Informe de McAfee
El informe “Estado de la seguridad” de McAfee afirma que las
organizaciones reconocen una escasa presencia de los cibercriminales.
Sin embargo, el 79% experimentó un importante incidente de seguridad en
los últimos 12 meses.
McAfee presenta el informe sobre el “Estado de la seguridad” que
refleja cómo los directores de TI ven el reto de proteger la información
en un entorno empresarial, cada vez más complejo y global. También
revela las prioridades, prácticas y tecnologías relacionadas con la
seguridad de las compañías de TI para 2012. Puesto que se amplía el
entorno de los datos corporativos, la seguridad de la información es
posible solo creando un Plan de Seguridad Estratégico (SSP) que
incorpora análisis de amenazas y mitigación de riesgos de la seguridad
por capas. La encuesta identifica algunas de las tendencias clave a las
que se enfrentan las empresas en el desarrollo de sus planes de
seguridad estratégicos.
Madurez de la seguridad
Los encuestados se identificaron con distintos estados de madurez de la
seguridad. Estas categorías nos ayudan a entender la mentalidad de las
compañías en lo que se refiere a la seguridad de la información
empresarial. Los siguientes términos describen el nivel de madurez de la
seguridad de las organizaciones que participan en la encuesta:
-
Reactiva: utiliza un enfoque ad hoc para definir
los procesos de seguridad. El 9% de los encuestados declararon
encontrarse en este estado.
-
Conformista: cuenta con algunas políticas pero no
existe una estandarización real de todas las políticas de seguridad. La
organización se adhiere a algunos estándares de seguridad o a los
mínimos requeridos. El 32% de las compañías encuestadas afirman
encontrarse en este estado.
-
Proactivo: sigue las políticas estandarizadas,
tiene una gestión centralizada y un grado de integración de todas las
soluciones de seguridad. El 43% de las compañías encuestadas afirma
encontrarse en este estado.
-
Optimizado: sigue las mejores prácticas de
seguridad de la industria y mantiene una estricta adherencia a las
políticas corporativas. La organización utiliza soluciones de seguridad
que están altamente integradas en todos los niveles de la empresa. El
16% de las empresas encuestadas afirma encontrarse en este estado.
“Cada organización deber tener un enfoque de seguridad por capas,
utilizando procesos y soluciones diseñadas para prevenir la puesta en
peligro. Además, el hecho de que la empresa vaya mucho más allá de la
paredes de la oficina y del perímetro de los firewalls complica la
gestión de riesgos y protección de los datos” afirma Jill Kyte,
vicepresidente de McAfee. “Las compañías están dando acceso a las redes a
sus partners y trabajadores, y en algunos casos, a los clientes. Los
empleados acceden a la red corporativa utilizando los dispositivos
móviles, muchos de los cuales, son de su propiedad y, por tanto, la
compañía no controla a qué redes acceden. Por otra parte, los datos y
las aplicaciones están siendo trasladados a entornos virtuales híbridos y
públicos en los que los propietarios de los datos tienen control
directo sobre la seguridad. Todo esto requiere que la empresa tenga un
plan de seguridad estratégico.”
Principales conclusiones:
- Las organizaciones identifican las amenazas más críticas de sus
entornos y conocen el lugar donde residen sus datos críticos. Sin
embargo, la mayoría de las compañías no están seguros de cuantificar el
impacto económico de una brecha, en caso de que ocurriera.
- La conciencia organizacional y la protección contra los riesgos de
la seguridad de la información es muy importante. Sin embargo, un tercio
de las compañías “optimizadas” no están seguras de su posición ante la
seguridad en términos de conciencia y protección.
- A pesar de tener planes estratégicos, el 34% de las compañías cree
que no están adecuadamente protegidos contra los riesgos de seguridad de
la información que podrían impactar en sus negocios.
- La mayoría de los encuestados afirma que han desarrollado un plan
de seguridad estratégico, que incluye potenciales amenazas y riesgos
asociados a la empresa y análisis financiero. Sin embargo, 4 de 5
empresas han experimentado un incidente importante de seguridad en los
últimos 12 meses.
- Casi un tercio de las organizaciones encuestadas o no han adquirido
o no han implementado muchas de las tecnologías de seguridad de próxima
generación diseñadas para las amenazas de hoy en día. A pesar de que
más del 80% de las organizaciones identifica malware, spyware y virus
como principal amenaza de seguridad.
- Dos de cada cinco organizaciones tienen o un plan informal o ad hoc
o no existe ningún plan estratégico de seguridad. El tamaño de la
organización es importante cuando se trata de contar con un plan
estratégico de seguridad formal. 6 de cada 10 grandes empresas tiene un
plan formal, 2 de cada 3 medianas tiene un plan formal, mientras que
solo lo tiene una de cada 2 pequeñas empresas.
- Las empresas de Norteamérica y Alemania están más concienciadas
sobre la necesidad de tener un plan formal que las empresas de otras
regiones del mundo. Esto podría atribuirse a los entornos de regulación
de dichos países.
- Las prioridades para 2012 incluyen la implementación de controles
para proteger los datos confidenciales y para garantizar la continuidad
de la actividad empresarial. La menor prioridad es reducir el capital y
los gastos operativos de seguridad de las infraestructuras, que a su vez
indica que las organizaciones están dispuestas a gastar en soluciones
de seguridad.
Conclusiones
Mientras las organizaciones trabajan en sus planes de seguridad
estratégicos y se esfuerzan en proteger sus sistemas empresariales y
datos críticos, queda mucho por hacer.
- Alcanzar un mayor nivel de madurez en lo que se refiere a
seguridad. Solo el 16% de los encuestados sitúa a su organización en un
nivel óptimo. Peor es el hecho de que el 9% de las organizaciones son
reactivas en su enfoque de la seguridad TI
.
- La involucración ejecutiva es crucial. Mientras los TI y el
personal de seguridad desarrollan el plan, es importante contar con los
conocimientos de aquellas personas que mejor conocen los sistemas
empresariales y los datos que usan. La participación de los ejecutivos
es crítica para inculcar la importancia de la seguridad a toda la
organización.
- Analiza pronto, con frecuencia y realiza los ajustes necesarios.
¿De qué sirve un plan si no se implanta? Desafortunadamente, el 29% de
las compañías “conformistas” nunca harían un simulacro de la respuesta
que darían ante un incidente. Es más, el hecho de que el 79% de las
compañías encuestadas tuviera incidentes de seguridad el año pasado,
indica que hay agujeros en los planes de seguridad.
- Utiliza las asignaciones presupuestarias con prudencia. A todos los
directores les gustaría tener un gran presupuesto para poder aplicar
más protección, las compañías optimizadas tratan de obtener el mejor
nivel de rendimiento con el mismo nivel presupuestario, ya que las
empresas son menos prudentes con sus presupuestos.
- Utiliza las herramientas adecuadas para las actuales amenazas. La
encuesta muestra que el 45% de las compañías no han implementado la
próxima generación de firewalls. La seguridad móvil es otra área que no
debería ser ignorada, ya que el 25% de las organizaciones no han
adquirido ninguna herramienta para este fin.
- Protegiendo el ADN de la compañía – los datos corporativos
confidenciales. Las principales prioridades para 2012 incluyen la
implementación de importantes controles para proteger datos
confidenciales y garantizar la continuidad de la actividad empresarial.
Además, la alta prioridad de las actividades significa la mejora de cada
organización ante la seguridad. Esto es esperanzador porque sin
reconocer ni mitigar las amenazas de seguridad, una empresa puede ser la
siguiente en ocupar titulares – y nadie quiere ostentar ese dudoso
honor.
La encuesta
La encuesta ha sido liderada por Evaluserve e incluye respuestas de 495
organizaciones. Los países incluidos son: Estados Unidos, Canadá, Reino
Unido, Alemania, Francia, Brasil, Australia, Singapur y Nueva Zelanda.
Las empresas encuestadas tienen entre 1.000 y 50.000 empleados. El
informe está disponible en
www.mcafee.com
