Llegamos a ustedes gracias a:



Noticias

McAfee anunció el informe 'Estado de seguridad'

[09/03/2012] McAfee anunció el informe Estado de seguridad, el cual muestra cómo los responsables de la toma de decisiones de TI ven los retos de asegurar los activos de información en un entorno comercial global altamente regulado y cada vez más complejo. También revela las prioridades en cuanto a seguridad de TI de las empresas con respecto a procesos, prácticas y tecnología para el 2012. A medida que se expande el entorno de datos corporativos, la seguridad de la información efectiva es posible solo al crear un Plan de seguridad estratégico (SSP, por sus siglas en inglés), que incorpore un completo análisis de amenazas y un exhaustivo método de migración de riesgo de seguridad por niveles. El objetivo de la encuesta era identificar algunas de las tendencias clave que enfrentan las empresas en el desarrollo de sus planes de seguridad estratégicos.
Madurez de seguridad
Los encuestados se clasificaron en diversos estados de madurez de seguridad. Estas clasificaciones ayudan a comprender la mentalidad de las empresas cuando ven la seguridad de la información de la empresa. Los términos a continuación se usan para describir el nivel de madurez en cuanto a la seguridad de las organizaciones que participaron:
* Reactivo: Usa un método ad hoc para definir procesos de seguridad y es impulsado por los eventos. 9% de las empresas encuestadas dicen estar en esta etapa.
* Cumplimiento: Tiene algunas políticas vigentes, pero no cuenta con estandarización real entre las políticas de seguridad. La organización se adhiere a ciertos estándares de seguridad o al mínimo requerido. 32% de las empresas encuestadas dicen estar en esta etapa.
* Proactivo: Sigue políticas estandarizadas, se rige de manera centralizada y tiene un nivel de integración entre algunas soluciones de seguridad. 43% de las empresas encuestadas señalan estar en esta etapa.
* Optimizado: Sigue las mejores prácticas de la industria de seguridad y se adhiere estrictamente a la política corporativa. La organización utiliza soluciones de seguridad automatizadas, las cuales están integradas en toda la empresa. 16% de las empresas encuestadas dicen estar en esta etapa.
Toda organización necesita adoptar un método por niveles en cuanto a seguridad, y utilizar procesos y soluciones diseñados para evitar el compromiso. El hecho de que la empresa ahora se amplía más allá de las paredes de la oficina y de los firewalls perimetrales, complica aún más el reto de administrar el riesgo y asegurar los datos, señaló Jill Kyte, vicepresidente de McAfee. Las empresas están proporcionando acceso a la red a partners de negocios y trabajadores contratados y, en algunos casos, incluso a clientes. Los trabajadores acceden remotamente a la red de la empresa a través de dispositivos móviles, muchos de los cuales son de propiedad personal y no son controlados por la empresa a cuya red ellos acceden. Además, los datos y aplicaciones se mueven a entornos de nube pública e híbrida, donde los propietarios de los datos poseen poco control directo sobre la seguridad, y todo esto requiere que una empresa cuente con un Plan de seguridad estratégico.
Algunos de los puntos destacados del estudio son:
* Las organizaciones están seguras de identificar la mayoría de las amenazas fundamentales a sus entornos y de saber dónde residen sus datos fundamentales. Sin embargo, la mayoría de las empresas no están seguras de cuantificar el posible impacto financiero de un potencial peligro, en caso de que ocurriera.
* La conciencia y la protección de la organización contra riesgos de seguridad de información son muy importantes. No obstante, un tercio de las empresas optimizadas no están seguras de su postura de seguridad de TI en términos de conciencia y protección. A pesar de tener planes estratégicos formales, 34% de las empresas creen que no están protegidas adecuadamente contra riesgos de seguridad de información, lo cual podría afectar su negocio.
* La gran mayoría de los encuestados señalaron que cuando desarrollan Planes de seguridad estratégicos, incluyen consideración de posibles amenazas y el riesgo asociado al negocio, además de un análisis financiero. Sin embargo, cuatro de cinco de las empresas experimentaron un incidente de seguridad importante en los últimos doce meses.
* Casi un tercio de las organizaciones encuestadas no han adquirido o aún no han implementado muchas de las tecnologías de seguridad de próxima generación que están diseñadas para resolver las amenazas actuales. A pesar de que más de 80% de las organizaciones identifican el malware, el spyware y los virus como las principales amenazas a la seguridad.
* Dos de cada cinco organizaciones poseen un plan informal o un plan ad hoc o no cuentan con un plan estratégico de seguridad en funcionamiento. El tamaño de la organización sí importa cuando se trata de tener un plan de seguridad estratégico formal. Seis de cada diez empresas grandes poseen SSP formales, dos de cada tres empresas de tamaño mediano cuentan con un SSP formal, mientras que esta relación cae a solo una de cada dos empresas pequeñas.
* Existen una mayor probabilidad de que las organizaciones de América del Norte y Alemania cuenten con Planes de seguridad estratégicos formales que las organizaciones de otras regiones del mundo. Esto podría atribuirse a los entornos regulatorios en estos países.
* Entre las principales prioridades para el 2012 se incluye la implementación de controles más estrictos para proteger los datos sensibles y asegurar la continuidad del negocio. La menor prioridad es reducir el capital y los gastos operacionales para infraestructura de seguridad; lo cual, a su vez, indica que las organizaciones tienen como objetivo invertir en el tipo de soluciones de seguridad adecuado.
Conclusiones
Si bien las organizaciones están trabajando en sus planes de seguridad estratégicos y están colocando sus mejores esfuerzos para proteger los sistemas comerciales y los datos fundamentales, existe mucho que mejorar a lo largo del trayecto.
* Subir al nivel más alto de madurez en cuanto a seguridad. Solo 16% de los encuestados clasifican sus organizaciones en el nivel optimizado. Peor, sin embargo, es el hecho de que 9% de las organizaciones son reactivas en su enfoque en cuanto a seguridad de TI.
* La participación de los ejecutivos es fundamental. Si bien el personal de TI y de seguridad puede tomar el liderazgo en cuanto a desarrollar el plan, es importante tener los conocimientos de quienes comprenden mejor los sistemas comerciales y los datos que utilizan. Además, la participación de los ejecutivos es fundamental para definir el tono para la importancia de la seguridad dentro de la organización.
* Probar tempranamente, probar a menudo y realizar los ajustes necesarios. ¿Qué tiene de bueno un plan que se desarrolla y se deja en un estante? ¿Si nunca se prueba? Desafortunadamente aprendimos que 29% de las empresas de cumplimiento nunca prueban cómo responderían ante un incidente. Más aún, el hecho de que 79% de las empresas encuestadas tuvieron incidentes de seguridad el año pasado indica que hay vacíos en los planes de seguridad que se deben corregir.
* Utilizar sabiamente las asignaciones de presupuesto. Si bien todo gerente quisiera tener un presupuesto mayor para poder aplicar mayor protección, las empresas optimizadas han descubierto formas de alcanzar el nivel más alto de rendimiento con el mismo nivel de fondos (porcentualmente) que las empresas que son menos prudentes con sus presupuestos.
* Utilizar las herramientas adecuadas para las amenazas actuales. La encuesta muestra que 45% de las empresas no han implementado los firewalls de próxima generación. La seguridad móvil es otra área que no se debe ignorar, sin embargo, 25% de las organizaciones no han adquirido ninguna herramienta para este fin.
* Centrarse en proteger el alma de la empresa: los datos corporativos sensibles. Entre las principales prioridades para el 2012 se incluye la implementación de controles más estrictos para proteger los datos sensibles y asegurar la continuidad del negocio. Las actividades de alta prioridad adicionales tienen como objetivo mejorar la postura general en cuanto a seguridad de cada organización. Esto es alentador porque sin el reconocimiento oportuno y la migración de amenazas a la seguridad, una organización podría transformarse en el próximo titular noticioso, y nadie desearía esa dudosa distinción.
CIO, Perú