SEGURIDAD INFORMÁTICA: ¿SU EMPRESA HA HECHO LO SUFICIENTE?

 

Pensar que una organización es totalmente segura es una noción muy errada en estos tiempos. La consultora Ernst & Young, analizó 1.800 usuarios en 64 países sobre su situación en seguridad tecnológica, sus fortalezas y riesgos más críticos.

 

La virtualización, cloud computing, redes sociales, movilidad y la velocidad de cambio en la conectividad ha llevado a las empresas a enfocar su preocupación en la seguridad y protección de datos, tanto contra amenazas internas como externas.

 

Las organizaciones han mejorado sus programas, añadiendo nuevos sistemas y soluciones, redefiniendo estrategias e instalando nuevas funciones de seguridad informática. Ernst & Young, analizó esta tendencia desde 2006 al 2012, en su Global Information Security Survey, Fighting to Close the Gap (2012), trazando el crecimiento de los procedimientos para cerrar la brecha entre seguridad y vulnerabilidad.

 

Los pasos que han tomado las empresas para mejorar su seguridad informática no han sido suficientes. De acuerdo a la encuesta de la consultora, si bien se han implementado nuevas tecnologías, muy pocas están a la par con lo que realmente ocurre a su alrededor, y muchas menos son capaces de adelantarse a las amenazas del mañana. Antes del 2006 la tendencia era enfocarse en mitigar el riesgo financiero y cumplir los requerimientos. Después de este año, el interés se enfocó en ampliar la seguridad de la organización, adaptándose a la globalización y que el plan de seguridad de información debe tener un retorno de la inversión alineado con el riesgo y el desempeño.

 

Para el 2010 la preocupación de la empresa se centró en manejar los riesgos asociados con las tecnologías emergentes, aumentar la inversión para la prevenir la pérdida de datos y lograr una visión centrada en la seguridad de la información alineada con el modelo de negocios. De acuerdo a la encuesta de Ernst & Young, el 2012 se caracterizó por innovar, desarrollar e integrar estrategias relacionadas con los objetivos corporativos. Además de establecer una planificación de presupuesto de tres a cinco años enfocado en seguridad informática.

 

tendencias amenazas externasEl análisis arrojó que 72 por ciento ve un aumento en el riesgo debido a la acentuación en amenazas externas, mientras que sólo el 59 por ciento piensa aumentar su inversión en seguridad en los siguientes doce meses, para mantener la continuidad de su negocio.

 

A pesar de la preocupación por los posibles ataques externos, la consultora enfatiza que también puede ser interno. Por lo que es necesario volver a pensar en las medidas de seguridad para mantener los bienes fuera de peligro. Los modelos tradicionales ya no cumplen con los estándares mínimos, ahora se necesitan sistemas que sean predictivos, proactivos y colaborativos en todas las áreas de la empresa. Es importante recalcar que ya no se puede centrar en el mundo del TI, ya que el robo de datos afecta de manera transversal las operaciones de la empresa.

 

Al momento de pensar en invertir en un sistema de seguridad, Ernst & Young sugiere al CIO realizar cinco preguntas fundamentales. ¿Cuál es el nivel de prioridad que tiene la seguridad de la información? Identificar el riesgo real de la organización, determinar cuáles son los datos y aplicaciones más importantes, dónde está y quién tiene acceso a esta.

 

Con esta indagación es posible evaluar el panorama de riesgo y desarrollar programas o modelos proactivos, resaltando la verdadera exposición a la amenaza. Según la versión 2011 de este estudio, 64 por ciento de los encuestados ve la develación de datos dentro de sus principales amenazas.

 

Ya determinado esto, el siguiente paso es analizar cuánto sería el daño de imagen por un fallo en la seguridad. Protegiendo lo que más importa, desarrollar una estrategia de seguridad enfocada en proteger los datos de gran valor. El tercer paso es ver la posibilidad y el impacto de una amenaza interna o externa, determinando el tiempo que pasa entre el ataque y la identificación de la misma. Es decir, cuánto tiempo se demora el responsable en darse cuenta que ha sido hackeado.

 

El cuarto punto a analizar es si el responsable está localizando correctamente las prioridades, sin embargo, es importante recalcar que es responsabilidad de todos los empleados. Si está tomando riesgos controlados en vez de eliminarlos por completo. El estudio arrojó que 49 por ciento de los entrevistados cree que su solución de seguridad funciona correctamente, mientras que 56 por ciento reconoce que su estrategia necesita ser modificada para adaptarse a las necesidades de la organización.

 

Finalmente se determina si se está tomando un riesgo controlado en vez de eliminarlo por completo. Esto puede ser siempre y cuando el riesgo posibilite una mejora en el desempeño de la empresa, gracias a una mayor inversión en capital humano y procesos, más que en control y tecnología. Siempre alineando todos los aspectos de seguridad, es decir, información, privacidad y continuidad de la empresa.

 

RÁPIDO, PERO NO LO SUFICIENTE

 

A pesar de todas las mejoras implantadas por las empresas, la velocidad del cambio sigue aumentando. En 2009, los encuestados notaron un 41 por ciento de aumento en las amenazas externas, para el 2011 este porcentaje aumentó a 72 por ciento y este año, se detectó un 77 por ciento.

 

La brecha entre el problema y la solución está creciendo significativamente, esto se puede explicar por diversas causas. Tales como alineamiento con el negocio, capital humano con la capacitación correcta, procesos y arquitectura, además de las nuevas tecnologías en desarrollo. Ernst & Young determinó que la estrategia de la seguridad de información debe ser prioridad de la planificación de gerencia. Sin embargo, por años esta no ha podido obtener el lugar que necesita, por lo que no recibe la atención necesaria para los cambios vertiginosos.

 

La encuesta reveló que 56 por ciento de los entrevistados dicen tener alineada la estrategia de TI con la estrategia de seguridad, aumentando del 33 por ciento indicado en el 2008. Mientras que los que están a la par con el plan de negocios pasó del 18 por ciento al 42 por ciento en el 2012.

 

Otro factor relevante al momento de determinar la estrategia de seguridad, es el responsable. Esta decisión es decisiva al momento de seleccionar las herramientas y métodos adecuados para monitorear amenazas. El estudio mostró que sólo 5 por ciento de las organizaciones entregan esta labor al ejecutivo de riesgo en jefe (CRO). Mientras que 26 por ciento se la dan al CEO. Esto puede explicar por qué 52 por ciento de las organizaciones no tienen in programa inteligente contra amenazas. Rediseñar la arquitectura de la información y demostrar cómo esta puede entregar resultados a la empresa. Identificando el riesgo real y protegiendo lo que más importa.

 

INVIRTIENDO INTELIGENTEMENTE

 

Las organizaciones están invirtiendo más dinero en soluciones de seguridad y ajustando sus prioridades. El estudio indicó que 44 por ciento mantendrá igual su presupuesto por los siguientes doce meses. 30 por ciento lo aumentará entre un 5 y 15 por ciento y nueve por ciento espera ver un crecimiento de 25 por ciento o más. Siendo que 32 por ciento de los encuestados gasta USD$ 1 millón o más en seguridad de la información.

 

La mayor prioridad del presupuesto para inversión es la continuidad del manejo del negocio y el levantamiento después de la crisis, alcanzando un 51 por ciento. Este factor ha crecido por los sucesos catastróficos de los años pasados, terremotos, huracanes y tsunamis que han llevado a la pérdida de información, tecnología y, por ende, de ganancias.

 

Un factor relevante es el capital humano capacitado y qué parte del presupuesto de la empresa se destina a éste. 43 por ciento de las organizaciones dice que hay falta de recurso calificado, no obstante , sólo 22 por ciento piensa invertir más en esta área en los próximos 12 meses. El estudio demostró que desde el 2006 la brecha entre las organizaciones y el crecimiento de las amenazas ha aumentado en un rango exponencial. Siendo la solución, seguir los cuatro pasos que Ernst & Young establecen, alinear las estrategias de seguridad y de negocio, rediseñar la arquitectura, ejecutar transformaciones exitosas y sostenibles y ahondar en las nuevas tecnologías.

 

Algunas empresas líderes han tomado ciertas medidas específicas. Mover el perímetro de cuidado para proteger sus datos, entendiendo que algunos ataques sí van a penetrar la defensa. Crear capacidades dinámicas para manejar la seguridad para poder reaccionar de manera rápida. Incluir la participación de ejecutivos senior para crear estrategias y procesos. A pesar de los riesgos, la evolución en tecnología es constante. Las empresas deben usarlas para su ventaja y alcanzar un crecimiento rentable.

 

Read 4780 times
Tagged under
  • ,

REVISTA I+T

Dirigido a personas con necesidades de informarse en soluciones y tendencias IT, Enfocada en entrevistas y contenido de interés. Perfil lector de alto impacto.

Galerías

Top