¿No se invierte correctamente en seguridad?

Encuentro una noticia titulada: No se invierte correctamente en seguridad. Se expone que las empresas requieren anticiparse a los problemas de inseguridad y que se debe de innovar en el área de seguridad para convencer y lograr así el ansiado nivel satisfactorio de seguridad. También se expone que se requiere mejorar "ecuaciones riesgo-recompensa" entre otras cuestiones.

La idea expuesta  es francamente buena, pero desde mi punto de vista no se apega a la realidad. Vienen tiempos difíciles para las organizaciones en cuestiones económicas, cuyos impactos veremos en los próximos meses. La seguridad de la información se ve desgraciadamente como un gasto (como se ha visto históricamente). Demostrar las ventajas de mantener los datos protegidos es una tarea compleja, sobre todo si deseamos usar cifras duras ya que las méticas de seguridad de la información no son un área madura todavía (como las cifras que arroja el mundo financiero, por ejemplo).

En el mundo ideal, las organizaciones deberían de invertir en seguridad por convencimiento/entendimiento y la verdad muchas veces lo hacen (si es que lo hacen) por tres razones:

1.- Miedo. No es convencimiento, es miedo. Miedo a que algo suceda, a que haya señalamientos de responsabilidad de "debiste de hacerlo". Miedo a las consecuencias de no invertir en seguridad.

2.- Regulación. La ley obliga, no hay de otra.

3.- Incidente. Ya pasó un hackeo, una intrusión o pérdida de información. Después de niño ahogado tapan el pozo. Se aprende la lección de invertir en seguridad a la mala. Si no veo que la seguridad es necesaria, no gasto en su protección; no valoro la información. Hasta no ver, no creer. Hasta no ver una afectación, sigo viendo a la seguridad como un gasto, no como inversión.

Con los tiempos económicos difíciles que se avecinan sobre todo para las empresas, van a dar dinero a la seguridad? No. Si no lo hicieron antes, menos lo harán ahora a menos que sea por lo que ya dije referente al miedo, a la regulación o derivado de incidentes; en algunos casos tal vez se mantenga la cantidad de dinero que se otorga al área de seguridad. La información es un bien, es un activo que necesita protección. Mientras no tratemos a la información como un bien, no "soltaremos" dinero alguno. Y si lo hacemos, será por convencimiento o por las razones ya expuestas?