Seguridad en las empresas: una preocupación cada vez mayor

“Las amenazas externas abarcan alrededor del 75 por ciento, convirtiéndose en un gran desafío”, asegura David Jarvis, autor del último estudio de IBM sobre seguridad informática y Senior Consultant en el Centro de IBM for Applied Insights. Con el fin de estudiar las estrategias de los líderes de seguridad de organizaciones de todo el mundo, la Big Blue realizó entrevistas a 138 responsables de seguridad de la información del ámbito corporativo —algunos de ellos con el cargo formal de Chief Information Security Officer (CISO) —. En 2011, el sector empresarial experimentó la segunda cifra más alta de pérdidas de datos desde 2004.

Entre las principales conclusiones del estudio “Encontrando una voz estratégica. Conclusiones de la Evaluación IBM Chief Information Security Officer 2012” [PDF], constan el hecho de que los líderes empresariales están cada vez más preocupados por la seguridad, que la atención se está desplazando hacia la gestión del riesgo, las amenazas externas son el principal desafío, hay mayor foco en la protección de dispositivos móviles y se proyecta un mayor gasto en seguridad en las organizaciones.

Pero, ¿qué lugar ocupa la seguridad informática en los presupuestos de IT? Para Edgardo Sajón, socio de la consultora PwC Argentina, la importancia de la seguridad informática es razón suficiente como para destinar entre el 15 y el 20 por ciento del presupuesto de IT a esta problemática. “Es un tema relevante porque puede implicar el manejo de información confidencial de clientes”, indica.

Sven Barlsen, gerente Senior de IT Management de Mercedes Benz, asigna entre un 2 y un 3 por ciento del presupuesto a seguridad informática. Y detalla que entre sus principales preocupaciones se encuentran la gran cantidad de normas corporativas existentes, la concientización de los usuarios y la necesidad de evitar vulnerabilidades debido a la gran variedad de tecnología utilizada en la empresa.
Jarvis destaca la necesidad de evitar “amenazas internas como las contraseñas inseguras y la falta de actualización del software, lo que abre inevitablemente la puerta a las intrusiones”. Sin embargo, los problemas empiezan desde arriba. Un estudio de Core Security, realizado entre 100 CEOs y 100 CISOs de distintas empresas, manifiesta la falta de visibilidad por parte de la alta gerencia sobre posibles ataques informáticos que pueden sufrir su infraestructura de IT. Y establece que sólo el 15 por ciento de los CEOs se muestra realmente preocupado por dicha posibilidad.

La privacidad de los datos y las instrucciones también son temas preocupantes para Deomar Sager, gerente de IT de Avon para el Grupo de Mercados Sur. Y reconoce que las amenazas más habituales son los virus informáticos, tanto a nivel interno como externo. “La tasa de detección de virus en el equipamiento es de 900 a 1.200 virus por día”, asegura.

Sager considera que, si bien las amenazas externas son prioritarias para la protección y reclaman inversión constante en equipamiento como firewalls y sistemas de bloqueos a sitios en la Web, cree que no se puede minimizar el riesgo interno, en especial relacionado con el manejo de información confidencial.

Mauro Cavalieri, coordinador de IT de la empresa BIC, cuenta que los ataques que sufrió la compañía en el último tiempo fueron en su mayoría externos, tanto por intromisiones de hackers como por presencia de virus. “Ataques internos no ocurrieron gracias a nuestra política de seguridad en accesos y a nivel VPN (red privada virtual)”, afirma.

Barlsen manifiesta que hasta hace poco las aplicaciones tenían relativamente pocos puntos de contacto con el mundo exterior, pero que eso ha cambiado. “Cada vez más aplicaciones e información son compartidas con el mundo exterior, por lo que debemos priorizar esa área, donde además tenemos un control limitado, ya que hay que abarcar el uso de redes privadas pero también públicas, de las cuales no somos los dueños”, admite.

Empresas… ¿preparadas?

El estudio de IBM identificó tres tipos de líderes de seguridad: Influenciadores, Protectores y Reactivos. Del total de los encuestados, el 25 por ciento pertenece al primer grupo y son quienes ven la seguridad en sus empresas como progresiva. Estos líderes tienen influencia en los negocios y una voz autorizada en la empresa. Por su parte, los Protectores ocupan casi la mitad de la muestra.

Reconocen la importancia de la seguridad de la información como una estrategia prioritaria. Sin embargo, carecen de visión y de la autonomía presupuestaria necesaria para transformar completamente la seguridad en sus empresas.

Finalmente, los Reactivos (Responders, en el original) trabajan para proteger la organización y cumplir con las regulaciones y estándares, pero luchan para hacer un salto estratégico. Es posible que todavía no cuenten con los recursos o la influencia como para lograr un cambio significativo.

Un tema que suele preocupar a los CISOs o responsables de seguridad informática es la recuperación de los datos ante un incidente. En BIC se realiza un back-up diariamente, cuenta Cavalieri, que permite, si fuese necesario, hacer una restauración. Además, hay pruebas de restauraciones mensuales.

Avon realiza un circuito de back-up diario y semanal. En tanto, PwC tiene dos data center en la Argentina y, además, cuenta con un sistema de recuperación de desastres a nivel global para toda la información que administran.

Asimismo, en la filial local de Mercedes Benz tienen un plan de contingencia para la recuperación de datos en caso de sufrir una intromisión. “De ser necesario, también realizamos un análisis forense para definir la gravedad del suceso”, agrega Barlsen.

Del CISO a la nube

La figura del CISO aún no está presente en buena parte de las empresas. En los casos de BIC y Avon no existe un CISO a nivel local, aunque sí a escala global.

En PwC, aunque siguen una estrategia global de seguridad de la información y protección de los datos, en la Argentina cuentan con un Comité de Seguridad y Protección de Datos Personales, que está integrado por distintas áreas, como Recursos Humanos, Tecnología, Legales y Consultoría, entre otras.

En Mercedes Benz, en cambio, existe la figura de un LISO (Local Information Security Officer) cuya responsabilidad es gestionar la seguridad informática a nivel local. Pero, en la Argentina, tanto las tareas de CIO y CISO son realizadas por la misma persona: Barlsen. Sin embargo, cuentan con un staff adicional para llevar adelante en forma operativa los temas relacionados con la seguridad de la información.

Aunque en el estudio de IBM no se contempló la categoría de cloud computing, Jarvis considera que es relevante para los CISOs y otros líderes de seguridad entender y comunicar los desafíos que presenta para la organización. Además, resalta la importancia de definir cuáles serán las responsabilidades de usuario y proveedor ante un eventual conflicto.

Para Sager, de Avon, la computación en la nube permite bajar los costos pero, en términos de seguridad, dicho método agrega complejidad y un riesgo adicional. “Al encontrase la información distribuida a nivel de la nube se debe considerar un sistema de seguridad que garantice la integración e invulnerabilidad de la información que va y viene entre la nube y los sistemas corporativos.”

Vanina Zugowitki
Fuente: Info Technology

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: