Por Leticia Pautasio
Paulatinamente, las compañías van tomando conciencia de la importancia de invertir en mecanismos de defensa para prevenir los ataques informáticos.
No obstante, en un contexto muy dinámico –con ataques y amenazas que se reinventan día a día– las áreas de seguridad informática de las compañías se encuentran siempre un paso por detrás de los delincuentes informáticos.
EY presentó este año su 16° encuesta anual de seguridad informática. El estudio retoma algunos de los temas de los que ya se han adelantado en la edición de marzo de Mercado, pero especialmente pone sobre la mesa la opinión de los propios responsables del área IT de organizaciones de distintas partes del mundo.
La encuesta cuenta con la participación de 1.909 ejecutivos de 64 países, de los cuales alrededor de 100 pertenecen a empresas argentinas. Para ello, se contactó a los CIO, CISO y otros ejecutivos del área de tecnología de la información (IT) de organizaciones de diferentes industrias y actividades –servicios financieros, bancos, seguros, consumo masivo, telecomunicaciones, retail, entre otros–, tanto clientes como no clientes de la consultora.
Una de las primeras conclusiones del estudio de EY es que el mercado ha alcanzado una cierta madurez, aunque todavía existe un largo camino por recorrer. La comparación anual indica que las compañías van tomando mayor conciencia sobre la necesidad de mantener un ritmo de inversiones creciente en materia de seguridad informática, aunque la dinámica del sector –con nuevas soluciones lanzándose día a día en respuesta a las amenazas siempre crecientes y en evolución– no les permite estar a la altura de la problemática. Para este año, se espera que los planes de recuperación ante desastres y continuidad de negocio representen la prioridad para 68% de los empresarios.
De acuerdo con el estudio de EY, las políticas de seguridad informática han pasado de ser una preocupación solo del departamento de IT para ir escalando hacia las altas esferas de la organización. 70% de las empresas consultadas indicaron que las políticas de seguridad informática se generan en los niveles más altos de la organización. Y 10% indicó que las funciones de seguridad informática reportan directamente al CEO. Esto es un cambio de paradigma y demuestra la importancia que viene alcanzando este segmento dentro de la estructura organizacional.
Nicolás Ramos
Alineación con el negocio
Sin embargo, no siempre ocurre que las políticas de seguridad informática están alineadas con el negocio. Sucede que el responsable de seguridad informática no suele tener una posición en la mesa de directorio, y por ende, las decisiones que allí se toman no tienen en cuenta el impacto que podría tener en la exposición a riesgos. Es más, según la encuesta de EY, 62% de las organizaciones no tienen alineada su estrategia de seguridad de la información a su apetito o tolerancia al riesgo.
La excepción son aquellas actividades en las que la seguridad informática es el core del negocio. Este es el caso de las compañías financieras, que, además, suelen estar muy reguladas y tienen que prestar mucha atención a qué está ocurriendo en el mundo de los ataques informáticos.
A esta situación se suma que si bien la mayoría de las empresas ha incrementado su presupuesto para seguridad informática –43 % estima incrementar el desembolso en este segmento–, parece que este es todavía insuficiente. 65% de los encuestados indicó tener restricciones de presupuesto como obstáculo número uno para entregar valor al negocio. De hecho, si se toma en cuenta que seguridad informática es parte de un área más grande que es IT –y que IT es además, un área que cuenta usualmente con recursos reducidos en comparación con otros departamentos de la compañía– la problemática es aún mayor.
“El principal problema es que es muy difícil medir el retorno de inversión (ROI) en materia de seguridad informática”, afirmó Nicolás Ramos, gerente senior de Advisory de EY. Esta es posiblemente una explicación válida de por qué si bien se reconoce a la seguridad informática como un problema, desde las altas esferas se sigue dejando de lado al sector. Adicionalmente, ocurre que al ser un tema tan dinámico, la inversión requerida para este segmento se encuentra siempre en ascenso.
“El presupuesto es el principal problema, especialmente en las industrias que no ven a la seguridad informática como algo vital para su negocio”, resaltó el especialista de EY. Un ejemplo claro es un área de IT que solicita presupuesto para actualizar su sistema informático, y una vez recibido el presupuesto e implementadas las mejoras, vuelve a solicitar recursos para defenderse sobre nuevas amenazas. “Se puede suponer que la respuesta que recibirán es: ‘el mes pasado les ampliamos el presupuesto, este mes lo vamos a destinar a otro departamento’”, explicó Ramos.
Entre los responsables de seguridad informática encuestados, solo 35% se consideraba a la vanguardia, mientras que 65% afirmó que todavía “no están haciendo el máximo esfuerzo posible”. Si bien la encuesta es global, en la Argentina se visualizan tendencias similares, aunque los pisos desde los que se trabajan son muy diferentes. “Cuando te contestan que todavía hay un espacio para crecer, hay que tener en cuenta que esa brecha puede ser más grande o más chica, dependiendo de dónde estemos parados. La Argentina y Latinoamérica en general siempre están más retrasados que los países desarrollados, por ejemplo”, explicó Ramos.
En la mayoría de las organizaciones, las soluciones básicas de seguridad –antivirus, IDS, IPS, encriptación, entre otras– están implementadas. “Hay medidas de seguridad que se convirtieron en commodities, todas las empresas tienen algún tipo de antivirus o firewall, por ejemplo”, resaltó el ejecutivo de EY. Otro commodity es el uso de encriptación.
Sin embargo, con la dinámica de las amenazas, este tipo de medidas no alcanza para tener una solución completa para defenderse de los ataques informáticos. “Hay nuevos ataques y amenazas que no están siendo tenidas en cuenta”, alertó Nicolás Ramos.
El último año fue especialmente activo en cuento a nivel de ataques. 31% de los encuestados afirmó que en los últimos 12 meses el número de incidentes en su organización ha aumentado al menos en 5%. En tanto, 59% reveló que se han incrementado las amenazas externas.
Nuevas tecnologías, nuevas amenazas
“Desde que las compañías son más abiertas a conectarse a otras redes y hay cada vez más procesos automatizados ha cobrado mayor relevancia el tema de la seguridad informática”, detalló Ramos.
Históricamente, las medidas en defensa de los ataques informáticos solían ser solo un problema para aquellas compañías que debían cumplir con exigencias regulatorias. Pero en los últimos años, el incremento de las amenazas y una mayor apertura de las redes empresariales han logrado poner a la seguridad informática como uno de los focos del negocio.
De todos modos, todavía 23% no cuenta con programas para identificación de vulnerabilidades.
Según el informe de EY, la computación móvil –el uso de dispositivos móviles, el BYOD (trae tus propio dispositivo)– y cloud computing –en 45% y 25%, respectivamente– son los principales factores que han elevado la exposición al riesgo durante el último año. Los virus, el spam, el fraude, el robo de información financiera, desastres naturales, ataques internos y espionaje se configuran como otras amenazas que las compañías tienen en la mira como principales riesgos a controlar.
“Uno de los principales temas que trabajamos en EY es que las empresas comiencen a ver al dispositivo móvil como una estación de trabajo. Es algo que no están acostumbradas a hacer”, resaltó Ramos. El informe evaluó el nivel de importancia que le dan las organizaciones a la seguridad sobre aquellas tecnologías que estuvieron en el radar por muchos años y ya se encuentran implementadas. Es así que las tabletas y los smartphones aparecen con 75%, las aplicaciones móviles 71%, las aplicaciones web 66% y las redes sociales 40%. “Si bien son cifras altas, creemos que 75% para los dispositivos móviles es bajo, si tenemos en cuenta el nivel de adopción de esta tecnología”, resaltó el especialista de EY.
La encuesta –finalizada en el segundo semestre de 2013– revelaba que para el este año, las compañías tenían como prioridad los planes de recuperación ante desastres y continuidad del negocio. Ambos aparecieron como temas “top priority” en 68% de los encuestados. Otras tendencias y tecnologías más modernas como “Internet de las cosas”, big data, o dinero digital surgieron como los principales desafíos que deberán afrontar las empresas en materia de seguridad.
La clave: capacitación
La calidad de los recursos humanos encargados de llevar adelante la política de seguridad informática de la compañía es parte vital del éxito del modelo. “Yo siempre digo que la seguridad informática es una cadena. Si se rompe un eslabón, deja de funcionar”, subrayó Nicolás Ramos.
El ejecutivo planteó que en el plano local se está trabajando en la capacitación del personal. “Se están tomando cursos de seguridad y se están realizando certificaciones. Vemos todos estos avances como algo muy positivo”, explicó.
No obstante, la encuesta demuestra que solo 23% de los encuestados calificaron la concientización y la formación componentes clave de las actividades de mejora continua, como su prioridad número uno o dos.
La encuesta de EY afirma que 76% de las organizaciones conducen self assessment (autoevaluación) o solicitan a terceros que las realicen. Específicamente, en 52% de los casos la organización realiza la evaluación de las medidas de seguridad. “Para el caso de la Argentina, se mantienen estas tendencias y la tercerización de la verificación de la seguridad no se encuentra muy desarrollada en la cultura de las organizaciones”, indicó Nicolás Ramos.
Ramos explicó que en los casos que sí hay tercerización, esta tiene su base en la falta de recursos experimentados en el tipo de evaluaciones a realizar. “Las organizaciones encuentran muy costoso el tipo de perfil de recursos que realizan estas evaluaciones y deciden tercerizarlas”, apuntó el ejecutivo.
En el caso de las entidades que están reguladas –con son, por ejemplo, las entidades financieras– la tercerización de la evaluación de las medidas de seguridad informática suele ser una obligación requerida por la legislación. No obstante, según Ramos, “contar con una evaluación por un tercero especializado y reconocido en el mercado puede utilizarse como una herramienta de posicionamiento, similar a lo que ocurre con las certificaciones de calidad”.