Las empresas reconocen sus pecados en seguridad informática
La seguridad informática de las empresas es pobre. Por lo menos así lo reconocen las propias compañías, las cuales se declararon incapaces de medir, evaluar o mitigar riesgos de seguridad.
Un estudio realizado por RSA, División de Seguridad de EMC, reveló que de 400 profesionales de seguridad de 61 países, el 75% carece de madurez para enfrentar riesgos de seguridad informática, mientras que el 45%, además, se confiesa incapaz de mitigar riesgos a su seguridad.
Estos números preocupan a los realizadores del estudio quienes resaltan que el tema de fondo está en que, la inhabilidad de poder medir, evaluar o mitigar los riesgos de seguridad, se traduce en una gestión casi “imposible para priorizar la inversión y la actividad en seguridad” dentro de la compañía.
El estudio tiene la característica relevante de que es un mea culpa de los profesionales de seguridad, ya que, fueron ellos quienes atendieron al llamado de esta autoevaluación con la cual, se pretendía conocer la calificación que se otorgan las compañías en términos generales, la madurez y las prácticas de seguridad cibernética en organizaciones de distintos tamaños, sectores y geografías.
Una verdad incomoda: “El sector público carece de herramientas de seguridad”
Entre los aspecto más destacados (o más preocupantes), es que solo un tercio de las organizaciones de servicios financieros manifestó contar con una preparación adecuada para enfrentar riesgos en su seguridad.
Por otra parte, la encuesta también revela que las empresas enfatizan sus esfuerzos en la “protección” antes que la “detección y respuesta” aunque las “habilidades preventivas” de la organización por sí solas son incapaces de detener las amenazas actuales a la seguridad, según concluye el estudio.
Según Amit Yoran, presidente de RSA, “Esta investigación muestra que las empresas continúan invirtiendo enormes cantidades de dinero en firewalls, antivirus y protección avanzada contra malware de última generación con la esperanza de detener amenazas avanzadas. No obstante, a pesar de la inversión, incluso las organizaciones más grandes todavía sienten que no están preparadas para las amenazas que enfrentan. Necesitamos cambiar nuestro modo de concebir la seguridad, y el primer paso es reconocer que la prevención aislada es una estrategia fallida y que es necesario prestar más atención a las estrategias basadas en detección y respuesta”.
El proveedor de seguridad: ¿Cuáles son sus retos?
Asimismo, las empresas participantes en la encuesta informaron que tuvieron “incidentes de seguridad que provocaron pérdidas o daños a sus operaciones en los últimos 12 meses”.
Otros puntos que resaltan en el informe tienen que ver con las telecomunicaciones, las cuales informaron el nivel de madurez más alto, ya que, el 50% dijo contar con capacidades desarrolladas o privilegiadas, mientras que el sector gobierno, se calificó en este rubro con apenas el 18% de los consultados, lo que pone al sector como el peor calificado.
Las organizaciones calificaron sus propias capacidades en cinco funciones: identificación, protección, detección, respuesta y recuperación. Las calificaciones usan una escala de cinco puntos, donde 1 implica que la organización no tiene capacidad en un área específica y 5 indica que cuentan con prácticas mayormente maduras en el área.
Fuente: http://revistaitnow.com/
