Las prioridades de negocio no están alineadas con las amenazas a la seguridad
Sólo se dedica entre el 1 y el 3% del presupuesto de TI, segun Deloitte
La utilización de la estrategia de seguridad para ayudar a identificar prioridades entre las principales entidades financieras mundiales ha descendido en 2004, lo que explica que los requerimientos de negocio no estén alineados con los de seguridad. De hecho, la consigna de hacer más con menos es la estrategia seguida en todo el mundo, dedicando entre el 1 y el 3% del total del presupuesto de TI a seguridad, según los datos recogidos en el informe sobre seguridad informática realizado por Deloitte.
A pesar de la poca claridad de las regulaciones, las entidades financieras están adoptando paulatinamente estándares de seguridad, donde el valor y la protección del capital tecnológico está convirtiéndose en una tendencia que les permite responder a la nueva legislación y normativas, además de reducir costes. Esta es una de las conclusiones que se reflejan en el ‘Informe anual sobre seguridad informática 2004’ realizado por la firma de servicios profesionales Deloitte entre las principales entidades financieras mundiales.
El objetivo del estudio es tratar de dar respuesta a una cuestión a la que se enfrentan este tipo de organizaciones: ¿cuál es la situación de la seguridad de la información de mi organización comparada con las principales entidades financieras? Para ello, la consultora ha contactado con las principales entidades financieras mundiales, teniendo en cuenta el ranking mundial del sector financiero del año 2002, cuyo perfil son organizaciones privadas (42%), públicas (48%) y otras (10%).
Al igual que el pasado año, la región EMEA (Europa, Oriente Medio y África) se encuentra a la cabeza del grupo, con un 49% de participación (España representa el 26%), seguida por Estados Unidos (32%), Canada (10%) Asia Pacífico (7%) y Latinoamérica y Caribe (2%). Para Alfonso Mur, socio de Deloitte y máximo responsable del área Enterprise risk services, “los directivos de las entidades financieras están luchando para superar las constantes amenazas que se presentan y para cumplir con el entorno de regulación que cada vez es más exigente, con sus recursos limitados”.
Grado de concienciación
El informe de Deloitte pone de manifiesto que las entidades financieras españolas “tienen un alto grado de concienciación sobre la necesidad de la seguridad”. Así, el 64% de las organizaciones que han participado en el mismo asegura contar este año con una estrategia formal de seguridad, si bien el 23% declara abiertamente no disponer todavía de ella, ya que la tiene en su mayoría en desarrollo.
El marco normativo español de protección de datos de carácter personal y la defensa de la imagen de marca son los principales impulsores de la seguridad en las entidades financieras, que sobresalen con respecto al resto de los participantes mundiales en el compromiso y la dotación de inversiones para el cumplimiento normativo relacionado con la seguridad de los sistemas.
En el informe se apunta a un leve aumento en la dotación de personal especialista en la función de seguridad en las entidades financieras españolas, al tiempo que se mantiene la tendencia de ubicar esta función bajo la responsabilidad del área de TI. Si bien, una novedad que se ha identificado este año es un paulatino acercamiento de esta función con la de seguridad corporativa, ya sea de infraestructuras, edificios o custodia de efectivo, en el sector bancario, así como una dependencia mayor de la alta dirección y más alejada del ámbito de Sistemas.
Escasa planificación
Según los datos del estudio, un 59% de los encuestados afirma que la seguridad es una parte clave de su negocio, si bien sólo el 17% la considera en su planificación, el 12% señala que no es crítica para la ventaja competitiva y un 6% piensa que es un factor reactivo, por lo que la falta de conciencia en este aspecto sigue siendo una de las grandes amenazas a las que este tipo de organizaciones tienen todavía que enfrentarse. De hecho, las entidades que tienen una estrategia formal de seguridad ha descendido al 75% en 2004, frente al 80% del informe anterior.
Un aspecto destacado es que un 83% de los encuestados reconoce que sus sistemas de seguridad se han visto comprometidos de alguna manera durante el pasado año, frente al 49% del último informe. De este porcentaje, el 49% ha sufrido ataques internos y externos, frente al 13% del pasado año y señala la pérdida financiera que ello ha supuesto. El 21% de los ataques corresponde a fuentes externas, un 5% más que respecto al año 2003, mientras que el 13% se achaca a fuentes internas (un porcentaje que si bien ha aumentado tres puntos frente al pasado año, hace apenas dos años se situaba en el 70%).
El estudio demuestra un descenso en el uso de tecnologías de seguridad. Un aspecto contradictorio, si se tiene en cuenta que más de un 70% de los encuestados considera que los virus y ‘gusanos’ serán la principal amenaza a sus sistemas en los próximos doce meses y que el porcentaje de implantación de antivirus ha disminuido del 96% de 2003 a cerca del 87% del presente año. En esta línea se enmarca también el 91% que asegura tener un plan informático de recuperación ante desastres, pero del que sólo un 51% ha tenido en cuenta al personal necesario para dar continuidad al mismo. No es extraño que un tercio de los encuestados reconozca que la tecnología de seguridad adquirida no ha sido utilizada eficazmente. Una tendencia que presenta una mejora significativa es el cumplimiento normativo, de manera que un 67% afirma contar con un programa que gestiona la protección de los datos de carácter privado, frente al 56% del pasado año.
Gestión de la seguridad
----------------------------------
Es una parte clave del negocio 59%
No es crítica para la ventaja competitiva 12%
Es un factor reactivo 6%
Está considerada en la planificación 17%
No es importante para la competitividad 5%
Fuente: Deloitte
A pesar de la poca claridad de las regulaciones, las entidades financieras están adoptando paulatinamente estándares de seguridad, donde el valor y la protección del capital tecnológico está convirtiéndose en una tendencia que les permite responder a la nueva legislación y normativas, además de reducir costes. Esta es una de las conclusiones que se reflejan en el ‘Informe anual sobre seguridad informática 2004’ realizado por la firma de servicios profesionales Deloitte entre las principales entidades financieras mundiales.
El objetivo del estudio es tratar de dar respuesta a una cuestión a la que se enfrentan este tipo de organizaciones: ¿cuál es la situación de la seguridad de la información de mi organización comparada con las principales entidades financieras? Para ello, la consultora ha contactado con las principales entidades financieras mundiales, teniendo en cuenta el ranking mundial del sector financiero del año 2002, cuyo perfil son organizaciones privadas (42%), públicas (48%) y otras (10%).
Al igual que el pasado año, la región EMEA (Europa, Oriente Medio y África) se encuentra a la cabeza del grupo, con un 49% de participación (España representa el 26%), seguida por Estados Unidos (32%), Canada (10%) Asia Pacífico (7%) y Latinoamérica y Caribe (2%). Para Alfonso Mur, socio de Deloitte y máximo responsable del área Enterprise risk services, “los directivos de las entidades financieras están luchando para superar las constantes amenazas que se presentan y para cumplir con el entorno de regulación que cada vez es más exigente, con sus recursos limitados”.
Grado de concienciación
El informe de Deloitte pone de manifiesto que las entidades financieras españolas “tienen un alto grado de concienciación sobre la necesidad de la seguridad”. Así, el 64% de las organizaciones que han participado en el mismo asegura contar este año con una estrategia formal de seguridad, si bien el 23% declara abiertamente no disponer todavía de ella, ya que la tiene en su mayoría en desarrollo.
El marco normativo español de protección de datos de carácter personal y la defensa de la imagen de marca son los principales impulsores de la seguridad en las entidades financieras, que sobresalen con respecto al resto de los participantes mundiales en el compromiso y la dotación de inversiones para el cumplimiento normativo relacionado con la seguridad de los sistemas.
En el informe se apunta a un leve aumento en la dotación de personal especialista en la función de seguridad en las entidades financieras españolas, al tiempo que se mantiene la tendencia de ubicar esta función bajo la responsabilidad del área de TI. Si bien, una novedad que se ha identificado este año es un paulatino acercamiento de esta función con la de seguridad corporativa, ya sea de infraestructuras, edificios o custodia de efectivo, en el sector bancario, así como una dependencia mayor de la alta dirección y más alejada del ámbito de Sistemas.
Escasa planificación
Según los datos del estudio, un 59% de los encuestados afirma que la seguridad es una parte clave de su negocio, si bien sólo el 17% la considera en su planificación, el 12% señala que no es crítica para la ventaja competitiva y un 6% piensa que es un factor reactivo, por lo que la falta de conciencia en este aspecto sigue siendo una de las grandes amenazas a las que este tipo de organizaciones tienen todavía que enfrentarse. De hecho, las entidades que tienen una estrategia formal de seguridad ha descendido al 75% en 2004, frente al 80% del informe anterior.
Un aspecto destacado es que un 83% de los encuestados reconoce que sus sistemas de seguridad se han visto comprometidos de alguna manera durante el pasado año, frente al 49% del último informe. De este porcentaje, el 49% ha sufrido ataques internos y externos, frente al 13% del pasado año y señala la pérdida financiera que ello ha supuesto. El 21% de los ataques corresponde a fuentes externas, un 5% más que respecto al año 2003, mientras que el 13% se achaca a fuentes internas (un porcentaje que si bien ha aumentado tres puntos frente al pasado año, hace apenas dos años se situaba en el 70%).
El estudio demuestra un descenso en el uso de tecnologías de seguridad. Un aspecto contradictorio, si se tiene en cuenta que más de un 70% de los encuestados considera que los virus y ‘gusanos’ serán la principal amenaza a sus sistemas en los próximos doce meses y que el porcentaje de implantación de antivirus ha disminuido del 96% de 2003 a cerca del 87% del presente año. En esta línea se enmarca también el 91% que asegura tener un plan informático de recuperación ante desastres, pero del que sólo un 51% ha tenido en cuenta al personal necesario para dar continuidad al mismo. No es extraño que un tercio de los encuestados reconozca que la tecnología de seguridad adquirida no ha sido utilizada eficazmente. Una tendencia que presenta una mejora significativa es el cumplimiento normativo, de manera que un 67% afirma contar con un programa que gestiona la protección de los datos de carácter privado, frente al 56% del pasado año.
Gestión de la seguridad
----------------------------------
Es una parte clave del negocio 59%
No es crítica para la ventaja competitiva 12%
Es un factor reactivo 6%
Está considerada en la planificación 17%
No es importante para la competitividad 5%
Fuente: Deloitte
