Llegamos a ustedes gracias a:



Reportajes y análisis

Empresas requieren mayor presupuesto para proteger información

[25/09/2009] Hoy por hoy, la importancia de la seguridad informática  se hace cuantificable en términos del adecuado proceso de su gestión alineado con el ciclo de negocios. En este sentido, el problema creciente que se presenta en los últimos años es el subdimensionamiento de la importancia de la seguridad, aunado al crecimiento de la diversidad de ataques y de la existencia de factores en contra (cultura organizacional, ubicación jerárquica del área de seguridad, capacitación de los profesionales de seguridad) que afectan su adecuado manejo.

Se recomienda que una organización que invierte en gestión de seguridad típicamente un 10% de la inversión en TI, destine anualmente al menos un 10% adicional en la revisión y actualización de sus controles de seguridad; es decir, idealmente una vez al año centrar todos sus recursos en la revisión del sistema de gestión, además de la gestión regular.
En resumen, sostiene Adrían Rodriguez, Director de Consultoría Digiware Perú, que un gerente general (CEO) o un gerente de sistemas (CIO) que en los últimos dos años no haya actualizado su sistema de Gestión de Seguridad Informática, puede llegar a encontrarse hasta un 40% retrasado en comparación con las tendencias de seguridad de la información.
Faltas comunes en seguridad TI
Adrián Rodriguez indica que los problemas frecuentes que hoy se presentan en el mercado peruano son inexistencia de programas de seguridad de la información, desactualizaciones de los planes de continuidad del negocio, la falta de gestión de parches y actualizaciones; y las deficiencias en manejo y seguimiento de incidentes de seguridad, entre otros. Estas dificultades persisten y registran un aumento considerable en lo que va del año porque existe bajo niveles de conciencia y/o entrenamiento en el tema en la comunidad de los usuarios.
En la actualidad, la seguridad de la información es un tema general a lo largo de todos los sectores de mercado, aunque se espera que con la publicación de la NTP 140, norma que habla de la implementación obligatoria de un Sistema de Gestión de Seguridad de la Información, sean los sectores de gobierno y financiero quienes cambien esta percepción a mediano plazo.
El Director de Consultoría Digiware Perú estima que en el 2010, se logre que el mercado se abra en conciencia corporativa y que con las experiencias de las primeras implementaciones de sistemas de gestión en la zona, se incrementen en por lo menos un 80% el número de organizaciones interesadas en fortalecer la gestión de su seguridad, debido ya a la existencia de ventajas de hacerlo y de los casos de éxitos en conocimiento.
Nueva certificación
El ejecutivo señala que cerca del 80% de los incidentes de seguridad de la información provienen de responsables al interior de la organización; siendo esta una cifra que parece alarmante, es una realidad totalmente tangible, pero controlable con la adecuada inclusión del SGSI (Sistema de Gestión de Seguridad de la Información).
Por otra parte, Rodriguez señala que una organización con la infraestructura técnica mínima de seguridad, pero que no tiene un SGSI, tiene una susceptibilidad cercana a un 70% a ser víctima de fraudes, fugas o robos de información, suplantación de identidades y espionaje industrial entre otros; por concepto de ataques de ingeniería social.
Finalmente, entre otros datos, afirma que una organización sin un SGSI emplea inadecuadamente sus recursos de TI (principalmente humanos) en alrededor de un 35%, lo que se traduce en pérdidas de productividad, reinversión en medidas contingentes o de recuperación de información.
CIO, Perú