Las redes sociales y los dispositivos móviles, los riesgos emergentes para la seguridad de la información en las compañías
Las redes sociales y los dispositivos móviles son los nuevos riesgos para la seguridad de la información de las compañías. Así se desprende de la Encuesta Global de la Seguridad de la Información 2012, elaborada conjuntamente por PwC, CIO Magazine y CSO Magazine, que recoge las respuestas de más de 9.600 ejecutivos -324 en España- y responsables de seguridad de la información y TI de 138 países de todo el mundo.
El 57% de los entrevistados reconoce que todavía no dispone de una estrategia de seguridad para el uso que los empleados hacen de sus dispositivos personales, en los que se incluyen los móviles o tablets y las redes sociales. Por su parte, los encuestados españoles muestran un desarrollo inferior en este ámbito, ya que el 62,5% afirma que no tiene estrategia al respecto. Sin embargo, las compañías están trabajando en la implementación de dichas estrategias a medida que se generaliza el uso de las tecnologías móviles y de la web 2.0 entre sus profesionales. Además, muchas empresas ya están creando guías de cómo sus empleados deben utilizar esas tecnologías.
Respecto al cloud computing, tendencia en las empresas, la encuesta explica que, pese a la idea generalizada de que puede provocar problemas de seguridad, se están mejorando los sistemas de seguridad que implementa. Así lo expresa el 54% (45,8% en España) de los entrevistados frente al 23% (30,2% en España) que opina que la seguridad de esta tecnología se está debilitando. El mayor riesgo asociado al uso del cloud radica en la incertidumbre que tienen las compañías a la hora de hacer cumplir al proveedor con los protocolos y políticas de seguridad, la dificultad en la auditoría, la problemática del control de privilegios de acceso o su difícil localización geográfica.
Otro riesgo emergente para la seguridad de la información es el llamado Advanced Persistent Threat (ATP), unos nuevos tipos de ataques organizados que tienen por objetivo los sistemas de organizaciones internacionales, fuerzas y cuerpos de seguridad o gobiernos. Aunque estas amenazas todavía se centran en instituciones del sector público o la política, la encuesta señala que las compañías del sector privado también deben desarrollar protocolos de seguridad en esta línea. Es más, muchos entrevistados explican que su inversión en seguridad aumenta, de forma indirecta, su protección ante los ATP.
Pese a estas nuevas amenazas, la encuesta señala que una gran mayoría de los entrevistados -el 72%- confía que los sistemas de seguridad de la información de sus compañías son efectivos. Este porcentaje es ligeramente inferior -67,9%- en el caso de los entrevistados españoles. Sin embargo, analizando las respuestas de los encuestados en los últimos años, la confianza en la seguridad ha descendido en más de diez puntos desde 2008.
El estudio asegura que, actualmente, las empresas tienen un mayor conocimiento de los ataques contra la seguridad de la información. Aproximadamente el 80% afirma almacenar información detallada -frecuencia, fuente y tipo- sobre los cyberataques que puedan recibir. En 2007, el 40% de los encuestados desconocían los detalles de los ataques recibidos en los últimos 12 meses; en la actualidad, este porcentaje se ha reducido hasta el 9%. Toda la información recogida sobre los ataques recibidos, se está utilizando para invertir recursos en tres área concretas: la prevención, la detección y lo relativo al uso de las tecnologías web.
Seguridad y crisis económica
El actual contexto de recesión económica está dificultando las políticas de seguridad de la información de las compañías, que en los últimos tres años han visto reducido sus presupuestos de forma consecutiva. Precisamente son los encuestados europeos los que se muestran más pesimistas, ya que creen que los efectos de la crisis en las políticas de seguridad tendrán un mayor impacto a lo largo de 2011. Solamente el 51% de los entrevistados estima que el gasto en seguridad de la información se incrementará en los próximos doce meses. En España, esta cifra desciende hasta el 45,7%.
En primer lugar, aseguran que la oleada regulatoria provocada por la recesión está complicando y encareciendo la gestión de las políticas de seguridad de la información en las compañías. Por otro lado, el riesgo de fuga de datos se ha incrementado debido a los recortes de personal en las empresas, que unido a la reducción de costes general también dificulta que se alcancen los objetivos de seguridad deseados por las compañías (ver gráfico).
Por último, el estudio dedica un capítulo a los llamados líderes del sector. La encuesta define como líderes a aquellos encuestados que en sus compañías disponen de: un plan estratégico de seguridad implementado, que el responsable de seguridad de la información reporta directamente a la dirección (CEO, consejo legal o responsable de operaciones), que miden la efectividad de sus políticas y que conocen la procedencia de los ataques recibidos. Estos líderes representan el 13% del total de entrevistados.