las responsabilidades de los departamentos de seguridad, éstas son muy diversas de una empresa a otra, a pesar de existir puntos comunes entre unas y otras. Por lo general, la seguridad se presenta como un “meta-ámbito” presente en primera línea en materia de tecnología, debido a los numerosos aspectos que involucra, de manera directa o tangencial: administración de las infraestructuras de comunicaciones relacionadas con seguridad (cortafuegos, pasarelas, accesos remotos vía VPN, etc.), gestión de los accesos, gestión de las vulnerabilidades, o la seguridad de los datos y las aplicaciones, entre otros.
De hecho, entre las 942 empresas americanas y europeas encuestadas para el informe de Forrester, las funciones del departamento de seguridad se extienden desde la protección física hasta el desarrollo y gestión del plan de continuidad del negocio, pasando por la gestión de la conformidad (compliance), lo que implica una gran variedad de competencias (internas y/o externas) asociadas al área de seguridad. No obstante, hay que indicar que esta tendencia no ha alcanzado todavía a la empresa española, donde el departamento de seguridad, cuando existe, está a menudo limitado a aspectos relativos a cumplimiento de la LOPD y muchas veces supeditado a las necesidades y exigencias del área TIC.
No obstante, un aspecto que sí es común es el hecho de que entre las prioridades de los responsables de Sistemas de Información, dentro de los próximos 12 meses, figura en cabeza la seguridad de los datos, una problemática sobre la que dirección está cada vez más sensibilizada; para el 90% de las empresas encuestadas, este apartado está clasificado cómo importante o muy importante para el año 2009.
Pasando al otro punto que parece no sufrir una merma en su presupuesto para 2009, aunque la externalización de servicios queda algo alejada de la seguridad, según el informe las empresas no renuncian de esa alternativa. En este caso, la protección del correo es a menudo la actividad más proclive a ser prestada por terceros, generalmente aspecto ligado a la gestión del propio correo electrónico y por tanto a contratos de explotación. Para las empresas, las principales razones indicadas para optar por el ousourcing son principalmente la oportunidad de aumentar las competencias (29%) sobre todo en aspectos muy especializados como los tests de intrusión, y la reducción de costes (28%).
En tercer lugar, para el 20% de las empresas incluidas en el estudio, asegurar una alta disponibilidad es otra de las razones para la externalización de servicios. Por último, y tal y como se muestra en la gráfica, es la complejidad de las infraestructuras la que empuja a algunas empresas a optar por el outsourcing.
El estudio Forrester hace también hincapié en las tecnologías de seguridad orientadas al puesto de trabajo del usuario, que bien ya se encuentran desplegadas o que lo serán durante los próximos 12 meses. El cortafuegos personal comienza a ser una herramienta cada vez más común, y de hecho se encuentra instalado en el 53% de las empresas encuestadas, a pesar de que el 39% no lo tienen planificado o lo ignoran por el momento. Entre las aplicaciones de seguridad más desplegadas en los puestos de trabajo figuran, por nivel de importancia, los programas de cifrado a nivel de fichero, los antivirus, la prevención de intrusión de tipo HIPS, y el cifrado del disco duro; los próximos proyectos deberían favorecer la inversión en éste último apartado, poco habitual pero a la vista de las pérdidas de portátiles y dispositivos móviles en empresas y organismos públicos, cada vez más necesario.
Para finalizar con este breve análisis, y desde la perspectiva que me proporciona trabajar en servicios de outsourcing, considero la seguridad cómo un aspecto extremadamente delicado. Téngase en cuenta que el manejo de la información diaria debe realizarse de manera muy meticulosa, porque se tiene acceso a los datos más sensibles de la organización que nos encomienda los procesos de los mismos. Cualquier error en un servicio de seguridad externalizado genera una grave pérdida de confianza y en consecuencia una merma de la relación cliente/proveedor.
En definitiva, el estudio Forrester concreta muy bien las necesidades de las entidades o empresas en lo relativo a la inversión en seguridad. Otra cosa es que en España se siga esta línea de concienciación en la gerencia, e incluso en la dirección de las TI; ya saben aquello de Spain is different, por suerte o por desgracia. Afortunadamente, se va apreciando paulatinamente una mejora en estos aspectos, aunque en estos momentos la situación financiera no sea el mejor catalizador para la aplicación de tales medidas.