Embeber la seguridad en los procesos permite a las empresas ser más dinámicas

El mercado de la seguridad en España se está quedando anquilosado, pero desde la perspectiva del cliente. En la mayoría de las organizaciones, la seguridad permanece estancada en la seguridad tradicional, muy dependiente de antiguas filosofías y normativas, pero no implantadas a través de los procesos. Pero, dentro del entorno restrictivo en los presupuestos tecnológicos, -el año pasado más del cinco por ciento de decrecimiento-, el mercado de la seguridad contradice este panorama negativo. Al contrario, ha crecido aunque no al mismo ritmo; Penteo, por ejemplo, habla de un 2,6 por ciento hasta 2011.
Con este telón de fondo se ha celebrado la Mesa Redonda que Computing ha organizado en colaboración con Symantec, donde se puso de manifiesto la eficiencia de un nuevo modelo de seguridad operacional, la poca relevancia que el CISO español tiene en las tomas de decisiones, la necesidad de dar un enfoque más estratégico a la seguridad, la opción por el modelo de externalización para ahorrar costes, y la escasa concienciación sobre la seguridad que hay en la dirección general de las compañías españolas.
El establecimiento de una estrategia de seguridad centrada en la información, impulsada por políticas y puesta en funcionamiento en toda una infraestructura administrada, es la visión de Symantec para ayudar a sus clientes a ser una empresa de alto rendimiento y más dinámica. De hecho, permite a los departamentos de TI mantenerse actualizados y adelantarse a las amenazas internas y externas, equilibrar mejor las oportunidades y los riesgos, disminuir los costes operativos mientras se mejora la protección, y mejorar y demostrar el cumplimiento.
“Nosotros defendemos un nuevo modelo de seguridad operacional embebida en los procesos desde su diseño. Procesos que van desde que se hace un backup, hasta cómo se guardan, acceden, y almacenan los datos. Y en todos estos procesos tiene que estar embebida la seguridad, es decir, tener implantada una herramienta que no permita pasar al estadio siguiente si no se cumplen determinadas políticas. En Symantec, el paradigma de seguridad que defendemos es que desde la perspectiva del riesgo, -no todas las empresas tienen los mismos riesgos ni afrontan las mismas situaciones- la seguridad esté diseñada por el propio cliente; segundo, que esté impulsada por los procesos, y tercero es que tiene que estar promovida desde dentro, incluso desde la alta dirección y tiene que llegar a todos los empleados. La formación y educación aquí es tremendamente importante”, explicaba Gabriel Martín, director general de Symantec Ibérica.
La misma impresión compartía José María López, director de la Zona Madrid de Penteo, quien añadió que, “casi siempre se piensa que se ha gastado mucho en infraestructuras, seguridad perimetral, y muchas veces, que se ha gastado mal desde la perspectiva de la tecnología. Es muy importante tener la seguridad embebida en el proceso y en el proyecto, y que su gestión dependa del CIO e incluso de más arriba. En cuanto a la situación del mercado, tenemos buenas perspectivas. Entre los proveedores se empieza a ver un cierto alineamiento entre lo que compran las empresas y el peso de los portfolios en las facturaciones; y empieza a haber una cierta conciencia de que con la seguridad hay que hacer algo desde el punto de vista estratégico más que del tecnológico”.
Efectivamente, la experiencia de Fujitsu también va en esa misma línea. Como desvelaba Javier Antón, responsable de Soluciones de Networking y Seguridad de Fujitsu, “es cierto que los clientes iban mucho a medidas de inversiones en firewalls sin tener definido un plan estratégico. Pero, en los últimos años las empresas españolas han empezado a dar más importancia a la seguridad, incluso ya hay organizaciones que tienen la figura del CISO, quien incluso favorece las inversiones de acuerdo a un plan estratégico. También hemos visto que clientes que han hecho inversiones sin tener definido un plan concreto se encuentran con infraestructuras difíciles de manejar, complejas, de varios fabricantes… y ahora se ven en la necesidad de gastar recursos técnicos y humanos en gestionar bien todo eso. Y todo ello puede dar paso a soluciones de seguridad gestionada o externalizada”.
La externalización es una de las opciones que, en épocas de apretarse el cinturón, más se suelen poner encima del tapete. De hecho, según todos los analistas, los servicios de outsourcing son los que presentan los mayores crecimientos. En este sentido, IDC prevé que el mercado de outsourcing de TI alcance en España los 8.500 millones de dólares en 2013, convirtiéndose en el cuarto mercado europeo.
Luis Buezo, director de la Práctica de Seguridad de HP, lo explicaba de la siguiente manera: “a la gran mayoría de los CISO se les está pidiendo eficiencias. Han invertido en tecnología, en procesos, en crecimiento de personal… y ahora se les pide una reducción del presupuesto. Entonces, proyectos como la gestión de identidades sí tienen un ROI rápido y un payback corto, pero hay otros en los que se plantean muchas veces los modelos de externalización”.
Seguridad embebida
Para los proveedores, convencer a una empresa de que acometa la externalización de ciertos procesos de seguridad es todo un reto, a pesar de que “realmente en España hay un porcentaje de empresas con un grado de madurez suficiente para embeber la seguridad en los procesos. Para nosotros, los proveedores, eso supone poder acercarnos a compradores que no son los tradicionales de seguridad, es decir, hay que tocar a más directivos para vender el proyecto y eso es un gran esfuerzo para nosotros. Hay un porcentaje de por encima del 60 por ciento de servicios orientados a body shopping y operaciones diarias, pero sin aportar valor de ROI”, comentaba David Pérez, socio y responsable del área de consultoría de seguridad de Accenture.
No obstante, Gerardo Gómez, director del Grupo de Servicios de Symantec, replicaba, subrayando que existen diferencias entre las grandes empresas, que han pasado de comprar grandes infraestructuras a externalizar y embeber la seguridad en los procesos. “Estamos percibiendo una clara tendencia al outsourcing de aspectos de seguridad. En nuestra opinión en las grandes compañías no hay miedo porque cuando se controla un proceso, se pueden extraer indicadores; además tampoco es necesario sacar la información de las redes de la empresa. En cambio, en las pymes es diferente; sólo el 12 por ciento de las empresas cumple con la LOPD. Como proveedores tenemos que promover un modelo de seguridad embebida en los procesos ya que cada vez se tiende a la seguridad de la información, del dato y no a la seguridad de la infraestructura”, aclara.
Desde Indra, su director de Desarrollo de Negocio de Sistemas de Seguridad, Jesús Romero, también abogaba por hacer una taxonomía y diferenciar la gran organización y sector público de las pymes, donde la madurez y concienciación sobre el mapa de riesgos es distinto. “En las grandes empresas, sí es cierto que en los últimos años se ha producido un salto en el nivel de madurez: en seguridad se ha pasado del equipo de técnicos de sistemas, que era el que compraba la tecnología sin analizar donde pesaba más esa inversión, a una estructura organizativa como oficinas de seguridad y, en casos específicos, SOCs. En cuanto a la seguridad embebida en los procesos, estoy de acuerdo con este modelo. Cuanto más se integre en los procesos, más económico y eficiente será en términos de seguridad. Si en un subsistema de negocio no se ha considerado la seguridad y hay un problema, se llega a él a posteriori por lo que es mucho más complicado solucionarlo, aparte que requiere recursos tecnológicos de terceros y es mucho más caro”.
El outsourcing y la búsqueda de valor
Comentaba Penteo en este apartado, que la seguridad gestionada es una partida minoritaria en las grandes masas de inversión, pero afirmaba que es un tema emergente. José María López declaraba que, “la seguridad gestionada, bajo el modelo de outsourcing, está muy relacionada con los procesos, y ya nadie habla de externalizar en términos de ahorro de costes. Hay muchas empresas grandes que más que miedo a externalizar tienen miedo a no hacerlo”.
Nathalie Dahan, responsable de Soluciones de Seguridad de GMV, opinaba contrariamente que, “en el tema del outsourcing, y en la realidad del día a día, a menudo se contrata esta modalidad, no para buscar valor sino un ahorro de costes. En este sentido, sería deseable cambiar esta tendencia. Lo ideal de la contratación de este modelo es que vaya más allá del ahorro, hacia la búsqueda de valor. El presupuesto es la palanca de esta forma de trabajar pero hay que buscar más allá y llegar al trasfondo”.
Incidía Juan Ramón Fontan, senior manager de Advisory Services de Ernst & Young, que la externalización viene impulsada por el ahorro de costes y en segundo lugar, por la carencia de recursos con expertise. “Es cierto que cada día que pasa, los CISO están más dispuestos a confiar funciones de seguridad a terceros llegando incluso a niveles relevantes. Pero en concepto de aportar valor, en el mundo de la seguridad es complicado dar ese mensaje con la externalización. Además, para la mayoría de las empresas españolas, hablar de seguridad embebida en los procesos es hablar de algo que vendrá en equis años. Estoy de acuerdo en que la seguridad cuanto antes mejor, pero es difícil encontrar una compañía que convierta la seguridad en un proceso como la toma de decisiones. En cuanto al gasto, la inversión de los últimos años se basa en el concepto de utilidad. Y en la coyuntura actual las empresas necesitan cuestiones más prácticas. Los CISO necesitan implantar entonces elementos que demuestren que pueden resolver problemas y hacerlo de forma rápida y económica”.
Evangelizar en el valor de la seguridad tiene sus desafíos. Luis Buezo de HP indicaba que, “en los procesos, la gran ausente es la seguridad, la cual tiene que interactuar con el resto de la organización. Sin embargo, eso se consigue a través de un modelo de servicios, e ir integrando la seguridad en los procesos, desde la fase de diseño, aunque esto exige una transformación de carácter cultural y una inversión para lograr un cambio más proactivo. Las empresas miran ahora de una manera más escrupulosa todos los costes y especialmente el de la seguridad porque no tienen percepción de valor. Lo ven como un gasto y por eso hay que conferirle un carácter mayor. Quizás, mezclar la seguridad operacional con la gestionada sea el gran reto”.
La figura del CISO
Hay una figura clave en todo esto que es el CISO, pero otro de los problemas es que este directivo aún no está muy implantado en las organizaciones españolas, y además no tiene todo el poder que debería. “Todos los participantes de un proceso deben estar gobernados por alguien que esté por encima de ellos y por esto el CISO es tan importante. Muchas veces el departamento de seguridad es uno más y nadie le escucha porque suele tener más poder un director de producción. Aquí es clave entonces pensar en la seguridad como una oportunidad que ahorra mucho dinero porque si te pones en modo parche te cuesta más caro. Si quieres un coche blindado no te vas al más barato, así que si acabas yendo a subastas a la holandesa, los técnicos ya no controlan la inversión, sino el departamento de compras y eso es un riesgo”, ponía de relieve Gabriel Martín desde Symantec.
En este punto la pregunta obligada era: la ubicación del CISO dentro de la organización, ¿depende del área de TI o no? Jesús Romero de Indraaclaraba que, “en Administración Pública, un responsable de TI lleva todos los temas, luego la seguridad sí depende, y esa es la tónica general. Pero, también es cierto que el CISO tiene las de perder contra otro directivo que lleve un ROI detallado ya que el ROSI (el retorno de la inversión en seguridad) es complicado de medir. El CISO debe tener entonces herramientas de medición para hablar en los mismos términos de negocio que su organización y sepa justificar las inversiones”.
Desde Penteo se refuerza la percepción de que realmente cada vez se encuentran más CISO en las organizaciones y que tienen un rango de actuación limitado. “El departamento de sistemas es un depositario en todo lo que tiene que ver con la seguridad pero no es propietario de los activos de información. Hay muchas empresas además que no están por la labor de definir un proceso desde el principio embebiendo la seguridad. Además, el CISO tiene una función muy pobre porque sabe cómo va la seguridad en lo que él ha montado pero por encima de él, lo desconoce. Y estamos viendo que la decisión de invertir en seguridad pocas veces recae en el CISO e incluso en el CIO”, concretaba José María López.
Otro de los inconvenientes que se pusieron encima de la mesa fue la dificultad de tratar la seguridad de la información, del dato, ya que las compañías no tienen definido quién es el dueño de dicho dato, cuánto vale, quién lo maneja… y desde esa perspectiva es complicado dotarle de seguridad. Javier Antón de Fujitsu así lo describía:“de cara a las organizaciones, la seguridad del dato tiene que ver con el peso que tenga el CISO, porque si no se dan los pasos de clasificar, evaluar y catalogar la información es difícil poner medidas y hacer estudios de ROI. Ese es un paso previo muy importante para empezar a construir la seguridad. En el mercado español vemos este movimiento bastante verde y para que evolucione tiene que venir de la dirección general; los altos mandos deben ser quienes den las directrices a los CISO para que tomen medidas”.
Sin embargo, Luis Buezo de HP evidenciaba en este punto de la conversación que, “lo que realmente está ocurriendo es que un CISO, si está dentro del departamento del CIO, generalmente entra en un conflicto radical de intereses. Hace cinco años, la seguridad era una de las mayores prioridades para el CIO, ahora mismo está entre la quinta y décima porque se le exige la reducción drástica de costes de TI mediante la virtualización, consolidación, estandarización…”.
Por otro lado, señalaba Gabriel Martín de Symantec, que no debemos repetir los errores del pasado. Como ejemplo, hace ocho años en el proceso de desarrollo de una aplicación no se incluía la capa de seguridad. “El testing no existía y al final si daba tiempo se probaba. Ahora, a nadie se le ocurre que en la recogida de requisitos de una aplicación no se incluya el testing. Cuando pones en marcha una aplicación y no funciona, po falta de seguridad, hay que comprar herramientas para ver cuál es el problema y eso cuesta un ojo de la cara. En definitiva, de lo que se trata es de hacer entender a los clientes que la venta de seguridad es algo más que tecnología”, incidía.
Aportaba finalmente Nathalie Dahan de GMV que se ve la importancia de la seguridad por dónde está situado el CISO. “Antes no había CISO y ahora te lo encuentras en la parte de tecnología. Sin embargo, es interesante ver que algunas compañías lo han incorporado en el departamento de calidad y esto es muy sintomático porque está muy relacionado con el aspecto normativo. Asocian la seguridad con determinadas normativas que cumplir y al final se considera algo que ayuda a evitar una multa; es un síntoma de que desde arriba la seguridad no se tiene en cuenta porque no hay suficiente concienciación al respecto. Creo que en las escuelas de negocio aparte de contabilidad y estrategia, se debería también hacer hincapié en el aspecto de la seguridad”.