Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
¿Cuánta seguridad es suficiente-
Según la encuesta de Fugas de Seguridad de Información de 2012 de PwC, publicada en abril, el número de fugas podría estar en “niveles históricamente altos”, costando a negocios del Reino Unido miles de libras cada año.
Entonces ¿por qué nadie, y menos los que trabajan en la industria de la seguridad informática, contemplan la solución de gastar menos y no más- Piensa en esto racionalmente por un momento y claramente llegará una respuesta obvia: los recursos en seguridad solo pueden ser efectivos si están apropiadamente aplicados. Lo que implica considerar los riesgos que realmente necesitan ser mitigados y ajustar el presupuesto de acuerdo a ello.
El 80 por ciento de las grandes empresas son incapaces de obtener ganancias de su inversión sobre gastos de seguridad (ver los puntos más destacados del ISBS), y con opiniones similares a través de varias encuestas donde parece ser que gastaron alrededor de siete o nueve por ciento más este año en seguridad que lo que gastaron el año pasado, es natural hacerse preguntas.
Gastos en seguridad
Un punto estadístico muy importante, que pasó casi desapercibido en el reporte de ISBS, concretamente menciona que casi el 50 por ciento de éstas compañías planearon gastar más en seguridad este año con respecto al anterior, 67 por ciento de ellos también esperan un incremento en los incidentes de seguridad.
Incluso si no estuviéramos en recesión (aparentemente estamos), eso sería totalmente ridículo desde el punto de vista de cualquier estrategia de gastos. Gastando más y consiguiendo menos cuando los presupuestos se estiran hasta un punto de ruptura, es simplemente tonto.
Chris Potter, socio en seguridad informática de PwC dijo cuando el informe ISBS fue publicado, que “el principal desafío es evaluar y comunicar los beneficios comerciales para invertir en controles de seguridad”, lo que parece tener sentido. Pero Potter también insistió que dado que, “la mayoría de las organizaciones toman un montón de acciones después de un incidente en su seguridad, escatimar y ahorrar en materia de seguridad crea una falsa economía”, una frase que requiere un mayor grado de reflexión.
El problema no es el gasto del dinero, sino en la suposición (por parte de muchas empresas y no del Sr. Potter, sin duda) de que malgastar dinero hace que el problema se vaya. Hay empresas que invierten mucho dinero y sin embargo, han tenido problemas de seguridad.
El gasto en seguridad mal orientado no solo falla en asegurar los datos importantes de las amenazas relevantes, sino que impacta negativamente en el resto del negocio.
Cuanto más dinero se gasta en defensas de seguridad inefectivas, menos dinero hay para las empresas en soluciones de TI competitivas. Cuanto más complejas son las defensas en las capas superiores, más tiempo es usado para administrarlas y la carga de trabajo aumenta para el personal de TI, creando una baja en la productividad.
Un enfoque más inteligente
Pueden existir dudas sobre la necesidad de revisión y actualización de las políticas de seguridad implementadas en la mayoría de las empresas, enfocándose más en una solución eficiente y certera para cada amenza que en una única solución para todos los problemas.
¿Qué queremos decir con esto- Hasta ahora esa es la pregunta más fácil. Las posibilidades son muy altas para mitigar las amenazas con la tecnología que se tiene, el punto es hacer un balance entre los riegos contra los consejos de las empresas de seguridad.
Lo que se necesita es una inversión y no respecto a más tecnología, sino hacia la concientización. Por ejemplo, cuando la empresa de seguridad AVG publicó una “encuesta sobre el panorama de mercado” en el sector de pequeñas y medianas empresas a finales del año pasado, encontró que la mayoría de las empresas aún están enfocadas a las amenazas de la vieja escuela como los correos electrónicos y las infecciones por internet.
Educar a los empleados, desde las áreas de ventas hasta los administradores de servidores, sobre los riesgos reales y las medidas disponibles para evitarlos, ha demostrado una y otra vez que da resultados.
Puntos más importantes del ISBS 2012
- 93 por ciento de las grandes organizaciones y el 76 por ciento de las pequeñas han experimentado incidentes de seguridad el año pasado.
- 15 por ciento de las grandes empresas detectaron penetraciones en sus redes por parte hackers.
- 80 por ciento de las grandes organizaciones y 53 por ciento de las pequeñas calcularon erróneamente los resultados de inversión del gasto en seguridad.
- 50 por ciento de las grandes organizaciones preveen gastar más en seguridad el año siguiente, mientras el 67 por ciento espera más fallas de seguridad.
- 75 por ciento de las organizaciones donde las políticas de seguridad fueron poco entendidas, experimentaron incidentes relacionados con el personal.
- 54 por ciento de las pequeñas empresas no tienen un programa educativo en seguridad.
- 44 por ciento de las grandes organizaciones han dado capacitación adicional a sus empleados después de un incidente de seguridad.
- El costo promedio en las pequeñas empresas después de un incidente de seguridad fue de 15 mil a 30mil libras.
- El costo promedio en las grandes empresas después de un incidente de seguridad fue de 110mil a 250mil libras.
