InfoSecMan Blog

Estamos comenzando el año y como siempre, aparecen multitud de noticias sobre las “tendencias” para el nuevo ejercicio. Lo más “popular” del año pasado, el top ten de las vulnerabilidades, de los profesionales, de las empresas, de las facturaciones, etc. Lo cierto es que en algunas ocasiones no podemos evitar sentirnos como Bill Murray en la película “Atrapado en el Tiempo” en la que vivía una y otra vez el mismo día (el día de la marmota).

Más malware, más antivirus, antispam, anti-todo, más phishing, más vulnerabilidades, más parches, más dispositivos, más controles de acceso, más máquina, más velocidad… pero no siempre más innovación, especialmente en el reconocimiento del estado de nuestro mercado de la seguridad se refiere y el ofrecimiento de soluciones y servicios que sean aplicables a la gran mayoría de nuestras empresas (no solo a las más grandes).

Todos pensamos en nuevos estándares, métricas, innovación tecnológica, firma digital, Firewalls, IPS, prevención de fuga de información, etc. Son los temas habituales en congresos y encuentros de nuestra industria. Sin embargo, esto es totalmente necesario, pero no suficiente. Todos estos avances son muy adecuados y necesarios, pero aprovechables en el corto/medio plazo únicamente por una minoría de organizaciones cuyo nivel de madurez en seguridad es elevado, mientras que la gran mayoría de compañías en nuestro país adolece de las medidas más básicas de seguridad y necesitan llegar a esas cotas de forma mucho más comprensiva y paulatina.

No nos engañemos, debemos ser realistas y sobre todo, conscientes. Las necesidades y concienciación en seguridad de la mayoría de las compañías de nuestro país dista mucho de la imagen que muchos de nosotros tenemos en nuestra mente e incluso podríamos asegurar (basándonos en nuestra propia experiencia y muestreo del mercado existente) que de la imagen que en muchos casos vemos reflejada en estudios y encuestas de distintas organizaciones. Y no hablamos únicamente de microempresas o autónomos, estamos hablando de grandes corporaciones de cientos y miles de empleados que carecen de las más mínimas medidas de seguridad, no digamos ya de un gobierno de TI adecuado o de un programa de gestión de la seguridad correspondiente.

La falta de alineación de la industria de la seguridad que en muchos casos existe con la situación real de la gran mayoría de compañías hace que se produzcan paradojas como la que ya hace unos meses quisimos transmitir en el Segundo ENISE en León: que a una multitud hambrienta les estemos ofreciendo en muchos casos hamburguesas de caviar, lo que no sólo no palia su hambre, sino que en muchos casos produce graves indigestiones.

Quizás sea el momento de coger distancia y observar desde una perspectiva realista nuestro tejido empresarial. Quizás así seamos capaces de ofrecer servicios que cubran las necesidades reales de la mayoría de nuestras compañías y, por tanto, elevar el nivel global de madurez de seguridad de nuestras organizaciones. ¿Es mejor tener 50 compañías con un nivel de madurez muy alto y 10.000 muy bajo o 5.000 con un nivel de madurez medio? ¿Qué repercusiones tendría este incremento en el nivel de madurez global en el mercado y resultados de los distintos vectores de ataque existentes hoy en día como el phishing o el malware? Son estas preguntas abiertas que, nos tememos, no tendrán respuesta en el corto o medio plazo.

Desde nuestra más humilde aproximación, hemos pretendido aportar un pequeño grano a la montaña necesaria, planteando una alternativa puente en este sentido entre el incumplimiento total de las compañías con niveles de madurez de seguridad bajos y las implantaciones metodológicas más tradicionales de la gestión de la seguridad mediante estándares como ISO 27001 o COBIT, a través de la metodología IS2ME: Information Security to Medium Enterprise (Seguridad de la Información a la Mediana Empresa).

IS2ME (más información en www.is2me.org) surge pues, como un método de implementación de la seguridad de la información en las medianas empresas y empresas con un nivel de madurez en seguridad medio-bajo que conjuga por una parte, las necesidades de cumplimiento y desarrollo de un sistema de gestión de la seguridad de la información según estándares internacionalmente reconocidos, y por otra, la obtención de resultados a corto plazo que permiten disminuir el riesgo que este tipo de organizaciones están asumiendo, proporcionando a su vez prontos resultados a la alta dirección.

[Artículo publicado en el número 29  de Febrero de 2009 de la Revista Auditoría y Seguridad, puedes descargar el artículo completo en PDF aquí]