Porqué la seguridad digital es causa de mayores costos en empresas y gobierno

Los problemas causados por la falta de ciberseguridad encarecen los productos y servicios de las empresas

En la sección Dinero en Imagen del periódico Excélsior fue publicado este artículo que escribí sobre las consecuencias de los problemas de seguridad digital en las empresas

Los problemas causados por la falta de seguridad digital encarecen los productos y servicios de las empresas, son riesgosos para los gobiernos por la fuga de datos personales, que después sirven para cometer robos de identidad, y además repercuten en los usuarios porque los hacen pagar costos mayores en todo lo que adquieren, por eso es necesario resolver este reto, en principio, con políticas públicas, sin embargo en México y en el mundo hay una escasez de personal especializado en seguridad de Tecnologías de la Información (TI).

En efecto, de acuerdo con el estudio Habilidades en materia de redes en América Latina elaborado en 2016 por la empresa IDC, con el patrocinio de Cisco, para 2019 harán falta unos 148 mil 52 empleados de tiempo completo en TI en México que tengan habilidades en sistemas de red en dos grupos: las habilidades básicas o esenciales (las comunicaciones unificadas, redes inalámbricas o configuraciones de VoIP) y las habilidades emergentes (como la virtualización, el desarrollo de software, centros de datos, nube, movilidad, Internet de las Cosas o la propia ciberseguridad

En México es escaso el personal de seguridad de TI como en todo el mundo, pues según un estudio hecho por Cisco Systems, en el año 2019 se espera un déficit de 1.5 millones de profesionales de la seguridad informática en el mundo. Por su lado, la Comisión Europea calcula que en el sector tecnológico falta personal para cubrir 825 mil empleos hasta 2020.

 

seguridad digital

Los problemas causados por la falta de ciberseguridad encarecen los productos y servicios de las empresas. Foto: Especial

Escaso, el personal de ciberseguridad en México

Para David Taboada, director general de Código Verde, una empresa especializada en seguridad informática, la escasez no es solamente de personal especializado en ciberseguridad sino también de personal de tecnologías de la información que haga su trabajo de forma segura.

Para el ejecutivo, el personal de TI capaz de hacer su trabajo de manera segura es como un trabajador que no tira basura en su espacio de trabajo, que puede mantener limpio y ordenado un espacio por mucho tiempo, en tanto que el profesional de seguridad TI sería la persona responsable de asear ese lugar, por eso, dice el ejecutivo, el personal de TI que no realiza su trabajo respetando las reglas de seguridad informática se parece a los trabajadores que todos los días ensucian su espacio de trabajo.

Estas prácticas inadecuadas de trabajo, dice el director de Código Verde, causan que no haya suficiente personal de seguridad digital, pues prácticamente sería necesario tener a cada uno de ellos revisando y limpiando el trabajo de cada profesional de TI.

Este último problema todavía no se atiende y no hay muchas organizaciones que hayan iniciado acciones concretas para desarrollar a su personal de TI en temas de seguridad; entonces hay todavía, explicado coloquialmente, mucha gente que está desordenando y ensuciando porque considera que su trabajo es hacer que las cosas funcionen y que ya vendrá alguien luego a limpiar lo que ellos dejaron sucio y desordenado.

El mejor ejemplo de esta situación son los pintores a los que se contrata para pintar una casa, pero, aunque hayan pintado todo bien, dejan manchado el piso con gotas de pintura; esos se asemejan al personal de TI sin buenas prácticas de seguridad. En cambio, hay otros pintores que empapelan el piso, usan cinta adhesiva, no se salen de los márgenes y no manchan con pintura, estos últimos son lo más parecido a los programadores con buenas prácticas de seguridad.

Consecuencias de la escasez de personal especializado en seguridad digital

La poca disponibilidad de talento en seguridad digital genera presión sobre los sueldos —explica David Taboada— porque la escasez genera una competencia entre empresas para contratar el personal, la cual debe ser resuelta con mejores salarios. Entonces el incremento del costo de la ciberseguridad impacta en los costos de algunas organizaciones y las deja fuera de competencia en el mercado.

Este problema es de empresas clasificadas entre las 500 de Expansión, no solamente de PyMES. Esas grandes organizaciones tienen vacantes durante casi un año porque cuando deben negociar los sueldos de los especialistas en seguridad digital, descubren que el presupuesto destinado a pagarles ya no es suficiente y deben iniciar un proceso interno para conseguir más recursos económicos y eso requiere tiempo.

El precio de no resolver el problema de la ciberseguridad

La consecuencia más inmediata de la falta de seguridad informática en cualquier sociedad es la fuga de datos; esas fugas son utilizadas por delincuentes para suplantar la identidad de las personas y realizar fraudes. Un día, alguien descubre que su tarjeta de crédito tiene un cargo de muchos miles de pesos, tal vez porque alguien obtuvo un crédito en un banco a su nombre utilizando sus datos personales.

Por otro lado, la cultura de seguridad informática inmadura que predomina en México, causa incrementos en los costos de las empresas; algunos de ellos posiblemente serán absorbidos por las compañías, otros serán trasladados a los clientes.

De acuerdo con la Encuesta Global del Estado de la Seguridad de la Información 2017, hecha por la empresa PWC, el costo promedio de un incidente de seguridad en México es de 1 millón 581,641 dólares, cifra que equivale al 32% del presupuesto utilizado por las compañías para la seguridad de la información

Finalmente, la mala administración de la seguridad informática repercutirá tarde o temprano en los precios de los productos o servicios que serán pagados por los clientes y finalmente por el consumidor final.

Posibles soluciones al reto de la ciberseguridad

Para resolver el problema de la falta de talento en ciberseguridad se requiere de una política pública que incentive a nuestro mejor talento en México para que elija las carreras universitarias relacionadas con las tecnologías de la información, por un lado, y capacitar a todas las personas que ya trabajan en áreas de TI para hacer su trabajo siguiendo buenos estándares de seguridad digital, por ejemplo deben aprender a crear aplicaciones seguras, o bien a administrar redes seguras; en términos generales todo mundo debe tener conocimientos básicos de seguridad en TI.

En otras palabras, es necesario agrandar la entrada al embudo del área de tecnologías de la información para que después el mercado atraiga a quienes ya trabajan en este campo hacia la seguridad informática, algunos de ellos hacia la especialización en ciberseguridad, y otros deberán tener materias que les enseñen a hacer su trabajo respetando estándares de seguridad digital.

Por su lado, las empresas podrían contribuir a mejorar su seguridad digital si sus directivos que toman decisiones tuvieran una perspectiva más clara, tanto de la administración de los riesgos del uso de las tecnologías de la información, como de la implementación de los programas de seguridad informática (al respecto los invito a leer mi artículo ¿Cuáles son las prioridades actuales de seguridad de las empresas?) en sus organizaciones.

Mejorar la seguridad informática tanto en empresas de la iniciativa privada como en instituciones de gobierno es necesario, sin embargo, incrementar la conciencia de la importancia de la ciberseguridad entre los usuarios es una tarea fundamental, así como hoy nadie entraría a una fábrica sin equipo de protección, en el futuro cercano todos deberíamos tomar medidas para proteger nuestros dispositivos digitales y nuestra información.