martes, 22 de abril de 2008

¿Quién se ocupa de la seguridad de la información de su compañía?

¿Se reúne al menos una vez por mes con los responsables de tecnología de su empresa para hablar sobre la seguridad de la información? ¿Está incorporado el tema en la agenda de su organización? ¿Es conciente de los riesgos que implica para su negocio compartir información con terceros por canales tecnológicos?

Si las respuestas a estas preguntas son negativas, debería empezar a preocuparse. Por que cada vez más, los esquemas de seguridad de la información en las empresas son vitales para prevenir vulnerabilidades que puedan afectar la marcha de los negocios.

Según la 10ª Encuesta Global de Seguridad de la Información de Ernst & Young, todavía existe “una gran brecha en la comunicación entre los responsables de IT y los niveles directivos de la organización”.

En México, que obtuvo el tercer lugar en número de participantes de la encuesta, uno de cada tres participantes del sondeo aseguró que “nunca” se reúne con los niveles directivos y sólo uno de cada cinco lo hace de forma mensual.

En el caso mexicano, el 49% de las organizaciones carecen de una estrategia formal de seguridad de la información, y si bien existe conciencia sobre las amenazas y vulnerabilidades, no se entienden los riesgos, indicó el informe.

Bajo nivel de conciencia

Pero lo más grave en términos corporativos es que, si bien aumentó respecto de la anterior medición, en México todavía son bajos los niveles de conciencia de las organizaciones: pasó de 15% a 19%. El estado de conciencia implica, según el estudio, que la seguridad de la información es una parte inherente de los procesos de negocio y “se mantiene un proceso permanente de evaluación de riesgos” con acciones preventivas antes de reactivas.

Las tres principales preocupaciones de los responsables de seguridad de la información mexicanos son, en este orden: 1) el uso de dispositivos removibles, 2) las redes inalámbricas y 3) la convergencia entre seguridad lógica y física. A nivel global, las tendencias están siendo además las aplicaciones web y el cómputo móvil, según se desprende del estudio que analizó más de 1.300 compañías en todo el mundo.

La administración de relaciones con terceros es una de las áreas de riesgo más relevantes para las compañías mexicanas: seis de cada 10 participantes lo hacen de manera “informal o no lo tienen considerado”, sostiene el informe, difundido esta semana.

¿Cuestión de dinero?

Carlos Chalico y Sergio Ruiz, socios del área de Control y Administración de Riesgos Electrónicos de Ernst & Young, explicaron que “los presupuestos para atender las áreas de seguridad de la información equivalen a una fracción muy pequeña del presupuesto total que se le asigna a las áreas de TI”.

“La información no debe verse como un tema de presupuesto. Nuestra sugerencia es que los encargados de la seguridad se enfoquen a detectar vulnerabilidades para identificar riesgos y poder informar a la dirección general entorno a las recomendaciones para instrumentar controles de seguridad”, comentó Ricardo Lira, gerente de CARe de Ernst & Young.

Para los expertos, no se trata de pedir presupuestos, sino algo aun más importante. “Que los encargados de la seguridad de la información establezcan metodologías que permitan desarrollar procesos de comunicación más efectiva con los tomadores de decisiones de las compañías para hacerlos concientes de las vulnerabilidades y riesgos”, ahondó Lira.

Pese a estos indicadores negativos, el estudio logró establecer que hubo una leve evolución:

• La seguridad de la información es considerada como un elemento importante para el cumplimiento de los objetivos de negocio.

• La privacidad y la protección de la información está ganando terreno como el principal habilitador para la seguridad de la información en las organizaciones en lugar del cumplimiento regulatorio.

• La seguridad de la información se empieza a reconocer como un factor importante para la eficiencia operativa y de TI.

Fuente: http://www.riesgosinformaticos.com.ar/2008/04/13/%c2%bfquien-se-ocupa-de-la-seguridad-de-la-informacion-de-su-compania/
http://seguridad-informacion.blogspot.com/2008/01/global-information-security-survey-2007.html

No hay comentarios: