Riesgosa seguridad de la información de las empresas

La última Encuesta Global de Seguridad de la Información realizada por PwC y las revistas CIO y CSO a nivel mundial entre más de 9.600 ejecutivos de empresas de 115 países del mundo, entre ellos la Argentina, llega a la conclusión de que los riesgos en materia de seguridad de la información han aumentado y evolucionado, pero las estrategias para afrontarlos no les han seguido el ritmo.

Las empresas están cada vez más interconectadas e integradas; emplean la tecnología para compartir un gran volumen de datos con clientes, proveedores, socios y empleados, lo que aumenta cada vez más el peligro.

En este sentido, la seguridad informática se ha convertido en una disciplina que exige tecnologías innovadoras, procesos y habilidades basadas en técnicas de contrainteligencia, y el apoyo de los altos cargos.

El estudio de PwC reportó un incremento del 25% en los incidentes de seguridad de la información detectados a nivel global en comparación con el año anterior. Si bien ello podría insinuar que las organizaciones han mejorado sus tareas de identificación de incidentes, el número de encuestados que desconoce la frecuencia de los mismos aumenta anualmente, lo que sugiere que los modelos de seguridad en uso ya no son eficaces.

De manera sorpresiva, en un clima de riesgos crecientes, los ejecutivos siguen mostrando confianza en las capacidades y acciones de seguridad de su empresa.

En Argentina un 44% de los encuestados se identificó como “pionero” es decir que asume que su organización tiene una estrategia eficaz y es proactiva en la ejecución de un plan de seguridad; un 27% se definió como “estratega”, ya que se considera mejor para definir la estrategia que para implementarla; un 18% se identificó como “táctico” debido a que se cree mejor para hacer las cosas que para definir una estrategia efectiva; y el 11% restante se reconoció como “bombero” por carecer de una estrategia eficaz y, por lo general, actuar de un modo reactivo.

Sin embargo, el informe indica que las empresas líderes en seguridad de la información son aquellas que tienen una estrategia clara; cuentan con la función de un CISO que informa la alta dirección; monitorean, cuantifican y evalúan la eficacia del plan; y comprenden los incidentes ocurridos en dicho período. En base a ello, el estudio revela que sólo el 17% de los encuestados lleva a cabo estas acciones.

La mayoría de los encuestados en Argentina atribuye los incidentes de seguridad a los accesos a la información privilegiada por parte de empleados actuales (31%) o de ex empleados (27%).

Entre los factores de riesgo externos, el 37% de los ejecutivos atribuye los sucesos a hackers, lo que se da en un 32% de los encuestados a nivel global, representando un aumento del 27% respecto del año anterior.

Por su parte, en la Argentina un 19% lo atribuye a la competencia.

En 2013 el 24% de los ejecutivos informó que sufrió pérdidas de datos como consecuencia de los incidentes de seguridad, lo que representa un aumento del 16% respecto del año anterior.

Los registros de los empleados (35%) y de los clientes (31%) fueron los datos más vulnerados.

Por su parte, el promedio de pérdidas financieras asociadas a estos sucesos aumentó un 18% en el último año y ha incrementado un 51% desde 2011.

Desde hace varios años, Asia Pacífico se ha puesto a la cabeza de la inversión en tecnologías de seguridad, procesos y gastos.

Sin embargo, en 2013, por primera vez América del Sur parece a punto de tomar la delantera en las inversiones en seguridad.

La encuesta revela que los principales obstáculos para la implementación de estrategias efectivas son la falta de presupuesto y de comprensión de las necesidades futuras del negocio.

El escenario actual exige que las organizaciones identifiquen y den prioridad a la protección de los activos más críticos.

En este sentido, el 29% de los argentinos aseguró que el próximo año priorizará la implementación de un programa para identificar dicho activos y el 17% se focalizará en el uso de herramientas para gestionarlos.

Para mejorar la seguridad de la infraestructura, durante los próximos meses el 20% de los encuestados en Argentina aplicará normas de seguridad para los socios externos, proveedores, vendedores y clientes.

Tecnologías como la virtualización y los servicios en la nube han ampliado las posibilidades de que usuarios privilegiados comprometan la información, por lo que el seguimiento y la gestión de éstos se han convertido en un desafío clave.

En este sentido, el 20% de los argentinos planea incorporar herramientas de gestión de acceso para los usuarios privilegiados.

Actualmente la seguridad de la información está en un momento incierto. Hay un renovado compromiso de invertir en seguridad junto a cierta incertidumbre sobre la forma de mejorar las prácticas existentes. Si bien la mayoría de los referentes coincide en que debe haber mayor colaboración entre las partes para que puedan tomarse nuevas y mejores medidas, hay poco consenso sobre el modo de hacerlo.