93 - Estudios y Informes sobre estados globales de la Seguridad de la Información - 14/02/2009


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Tres de las principales consultoras internaciones especializadas en realizar estudios sobre distintos aspectos de la información han publicado sus informes y conclusiones sobre el estado global de la Seguridad de la Información a finales de 2008 y principios de 2009.

Los informes publicados en inglés estudian diversos aspectos y extraen diversas conclusiones que se pueden resumir en la siguiente frase: "los responsables de seguridad estamos durmiendo"...

Por un lado PricewaterhouseCoopers entrevisto alrededor de 7000 ejecutivos extrayendo los siguientes datos:

  • Los niveles de seguridad implementados siguen siendo reactivos, necesitando justamente que los procesos implementados deban ser proactivos y que permitan la prevención de problemas, vulnerabilidades y desastres.
  • No se dedican esfuerzos y fondos necesarios para implementar medidas de seguridad, siendo marketing y recursos humanos las áreas a las que se destina mayor cantidad de recursos.
  • Se sigue invirtiendo en mayor cantidad de recursos tecnológicos como cifrado, backup, sistemas de detección de intrusos, firewall, etc., sin considerar como parte del proceso al personal, la estrategia y la gestión, siendo estos los principales problemas que se enfrentaron con casos millonarios de fuga de información en empresas del top 50.
  • Los medios utilizados para los delincuentes siguen siendo los triviales, muy conocidos pero altamente efectivos en personal sin concientización (ingeniería social, phishing, malware, robo de laptops, etc.).
  • Los entrevistados sostienen que crecieron los procesos de concientización (planes de Awarness) dentro de las organizaciones.
  • Los regulaciones y políticas internaciones -como Health Insurance Portability and Accountability Act (HIPPA), Sarbanes-Oxley (SOX) o Payment Card Industry (PCI)- empujan a las empresas hacia la gestión de la seguridad de la información.
  • Uno de los puntos más preocupantes es aquel que menciona que pocas organizaciones tienen una conciencia sobre las empresas externas que utilizan sus datos y muchas de ellas ni siquiera conoce o le exige cumplir las políticas de privacidad o due diligence a esas otras empresas. El principal motivo que se exhibe en este caso es el costo asociado a verificar esta información.
  • Sólo 2 de 10 empresas consideran la clasificación de la información como parte del proceso en la implementación de políticas de seguridad.
  • Se comienza a ver un lento proceso por el cual el presupuesto de seguridad es administrado por áreas funcionales en decremento de áreas de tecnología como sucedía hace tiempo.
  • Sigue siendo difícil determinar la forma en que se produjo una brecha de seguridad. En este aspecto, la ignorancia es el principal factor a mitigar.

Ernst & Young entrevistó alrededor de 1400 profesionales de seguridad, extrayendo la siguiente información:

  • Se ha vuelto fundamental proteger la reputación y la marca de la empresa, ya que las mismas son difíciles de construir y muy fácil de dañar con un sólo hecho desafortunado.
  • Los estándares internacionales y las buenas prácticas, como ISO 27001:2005, siguen ganado gran aceptación en el mercado.
  • Existe un gran brecha entre la necesidad de la privacidad y las medidas que se toman para mitigar los riesgos asociados.
  • Las organizaciones no están dispuestas a realizar los procesos de gestión de seguridad de la información a través del outsourcing, manteniendo estas actividades en areas internas de la empresa, relacionando esta decisión al compromiso de proteger la reputación.
  • Pocas compañías aceptan asegurar sus recursos contra ciberataques y este tipo de seguro no ha logrado expandirse a pesar de que hace tiempo de que es ofrecido por las empresas de seguros. Esta podría ser una forma de cubrir muchos de los riegos desconocidos mencionados anteriormente.

Finalmente, Deloitte (en español), durante este mes, publicó su informe que refleja el estado en seguridad de las 250 principales compañías financieras de 32 países de todo el mundo:

  • Muchas organizaciones buscan comprometerse con las buenas prácticas internacionales en seguridad, siendo la pérdida de información un punto que comienza a tenerse en cuenta.
  • Se nota un incremento importante en la adopción de la figura de CISO (Chief Information Security Officer) como una figura relacionada a la gestión de la seguridad.
  • Se comienza a notar una mayor preocupación de las organizaciones para prevenir o bloquear amenazas internas.
  • Nuevamente se destaca la importancia de las regulaciones, los procesos definidos y documentados.
  • La administración de identidad sigue siendo un factor preocupante debido a la alta cantidad de usuarios móviles.
  • Los CISO tienen a cargo áreas diferentes de IT y siguen sin incluirse tareas como administración de identidad, perímetros de seguridad, móviles, gestión de políticas, etc.
  • La mayoría opina que la seguridad física no converge con la seguridad lógica.
  • El mayor impedimento para implementar medidas de seguridad sigue siendo el presupuesto.
  • Los proyectos de seguridad muchas veces fallan porque aparecen mayores desafíos o prioridades dentro de la compañía.
  • No existen proyectos que verifiquen la seguridad en el ciclo de vida del software.
  • La mayoría de los errores son humanos, de tecnología y de procesos.
  • No se conducen estudios de seguridad dentro de las compañías.

Extrapolando los 3 estudios, se pueden extraer algunas conclusiones, que se resumen a continuación:

  • Es necesario invertir más concientización y educación en seguridad.
  • Se debe comenzar a considerar a los recursos humanos por encima de los tecnológicos.
  • Se debe empezar a considerar la moral y la ética en los procesos de las compañías.
  • Se deben mantener los procesos mediante el principio KISS ("Keep it Simple, Stupid").
  • Las regulaciones, los estándares y las buenas prácticas se han transformado en un gran aliado y ayuda en la gestión.
  • La reputación es un activo de gran valor que se debe proteger.
  • Se conocen muchos de los riesgos pero se ignoran o aún no se toman las contramedidas necesarias para mitigarlos (incluso los seguros).
  • En seguridad todavía no se establecen estrategias que involucren a las areas gerenciales, como sí sucede en otros sectores de las compañías. El porcentaje de CISOs que reportan a un comité de seguridad es extremadamente bajo, reportando la mayoría de ellos al CIO de la compañía.
  • La información confidencial, privada y personal todavía no cuenta con las medidas de protección adecuadas.
  • El outsourcing de servicios de seguridad todavía debe ser estudiado; sin embargo se utiliza el Penetration Test en muchas compañías.
  • Los insiders (atacantes internos) son una preocupación cada vez mayor y las compañías deben trabajar más en este aspecto.
  • La seguridad física sigue siendo vista como un proceso aislado del resto de la gestión de seguridad.
  • Se siguen incorporando tareas al CISO, sin quedar claro aún el ámbito de sus responsabilidades.
  • Se sigue confundiendo las funciones y se sigue invirtiendo en IT.
  • El SDLC (Software Development LifeCycle) sigue sin considerar la seguridad.
  • Lamentablemente, muchos proyectos de seguridad no se alinean o se alinean poco con los objetivos de la compañía, lo que hace que el proyecto termine fracasando.
  • Es necesario un presupuesto disponible para la adecuada gestión de la seguridad.

Buenos Aires, 14 de febrero de 2008

Con más de 20 años de experiencia compartiendo la mejor información de Seguridad

Contacto