Los ataques a las entidades financieras se vuelven más sofisticados mientras el presupuesto de seguridad sigue siendo escaso.

Según el Informe Anual de Seguridad en Instituciones Financieras publicado por la consultora Deloitte, el 92% de las entidades consultadas considera fundamental implantar una estrategia de seguridad de la información. En el Informe han participado más de 200 instituciones financieras, bancos y compañías aseguradoras de todo el mundo.

La seguridad es clave para las entidades financieras, de hecho el 80% de las instituciones financieras dispone ya de un responsable de seguridad de la información. La seguridad se está convirtiendo en una función estratégica en las entidades, alineada cada vez más con el negocio. En este sentido, cada vez son más los responsables de Seguridad   reportan al más alto nivel en las organizaciones (Consejo de Administración, Consejero Delegado, Comité de Seguridad).

Un 92% de las entidades consultadas considera fundamental definir e implantar una estrategia a nivel de seguridad de la información. En este sentido, el 61% de las organizaciones tiene ya definida y formalmente documentada su estrategia de seguridad, un 21% se encuentra en fase de definición, y un 10% espera desarrollar una estrategia de seguridad en los próximos 12 meses.

Además, cada vez es mayor la involucración de los profesionales del negocio en la estrategia de seguridad de la organización (una de cada cuatro organizaciones afirma estar involucrada en este sentido), pero se experimenta un descenso respecto al año anterior en aquellos que opinan que la seguridad se encuentra adecuadamente alineada con la estrategia de la compañía (un 32% en 2008 frente al 40% en 2007).

Las  restricciones presupuestarias son, para el 56% de las entidades consultadas, el mayor impedimento a la hora de desarrollar una estrategia eficiente de seguridad, hecho que se agrava por la actual crisis económica internacional.

El presupuesto que las entidades dedican a seguridad de la información sigue siendo escaso. El 29% de las organizaciones consultadas destina entre un 1% y un 3% de su presupuesto de tecnología, mientras que sólo un 5% destina más de un 10% de su presupuesto a seguridad de la información.

En este sentido, más del 60% del presupuesto de seguridad se destina a la contratación de profesionales especializados, debido a la escasez de personal cualificado en esta materia dentro las entidades. Otra gran partida presupuestaria es la que se dirige a productos para garantizar la seguridad en accesos, antivirus, etc.

La principal causa por la que fallan los proyectos de seguridad en las compañías consultadas es la carencia de recursos. Además, el error humano sigue siendo el motivo principal de los fallos de los sistemas, por delante de la propia tecnología.

En este sentido, la pérdida de información es la principal amenaza que observan las entidades para el próximo año, junto con otro tipo de riesgos propios del sector como el phising y el pharming. El ciber-terrorismo aparece como creciente amenaza para las entidades, con cada vez más ataques en la red de forma organizada.

La frecuencia de ataques externos en las entidades financieras se ha reducido respecto a 2007. Así, el porcentaje de empresas que afirmaron ser víctimas de repetidos ataques externos en 2008 fue del 47%, frente al 65% del año anterior. Sin embargo, el nivel de sofisticación de los ataques es mayor, haciendo que éstos sean cada vez más críticos.

La principal fuente de ataques externos hacia las entidades financieras son virus y gusanos, correo basura y programas de spyware. El phising continúa siendo frecuente en el sector, mientras que las conductas inapropiadas de los empleados suponen ya un elevado porcentaje (11%) motivo de ataques externos. Cabe destacar que hasta un 20% de las entidades afirma no haber sufrido ataque externos durante el último año.

En cuanto a amenazas internas, la principal fuente de ataques son los virus y gusanos, mientras que las fugas de información se han incrementado en los últimos años y son ya una de las amenazas más comunes.

Las tecnologías líderes continúan siendo las soluciones de antivirus y filtrado de spam, así como los firewalls. Se ha extendido de forma notable la utilización de sistemas de detección de intrusos, y se detecta una tendencia al diseño y adopción de sistemas de gestión de vulnerabilidades. Sin embargo, la parte reactiva de la gestión de la seguridad se encuentra ya en un estadio maduro, y cada vez más surgen iniciativas orientadas a actuar de forma preventiva.

Las conclusiones del Informe son:

Necesidad de Seguridad. El concepto de gobierno de la seguridad se asienta en las organizaciones. La figura del CISO, Chief Information Security Officer, adquiere relevancia. El 80% de las instituciones financieras dispone ya de un responsable de seguridad de la información.

Función de seguridad. La seguridad se alinea con el negocio. El CISO reporta cada vez a más alto nivel de la organización.

Estrategia de seguridad. La seguridad adquiere cada vez más un enfoque estratégico que posteriormente deriva en una gestión más optimizada. Un 92% de las entidades considera fundamental implantar una estrategia a nivel de seguridad de la información.

Obstáculos a la seguridad. La escasez de recursos y de profesionales especializados en seguridad son los principales impedimentos a la hora de desarrollar una estrategia eficiente de seguridad. En este sentido, la principal causa por la que fallan los proyectos de seguridad es la carencia de recursos, y el error humano es el motivo principal de los fallos de los sistemas.

Inversión en seguridad. El presupuesto que las entidades dedican a seguridad de la información es escaso. El 29% de las organizaciones consultadas destina entre un 1% y un 3% de su presupuesto de tecnología, mientras que sólo un 5% destina más del 10% del presupuesto.

Disminución de los ataques. El año pasado, la frecuencia de ataques externos en las entidades financieras se redujo respecto a 2007. Así, el porcentaje de empresas que afirmaron ser víctimas de repetidos ataques externos en 2008 fue del 47%, frente al 65% del año anterior. El nivel de sofisticación de los ataques hace que éstos sean más críticos.

Ataques más frecuentes. La principal fuente de ataques externos hacia las entidades financieras son virus/gusanos, correo basura y programas de spyware. El phising continúa siendo frecuente en el sector, mientras que las conductas inapropiadas de los empleados suponen ya un elevado porcentaje (11%) motivo de ataques externos. Hasta un 20% de las entidades afirma no haber sufrido ataque externos durante el último año.

Tecnologías y soluciones. La parte reactiva de la gestión de la seguridad se encuentra en un estadio maduro. Cada vez surgen más iniciativas orientadas a actuar de forma preventiva.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s