El más reciente estudio anual de seguridad de la información, realizado a nivel mundial por la firma Ernst & Young, arroja datos interesantes sobre la evolución que tiene la seguridad de la información en las empresas, de cara a las tendencias globales en Tecnologías de Información.
La buena noticia es que México y América Latina se están emparejando en cuanto a la asignación de presupuestos y están alineando sus estrategias a las que se manejan a nivel internacional. La mala noticia, es que aún hay rezagos importantes, sobre todo en áreas relacionadas con temas de cultura.
Para profundizar en los resultados de este estudio en la región, Computerworld México charló con Carlos Chalico, socio de Ernst & Young México y analista responsable del reporte en nuestro país.
De acuerdo con el estudio, las empresas enfrentan un entorno de cambios sin precedente, con muchos paradigmas de negocio nuevos que son sustentados por las nuevas tecnologías o incluso afectados por nuevas regulaciones. Cada día más organizaciones trasladan información y servicios hacia la nube, ampliando su negocio a través de soluciones para cómputo móvil e incursionando en redes sociales.
Sin embargo, aclara el estudio, estas nuevas tecnologías no vienen sin riesgos.
“Estamos viendo más uso de las tecnologías de nube; se reconoce la preocupación sobre todo en seguridad, pero más o menos 50% de los encuestados están usando servicios de nube aunque reconocen que la certificación de un tercero sobre estos servicios sería un elemento que les aportaría confianza”, expresó Carlos Chalico.
Sin embargo, añade, “en general, en nuestro país ha habido una suerte de resistencia o timidez para exigir a los proveedores alguna certificación, o responsabilidad; tal vez sea desinterés, reticencia o falta de motivación para pedirle al proveedor que cumpla con lo necesario, pero no estamos siendo suficientemente estrictos para exigir a los proveedores. Esto tendría que revertirse con el cumplimiento que exige la ley federal de protección de datos personales (LFPDPPP). Creemos que se comenzarán a adoptar este tipo de prácticas y tal vez haya que esperar un poco más para ver el cambio”, opinó Chalico.
De dinero y administración
Muchos de los participantes en la encuesta revelaron que sus presupuestos de seguridad de la información están aumentando. No obstante, también revelaron que existe una brecha creciente entre las necesidades de su negocio y lo que la seguridad de la información hace por sus organizaciones.
En el caso de México, varias de las gráficas muestran un rezago contra las tendencias mundiales. Chalico opinó que “antes era dramático ver que las preocupaciones en México y la noción de seguridad en nuestro país contra las del mundo eran distintas, ahora ya hay una alineación más clara en ese sentido.”
Pero, añade, hay rezagos importantes. “Seguimos siendo muy tácticos y menos estratégicos; los objetivos están encontrados: un área de SI tiene la consigna de disminuir el riesgo de seguridad sin entorpecer el proceso de negocio, mientras que las áreas de TI el objetivo es ser eficientes y ágiles, de manera que control interno podría estar estorbando a menos que todas las áreas se sienten juntas a platicar cómo hacer las cosas de manera ágil pero con protección garantizada para lo que es importante para la organización”, expresó.
En este sentido, el directivo de Ernst & Young México considera que mientras el área de seguridad de la información (SI) esté supeditada al área de TI no se le dará el peso que debe tener, “a menos que el área de TI entienda la necesidad y le asigne recursos y lo trate como a un asunto estratégico, pero mientras haya esta subordinación de SI a TI, la probabilidad de que la seguridad sea estratégica es poca”, dijo Chalico.
Cuando cuestionaron a los participantes si tienen una estrategia de seguridad de uno a tres años, en México el 61% dijo que no, y solamente 38% dijo que sí. “Es un tema preocupante, está bien que busquemos nuevas tecnologías pero es importante no dejar de reconocer las consideraciones de riesgo en el uso de estas nuevas tecnologías”, expresa el analista. Cabe resaltar que únicamente 6% de los encuestados consideran este tema como prioridad.
“Sí vamos avanzando en temas de seguridad, pero súper despacito. Hay organizaciones que se lo están tomando más en serio pero lo hacen porque al final terminan ganando otros elementos en la carrera presupuestal, principalmente reducción de costos”, añadió.
Queda claro que todavía existe mucho por hacer para proteger la información y administrar el riesgo, por lo que es momento de retomar los principios básicos y definir una estrategia clara y un programa de mejora que ayude a la seguridad de la información en cada organización a salir de la niebla, establece el reporte.
Tendencias
El reporte identificó tres tendencias diferentes que juntas han tenido, y seguirán teniendo, un impacto considerable sobre la función e importancia de la seguridad de la información.
En primer lugar, las fronteras físicas de las organizaciones desaparecen a medida que se transmite más de su información vía internet, lo que sigue siendo un área de preocupación clave para las organizaciones actuales.
También se observa que el ritmo del cambio sigue en aceleración. El cambio de lo físico a lo digital permite ofrecer a los consumidores una entrega inmediata de productos y aumentar su valor.
Por último, las organizaciones están cambiando sus contratos de outsourcing tradicionales por contratos con proveedores de servicios en la nube. De hecho, la encuesta global reveló que el 45% de los encuestados en México y 61% a nivel global actualmente utiliza, evalúa o planea utilizar servicios de computación en la nube dentro de los próximos 12 meses.
Lo anterior representa un aumento considerable a nivel global de 16 puntos porcentuales sobre el 45% que se reportó en 2010; en relación con lo que se reportó para México en el mismo año, representa un aumento de 6 puntos porcentuales sobre el 39% obtenido.
Al respecto, la encuesta en México reveló que mientras el uso del cómputo en la nube pareciera haber disminuido en 4% respecto a 2010, el porcentaje de encuestados que evalúa o planea utilizar servicios basados en cómputo aumentó a más del doble, de 18% a 40%.
Percepción de las amenazas
* El 63% de los encuestados en México y el 72% a nivel global observaron un aumento en el nivel de riesgo debido al aumento de amenazas externas. Sin embargo, al mismo tiempo, solo una cuarta parte de los encuestados en México (26%) y el 60% a nivel global han actualizado su estrategia de seguridad de la información en los últimos 12 meses para responder a dicho aumento en las amenazas.
* Los resultados de la encuesta muestran la adopción rápida de la computación por tablet. Menos de la cuarta parte de los encuestados (24% en México y 20% a nivel global) no tiene planes de permitir el uso de tablets; la gran mayoría de los entrevistados (76% en México y 80% a nivel global) pretende adoptar (7% en México y 11% a nivel global), está evaluando (24% en México y 46% a nivel global) o utiliza ampliamente la computación por tablets (42% en México y 23% a nivel global, del cual el 29% en México hace uso de tablets sin la aprobación oficial de la organización y 9% a nivel global).
“Aunque el uso de BYOD está creciendo, los resultados de la encuesta muestran que las empresas no lo permiten mucho aún, sin embargo, pareciera que en Mexico somos más permisivos que en cómputo móvil que en otros países, lo que plantea retos en cuanto a controles y mecanismos de protección”, dijo Chalico.
Más accesibilidad significa más productividad, pero también más riesgos. Sin embargo, el estudio muestra que la tasa de adopción de técnicas de seguridad y software en un mercado tan cambiante como el de cómputo móvil sigue siendo baja. Por ejemplo, menos de la mitad (38% en México y 47% a nivel global) de las organizaciones utiliza técnicas de cifrado.
Redes sociales y conciencia de seguridad, un tema siempre áspero
* El estudio revela que una parte considerable de los participantes reconocen los riesgos: el 44% de los encuestados en México y el 40% a nivel global calificó los asuntos relacionados con redes sociales como desafiantes o considerablemente desafiantes. En México, 56% de los encuestados y 76% a nivel global mencionó que los ataques maliciosos externos representaban su principal riesgo y que estos ataques podrían haber sido impulsados por la información obtenida a través del uso de las redes sociales que fueron utilizadas para enviar mensajes de phishing dirigidos a personas específicas.
Para poder abordar los posibles riesgos relacionados con las redes sociales, las organizaciones parecen adoptar una respuesta radical. Más de la mitad (56% para el caso de México y 53% a nivel global) ha respondido bloqueando o limitando el acceso a los sitios en lugar de aceptar el cambio y adoptar medidas a nivel empresarial.
Pero Carlos Chalico opina que si una campaña de concientización de redes sociales no debe orientarse a impedir su uso, porque los usuarios tienen acceso a través de su móvil y pueden filtrar datos de todos modos.
“Es como pedirle a alguien que no hable por teléfono en su empresa; es más bien un tema que se merece pensar de más, partiendo de un gobierno de redes sociales, y cómo lo pueden controlar. Por ejemplo, en IBM los empleados saben que cada uno de ellos se constituye en un embajador de la marca y eso les genera una nueva conciencia. Las empresas deben definir cómo quieren verse en el tema de redes sociales, enviando el mensaje de una forma que no sea hablar en el desierto”, expresó.
Continuidad del negocio
La mayoría de los encuestados asignan a la continuidad del negocio y la recuperación en caso de desastres como la prioridad principal de inversión para el próximo año, en donde el 40% de los encuestados en México y 36% a nivel global considera que es su prioridad principal de inversión, lo cual representa más de tres veces para el caso de México y más del doble a nivel global el número de los encuestados que señalaron que el área que ocupa el segundo lugar (esfuerzos de prevención de fuga y pérdida de datos) era su prioridad principal (12% para México y 13% a nivel global).
A pesar de que la continuidad del negocio es la prioridad principal de inversión, muchos encuestados reportan tener una gestión de continuidad (BCM) parcial, en donde una minoría considerable a nivel global (45%) de las organizaciones no cuenta con procedimientos para responder ante casos de crisis, no tiene procedimientos para proteger al personal o no cuenta con planes que abarquen todos los procesos críticos de negocio.
Para el caso de México estas afirmaciones representan el 73%, 74% y 71% respectivamente. Además, dada la importancia de la infraestructura de tecnología de información y comunicaciones (TIC) para las organizaciones, es notable que el 45% a nivel global y 74% en México señalara que carece de procedimientos para asegurar que podrá seguir trabajando durante un desastre.
“Conforme a la experiencia de los resultados obtenidos en años anteriores, tengo la impresión -opina Chalico- de que estos resultados se quedan en la intención, pues pareciera que de lo que se dice a lo que se hace hay una diferencia importante.”
@fueradelugar
@CIOMexico
