Addictware | Noticias de Tecnología - Concientes de riesgos pero incongruentes con planes

Las principales prioridades en las empresas son la implementación de controles más estrictos para proteger los datos sensibles y asegurar la continuidad del negocio.

mcafee logoLa seguridad de la información efectiva es posible solo al crear un Plan de seguridad estratégico (SSP) que incorpore un análisis completo de amenazas y un exhaustivo método de migración de riesgo de seguridad por niveles, destacó el informe Estado de seguridad, de McAfee.

De acuerdo con el estudio, las organizaciones están seguras de identificar la mayoría de las amenazas fundamentales a sus entornos y de saber dónde residen sus datos fundamentales. No obstante, la mayoría no están seguras de cuantificar el posible impacto financiero de un potencial peligro, en caso de que ocurriera. 

Los encuestados consideraron que la conciencia y la protección de la organización contra riesgos de seguridad de información son muy importantes; aunque, 1/3 de las empresas “optimizadas” no están seguras de su postura de seguridad de TI en términos de conciencia y protección. 34% de las empresas cree que no están protegidas adecuadamente contra riesgos de seguridad de información. 

Algunos datos relevantes del informe son:

  • Cuando desarrollan Planes de seguridad estratégicos, las empresas incluyen consideración de posibles amenazas y el riesgo asociado al negocio, y un análisis financiero. Sin embargo, 4 de 5 experimentaron un incidente de seguridad importante en los últimos 12 meses.
  •  Casi 1/3 de las empresas no han adquirido o no han implementado muchas de las tecnologías de seguridad de próxima generación diseñadas para resolver las amenazas actuales. 
  • 2 de cada 5 empresas tiene un plan informal o un plan ad hoc o no cuentan con un plan estratégico de seguridad en funcionamiento. El tamaño de la compañía sí importa cuando se trata de tener un plan de seguridad estratégico formal. 6 de cada 10 empresas poseen SSP formales, 2 de cada 3 compañías de tamaño mediano cuentan con un SSP formal, mientras que esta relación cae a solo 1 de cada 2 empresas pequeñas.
  • Existe mayor probabilidad de que las organizaciones de América del Norte y Alemania tengan Planes de seguridad estratégicos formales, en comparación con otras regiones del mundo, probablemente a causa de los entornos regulatorios de estos países. 

Para este 2012, una de las principales prioridades es la implementación de controles más estrictos para proteger los datos sensibles y asegurar la continuidad del negocio. 

La menor prioridad es reducir el capital y los gastos operacionales para infraestructura de seguridad, lo que indica que las empresas tienen como objetivo invertir en el tipo de soluciones de seguridad que requieren. 

En este informe, los encuestados se clasificaron en diversos estados de madurez de seguridad, que ayudaron a comprender la mentalidad de las empresas cuando ven la seguridad de la información de la empresa. 

Se utilizaron diversos términos para describir el nivel de madurez en cuanto a la seguridad de las empresas:

  • Reactivo: usa un método ad hoc para definir procesos de seguridad y es impulsado por los eventos. 9% de las empresas dice estar en esta etapa.
  • Cumplimiento: tiene algunas políticas vigentes, pero no cuenta con estandarización real entre las políticas de seguridad. La organización se adhiere a ciertos estándares de seguridad o al mínimo requerido. 32% de las empresas asegura estar en esta etapa.
  • Proactivo: sigue políticas estandarizadas, se rige de manera centralizada y tiene un nivel de integración entre algunas soluciones de seguridad. 43% considera estar en esta etapa.
  • Optimizado: sigue las mejores prácticas de la industria de seguridad y se adhiere estrictamente a la política corporativa. La organización utiliza soluciones de seguridad automatizadas, las cuales están muy bien integradas en toda la empresa. 16% de las empresas encuestadas dicen estar en esta etapa.

Jill Kyte, vicepresidente de McAfee, precisó que las empresas necesitan adoptar un método por niveles en cuanto a seguridad y usar procesos y soluciones diseñados para evitar ser afectados. “Las empresas dan acceso a su red a socios de negocios y empleados y, en algunos casos, incluso a clientes. Los trabajadores acceden remotamente a la red de la empresa a través de dispositivos móviles, muchos de los cuales son de propiedad personal y no son controlados por la empresa a cuya red ellos acceden. Los datos y aplicaciones se mueven a entornos de nube pública e híbrida, donde los propietarios de los datos poseen poco control directo sobre la seguridad, y todo esto requiere que una empresa cuente con un Plan de seguridad estratégico”, comentó el vicepresidente.

Si bien las empresas trabajan en sus planes de seguridad estratégicos y están colocando sus mejores esfuerzos para proteger los sistemas comerciales y los datos fundamentales, aún hay mucho por mejorar como es:

  • Subir al nivel más alto de madurez en cuanto a seguridad.
  • La participación de los ejecutivos es fundamental. Es importante tener los conocimientos de quienes comprenden mejor los sistemas comerciales y los datos que utilizan.
  • Probar tempranamente, probar a menudo y realizar los ajustes necesarios. ¿Qué tiene de bueno un plan que se desarrolla y se deja en un estante? ¿Si nunca se prueba?
  • Utilizar sabiamente las asignaciones de presupuesto.
  • Usar las herramientas adecuadas para las amenazas actuales.
  • Centrarse en proteger el alma de la empresa: los datos corporativos sensibles.