La tecnología no es suficiente para garantizar la seguridad de las empresas

as empresas no invierten lo suficiente en la protección de sus datos ni en los servicios de un experto en seguridad, según las conclusiones del informe Economics of Information Security publicado por ESRC.

El informe añade que las empresas tienden a pensar que la seguridad necesaria para el buen funcionamiento de la compañía se adquiere espontáneamente de la sofisticación de sus sistemas y soluciones.

Bruce Hallas, uno de los especialistas y coautor del estudio, explica en un comunicado de ESRC que esta falta de sensibilidad hacia las cuestiones de seguridad es el resultado de la confusión existente entre los dirigentes empresariales respecto a lo que son las tecnologías de la información (IT) y la seguridad de la información (IS).

Esta confusión lleva a los ejecutivos a realizar a realizar grandes inversiones en arquitecturas TI, pensando que de esta forma consiguen automáticamente la seguridad de su información, y a ignorar o descuidar las inversiones en seguridad, lo que afecta negativamente a sus expectativas de crecimiento.

Un pensamiento bastante extendido al respecto es que Internet no es seguro por falta de tecnologías como la criptografía, la autentificación o los cortafuegos, ya que a pesar de su existencia Internet no es un lugar totalmente seguro para muchas operaciones.

No sólo tecnología

Según Hallas, la tecnología más avanzada no resolverá los problemas de seguridad de las empresas si los especialistas encargados de aplicarlas y de proteger las redes no son convocados adecuadamente a prestar su conocimiento a la seguridad de la información de las empresas. La clave está en saber gestionar la comunicación de las informaciones de una empresa respecto a los consumidores y clientes, así como en saber resolver incidentes como el ataque de un virus o detectar con antelación una posible fuga de información.

Sin embargo, no todo es cuestión de tecnología, advierte el estudio. En Gran Bretaña existen un total de 4,5 millones de empresas, de las cuales el 99% (un porcentaje parecido al de España) son pequeñas y medianas, es decir, que tienen menos de cincuenta empleados. Es precisamente en las PYMES donde se observan los mayores riesgos a la seguridad de las empresas debido no a la inversión en tecnologías, sino a otro fenómeno no menos importante: el trasiego de personal, que cambia frecuentemente de empleo.

Esta movilidad de la fuerza de trabajo es una de las causas principales de la inseguridad de las empresas pequeñas y medianas, lo que significa que el mayor riesgo para ellas lo aportan las personas y no los sistemas. Esta constatación lleva a los autores del informe a concluir que la seguridad de la información de las empresas, especialmente de las PYMES, es más una cuestión de gestión que de tecnología.

Hay otro factor humano que incide en la seguridad, que es el aumento del nomadismo en la población laboral, que permite a muchos trabajar fuera de la oficina y difundir información confidencial impunemente a través del correo electrónico, tal como advirtió en su día otro estudio realizado por Trend Micro. Aunque el estudio de ESRC no se refiere a este riesgo, constituye un elemento más de la importancia del factor humano en la seguridad de las empresas.

De esta forma, la seguridad deja de ser un problema únicamente de los informáticos y técnicos de sistemas, para convertirse también en una cuestión directamente relacionada con la responsabilidad de los ejecutivos y con la buena marcha de la empresa.

Dos componentes

El problema de la seguridad de la información en las empresas tiene por lo tanto dos componentes principales: la confusión respecto a lo que son tecnologías de la información y los sistemas de protección de la información, así como la movilidad de la fuerza de trabajo, tanto por el frecuente cambio de empleo como por la posibilidad del teletrabajo.

La conclusión es que no sólo hay que invertir en IS con la misma intensidad que se hace en IT, sino que hay que incorporar a la gestión la habilidad de asegurar la información crítica de la empresa a pesar del trasiego de personal.

El informe no es totalmente negativo en sus conclusiones, ya que reconoce que cada vez existe una mayor conciencia en el tejido empresarial respecto a la necesidad de asegurar los datos de las empresas y anticipa que se están gestando estrategias al respecto.

El informe se refiere exclusivamente a la situación de las empresas del Reino Unido, por lo que los datos y conclusiones no pueden extrapolarse a otros países, pero es evidente que la problemática que plantea es similar en los países de nuestro entorno.