lunes, 22 de octubre de 2007

Los datos revelan lo preocupante de la situación en materia de seguridad en España

Entre las más interesantes iniciativas del recien creado INTECO, se encuentra el Observatorio de la Seguridad de la Información que nos está proporcionando algunos datos estadísticos e indicadores de como está el panorama en la materia en España.

Los indicadores que se están recogiendo son:
  • Indicador INT1: Porcentaje de medidas de seguridad pasivas o automatizables, instaladas en los hogares españoles.

  • Indicador INT2: Porcentaje de medidas de seguridad activas o no automatizables, instaladas en los hogares españoles.

  • Indicador INT3: Porcentaje de equipos afectados por código malicioso (malware)

  • Indicador INT4: Distribución porcentual de los usuarios según hábitos de uso

  • Indicador INT5: Distribución porcentual de la presencia de malware por categorías

  • Indicador INT6: Motivos alegados para no utilizar las distintas medidas de seguridad

  • Indicador INT7: Indicadores de Seguridad


Con toda esta información que se está recogiendo, el INTECO hace una valoración objetiva de los datos publicados que aparece explicada en cada una de las páginas que corresponden a cada indicador.

Yo sin embargo, no puedo reprimir el opinar sobre los datos que han sido publicados, sobre todo, entorno a los indicadores 6 y 7.

Respecto al indicador 6, tenemos la siguiente situación:

  • Fuente:Indicador INT6: Motivos alegados para no utilizar las distintas medidas de seguridad



  • Como las cifras cantan, podéis ver que en general, la columna de "no es necesario" es la que mayor porcentaje de valor acumula en cada uno de los aspectos de seguridad a considerar. También sorprende el grado de desconocimiento de las diferentes tecnologías de seguridad.

    En todas las medidas, el porcentaje sumado correspondiente a "No se lo que es" y "No es necesario" supera el 50% excepto en el caso de los antivirus que es algo que todos los usuarios perciben como algo imprescindible, en base imagino a la propia experiencia.

    Uno se quedaría tranquilo si al menos supiera que estas conclusiones son fruto de un correcto "análisis y gestión de riesgo" de un usuario formado y con conocimientos técnicos que ha derivado en unos criterios de aceptación del riesgo que justifican esa "no necesidad". Por otro lado, cuando ves que cosas tan de sentido común como las copias de seguridad, son consideradas por un 67'5% de la gente como inecesarias, los datos chirrían mucho más. ¿Qué está pasando?¿Cómo se sobrevive entonces ante un incidente gordo si no tenemos medidas ni preventivas ni curativas?

    Ante las sospechas generadas por el indicador 6, uno trata de saciar esas preguntas utilizando los datos del indicador 7, que según interpreto yo por lo descrito, "sintetiza los aspectos más importantes a la hora de evaluar la seguridad".

    Aquí es cuando tras ver los resultados, he tenido que poner las manos sobre la cabeza para pensar "no puede ser, no puede ser".

  • Fuente:Indicador INT7: Indicadores de Seguridad



  • Como se observa claramente, es la valoración personal del profesional la que decide qué es o no es necesario.


En el primer indicador vemos que hay un porcentaje alto de desconocimiento de las medidas y por tanto, de los riesgos que estas mitigan. Por tanto, ¿es real esa "percepción" del riesgo que está sirviendo para tomar decisiones tan importantes?
¿No pasa nada porque realmente no ocurre o porque ni nos enteramos?¿O si que pasa pero tratamos de taparlo para que no se vean las deficiencias internas porque la maquinaria no puede parar, cueste lo que cueste?

Imaginemos que en otras disciplinas se utilizaran los mismos mecanismos para regular el funcionamiento.
  • En la construcción, el arquitecto pudiera decidir cómo construir el edificio en base a su conocimiento sobre el tipo de terreno, la situación geográfica, la frecuencia de catástrofes naturales.
    ¿Estarían todas las construcciones igual de preparadas para terremotos? ¿Gozarían de unas mínimas medidas de seguridad en cuanto a prevención de incendios?

  • En la gestión del tráfico, que no existirían normas básicas a cumplir porque cada conductor, decide, según su sano juício, qué cosas debe hacer en cada situación para no sufrir un accidente.


Como se puede ver, estos hechos son o no para preocuparse un poco. La percepción del riesgo es algo muy subjetivo que no puede basarse solamente en la intuición. Y menos, si además se confiesa un alto grado de desconocimiento de las medidas de seguridad porque seguro que se están infravalorando los riesgos.

Pues esto es lo que parece que está pasando en la seguridad de la información en las organizaciones españolas. Se está sacando el dedo para definir cómo deben ser los cimientros de la infraestructura que da soporte a los procesos de negocio.
Así de crudo y así de duro según la interpretación que deduzco de los datos observados aunque puede que mi percepción no sea real (o que la "sensación de seguridad" de la situación actual oculte la verdadera realidad).


Claro que digno de ver también tiene que ser la cara del Director de una Organización, cuando tras sufrir un desastre grave, comprueba que el mayor de los males había sido no el incidente en sí, sino el no haber probado el plan de recuperación frente al mismo como denuncia Symantec en "Symantec alerta sobre los planes de recuperación de desastres 'falsos'" y en "Planes de recuperación de desastres, una asignatura pendiente".

Ya sabemos cual es la contestación de los diferentes responsables ante esta problemática. Es sencillo, "NO SON NECESARIOS, NUNCA PASA NADA".
 
;