Gartner: En seguridad, gastar menos pero gastar bien

24 Jun 2010 en Seguridad

Con presupuestos siempre limitados, la seguridad sigue siendo un tema central. El VP de Gartner, Vic Wheatman, recomienda a los gerentes de IT una postura aguda frente al tema. Sugiere apelar a soluciones gratuitas o de bajo costo para defender sistemas sin romper la alcancía.
“En seguridad la meta es hacer más con menos,” dijo el analista en el marco del evento Security and Risk Management Summit. “Casi no existe correlación entre lo que una organización gasta y la seguridad que alcanza.”
Un estudio de Gartner muestra que las empresas gastarán un 5% de su presupuesto de IT en seguridad durante 2010. Esto es un 1% menos que el año pasado. Si bien se espera una recuperación, la seguridad recibirá menos plata que en 2008, por ejemplo.
Para obtener presupuesto, la seguridad carece de los argumentos que tienen otras áreas de negocio. Los financieros se resisten a autorizar gastos o inversión que no se justifique en los términos tradicionales de retorno.
“Salvo excepciones, la seguridad no tiene retorno de inversión. Salvo esas excepciones, se puede decir que es parte del costo de operar el negocio,” agrega Wheatman, quien luego sugiere algunas formas de “estirar” el presupuesto.
“Aprovechen la tecnología sin costo,” dice refiriéndose a los dispositivos que vienen preinstalados en sistemas operativos y hardwares, en especial en los de networking como routers. Aunque esos recursos no cubran las mejores expectativas, pueden brindar una seguridad básica a partir de la cual IT puede construir niveles adicionales de defensa.
“Activen esos dispositivos y verifiquen su eficacia,” sugiere.
En Gartner, predican la instalación de la seguridad como parte de la cultura del IT empresarial. Las defensas deben ser parte integral de toda nueva implantación de tecnología. La firma estima que las empresas obtienen un 30% de ahorros cuando se implantan sistemas que llevan a la seguridad como parte de su diseño. Esto se contrapone con la estrategia de ir emparchando brechas a medida que aparecen.
Wheatman también recomienda el outsourcing para algunas operaciones. Las empresas de outsourcing que se especializan en determinadas disciplinas de seguridad suelen tener una visión más clara en su campo y pueden anticiparse a las amenazas que surgen. Eso es gracias a la experiencia que obtienen en otras empresas clientes.
Seguridad compite por presupuesto con otros componentes del IT. “En los últimos tres o cuatro años, la importancia que se le da a la seguridad se ha relacionado a otros campos como virtualización, cloud, Web 2.0, etc. De hecho, ha caído en la lista de prioridades,” agrega Wheatman.
La forma en que las empresas contabilizan el gasto tiene algo que ver. El gasto en anti-malware, por ejemplo, suele clasificarse como de “operaciones y mantenimiento,” de modo que el presupuesto en seguridad de la información puede no reflejar el verdadero costo de la seguridad que está involucrado en proyectos como puede ser, por ejemplo, un cambio de arquitectura en un upgrade de mainframe.
La lista de prioridades encuestada por Gartner, muestra que la administración de identidad encabeza la lista en proyectos de seguridad, seguida de tecnologías para evitar pérdida de datos. En tercer lugar, están los antivirus y en el cuatro puesto, los firewalls.