Como nuestros lectores más fieles sabrán, durante 2009 hemos publicado los ESET Security Report: una serie de reportes recopilando la información que obtenemos de las encuestas que realizamos en los diversos congresos y eventos a los que asistimos.
Por estos días, nos encontramos cerrando un nuevo reporte con toda la información de las encuestas realizadas durante 2009 en todo América Latina, y nos pareció oportuno adelantar algún dato para los lectores del blog.
Una de las preguntas que realizamos en las encuestas es: ¿cuáles son las principales preocupaciones en materia de Seguridad de la Información?, donde una de las opciones es Regulaciones y Estándares. De entre los casi mil encuestados, un 18,80% de estos decidió seleccionar dicha opción como importante, siendo más de ocho de cada diez quienes consideraron que no es uno de los aspectos más importantes respecto a la seguridad de la información en la empresa.
Sin embargo, desde ESET nos preguntamos si este valor sería diferente si se consideraran los encuestados sólo para empresas de tamaños similares. En el siguiente gráfico podrán observar cuál es el porcentaje de personas que consideran importante las regulaciones y estándares, considerando en cada caso independiente según la cantidad de empleados en la organización:
El gráfico marca claramente un incremento en la importancia asignada a regulaciones y estándares, a medida que aumenta el tamaño de la organización. Mientras que entre los encuestados integrantes de empresas de más de 1000 empleados, uno de cada cuatro (25,22%) considera las regulaciones y estándares un problema importante, los encuestados de empresas más pequeñas no han considerado importante este punto, en todos los casos por debajo de uno de cada diez encuestados.
Es decir, mientras que el promedio considerando todos los encuestados es cercano al veinte por ciento; este valor disminuye o aumenta de acuerdo al tamaño de las empresas, demostrando que esta es una problemática considerada de importancia sólo en grandes empresas de más de 1.000 empleados.
Este dato tiene dos connotaciones que se le pueden asignar. Por un lado, es normal que las empresas más grandes se preocupen en mayor medida por normas, estándares, regulaciones, etc. Las pequeñas y medianas empresas suelen estar limitadas en recursos y en muchos casos siquiera tienen necesidades de negocio que les exijan cumplimentar alguna norma. En este contexto, de nuevo, es razonable que sean las grandes empresas que se preocupen principalmente por este tema.
Por otro lado, sin embargo, las normas o estándares suelen ser guías muy importantes en lo que respecta a seguridad de la información. De hecho, no hay necesidad de que el cumplimiento de normas sea obligatorio, sino que estas pueden adoptarse opcionalmente, en pos de mejorar la gestión de la seguridad en la empresa.
Además, vale mencionar que las normas pueden ser adoptadas parcialmente, al menos como guías o buenas prácticas, y que incluso muchas de ellas pueden ser adoptadas sólo en un sector de la organización. Ambas alternativas son viables para empresas de recursos limitados, o menor tamaño en cuanto a cantidad de integrantes.
Sin dudas, las normas y estándares son un factor importante en la seguridad de la información corporativa, y debería ser considerada, aunque con distinta consideración, independientemente del tamaño de la empresa.
Si quieren obtener más información sobre este tema, les recomiendo acceder al curso "Seguridad para PyMEs" en la Plataforma Educativa de ESET Latinoamérica.
Sebastián Bortnik
Analista de Seguridad
