¿QUÉ FA­LLA EN SU PLAN DE SE­GU­RI­DAD?

Pa­ra en­con­trar el te­so­ro, la se­gu­ri­dad com­ple­ta de­be te­ner un ma­pa que lo lle­ve pa­so a pa­so a una es­tra­te­gia exi­to­sa, aquí hay al­gu­nos con­se­jos.

IT Now El Salvador - - Sumario -

Pa­ra en­con­trar el te­so­ro, la se­gu­ri­dad com­ple­ta de­be te­ner un ma­pa que lo lle­ve pa­so a pa­so a una es­tra­te­gia exi­to­sa, aquí hay al­gu­nos con­se­jos.

La se­gu­ri­dad de las TI es cru­cial pa­ra to­das las em­pre­sas, pe­ro es tan om­ni­pre­sen­te que pue­de ser di­fí­cil te­ner una idea de dón­de se en- cuen­tra la in­dus­tria o dón­de es­tá cre­cien­do. Es por eso que ca­da año, CSO se aso­cia con PwC pa­ra rea­li­zar una en­cues­ta en­tre los lí­de­res de se­gu­ri­dad tec­no­ló­gi­ca de to­do el mun­do, la que per­mi­te te­ner una idea de có­mo se en­cuen­tran hoy en día.

La en­cues­ta Glo­bal Sta­te of In­for­ma­tion Security 2018 fue enviada en lí­nea a los CIO, CSO y clien­tes de PwC, des­de el 24 de abril de 2017 has­ta el 26 de ma­yo de 2017. El in­for­me se ba­sa en las res­pues­tas de más de 9 500 CEOs, CFOs, CIOs, CISOs OSC, vi­ce­pre­si­den­tes, di­rec­to­res de TI y prác­ti­cas de se­gu­ri­dad de más de 120 paí­ses.

Lo que si­gue es un re­co­rri­do por al­gu­nos

de los pun­tos más im­por­tan­tes de la en­cues­ta, que in­clu­yen: ¿Quién es­tá a car­go de la se­gu­ri­dad, cuan­to gas­tan y qué tie­nen pla­nea­do?, ¿Cuá­les son las ten­den­cias tec­no­ló­gi­cas ac­tua­les con las que los pro­fe­sio­na­les de se­gu­ri­dad de­ben li­diar? y ¿Cuan­do di­fe­ren­tes ne­go­cios tie­nen que li­diar en­tre ellos, ¿cuá­les son las im­pli­ca­cio­nes de se­gu­ri­dad?

¿Quién es­tá a car­go?

Los ofi­cia­les es­pe­cí­fi­cos de In­fo­sec es­tán fir­me­men­te en el C-sui­te. El 52% de las em­pre­sas en­cues­ta­das em­plea CISO y el 45% tie­ne un je­fe de se­gu­ri­dad. Es­tas per­so­nas re­por­tan di­rec­ta­men­te a la ci­ma. So­lo el 24% es­tá ba­jo el CIO; el 40% in­for­ma al CEO (40%) y el 27% di­rec­ta­men­te al con­se­jo.

Pe­ro más aba­jo, la pi­rá­mi­de se vuel­ve aun más con­fu­sa. Po­co me­nos de la mi­tad de las com­pa­ñías con­sul­ta­das cuen­tan con un per­so­nal de se­gu­ri­dad de­di­ca­do a res­pal­dar las ope­ra­cio­nes co­mer­cia­les in­ter­nas. El 46% di­jo que la se­gu­ri­dad fí­si­ca e In­fo­sec se com­bi­nan, el 43% te­nía fun­cio­nes de pri­va­ci­dad in­cor­po­ra­das en el pro­gra­ma; y en am­bas áreas, más de la cuar­ta par­te de los en­cues­ta­dos ni si­quie­ra es­ta­ba se­gu­ro de có­mo se es­truc­tu­ra­ba su en­ti­dad en torno a es­tos te­mas.

Fa­llan­do al pla­near

Los nú­me­ros so­bre cuán­tas or­ga­ni­za­cio­nes real­men­te es­tán idean­do es­tra­te­gias de se­gu­ri­dad son bas­tan­te me­dio­cres. Po­co más de la mi­tad de las en­tre­vis­ta­das, al­re­de­dor del 56%, tie­ne un plan ge­ne­ral de se­gu­ri­dad de la in­for­ma­ción. Cuan­do se tra­ta de ma­nio­bras pa­ra ase­gu­rar tec­no­lo­gías es­pe­cí­fi­cas, las ci­fras son aún peo­res, ron­dan­do jus­to por de­ba­jo de la mi­tad: • Re­des so­cia­les: 44% • Big da­ta: 44% • Compu­tación en la nu­be: 46%

• Dis­po­si­ti­vos mó­vi­les: 47%

Tam­bién es­tá jus­to de­ba­jo de la mi­tad el nú­me­ro de ins­ti­tu­cio­nes en­cues­ta­das cu­yas jun­tas cor­po­ra­ti­vas par­ti­ci­pa­ron en el es­ta­ble­ci­mien­to de la es­tra­te­gia de se­gu­ri­dad ge­ne­ral, so­lo el 44%. Aun así, de­bi­do a la ac­ti­tud de mu­chas di­rec­ti­vas de no in­vo­lu­crar­se en las ope­ra­cio­nes co­ti­dia­nas, eso en reali­dad pue­de re­pre­sen­tar un nú­me­ro acep­ta­ble.

La se­gu­ri­dad co­mo un pro­ce­so cons­tan­te

Al­gu­nas de las me­di­das de se­gu­ri­dad más bá­si­cas in­vo­lu­cran pro­ce­di­mien­tos, nor­mal­men­te re­cu­rren­tes y na­da atrac­ti­vos, pe­ro a me­nu­do cru­cia­les pa­ra ase­gu­rar que una em­pre­sa es­té pre­pa­ra­da pa­ra un ata­que.

El 53% ne­ce­si­tó que los em­plea­dos com­ple­ta­ran la ca­pa­ci­ta­ción en po­lí­ti­cas y prác­ti­cas de pri­va­ci­dad. El 49% li­mi­tó la re­co­pi­la­ción, re­ten­ción y ac­ce­so a la in­for­ma­ción per­so­nal al mí­ni­mo ne­ce­sa­rio pa­ra lo­grar el pro­pó­si­to le­gí­ti­mo pa­ra el que se re­ca­ba.

En al­gu­nos de los pro­to­co­los más im­por­tan­tes de es­te ti­po, la in­dus­tria ob­tie­ne una ca­li­fi­ca­ción me­dia, con so­lo la mi­tad de los en­cues­ta­dos di­cien­do que sus com­pa­ñías se es­for­za­ron por es­ta­ble­cer­los. Aquí es­tán los nú­me­ros de los en­tes que in­di­ca­ron que ha­cen uso de es­tos pro­ce­sos:

• En­tre­na­mien­to del co­no­ci­mien­to: 52%

• Un pro­gra­ma pa­ra iden­ti­fi­car ac­ti­vos sen­si­bles: 46%

• Eva­lua­cio­nes de vul­ne­ra­bi­li­dad: 46%

• In­for­mes de ges­tión de in­ci­den­tes: 46%

• Prue­bas de pe­ne­tra­ción: 42%

¿A dón­de va el di­ne­ro y por qué?

La se­gu­ri­dad de la in­for­ma­ción a me­nu­do es con­si­de­ra­da co­mo un su­mi­de­ro de efec­ti­vo que no ge­ne­ra in­gre­sos pro­pios. ¿Qué im­pul­sa las op­cio­nes de gas­to den­tro de las em­pre­sas en­cues­ta­das?

Aquí hay un par de pun­tos de da­tos in­tere­san­tes:

El 49% de las com­pa­ñías con­sul­ta­das afir­mó que sus gas­tos en se­gu­ri­dad se ba­san úni­ca­men­te en el ries­go.

El 66% es­pe­ci­fi­có que el con­su­mo de su or­ga­ni­za­ción es­tá ali­nea­do con los in­gre­sos de ca­da ne­go­cio en lí­nea.

Pa­re­ce que aquí hay una con­tra­dic­ción: ¿las ins­ti­tu­cio­nes es­tán com­ba­tien­do los in­cen­dios en cual­quier lu­gar don­de co­mien­cen, o so­lo pro­te­gen sus ac­ti­vos más va­lio­sos? Es­to pue­de re­fe­rir­se a la ato­mi­za­ción de la in­ver­sión de se­gu­ri­dad en­tre los di­fe­ren­tes de­par­ta­men­tos. En cual­quier ca­so, las ope­ra­cio­nes de al­ta tec­no­lo­gía exi­gen pro­tec­ción. El 59% de los en­tre­vis­ta­dos ase­gu­ró que des­em­bol­sa más en se­gu­ri­dad co­mo re­sul­ta­do de la di­gi­ta­li­za­ción del eco­sis­te­ma em­pre­sa­rial.

Blo­quean­do la nu­be

A pe­sar de que so­lo el 46% de las em­pre­sas tie­ne una es­tra­te­gia de se­gu­ri­dad en la nu­be, el cam­bio a la mis­ma es­tá ocu­rrien­do rá­pi­da­men­te. El 46% tie­nen la ma­yo­ría de sus ser­vi­cios de TI en­tre­ga­dos des­de la nu­be y el 60% se ven lle­gan­do a ese pun­to en los pró­xi­mos cin­co años.

Las co­sas se es­tán mo­vien­do aún más rá­pi­do cuan­do se tra­ta de da­tos: el 40% ya tie­ne los con­fi­den­cia­les al­ma­ce­na­dos en va­rios ser­vi­cios en la nu­be y el 36% pla­nea ha­cer­lo en los pró­xi­mos do­ce a die­ci­ocho me­ses.

Aquí es­tá el des­glo­se cuan­do se tra­ta de mo­de­los de compu­tación en la nu­be que las in­dus­trias em­plean. Ten­ga en cuen­ta que ca­da uno vie­ne con sus pro­pios desafíos de se­gu­ri­dad: • Pú­bli­co: 34% • Pri­va­do: 55% • Hí­bri­do: 29%

Gad­gets y ro­bots

Los ro­bots, los dis­po­si­ti­vos de IoT y otros sis­te­mas in­te­gra­dos dis­tri­bui­dos; es­tán co­men­zan­do a ir del con­cep­to de cien­cia fic­ción has­ta el mun­do real que de­ben pro­te­ger. En lo que res­pec­ta a los pri­me­ros, al­gu­nos en­tes los es­tán im­ple­men­tan­do, pe­ro sus preo­cu­pa­cio­nes acer­ca de las po­si­bles ame­na­zas de se­gu­ri­dad son pro­fun­das: el 40% te­me que un ata­que ci­ber­né­ti­co pue­da in­te­rrum­pir los pro­ce­sos de fa­bri­ca­ción y el 22% in­clu­so pre­vé la po­si­bi­li­dad de pér­di­da de vi­das hu­ma­nas.

Los ar­ti­lu­gios de IoT son qui­zás un po­co me­nos ate­rra­do­res en es­te sen­ti­do, pe­ro ¿eso ha­ce que la gen­te se mues­tre de­ma­sia­do com­pla­cien­te? El 67% de las em­pre­sas tie­ne o es­tá pla­ni­fi­can­do un plan de IoT, pe­ro so­lo el 34% es­tá eva­luan­do sus ries­gos en los ne­go­cios. ¿Quién exac­ta­men­te es­tá a car­go de la se­gu­ri­dad de IoT? Las res­pues­tas son mix­tas: el 29% ex­pre­só que el CISO, el 20% que es la in­ge­nie­ría y el 17% le atri­bu­yó la res­pon­sa­bi­li­dad al di­rec­tor de ries­gos.

Nin­gu­na com­pa­ñía es una is­la

Cuan­do se tra­ta de la se­gu­ri­dad, pue­de ser útil co­no­cer las me­jo­res prác­ti­cas de la in­dus­tria, in­clu­so aun­que ello obli­gue a ha­blar con sus ri­va­les cor­po­ra­ti­vos. Exis­ten gru­pos industriales for­ma­les que ayu­dan a man­te­ner la paz. En ge­ne­ral, el 58% co­la­bo­ró con otras em­pre­sas de una for­ma u otra.

¿Qué in­for­ma­ción com­par­ten, exac­ta­men­te?:

Cuan­do se tra­ta de la se­gu­ri­dad, pue­de ser útil co­no­cer las me­jo­res prác­ti­cas de la in­dus­tria, in­clu­so aun­que ello obli­gue a ha­blar con sus ri­va­les cor­po­ra­ti­vos.

• In­for­ma­ción de ame­na­za in­ter­na: 70%

• Tác­ti­cas, téc­ni­cas y pro­ce­di­mien­tos de ame­na­zas: 56%

• In­ci­den­tes de se­gu­ri­dad in­ter­na: 55%

• Tác­ti­cas de res­pues­ta a in­ci­den­tes: 44%

• In­ves­ti­ga­ción im­por­tan­te: 30%

¿Da fru­to es­ta coope­ra­ción? So­lo el 37% de las con­sul­ta­das ga­ran­ti­zó que me­jo­ra­ron su in­te­li­gen­cia y la con­cien­cia so­bre las ame­na­zas.

Ter­ce­ras par­tes, ter­ce­ros en dis­cor­dia

Las TI se es­tán vol­vien­do ca­da vez más in­ter­de­pen­dien­tes, es­pe­cial­men­te de­bi­do a la des­car­ga de mu­chas fun­cio­nes a los pro­vee­do­res de ser­vi­cios en la nu­be. Las em­pre­sas es­tán en­fren­tan­do es­te desafío: el 38% reali­zó eva­lua­cio­nes anua­les de la se­gu­ri­dad de sus pro­vee­do­res y el 56% lo hi­zo dos ve­ces al año o más.

Sin em­bar­go, so­lo el 39% se con­si­de­ra­ron “muy pre­pa­ra­das” pa­ra ma­ne­jar la pro­tec­ción de los da­tos con­fi­den­cia­les en la nu­be o en los en­tor­nos de ter­ce­ros.

Al­gu­nas de las pre­gun­tas de se­gui­mien­to so­bre com­pa­ñías de ter­ce­ros mues­tran por qué hay una fal­ta de con­fian­za. So­lo el 46% de las em­pre­sas en­cues­ta­das efec­tuó au­di­to­rías de cum­pli­mien­to de ter­ce­ros, pa­ra res­pal­dar que pue­den pro­te­ger los da­tos de los clien­tes. De he­cho, el 46% de las em­pre­sas in­clu­so re­qui­rió que los ter­ce­ros cum­plie­ran con sus po­lí­ti­cas de pri­va­ci­dad.

Da­tos pre­cia­dos

Las em­pre­sas es­tán co­men­zan­do a apren­der que la in­for­ma­ción de los clien­tes son unas de sus po­se­sio­nes más pre­cia­das y que una fu­ga no au­to­ri­za­da pue­de te­ner ne­fas­tas con­se­cuen­cias. La­men­ta­ble­men­te, el nú­me­ro de em­pre­sas que han to­ma­do me­di­das pa­ra pro­te­ger­los to­da­vía ron­da el 50%.

El 53% ne­ce­si­tó que los em­plea­dos com­ple­ta­ran la ca­pa­ci­ta­ción en po­lí­ti­cas y prác­ti­cas de pri­va­ci­dad. El 49% li­mi­tó la re­co­pi­la­ción, re­ten­ción y ac­ce­so a la in­for­ma­ción per­so­nal al mí­ni­mo ne­ce­sa­rio pa­ra lo­grar el pro­pó­si­to le­gí­ti­mo pa­ra el que se re­ca­ba. El 51% tie­ne un lis­ta­do de dón­de se reunen, trans­mi­ten y al­ma­ce­nan los da­tos per­so­na­les de fun­cio­na­rio y clien­tes.

Al me­nos hay un re­co­no­ci­mien­to de que la cul­tu­ra de la pri­va­ci­dad de­be co­men­zar en la par­te su­pe­rior: el 67% de las em­pre­sas es­tu­dia­das po­see un je­fe de pri­va­ci­dad o un eje­cu­ti­vo si­mi­lar a car­go de la res­pon­sa­bi­li­dad y el 12% pla­nea con­tra­tar a uno en los pró­xi­mos 12 me­ses.

Newspapers in Spanish

Newspapers from El Salvador

© PressReader. All rights reserved.