El informe “Estado de la seguridad" de McAfee afirma que las organizaciones reconocen una escasa presencia de los cibercriminales. Sin embargo, el 79% experimentó un importante incidente de seguridad en los últimos 12 meses.
Diario Ti: McAfee presenta el informe sobre el “Estado de la seguridad" que refleja cómo los directores de TI ven el reto de proteger la información en un entorno empresarial, cada vez más complejo y global. También revela las prioridades, prácticas y tecnologías relacionadas con la seguridad de las compañías de TI para 2012. Puesto que se amplía el entorno de los datos corporativos, la seguridad de la información es posible solo creando un Plan de Seguridad Estratégico (SSP) que incorpora análisis de amenazas y mitigación de riesgos de la seguridad por capas. La encuesta identifica algunas de las tendencias clave a las que se enfrentan las empresas en el desarrollo de sus planes de seguridad estratégicos.
Madurez de la seguridad
Los encuestados se identificaron con distintos estados de madurez de la seguridad. Estas categorías nos ayudan a entender la mentalidad de las compañías en lo que se refiere a la seguridad de la información empresarial. Los siguientes términos describen el nivel de madurez de la seguridad de las organizaciones que participan en la encuesta:
- Reactiva: utiliza un enfoque ad hoc para definir los procesos de seguridad. El 9% de los encuestados declararon encontrarse en este estado.
- Conformista: cuenta con algunas políticas pero no existe una estandarización real de todas las políticas de seguridad. La organización se adhiere a algunos estándares de seguridad o a los mínimos requeridos. El 32% de las compañías encuestadas afirman encontrarse en este estado.
- Proactivo: sigue las políticas estandarizadas, tiene una gestión centralizada y un grado de integración de todas las soluciones de seguridad. El 43% de las compañías encuestadas afirma encontrarse en este estado.
- Optimizado: sigue las mejores prácticas de seguridad de la industria y mantiene una estricta adherencia a las políticas corporativas. La organización utiliza soluciones de seguridad que están altamente integradas en todos los niveles de la empresa. El 16% de las empresas encuestadas afirma encontrarse en este estado.
“Cada organización deber tener un enfoque de seguridad por capas, utilizando procesos y soluciones diseñadas para prevenir la puesta en peligro. Además, el hecho de que la empresa vaya mucho más allá de la paredes de la oficina y del perímetro de los firewalls complica la gestión de riesgos y protección de los datos" afirma Jill Kyte, vicepresidente de McAfee. “Las compañías están dando acceso a las redes a sus partners y trabajadores, y en algunos casos, a los clientes. Los empleados acceden a la red corporativa utilizando los dispositivos móviles, muchos de los cuales, son de su propiedad y, por tanto, la compañía no controla a qué redes acceden. Por otra parte, los datos y las aplicaciones están siendo trasladados a entornos virtuales híbridos y públicos en los que los propietarios de los datos tienen control directo sobre la seguridad. Todo esto requiere que la empresa tenga un plan de seguridad estratégico."
Principales conclusiones:
- Las organizaciones identifican las amenazas más críticas de sus entornos y conocen el lugar donde residen sus datos críticos. Sin embargo, la mayoría de las compañías no están seguros de cuantificar el impacto económico de una brecha, en caso de que ocurriera.
- La conciencia organizacional y la protección contra los riesgos de la seguridad de la información es muy importante. Sin embargo, un tercio de las compañías “optimizadas" no están seguras de su posición ante la seguridad en términos de conciencia y protección.
- A pesar de tener planes estratégicos, el 34% de las compañías cree que no están adecuadamente protegidos contra los riesgos de seguridad de la información que podrían impactar en sus negocios.
- La mayoría de los encuestados afirma que han desarrollado un plan de seguridad estratégico, que incluye potenciales amenazas y riesgos asociados a la empresa y análisis financiero. Sin embargo, 4 de 5 empresas han experimentado un incidente importante de seguridad en los últimos 12 meses.
- Casi un tercio de las organizaciones encuestadas o no han adquirido o no han implementado muchas de las tecnologías de seguridad de próxima generación diseñadas para las amenazas de hoy en día. A pesar de que más del 80% de las organizaciones identifica malware, spyware y virus como principal amenaza de seguridad.
- Dos de cada cinco organizaciones tienen o un plan informal o ad hoc o no existe ningún plan estratégico de seguridad. El tamaño de la organización es importante cuando se trata de contar con un plan estratégico de seguridad formal. 6 de cada 10 grandes empresas tiene un plan formal, 2 de cada 3 medianas tiene un plan formal, mientras que solo lo tiene una de cada 2 pequeñas empresas.
- Las empresas de Norteamérica y Alemania están más concienciadas sobre la necesidad de tener un plan formal que las empresas de otras regiones del mundo. Esto podría atribuirse a los entornos de regulación de dichos países.
- Las prioridades para 2012 incluyen la implementación de controles para proteger los datos confidenciales y para garantizar la continuidad de la actividad empresarial. La menor prioridad es reducir el capital y los gastos operativos de seguridad de las infraestructuras, que a su vez indica que las organizaciones están dispuestas a gastar en soluciones de seguridad.
Conclusiones
Mientras las organizaciones trabajan en sus planes de seguridad estratégicos y se esfuerzan en proteger sus sistemas empresariales y datos críticos, queda mucho por hacer.
- Alcanzar un mayor nivel de madurez en lo que se refiere a seguridad. Solo el 16% de los encuestados sitúa a su organización en un nivel óptimo. Peor es el hecho de que el 9% de las organizaciones son reactivas en su enfoque de la seguridad TI.
- La involucración ejecutiva es crucial. Mientras los TI y el personal de seguridad desarrollan el plan, es importante contar con los conocimientos de aquellas personas que mejor conocen los sistemas empresariales y los datos que usan. La participación de los ejecutivos es crítica para inculcar la importancia de la seguridad a toda la organización.
- Analiza pronto, con frecuencia y realiza los ajustes necesarios. ¿De qué sirve un plan si no se implanta? Desafortunadamente, el 29% de las compañías “conformistas" nunca harían un simulacro de la respuesta que darían ante un incidente. Es más, el hecho de que el 79% de las compañías encuestadas tuviera incidentes de seguridad el año pasado, indica que hay agujeros en los planes de seguridad.
- Utiliza las asignaciones presupuestarias con prudencia. A todos los directores les gustaría tener un gran presupuesto para poder aplicar más protección, las compañías optimizadas tratan de obtener el mejor nivel de rendimiento con el mismo nivel presupuestario, ya que las empresas son menos prudentes con sus presupuestos.
- Utiliza las herramientas adecuadas para las actuales amenazas. La encuesta muestra que el 45% de las compañías no han implementado la próxima generación de firewalls. La seguridad móvil es otra área que no debería ser ignorada, ya que el 25% de las organizaciones no han adquirido ninguna herramienta para este fin.
- Protegiendo el ADN de la compañía – los datos corporativos confidenciales. Las principales prioridades para 2012 incluyen la implementación de importantes controles para proteger datos confidenciales y garantizar la continuidad de la actividad empresarial. Además, la alta prioridad de las actividades significa la mejora de cada organización ante la seguridad. Esto es esperanzador porque sin reconocer ni mitigar las amenazas de seguridad, una empresa puede ser la siguiente en ocupar titulares – y nadie quiere ostentar ese dudoso honor.
La encuesta
La encuesta ha sido liderada por Evaluserve e incluye respuestas de 495 organizaciones. Los países incluidos son: Estados Unidos, Canadá, Reino Unido, Alemania, Francia, Brasil, Australia, Singapur y Nueva Zelanda. Las empresas encuestadas tienen entre 1.000 y 50.000 empleados. El informe está disponible en www.mcafee.com
Ilustración: McAfee
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.