Del dicho al hecho no hay un trecho… hay cuatro años luz.

Durante los últimos meses he tenido la suerte o la desgracia de leer varios informes sobre el estado del arte de las empresas en materias de seguridad de la informacion. De hecho, algun compañero de blog ya lanzó comentarios sobre estos estudios hace algún tiempo. Creo que vengo a complementar o más bien corroborar sus apreciaciones.

Estos estudios, como menciono, tratan de determinar el estado estadístico de las empresas en relación a la seguridad de la información. Obviamente, dependiendo de quién realiza el estudio, centra sus puntos de control en unos aspectos u otros de la seguridad (me refiero a seguridad legal, organizativa, logica, física, partes de alguna de las anteriores, o todas ellas en global, depende).

star.jpgLas conclusiones sacadas de estos estudios (que no explicito de forma premeditada, disculpen los lectores la falta de pulcritud científica) otorgan unos niveles de seguridad en grandes, medianas y pequeñas empresas que, no es que disten de lo percibido en el dia a dia, es que parece que vengan de ese planeta con vida extraterrestre que aún siguen buscando los astrofísicos (y que gracias a estos estudios, ya sabemos que existe y dispone de un nivel tecnológico muy superior al nuestro).

Bromas aparte (el tema no es para partirse de risa), creo que existe una coincidencia en la apreciación que los profesionales del ramo tenemos del estado del arte de las empresas en este tipo de materias y las conclusiones cuasicomunes de este tipo de estudios. Básicamente nos preguntamos: ¿Qué población utilizan para sus estudios? ¿Cómo controlan las posibles mentiras o al menos adornos de realidades lanzadas por los Directores TIC de las empresas? (porque es lógico que siendo un Director TIC no voy a ir publicitando mi falta de seguridad por varios motivos: no conozco las posibilidades, por mi empleo y por mi empresa).

Desde mi punto de vista, estamos tan sólo comenzando a preocuparnos de forma adecuada de los temas relativos a la seguridad de la información. Una gran mayoría de organizaciones públicas y privadas (PyME incluida) está simplemente en pañales y «los malos» (incluidos los malos que no saben que son malos) llevan varios pueblos de ventaja respecto al estado de la seguridad en estas organizaciones, aunque estadísticamente tampoco muchos, tal vez tres o cuatro pueblos, no más; insisto, estadísticamente.

Entonces me pregunto: ¿De dónde sacan estos estudios sus datos? ¿Por qué distan tanto de la realidad percibida en el día a día?

Y aunque ustedes no acostumbren a opinar, sólo por cortesía me siento obligado a preguntarles: ¿ustedes qué opinan?

(Imagen © European Organisation for Astronomical Research in the Southern Hemisphere)