Llegamos a ustedes gracias a:



Reportajes y análisis

El camino hacia la resiliencia cibernética

[15/03/2017] Hace unos días, EY presentó los resultados de su Encuesta Global de Seguridad de la Información 2016-2017. En ella la consultora mostró que nos encontramos en un mundo que requiere de cada vez más personas preocupadas por la seguridad al interior de las empresas. Y no solo se refiere a los especialistas en seguridad, sino también a la alta gerencia e incluso a la totalidad del personal que labora en la organización.

La seguridad ha dejado de ser solo un ámbito de preocupación de los departamentos de TI, requiere del compromiso de los tomadores de decisiones de la firma y de la concientización de cada uno de los miembros de la organización. En el estudio se mostró las falencias que aún se pueden encontrar para llegar a este punto óptimo.

Elder Cama y Alejandro Magdits, ambos socios de consultoría de EY Perú, fueron los encargados de presentar los hallazgos del estudio. Cama comenzó ofreciendo los resultados de la encuesta.

Las amenazas en todo lugar

Uno de los hallazgos del estudio es que, contra lo que se pudiera suponer, las amenazas no siempre tienen que venir de fuera, ni ser malintencionadas. De acuerdo a los cuadros presentados, cuando se preguntó a los responsables de las empresas sobre la fuente más probable de un ataque, la mayoría (52%) contestó que se trataría de un colaborador malicioso; es más, un porcentaje aún mayor (74%) sostuvo que se trataría de un colaborador descuidado. Por supuesto, los carteles criminales no se quedan atrás (56%), pero es destacable la importancia que ha cobrado el sector interno.

Elder Cama, socio de consultoría de EY Perú, fue uno de loe ejecutivos que presentó el estudio.

Una pregunta similar que indagaba por las amenazas y vulnerabilidades que incrementaron la exposición al riesgo de la empresa en los últimos 12 meses dio resultados similares.

Entre las vulnerabilidades con mayor prioridad se encontraron los controles obsoletos de seguridad de la información y los colaboradores imprudentes o poco concientizados. Con prioridades un poco menores se detectaron las vulnerabilidades relacionadas con el uso de redes sociales.

Y entre las amenazas más fuertes se encontraron el fraude y los ataques internos, seguidas por los ataques informáticos para interrumpir o degradar los servicios de la organización. El fraude y las amenazas, en general, también fueron parte de este grupo y, en menor medida, el phishing o suplantación de identidad y el correo no deseado.

Ante un panorama de inseguridad, era lógico pensar que las empresas iban a reaccionar de alguna manera, por ello la encuesta preguntó a las organizaciones si es que éstas planeaban incrementar el presupuesto designado a la seguridad de la información en los próximos 12 meses. Afortunadamente, las respuestas fueron alentadoras.

Solo el 1% afirmó, a nivel mundial, que el presupuesto se iba a reducir en 25% o más. Esa cifra en el Perú fue de 0%. Más bien, las cifras mayores estuvieron del lado de los que respondieron que sus presupuestos se iban a incrementar o mantenerse iguales.

La cifra más alta a nivel global fue la del grupo que respondió que el presupuesto se iba a mantener igual con 31%, pero en el Perú la cifra más grande de respuestas (74%) fue la del grupo que indicó que su presupuesto se iba a incrementar entre 15% a 25%. Esas son buenas noticias.

Lamentablemente, no siempre las organizaciones pueden darse cuenta si son víctimas de un ataque. De hecho, en la encuesta al preguntarles sobre la probabilidad de que detecten un ataque sofisticado la mayoría (34%), a nivel global, contesto que era poco probable. En el Perú los que contestaron de igual forma fueron menos (27%) pero es igualmente una cifra alta. Aunque, valgan verdades, en esa misma pregunta la respuesta más común (57%) entre las organizaciones peruanas fue que no han tenido una incidencia significativa.

Conclusiones

Luego de la exposición de Cama, Magdits redondeó las ideas de la encuesta señalando algunas conclusiones que se pueden inferir a partir de ella.

Alejandro Magdits, socio de consultoría de EY Perú, redondeó las ideas de la encuesta señalando algunas conclusiones que se pueden inferir a partir de ella.
Alejandro Magdits, EY Perú

El ejecutivo sostuvo que las empresas no pueden diferir más tiempo la participación de la alta dirección en la definición de la estrategia de seguridad de la información, y en particular la anticipación frente al riesgo cibernético.

También sostuvo que las empresas cada vez más dependen de los sistemas de información y eso hace que las amenazas que atenten contra la información y los sistemas sean analizadas. La tecnología evoluciona y su uso trae consigo la necesidad de evaluar nos nuevos riesgos a la seguridad de la información que vienen con ella.

Finalmente, Magdits sostuvo que la empresa necesita desarrollar capacidades de respuesta, contar con personal capacitado y considerar la asesoría de personal especializado para cerrar las brechas existentes que exponen a la empresa.