Pense en nombrar este post con el vendedor titulo de "La seguridad en tiempos de crisis", recordando eso del ideograma chino de la palabra crisis que se representa asi :
El cual "supuestamente" esta formado por dos caracteres, uno que representa peligro y otro oportunidad.Resulta que encuentro un post desmitificando esto. Uno ya no sabe en quien creer.
Vamos a lo nuestro, quería hablar sobre las dificultades de "vender" proyectos de seguridad en las empresas. En general es muy complicado obtener recursos para aplicar en soluciones que solo se ve la utilidad cuando paradojicamente no se encuentran instaladas.
Los sistemas que protegen los activos son equiparables a la capa de ozono, la gente se preocupa cuando falta y no puede tomar sol.
Primero debemos entender que la seguridad informatica en la mayoria de las empresas, no genera dinero.
"Por interes baila el mono".
Nuestra tarea es ayudar a entender que si bien no podemos generar dinero, si podemos implementar soluciones para ahorrarlo.
Nosotros podemos aumentar la seguridad de nuestras empresas presentando proyectos que ayuden a reducir costos.
Esta es una lista de soluciones cuyo Retorno de Inversión facilita su aprobación :
Proxy Server + Webfiltering
Un proxy tiene varias ventajas, entre las principales podemos nombrar:
- Reducción del ancho de banda por implementación de cache.
- Único punto de salida.
- Control de acceso a internet.
En la mayoría de los casos, aplicaciones web de streaming ( radios online, youtube ) son los culpables de este consumo.
Adicionalmente a esto, el webfiltering nos permite filtrar el acceso a sitios que bajen la productividad a los empleados.
VPN's
Las vpn's podemos dividirlas en dos subgrupos, corporativas y de usuarios móviles. En ambos casos, el fin es proteger la información que se transmite entre dos puntos mediante la encripcion de la misma.
Los enlaces dedicados tienen un costo elevado, hoy los vínculos a internet maduraron lo suficiente como para volcar la mayoría de los enlaces dedicados a soluciones de vpn.
Ademas de reducir costos, aumentamos la seguridad ya que aun en una nube privada de una Telco, nuestros datos sin encriptar pueden ser husmeados.
Desde el punto de vista de los usuarios móviles, las vpn aumentan la productividad ya que permiten estar online en el momento adecuado.
Incluso las soluciones de Home Office permiten reducir costos de infraestructura.
Firma Electrónica
Las soluciones de firma digital permiten reducir costos y aumentar la productividad. Estos sistemas garantizan que los procesos de negocio sean más seguros, eficientes y rentables. Las firmas digitales proporcionan: autenticación, integridad y confidencialidad de los documentos, el contenido y las transacciones.
Además de la eficiencia, nuestra empresa se vuelve mas "verde" dada la disminución del uso de papel.
Windows Server Update Services (WSUS)
Instalar un server WSUS nos permite ademas de reduccir el ancho de banda consumido, tener un control de las actualizaciones instaladas en las máquinas que ejecutan aplicaciones de Microsoft.Habitualmente los equipos clientes se conectarían directamente a Microsoft, multiplicándose el consumo de ancho de banda por la cantidad de usuarios.
Be Compliance
Estar en compliance no es un sistema, mas bien es un estado. Estar en compliance significa no solamente la implementación de un producto en particular, significa la adecuacion de la empresa a una serie de normas y procedimientos de seguridad que de no cumplirlos puede ocasionar diferentes perjuicios económicos.
Podemos nombrar un par de regulaciones y compliances que impactan en la seguridad y en el negocio de las empresas.
SOX (Sarbanes-Oxley )
Se aplica a todas las companias en la bolsa NYSE con un mercado mayor a U$S 75 millones
Asegura el comprometimiento de los ejecutivos en el proceso de negocios.
Mayor responsabilidad para aquellos envolvidos en auditorias.
Puede resultar en la prisión del CEO y/o CFO
PCI DSS
Impone multas a las empresas que no cumplen con requisitos de seguridad
de las transacciones electrónicas.
Asegura la aplicación de políticas se seguridad, medidas de control, protección de datos y seguridad de redes.
Estos son algunos de los proyectos que nos pueden ayudar a mejorar la seguridad , demostrando que podemos ahorrar dinero.
Por supuesto que tenemos muchos mas proyectos de seguridad los cuales nos permiten ahorrar dinero ( antispam, antivirus,IPS, firewall de aplicaciones, logservers...etc ), pero cuyo ROI es mucho mas difícil de calcular o demostrar. Para estos casos necesitamos utilizar la politica y nuestras dotes de negociación o en su defecto una catastrofe del tamaño de un agujero de ozono.
3 comments:
El post es bueno,pero pasa que nadie compraria un proyecto de seguridad si ves la seguridad como un producto (una vendimia),te diran que ponen un FW linux y aunque mal configurado ellos estan protegidos. ahora si negocio es vender pues en la web hay buenos post sobre el ROI (retorno de inversion).
pero eso si hay muchos FW corporativos que muy de marca y les pasas el nipper y.....cual seguridad jaja saludos.
Me referia a "vender" dentro de la organizacion. Hoy ir con el proyecto de instalacion de un IPS es mas dificil de conseguir el presupuesto, que instalar un Proxy con filtro de contenido.
Por supuesto esta en la capacidad de cada el contactar las personas de la organización que promuevan el proyecto para su realización.
pues si...tienes razon, todos dicen que no la necesitan,para que gastar en algo si nunca les pasa nada...
pero espero que en el futuro se den cuenta que si la necesitan.
saludos a todos aquellos que batallan con todo eso.
Post a Comment