Saltar al contenido

Las empresas luchan por mantener el ritmo con las soluciones de seguridad de la información

Las organizaciones necesitan cambiar fundamentalmente su enfoque de la seguridad de la información para hacer frente a las amenazas que presentan las tecnologías existentes y emergentes, según el informe de Ernst & Young Global Information Security Survey 2012 – «Fighting to Close the Gap» – publicado el 29 de octubre. El informe, que se encuentra en su decimoquinto año, es una de las encuestas más completas en su campo y se basa en las respuestas de más de 1.850 CIOs, CISOs y otros ejecutivos de la seguridad de la información en 64 países.

Las empresas están implementando mejoras incrementales en sus capacidades de seguridad de la información para proporcionar soluciones a corto plazo, sin abordar los problemas asociados con la amenaza general a la seguridad de la información. Con un 31% que ha experimentado un mayor número de incidentes de seguridad en los últimos dos años, la necesidad de desarrollar un marco robusto de arquitectura de seguridad nunca ha sido mayor. Sin embargo, el 63% de las organizaciones no disponen de dicho marco y sólo el 16% de los encuestados informan de que su función de seguridad de la información satisface plenamente las necesidades de la organización.

Las empresas luchan por mantener el ritmo con las soluciones de seguridad de la información
Las empresas luchan por mantener el ritmo con las soluciones de seguridad de la información

Comentando los hallazgos, Paul van Kessel, Líder de Servicios de Riesgos y Seguros de TI de Ernst & Young dice: «La nueva norma para el CIO es que lo rápido no es lo suficientemente rápido. La velocidad y la complejidad del cambio están ocurriendo a un ritmo asombroso, con los mercados emergentes, la continua volatilidad económica, la deslocalización y los crecientes requisitos normativos que se suman a un entorno de seguridad de la información ya complicado».

El nivel de amenaza sigue aumentando

Las organizaciones reconocen que el entorno de riesgo está cambiando, a medida que aumentan la frecuencia y la naturaleza de las amenazas a la seguridad de la información y el número de incidentes de seguridad. Más de tres cuartas partes (77%) de los encuestados coincidieron en que existe un riesgo creciente de ataques externos, pero ésta no es la única fuente de preocupación para las organizaciones mundiales, ya que el 46% informó de que las vulnerabilidades internas también están aumentando.

La imparable marcha de la nueva tecnología

Las nuevas tecnologías están abriendo enormes oportunidades para las organizaciones, pero también posibles amenazas de fuentes hasta ahora desconocidas. La computación en nube sigue siendo uno de los principales impulsores de la innovación de los modelos de negocios, y el número de organizaciones que utilizan la nube casi se ha duplicado en los últimos dos años. Sin embargo, el 38% de las organizaciones no han adoptado ninguna medida para mitigar los riesgos, como una mayor supervisión del proceso de gestión de contratos de los proveedores de la nube o el uso de técnicas de cifrado.

Otra nueva tecnología importante son los dispositivos móviles con acceso a Internet, cuyos avances tecnológicos -y los beneficios empresariales asociados- han aumentado enormemente las tasas de adopción.

Van Kessel comenta»,Con el 44 por ciento de las organizaciones que ahora permiten el uso de tabletas de la compañía o de propiedad privada – en comparación con el 20 por ciento en 2011 – niveles sustanciales de información están fluyendo ahora dentro y fuera de la oficina, haciendo que el control sea cada vez más difícil».

Las organizaciones reconocen que deben hacer más en materia de tecnología móvil. Sin embargo, en el mercado de la informática móvil, que evoluciona rápidamente, la adopción de técnicas y programas de seguridad sigue siendo relativamente baja, ya que sólo el 40% de las organizaciones utilizan algún tipo de técnica de cifrado en los dispositivos móviles.

Más dinero, pero ¿está bien gastado?

Con más riesgos y más tecnología que asegurar, las organizaciones están respondiendo aumentando los presupuestos y ajustando sus prioridades. El 51% de las organizaciones informaron de planes para aumentar su presupuesto en más de un 5% en los próximos 12 meses. Mientras que el 32 por ciento de los encuestados gasta más de 1 millón de dólares en seguridad de la información, el nivel de inversión varía a nivel mundial, ya que el 48 por ciento de las organizaciones de América asignan más de 1 millón de dólares, en comparación con el 35 y el 26 por ciento en Asia-Pacífico y EMEIA (Europa, Oriente Medio, India y África) respectivamente. En cuanto a la asignación del presupuesto, las principales prioridades de inversión son asegurar las nuevas tecnologías (55 por ciento) y la continuidad de las actividades (47 por ciento).

Se necesita un cambio de responsabilidad de la TI a la función de riesgo

Los aumentos de presupuesto previstos sólo pueden ser efectivos si los responsables de la toma de decisiones asumen la responsabilidad. La seguridad de la información sigue estando dirigida por la tecnología de la información en muchas organizaciones; el 63% de los encuestados indicaron que sus organizaciones han puesto la responsabilidad de la seguridad de la información en manos de la función de la tecnología de la información.

Sin embargo, a medida que la seguridad de la información comienza a extenderse más allá de las cuestiones tradicionales de la tecnología de la información, se necesitan ahora decisiones en torno a la selección de las herramientas, los procesos y los métodos adecuados para vigilar las amenazas, calibrar el rendimiento e identificar las lagunas de cobertura, y se requiere una reevaluación de las responsabilidades.

Con sólo el 5% de los jefes de riesgo actualmente responsables de la seguridad de la información, muchas organizaciones carecen del mecanismo formal de evaluación de riesgos que proporciona la función de riesgos, lo que da lugar a que el 52% de las organizaciones no cuenten con un programa de inteligencia sobre amenazas. La proliferación de las amenazas -y la aceleración de la brecha entre la vulnerabilidad y la seguridad- requiere múltiples fuentes de evaluación, como la auditoría interna, las autoevaluaciones internas y las evaluaciones de terceros, para vigilar y evaluar los incidentes de seguridad.

Van Kessel concluye»,Para algunas organizaciones, los recursos de habilidades, la madurez de la seguridad o el presupuesto pueden estar jugando un papel en su toma de decisiones; pero estas soluciones de trabajo de empalme o apilamiento que se ven hoy en día – que arreglan las necesidades de seguridad de la información a corto plazo – están enmascarando un problema mayor en torno a la vulnerabilidad».

Cuando se mira hacia el futuro, agrega: «Aunque hemos identificado algunas de las lagunas actuales, todavía hay más en el horizonte, en forma de intervención del gobierno y nuevas presiones regulatorias. Si las organizaciones no toman medidas para desarrollar marcos de seguridad completos hoy en día, las consecuencias combinadas de los problemas actuales y futuros sólo alimentarán aún más la amenaza a la seguridad de la información».

Lea los resultados completos de la encuesta y las recomendaciones para las organizaciones.

Fuente: Ernst & Young