El informe ‘Estado de seguridad’ muestra que las organizaciones reconocen una omnipresencia y una capacidad de recuperación de los delincuentes cibernéticos, sin embargo, 79% experimentaron un importante incidente en los últimos 12 meses.
Lima, Perú, 09 de Marzo 2012.– McAfee anunció hoy el informe Estado de seguridad, el cual muestra cómo los responsables de la toma de decisiones de TI ven los retos de asegurar los activos de información en un entorno comercial global altamente regulado y cada vez más complejo. También revela las prioridades en cuanto a seguridad de TI de las empresas con respecto a procesos, prácticas y tecnología para 2012. A medida que se expande el entorno de datos corporativos, la seguridad de la información efectiva es posible solo al crear un Plan de seguridad estratégico (SSP, por sus siglas en inglés), que incorpore un completo análisis de amenazas y un exhaustivo método de migración de riesgo de seguridad por niveles. El objetivo de la encuesta era identificar algunas de las tendencias clave que enfrentan las empresas en el desarrollo de sus planes de seguridad estratégicos.
Madurez de seguridad
Los encuestados se clasificaron en diversos estados de madurez de seguridad. Estas clasificaciones ayudan a comprender la mentalidad de las empresas cuando ven la seguridad de la información de la empresa. Los términos a continuación se usan para describir el nivel de madurez en cuanto a la seguridad de las organizaciones que participaron:
- Reactivo: usa un método ad hoc para definir procesos de seguridad y es impulsado por los eventos. 9% de las empresas encuestadas dicen estar en esta etapa.
- Cumplimiento: tiene algunas políticas vigentes, pero no cuenta con estandarización real entre las políticas de seguridad. La organización se adhiere a ciertos estándares de seguridad o al mínimo requerido. 32% de las empresas encuestadas dicen estar en esta etapa.
- Proactivo: sigue políticas estandarizadas, se rige de manera centralizada y tiene un nivel de integración entre algunas soluciones de seguridad. 43% de las empresas encuestadas dicen estar en esta etapa.
- Optimizado: sigue las mejores prácticas de la industria de seguridad y se adhiere estrictamente a la política corporativa. La organización utiliza soluciones de seguridad automatizadas, las cuales están muy bien integradas en toda la empresa. 16% de las empresas encuestadas dicen estar en esta etapa.
“Toda organización necesita adoptar un método por niveles en cuanto a seguridad, y utilizar procesos y soluciones diseñados para evitar el compromiso. El hecho de que “la empresa” ahora se amplía más allá de las paredes de la oficina y de los firewalls perimetrales complica aún más el reto de administrar el riesgo y asegurar los datos”, señaló Jill Kyte, vicepresidente de McAfee. “Las empresas están proporcionando acceso a la red a partners de negocios y trabajadores contratados y, en algunos casos, incluso a clientes. Los trabajadores acceden remotamente a la red de la empresa a través de dispositivos móviles, muchos de los cuales son de propiedad personal y no son controlados por la empresa a cuya red ellos acceden. Además, los datos y aplicaciones se mueven a entornos de nube pública e híbrida, donde los propietarios de los datos poseen poco control directo sobre la seguridad, y todo esto requiere que una empresa cuente con un Plan de seguridad estratégico”.
Los resultados clave incluidos:
- Las organizaciones están seguras de identificar la mayoría de las amenazas fundamentales a sus entornos y de saber dónde residen sus datos fundamentales. Sin embargo, la mayoría de las empresas no están seguras de cuantificar el posible impacto financiero de un potencial peligro, en caso de que ocurriera.
- La conciencia y la protección de la organización contra riesgos de seguridad de información son muy importantes. No obstante, un tercio de las empresas “optimizadas” no están seguras de su postura de seguridad de TI en términos de conciencia y protección. A pesar de tener planes estratégicos formales, 34% de las empresas creen que no están protegidas adecuadamente contra riesgos de seguridad de información, lo cual podría afectar su negocio.
- La gran mayoría de los encuestados señalaron que cuando desarrollan Planes de seguridad estratégicos, incluyen consideración de posibles amenazas y el riesgo asociado al negocio, además de un análisis financiero. Sin embargo, cuatro de cinco de las empresas experimentaron un incidente de seguridad importante en los últimos 12 meses.
- Casi un tercio de las organizaciones encuestadas no han adquirido o aún no han implementado muchas de las tecnologías de seguridad de próxima generación que están diseñadas para resolver las amenazas actuales. A pesar de que más de 80% de las organizaciones identifican el malware, el spyware y los virus como las principales amenazas a la seguridad.
- Dos de cada cinco organizaciones poseen un plan informal o un plan ad hoc o no cuentan con un plan estratégico de seguridad en funcionamiento. El tamaño de la organización sí importa cuando se trata de tener un plan de seguridad estratégico formal. Seis de cada diez empresas grandes poseen SSP formales, dos de cada tres empresas de tamaño mediano cuentan con un SSP formal, mientras que esta relación cae a solo una de cada dos empresas pequeñas.
- Existen una mayor probabilidad de que las organizaciones de América del Norte y Alemania cuenten con Planes de seguridad estratégicos formales que las organizaciones de otras regiones del mundo. Esto podría atribuirse a los entornos regulatorios en estos países.
- Entre las principales prioridades para 2012 se incluye la implementación de controles más estrictos para proteger los datos sensibles y asegurar la continuidad del negocio. La menor prioridad es reducir el capital y los gastos operacionales para infraestructura de seguridad, lo cual, a su vez, indica que las organizaciones tienen como objetivo invertir en el tipo de soluciones de seguridad adecuado.
Conclusiones
Si bien las organizaciones están trabajando en sus planes de seguridad estratégicos y están colocando sus mejores esfuerzos para proteger los sistemas comerciales y los datos fundamentales, existe mucho que mejorar a lo largo del trayecto.
- Subir al nivel más alto de madurez en cuanto a seguridad. Solo 16% de los encuestados clasifican sus organizaciones en el nivel “optimizado”. Peor, sin embargo, es el hecho de que 9% de las organizaciones son “reactivas” en su enfoque en cuanto a seguridad de TI.
- La participación de los ejecutivos es fundamental. Si bien el personal de TI y de seguridad puede tomar el liderazgo en cuanto a desarrollar el plan, es importante tener los conocimientos de quienes comprenden mejor los sistemas comerciales y los datos que utilizan. Además, la participación de los ejecutivos es fundamental para definir el tono para la importancia de la seguridad dentro de la organización.
- Probar tempranamente, probar a menudo y realizar los ajustes necesarios. ¿Qué tiene de bueno un plan que se desarrolla y se deja en un estante? ¿Si nunca se prueba? Desafortunadamente aprendimos que 29% de las empresas de “cumplimiento” nunca prueban cómo responderían ante un incidente. Más aún, el hecho de que 79% de las empresas encuestadas tuvieron incidentes de seguridad el año pasado indica que hay vacíos en los planes de seguridad que se deben corregir.
- Utilizar sabiamente las asignaciones de presupuesto. Si bien todo gerente quisiera tener un presupuesto mayor para poder aplicar mayor protección, las empresas “optimizadas” han descubierto formas de alcanzar el nivel más alto de rendimiento con el mismo nivel de fondos (porcentualmente) que las empresas que son menos prudentes con sus presupuestos.
- Utilizar las herramientas adecuadas para las amenazas actuales. La encuesta muestra que 45% de las empresas no han implementado los firewalls de próxima generación. La seguridad móvil es otra área que no se debe ignorar, sin embargo, 25% de las organizaciones no han adquirido ninguna herramienta para este fin.
- Centrarse en proteger el alma de la empresa: los datos corporativos sensibles. Entre las principales prioridades para 2012 se incluye la implementación de controles más estrictos para proteger los datos sensibles y asegurar la continuidad del negocio. Las actividades de alta prioridad adicionales tienen como objetivo mejorar la postura general en cuanto a seguridad de cada organización. Esto es alentador porque sin el reconocimiento oportuno y la migración de amenazas a la seguridad, una organización podría transformarse en el próximo titular noticioso, y nadie desearía esa dudosa distinción.
Acerca de la encuesta
La encuesta fue realizada por Evaluserve e incluyó respuestas de 495 organizaciones. Los países incluidos en la encuesta fueron: Estados Unidos, Canadá, Reino Unido, Alemania, Francia, Brasil, Australia, Singapur y Estados Unidos, Canadá, Reino Unido, Alemania, Francia, Brasil, Australia, Singapur y varió en tamaño de un mínimo de 1000 empleados a más de 50,000 empleados. El informe se encuentra disponible en: www.mcafee.com/ssp
Acerca de McAfee
McAfee, subsidiaria en propiedad absoluta de Intel Corporation (NASDAQ:INTC), es la empresa dedicada a la tecnología de seguridad más grande del mundo. McAfee proporciona soluciones y servicios comprobados y proactivos que ayudan a proteger sistemas, redes y dispositivos móviles en todo el mundo, lo que permite a los usuarios conectarse a Internet, navegar y comprar en la web con mayor seguridad. Respaldado por su inigualable solución Global Threat Intelligence, McAfee crea productos innovadores que brindan a usuarios domésticos, empresas, sector público y prestadores de servicios la capacidad de cumplir regulaciones, proteger sus datos, evitar interrupciones, identificar vulnerabilidades y supervisar y mejorar continuamente la seguridad. McAfee se centra sin descanso en encontrar constantemente nuevas formas de mantener seguros a nuestros clientes. http://www.mcafee.com
Acerca de Evalueserve
Evalueserve es un especialista mundial en procesos de conocimiento con un equipo de más de 2600 profesionales en el mundo. Como partner confiable, Evalueserve analiza, mejora y ejecuta procesos que incluyen gran cantidad de conocimientos y aprovecha su tecnología dedicada para aumentar la eficiencia y la eficacia. Contamos con equipos especialistas en terreno y centros de conocimientos globales escalables en Chile, China, India y Rumania, lo cual proporciona servicios en diversas zonas horarias y en varios idiomas.
Las soluciones de conocimientos de Evalueserve incluyen investigación personalizada y servicios de análisis para empresas de vanguardia en el mundo. Al asociarse con nosotros, los clientes se benefician de una mayor productividad, calidad mejorada y tiempo liberado de administración. Proporcionamos a nuestros clientes un mejor acceso a conocimientos e información en todas partes de su organización, lo cual se añade, de este modo, a sus capacidades.