¿Qué hace el área de Seguridad Informática/Información? ¿Cuál es el nivel de protección? ¿Vamos mejor o peor? En cada empresa el área de seguridad de la información tiene el reto de justificar su existencia y mostrar valor al negocio. Es difícil (de)mostrar el nivel de seguridad actual corporativo (malo-regular-bueno) ya que muchas veces el dinero destinado para la seguridad se ve como un gasto, y es hasta que sucede un incidente mayor que la seguridad pasa a verse como una inversión porque su valor se puede “ver” y/o percibir.
¿Por qué la seguridad se percibe como un gasto? ¿Por qué en varios casos la alta dirección no ve “inmediatamente” el valor de los recursos humanos y materiales destinados a mantener e incrementar el nivel de seguridad hacia el activo de la información? Una de las principales causas que yo identifico es porque muchos de los que estamos metidos en esto de la seguridad de la información somos incapaces de demostrar el valor que aporta nuestra área.
La seguridad de la información tiene una extraña propiedad que es: cuando es efectiva, muchos no le ven su utilidad y no ven cómo es que les está ayudando (y no es su culpa). Por ejemplo, tenemos un antivirus actualizado que nos cuesta ($) mantener. ¿Y luego qué? ¿Qué pasaría si me infecto de un virus poco/mucho peligroso? ¿De qué me salvó? ¿Qué me pudo haber pasado? ¿Cuántos códigos maliciosos detuvo? ¿Eran peligrosos? ¿Qué significa “peligroso” y cuáles son las consecuencias? ¿Puedo comprar un producto más barato y suficientemente eficiente?
Retomando el punto inicial: ¿Cómo (de)mostrar el valor que aporta la seguridad de la información? Leyendo un artículo de la revista de la BBC me topé con el tema de “Visualización de la Información”, y me pregunté si estos conceptos no se podrían aplicar al área de seguridad informática/información.
En el artículo mencionado, David McCandless (http://twitter.com/mccandelish/) propone convertir y transformar datos en imágenes fácilmente comprensibles. Esto sería una excelente manera de que la alta dirección pudiera por ejemplo revisar y analizar los indicadores de seguridad informática o las métricas de seguridad arrojadas por diversas herramientas/procedimientos.
Por ejemplo, el estándar 27001 en su cláusula 4.2.2 inciso d) nos pide definir cómo se medirá la efectividad de los controles seleccionados para proteger los activos dentro del alcance establecido y especificar cómo es que estas medicines serán usadas para evaluar la efectividad de los controles y producir resultados comparables y reproducibles. La visualización de la información sería una gran ayuda para representar toda o parte de estas métricas.
La visualización de la información retoma especial importancia en estos tiempos cargados de datos y me atrevo a decir que la visualización de la información aplicada a la seguridad de la información es un campo casi inexplorado. Existen un par de libros como por ejemplo “Applied Security Visualization” o “Security Metrics” que me agradaría mucho leer y que de hecho lo pienso hacer en el primer Q del siguiente año; también está el sitio de interés: manyeyes.alphaworks.ibm.com. Porque a pesar de que hagas bien tu chamba de seguridad, si no puedes demostrarle al resto tu esfuerzo y el valor otorgado, se preguntarán para qué estás ahí. Percepción es realidad.
1 comentario:
Me parece que con el avance de la informática se están mandando muchos datos y cosas importantes por internet, por eso es importante el tema de la seguridad en este entorno. Creo que el papel de los antivirus es algo fundamental para combatir a los distintos programas dañinos
Publicar un comentario