Mientras las empresas informan de un aumento de las amenazas y vulnerabilidades tecnológicas derivadas del uso de los sistemas de información, una de cada dos planea incrementar su presupuesto de seguridad de la información para el próximo año. Esta es la principal conclusión de la decimosexta edición de la Encuesta Global de Seguridad de la Información de EY, titulada Under Cyber Attack.
A través de la opinión de cerca de 2.000 altos ejecutivos y responsables de TI de grandes compañías procedentes de 64 países, entre ellos, España, el informe analiza el grado de concienciación y la actitud de las empresas frente a amenazas informáticas. Los resultados del sondeo muestran cómo las empresas siguen invirtiendo de forma sustancial para protegerse de potenciales ataques informáticos y del llamado cibercrimen.
En España, el 44% de los directivos consultados asegura que los incidentes de seguridad dentro de su empresa han aumento un 5% durante la pasado año. Ante esta situación, muchas compañías se han dado cuenta del alcance y las consecuencias que supone para ellas sufrir un ataque sobre sus sistemas de información. Por ello, un 80% de las mismas cuenta con un alto directivo responsable de la seguridad informática: Chief Information Officer (CIO), un porcentaje que a nivel global alcanza el 70%.
Para Manuel Giralt, Socio Director de Consultoría y de Seguridad de la Información de EY, “el informe demuestra que las empresas se están moviendo en la dirección correcta, aunque todavía queda mucho por hacer. Por ejemplo, en la actualidad, un 30% de los directivos presenta al consejo de administración cuestiones relacionadas con la seguridad de la información, lo que indica que estos asuntos comienzan a ser estratégicos para la alta dirección”.
Hemos pasado de considerar si una compañía sufrirá un ataque a darlo por supuesto y empezar a evaluar cuándo se producirá. La cantidad de ataques y de intentos de violación de la seguridad que reciben las compañías han hecho replantearse su estrategia, lo que ha desembocado en mayor asignación de recursos, según se recoge en el informe de EY.
En este sentido, la mitad de los encuestados afirma que incrementará su presupuesto de TI en al menos un 5% durante el próximo año, a pesar de que la inmensa mayoría asegura que la dotación es insuficiente. De hecho, el 90% considera que un presupuesto en TI insuficiente es el principal obstáculo para seguir aportando valor a la compañía.
Además, a medida que las nuevas formas de comunicación se van consolidando, como es el caso de las redes sociales, las compañías deben ser conscientes de qué manera les puede afectar el uso de las mismas en la actividad de su empresa. Según los consultados, el 16% de los presupuestos de TI se destinará a tareas de innovación en materia de seguridad y para protegerse frente a las tecnologías emergentes.
Amenazas y vulnerabilidades
Para Francisco Javier Ferré, Socio Responsable de Consultoría TI y de Seguridad de la Información, “la sofisticación de las actuales amenazas, la adopción de nuevas tecnologías en el entorno empresarial y la globalización de las operaciones, exige a un gran número de empresas revisar su estrategia en la gestión y operación de la seguridad. Además, debe considerarse el apoyo de especialistas y sistemas automatizados que puedan ofrecer una respuesta global”.
Según los propios directivos consultados, las principales vulnerabilidades que más riesgo generan en su empresa son las procedentes de las tecnologías móviles, seguida por el uso de las redes sociales y por las posibles acciones de empleados desinformados o descuidados en el uso de las tecnologías de la información.
Por último, el informe recoge cómo el spam, el malware y el phishing son amenazas que se han incrementado en los últimos doces meses y, en menor medida, el espionaje o los ataques internos realizados por empleados descontentos.
Por su parte, Juan Luis Fernández, Socio de Consultoría de Riesgos Tecnológicos y Seguridad de la Información para el sector financiero de EY, explica que “el área de seguridad de las compañías del sector financiero tiene también el reto de transformar su modelo operativo, tradicionalmente reactivo a incidentes de seguridad, a uno donde su funcionamiento sea clave para la gestión integral de la seguridad y el control del fraude, tanto de empleados como de clientes. Es ahora cuando toma sentido la seguridad end to end, en la que no sólo se verifica si los terminales o puntos de conexión son seguros, sino que incluso se comprueba si el modo de operación de los usuarios/clientes y su ‘huella biométrica’ asociada, se corresponde con los parámetros normales de operación”.
