Los ciberataques y la seguridad de datos están en el radar de las compañías, pero falta mucho por hacer

by  Publicado pordlabori@acfcs.org -

[private]A pesar de la atención que las compañías le están prestando al creciente número de ataques cibernéticos que están ocurriendo en los últimos tiempos, muchas organizaciones todavía continúan a la retaguardia cuando se trata de defenderse ante tales ataques, según una encuesta de la firma Provity que se publicó recientemente.

Una de cada tres compañías no cuenta con una política escrita sobre seguridad de la información, más del 40% no cuenta con una política sobre cifrado y el 25% no cuenta con políticas aceptables de uso o retención/destrucción de registros, según los resultados de la pesquisa.

La encuesta se realizó en el segundo semestre de 2014 y más de 340 profesionales, entre los que se incluyeron directores de información, de seguridad, de tecnología, vicepresidentes de tecnología de la información, y otros profesionales de TI, completaron un cuestionario en línea que fue elaborado para evaluar las políticas de seguridad y privacidad, administración de datos, retención y almacenamiento de datos, políticas de destrucción de datos, manejo de terceras partes, entre otros temas.

Los resultados muestran que a nivel gerencial existe un mayor nivel de conciencia con relación a los riesgos en materia de seguridad de la información que nivel de confianza para justamente prevenir un ataque. Esto habla de la creatividad de los ciberatacantes y la posibilidad de que se experimente una violación de datos.

Las compañías con más compromiso de la junta directiva en el riesgo en materia de seguridad de la información cuentan con un mayor grado de confianza en esta área que otras organizaciones. Posiblemente existan dos razones detrás de esto, por un lado los equipos operativos en estas organizaciones estén obligados a crear más conciencia en relación con estos temas debido a la fiscalización y preguntas por parte de los directores y también seguramente los directores, al conocer más sobre los temas de seguridad y sus riesgos, esté autorizando mayores inversiones y recursos para enfrentar los peligros.

La encuesta muestra que con respecto al almacenamiento de información delicada todavía pocas organizaciones trasladan su información sensible a la nube, aunque se experimenta un crecimiento al respecto. El uso del almacenamiento en la nube merece una atención especial para enfrentar amenazas emergentes en lo que se refiere a la filtración de datos y otros riesgos. Cuando se almacena información sensible en las nubes, las organizaciones necesitan enfocarse en los términos y condiciones bajo los cuales opera el proveedor del servicio de la nube, como por ejemplo definir qué información van a retener y almacenar, y estándares para la seguridad de la información. Muchas compañías se están percatando que sus proveedores de servicios de nube están manteniendo más información de la que debían.

Una de cada 3 compañías no se asegura que existan contratos y políticas adecuados con relación al acceso de terceros a sus datos, o no sabe que deben existir. Es posible que estas organizaciones no estés seguras de lo que se requiere y por lo tanto no piden al proveedor los términos adecuados para el contrato.

A pesar de encontrar algunos desarrollos positivos, existen importantes distancias entre donde se encuentran las organizaciones y donde necesitan estar. Algunas organizaciones han achicado estas brechas con éxito y ayudadas por el compromiso desde la cúpula de la organización, por el interés de la junta directiva en los riesgos de la seguridad de la información, que requiere establecer el apetito al riesgo e implementar un marco de seguridad.

Entre algunos de los resultados de la encuesta figuran:

El compromiso de la comisión directiva o consejo de administración es un factor clave a la hora de determinar la fortaleza de los controles de la seguridad de TI—Casi 3 de 4 juntas directivas son consideradas que tienen un buen entendimiento de los riesgos de la seguridad de la información de la compañía. Aun más importante, y como muestran los resultados, las organizaciones con alto nivel de compromiso/participación de las juntas directivas en estos riesgos cuentan con una seguridad de la tecnología de la información más sólida.

Existe un vacío de políticas clave en materia de seguridad de la información–Una de cada 3 compañías no cuenta con una política escrita de seguridad de la información. Más del 40% no cuenta con política para el cifrado de datos. Un 25% no cuenta con políticas aceptables de uso o retención/destrucción de registros. Estas son falencias críticas en la administración de datos, e implican riesgos legales considerables.  Las organizaciones con todas estas políticas cuentan con un ambiente y capacidades en seguridad de la Tecnología de la Información mucho más robustas.

Las organizaciones no confían en sus capacidades para prevenir ciberataques o violaciones de datos–Si bien los ejecutivos a nivel gerencial cuentan con un nivel más elevado de conciencia cuando se trata de la exposición de la organización a la seguridad de la información, una menor confianza entre los ejecutivos y profesionales de la TI para prevenir ataques o filtraciones habla sobre la creatividad de los ciberatacantes y, en muchos caso, la inevitabilidad de la filtración; y por consiguiente la necesidad de un plan de respuesta sólido e inmediato.

No toda la información es igual–El porcentaje de organizaciones que retienen toda la información y registros sin una fecha de destrucción definitiva se ha duplicado, lo que no significa que sea algo positivo. Las compañías no pueden proteger todo.

Muchas todavía no están preparadas para una crisis–Crece el número de organizaciones que no cuentan con un plan de respuestas formal y documentado para ejecutar en el caso de que ocurra una filtración o un ciberataque. Y menos de la mitad realiza pruebas periódicas para probar sus planes

Haga clic aquí para leer los resultados completos de la encuesta (en inglés)

[/private]