¿Cuáles son las principales amenazas para la seguridad de una empresa? El último informe Ernst & Young: 2009 Global Information Security Survey señala a la venganza de antiguos alumnos y la falta de presupuesto en el ámbito de la prevención como los principales problemas para la empresa.
Lainformación de la empresa es uno de sus grandes activos y protegerla esimprescindible para su buen funcionamiento. Sin embargo, garantizar laseguridad no es sencillo. Existen muchas amenazas, pero hay dos quesuperan al resto: las represalias de los antiguos empleados y unpresupuesto demasiado ajustado. Estas son las conclusiones delduodécimo informe anual 2009 Global Information Securty Survey de Ernst & Young llevado a cabo entre ejecutivos de 1.900 compañías en más de 60 países.
Hastaun 75% de los directivos está preocupado ante las posibles represaliasque podrían tomar los empleados que acaban de perder su puesto detrabajo. No se trata ni mucho menos de un temor hacia medidas legales,sino de posibles robos de información o manipulación de la misma. Y esque Internet ha aumentado el peligro de sufrir ataques por antiguostrabajadores descontentos. Desde un ataque hacia la imagen de laempresa contra los que es complicado actuar o, más peligroso, un ataqueinformático.
Un42% de los directivos declara estar concienciado ante los riesgospotenciales de esta situación y las posibles venganzas de los exempleados. Sin embargo, sólo un 26% afirma tener medidas en marcha paraprotegerse ante esa situación.
Marc Martínez, socio del área de Information Tecnology Risk Advisory de Ernst & Young, explica que “enuna economía en recesión, muchos empleados podrían mostrarresentimiento hacia su empresa y realizar acciones que podría afectarnegativamente a esta”. En el fondo, esta actitud sólo es el reflejode que casi ninguna ruptura laboral suele ser amistosa y que, quien másquien menos, guarda sus rencillas. “De hecho, cada vez haymás casos en los que los sistemas de información y los datos de lascompañías son objeto de robo o manipulación por parte de los exempleados”, precisa Martínez, para quien el primer paso de las empresas debería ser “unejercicio de evaluación de sus riesgos, identificar su potencialexposición y tener preparada una respuesta en el caso de que dichoriesgo se haga efectivo”.
Elproblema en este punto es que no todas las empresas disponen delpresupuesto adecuado para una correcta gestión de la seguridad de lainformación. Un 50% de los ejecutivos cree que esta falta de capitalsupone un riesgo muy elevado, un 17% más que en el informe del añopasado. Ante esta situación, un 40% de los encuestados ha adelantadoque aumentará su inversión anual en este concepto por un 52% que teníapensado mantenerlo, algo relativamente positivo en un entorno económicode recorte de costes. Martínez precisa que hay un impedimento añadido: “la seguridad de la información requiere hoy en día muchas más inversores para hacer frente a las cada vez más numerosas amenazas”.
Entrelas inversiones que los directivos pretenden acometer destaca la deimplantar o mejorar las tecnologías de prevención de fuga de datoshasta el punto en el que se ha convertido en la segunda prioridad parael 40% de los directivos encuestados durante los próximos meses. Setrataría de combinar herramientas y procesos para la identificación,supervisión y protección de aquella información que se considerasensible.
Enalgunos casos ni siquiera se trata de implantar complicados programasinformáticos, sino de llevar a cabo acciones básicas como por ejemplocifrar sus ordenadores portátiles. Sólo el 41% de los encuestadosprotege sus equipos más susceptibles de sufrir robos, pérdidas omanipulaciones, aunque el 17% ya piensa hacerlo el próximo año.
Sinembargo, la principal prioridad para los ejecutivos de este áreacontinúa siendo el cumplimiento normativo y por eso un 55% de losencuestados aumentará el presupuesto en este punto, aunque de foramoderado por sólo un 6% que la reducirá. Para Martínez, “laregulación por parte de los gobiernos, y por la propia industria, hapropiciado que las compañías estructuren mejor sus sistemas deSeguridad de la Información. Porun lado, esto es positivo ya que las iniciativas de compliance mejoranlos procedimientos de seguridad en las organizaciones. Sin embargo,muchas empresas ven el cumplimiento como una tarea sin valor más quecomo el principal impulsor de mejora para la Seguridad de la Información”.
Elinforme también destaca que el nivel de riesgo, tanto interno comoexterno, ha crecido en los últimos meses y que cada vez es mayor elnúmero de amenaza. El consejo del socio de Ernst & Young es serflexible y centrarse en los asuntos más críticos y la información másimportante para ir creciendo a partir de ahí.
Fuente: Aprendemas.com
