Las personas y los procesos son más importantes que la tecnología para preservar la seguridad de los sistemas informáticos de las organizaciones. Tal la principal conclusión de una investigación realizada por la consultora IDC entre más de 4 mil profesionales de TI en más de 100 países.

Según el estudio, los tres principales factores de éxito para asegurar en forma efectiva la infraestructura de las organizaciones son el “apoyo gerencial de las políticas de seguridad; respeto de la política de seguridad por parte de los usuarios y personal de seguridad calificado”. Recién después vienen las soluciones basadas en el software y en el hardware.

Estas tres condiciones mencionadas por los encuestados “ponen de relieve la necesidad de que las entidades públicas y privadas dediquen más tiempo y atención a las políticas, los procesos y la gente, áreas que tradicionalmente han sido ignoradas, confiándose más en el software y el hardware para la resolución de los problemas de seguridad”, concluye el estudio encargado por la International Information Systems Security Certification Consortium (ISC).

Se trata de una organización sin fines de lucro que se dedica a la educación y certificación de profesionales de seguridad informática a lo largo de sus carreras. La entidad encargó a IDC su tercer Estudio Global sobre Profesionales de Seguridad Informática.

Cambios
Los encuestados comentaron que las organizaciones están comenzando a reconocer que la tecnología es un facilitador, no una solución, para implementar y ejecutar una buena estrategia de seguridad.

El estudio también reveló que la responsabilidad de ejecutar una estrategia de seguridad es compartida cada vez más por toda la organización, responsabilizando a los directivos como parte de un programa bien definido y articulado de gestión de riesgos.

Continuando una tendencia identificada en el estudio del año pasado, la responsabilidad de asegurar los activos de la información está pasando del director de información (CIO) a otras áreas de la gerencia superior y de la empresa, incluso el director general, director de finanzas, el director de riesgos y el director de seguridad informática, así como al departamento jurídico y de cumplimiento.

“Si las organizaciones quieren asegurar y proteger en forma proactiva su información y activos financieros y físicos, es necesario su compromiso incondicional con la seguridad a nivel financiero, gerencial y operacional”, dijo Allan Carey, director de programa de IDC, quien encabezó el estudio.

“La gestión de la seguridad requerirá siempre del equilibrio apropiado entre la gente, las políticas, los procesos y la tecnología a fin de mitigar con eficacia los riesgos que conlleva el entorno digitalmente conectado en el que funcionan las empresas”, agregó.

IDC analizó las respuestas de 4.016 profesionales de seguridad informática de más de 100 países, con casi el 40% empleados por organizaciones con U$S 1.000 millones o más en ingresos anuales.

Los encuestados pertenecen a las tres regiones importantes del mundo: América del Norte, Central y del Sur (57,3%), Europa, Medio Oriente, África (22,8%) y Asia-Pacífico, incluyendo Japón (19,5%), y representan a organizaciones del sector público y privado, diversas industrias verticales, al igual que diferentes competencias centrales y cualidades.

Los encuestados tienen responsabilidades de adquisición, contratación de personal y/o administración. Otros puntos destacados del estudio 2006 son los siguientes:

Profesionales
El número de profesionales de seguridad informática en todo el mundo en 2006 es de 1,5 millones, un aumento de 8,1% con respecto a 2005. Se espera que esta cifra aumente a un poco más de 2 millones para 2010, con una tasa de crecimiento anual compuesto (CAGR) de 7,8% de 2005 a 2010. A modo de comparación, el crecimiento previsto en el número de empleados de informática a nivel mundial en el mismo período es de 4,6%.

Salarios
Los sueldos en los Estados Unidos para la profesión continuaron sin cambios con respecto al año pasado; sin embargo, los sueldos para seguridad informática han cambiado a nivel global para reflejar la dinámica regional que tiene lugar a medida que evoluciona esta profesión. En el continente americano, los trabajadores que ganan menos de 30.000 dólares aumentaron 3% a 4,4% de la fuerza laboral, el cambio más notable entre los encuestados de las Américas, debido más que nada al creciente número de profesionales de seguridad informática a ese nivel que se están contratando en América Central y del Sur con sueldos más bajos que el promedio para toda la región.

Tecnologías
Las tecnologías comunes de seguridad que implementan las organizaciones de todas las regiones son biométrica, seguridad inalámbrica, prevención de intrusiones y herramientas forenses. La biométrica se ubicó en primer o segundo lugar en todas las regiones.

Capacitación
El área de gestión de riesgos en seguridad informática se ubicó en primer lugar como prioridad de capacitación en todo el continente americano y en la región EMEA y en segundo lugar en la región AP. Esto continuará en el futuro previsible mientras las organizaciones luchan por ganar el control sobre su postura de riesgo, desarrollan un marco flexible para adaptarse rápidamente a los nuevos factores ambientales, y dan visibilidad a sus riesgos más grandes. La continuidad empresarial y la ciencia forense son también temas que consideran los profesionales para aumentar sus conocimientos y perfeccionar sus habilidades.

Influencia
El 67% de los profesionales de seguridad creen que durante los últimos 12 meses sus esfuerzos lograron influir en la gerencia y en los accionistas de la empresa para elevar la concienciación y la responsabilidad en materia de seguridad dentro de sus organizaciones. Con respecto a 2007, 73% cree que podrá fomentar el cambio en sus organizaciones.

Gastos
En general, las organizaciones están gastando un mayor porcentaje de sus presupuestos para seguridad informática en personal y capacitación en 2006 que en 2005. Las organizaciones están gastando más de 41% de sus presupuestos para seguridad, como promedio, en personal y capacitación para dotar de personal a proyectos y apoyar la gestión posterior a la implementación.

Certificaciones y tercerización
La importancia de las certificaciones de seguridad informática como un criterio de contratación siguió siendo alta, con el 85% entre los encargados de contrataciones, pero bajó del pico de 92% en 2004. Para compensar las capacidades internas y los recursos limitados, las organizaciones están contratando a terceras firmas de servicios que han logrado atraer a profesionales calificados en el campo de la seguridad informática.

Mensajes
“IDC cree que los profesionales de seguridad que participaron en este estudio están llevando su mensaje a las masas y están actuando como ‘agentes del cambio’ dentro de sus organizaciones para cerciorarse que la seguridad informática sea reconocida por sus contribuciones positivas a la empresa, en lugar de costos irrecuperables como se han percibido en los últimos años”, dijo Carey. “El mensaje de que la gente y los procesos son absolutamente cruciales para una seguridad informática eficaz finalmente está comenzando a resonar entre los líderes empresariales”, añadió.

“Las vulneraciones de seguridad que fueron noticia el año pasado son resultado del error humano, y el Estudio Global sobre Profesionales de Seguridad Informática de este año valida además la opinión que mantuvieron durante años los profesionales de este campo de que la gente es el componente más importante de un programa eficaz de seguridad informática”, señaló Ed Zeitler, CISSP, director ejecutivo de ISC.

“El hecho de que los profesionales de seguridad informática sean escuchados por los directivos y se comparta la responsabilidad de la seguridad en toda la organización demuestra que se ha consolidado la profesión de la seguridad informática y que se valora como un componente imprescindible de la empresa”, agregó.

“Con respecto a la certificación, esta encuesta no distinguió entre las certificaciones que se basan sólo en una prueba y las que exigen experiencia profesional validada, formación permanente, patrocinio de pares y otros requisitos asociados generalmente con certificaciones profesionales en otros campos más establecidos”, agregó Zeitler.

“”Creemos que las certificaciones acreditadas que apoyan la necesidad de gestión para los profesionales con experiencia en el mundo real y educación continua son consideradas en forma más favorable que las certificaciones que se obtienen con sólo pasar una prueba”, amplió.

Una copia del estudio se puede descargar de www.isc2.org/workforcestudy

César Dergarabedian
cdergarabedian@infobae.com
Infobaeprofesional.com