Nueva encuesta: En estos tiempos de crisis, ¿Cuánto inviertes en seguridad?

Los resultados de la encuesta ¿Que consideras más adecuado para tu/una organización, la certificación en ISO 27001 o en ISO 20000? que hemos tenido hasta hoy mismo han sido bastante dispares, ya que ninguna de las opciones destaca claramente por encima de las demás. Parece ganar por “una cabeza” la certificación ISO 27001 (31% de los votos), continuando con un empate técnico entre la certificación ISO 20000 y la opción de no certificar pero implantar antes una gestión en base a ITIL que un SGSI (20% de los votos cada una). En cuarto lugar se sitúa la opción de no certificar, pero implantar primero un SGSI y luego una gestión en base a ITIL (15% de los votos). Por último, un 14% de los votos no se deciden por ninguna de las anteriores opciones.

Sin olvidar el limitado número de votos (aunque, todo sea dicho, es mayor que la población en las que las grandes corporaciones de productos cosméticos fundamentan la mayoría de los resultados de las cremas que anuncian en televisión), los resultados parecen indicar que un SGSI se percibe como potencialmente más certificable, o directamente más relacionado con un “sello” ISO 27001, mientras que la gestión en base a ITIL se mantiene más “independiente” de la certificación, quizá por la menor difusión y conocimiento que hay de ISO 20000 frente a ISO 27001. Aunque esto está cambiando poco a poco, concuerda con la experiencia de S2 Grupo, en la que (en términos generales) el cliente nos plantea en primer lugar la implantación y certificación de su organización en base a la norma ISO 27001, para entrar a valorar posteriormente la gestión en base a ITIL, con o sin certificación.

Dicho esto, les dejo con una nueva encuesta, propuesta por Toni Villalón. Esperamos sus respuestas.

[poll id=”20″]

Comments

  1. http://Menudo_desatino says

    Desde luego, los fundamentos estadísticos demostrados son pocos, dado los ‘resbalones’ que se han dado en este artículo.

    El primero es intentar tomar en serio los resultados de una encuesta sin valor: no se puede evitar que se vote múltiples veces, se permite ver los resultados hasta el momento, se trata de una muestra auto-seleccionada…

    La redacción de las respuestas no es demasiado correcta, pues en esta misma se viola el principio de objetividad, además se añade una coletilla que puede ‘chocar’ la parte inicial. Ejemplo: puede que invierta más, pero no porque crea que hay más problemas, sino porque antes se dedicaba mucho menos de lo que tocaba, para apurar una subvención, para proyectar una imagen mejor a los clientes…

    En definitiva, debería decir ‘más’, ‘igual’ o ‘menos’, a secas. Si se desea saber más, se deben añadir más preguntas. Ejemplo: en caso de haber marcado ‘más’, preguntar el motivo con varias opciones que cubran todo el espectro de respuestas y a la vez no se solapen (en este caso sería bueno dejar la opción ‘otros’ y que se pudiera rellenar).

    Lo de las cremas faciales indica que se desconoce que en estadística, o mejor dicho en inferencia estadística, lo que prima es la calidad y no la cantidad. La muestra que usan las empresas cosméticas se estudian al detalle para que sean REPRESENTATIVAS de la población (he aquí la palabra clave), así que con no demasiados individuos (entre varios cientos y algunos miles) se puedan hacer aseveraciones (con ciertas cautelas) sobre la población general con bastante acierto.

    Si hacen encuestas, hay personas dedicadas a estudiar que preguntas hacer, con que palabras formularlas, en que orden (si, importa y muchísimo); y luego equipos que se encargan de estudiar las respuestas antes de empezar a extraer resultados, y a partir de ellos conclusiones.

    Me extraña que se halla hecho este error típico, dado que la página del la empresa indica que la plantilla la forman titulados superiores (informáticos, telecos, industriales), que en sus planes de estudio deben incluir, imagino, varias asignaturas sobre estadística y temas afines.

    Como siempre, Internet está llena de páginas con mucha información, algunos ejemplos:

    http://www.qualtrics.com/university/how-to-write-a-survey/
    (interesante el enlace al apartado de análisis de datos)

    http://www.accesswave.ca/~infopoll/tips.htm

    Saludos.

  2. Agradezco las matizaciones realizadas. No obstante, debo indicar varios aspectos:

    a) La encuesta no tiene (ni pretende tener) ningún valor científico ni estadístico más allá de la mera curiosidad, ni puede considerarse un estudio de mercado o algo en lo que basar una estrategia de ventas. Creo que este hecho debería estar claro, pero si no era así, dicho queda.

    b) Por supuesto, aunque la encuesta implementa sistemas básicos para evitar el voto duplicado, es sencillo saltarse dichos sistemas con tal de tener algo de ganas; no obstante, no tenemos intención de implantar sistemas de autenticación que eviten este tipo de trampas, dada la irrelevancia real de la encuesta y debido a que traerían más problemas y trabajo que ventajas; dicho de otra forma, un sistema de este tipo es totalmente innecesario. Además, aparte de lo indicado en a), por lo cual un voto doble carece de demasiada importancia, es de esperar que los usuarios carezcan de motivación para falsear una encuesta tan sencilla sin ningún carácter político, ideológico, o de otro tipo, y cuyo falseamiento no les reporta absolutamente ningún beneficio.

    c) Entiendo lo de las cremas faciales, pero he visto anuncios en los que la muestra representativa (conozco el concepto, pero agradezco el recordatorio) para afirmar reducciones o mejoras del 15% (por ejemplo) en algún “defecto” dermatológico no era más que de unas cuantas docenas de personas.

    d) Soy consciente de que existen empresas y personas dedicadas a gestionar todo el proceso de la encuesta desde su diseño hasta la elaboración de los resultados finales. No obstante, debería estar claro que la utilización de estas empresas no tiene sentido en este caso.

    e) Por supuesto, si fuesen preguntas para la realización de un análisis real de la situación del mercado de la seguridad de la información (y no meramente orientativo, siendo muy optimista y en el mejor de los casos) sobre la inversión en seguridad, deberían haber sido elaboradas con mayor cuidado y siguiendo metodologías de análisis estadístico, entre otros aspectos importantes. De nuevo, no era ese el propósito de la encuesta.

    f) Por último, sí, las personas que trabajamos en S2 Grupo somos titulados superiores, lo cual no implica que no podamos cometer errores como todo el mundo. Ahora bien, se trataría de errores si efectivamente la encuesta de esta entrada hubiese tenido como objetivo algún tipo de análisis de mercado o similar, que como he indicado anteriormente no es el caso ni de lejos.

    En definitiva, agradeciendo los comentarios realizados, creo que has errado el tiro.