La responsabilidad TI es responsabilidad social
Pasemos por alto el que las políticas de seguridad corporativas, en caso de existir, no se cumplan y se revisen periódicamente. Fuera de sectores como la banca y los seguros, es difícil encontrar políticas de seguridad y mucho menos escritas. Cada empresa conoce su negocio y sus riesgos y por ello no ve necesario seguir los manuales de buenas prácticas (ISO, UNE, etc.) si no se van a certificar.
Pasemos también por alto el hecho de que los productos, sean del tipo que sean, pierden su efectividad al quedarse obsoletos. En cualquier activo informático, después de diez años de uso, es imposible asegurar la más mínima confidencialidad, integridad o disponibilidad de los datos que alberga.
De esta manera, las amenazas crecen exponencialmente y sus vulnerabilidades son explotadas por cientos de novatos que acaban pagando la irresponsabilidad de sus empresas. En este sentido, es importante ser solidarios con las nuevas generaciones y que las plataformas TIC se utilicen para formar buenos profesionales en la Red.
Pasemos por alto que la gerencia de las empresas a menudo cree que los ordenadores, los sistemas operativos, las aplicaciones y por supuesto la seguridad de las tecnologías de la información, es algo que se compra y se instala y ya está. De esta manera, los gastos son únicos y para siempre. Si los ordenadores funcionan, ¿para qué se van a cambiar?
Pasemos además el hecho de que las leyes, los reglamentos y las normativas se cumplen, tan sólo, cuando viene el lobo (BSA, AGPD, capital riesgo...) aunque frente a la ley, y cada vez más fuera de ella, la responsabilidad del tratamiento de los datos depende directamente de la gerencia del negocio. Eso sí, ésta siempre podrá alegar un error del departamento de informática con aquello de “el responsable es él, yo no lo sabía”.
Analice los riesgos de su corporación. La inversión en activos informáticos no es como la compra de un objeto de arte, sino que tiene una métrica para la obsolescencia. Es importante asumir que la evolución de las tecnologías en el tiempo obliga a una reposición de activos. Y si no, responda a las siguientes preguntas: ¿Qué pasaría si una amenaza destrozara sus obsoletos sistemas informáticos? ¿Cuánto disminuiría su producción? ¿Y si algún intruso accediera a sus datos? ¿Qué ocurriría si sus sistemas informáticos fueran utilizados para extorsionar, timar o hacer perder el tiempo a sus empleados o a los de otras empresas? ¿Qué coste tendría?
Pues bien, escuche a su profesional de informática y valore sus activos informáticos como lo que son: sistemas cuya eficacia depende de su actualización, imprescindible para salvaguardar la privacidad y aumentar la productividad y no olvide que el plazo de amortización de un equipo informático, es de cuatro años. CUATRO.
J.M. Crespo es consultor de seguridad de Grupo Ibermática.