En la industria de la seguridad se sabe que la mejor defensa en una organización contra los ataques externos e internos no sólo es la tecnología, también una cultura de seguridad dentro de la compañía, es decir que cada individuo tenga la mentalidad de que las acciones de apoyo a la seguridad de la información sean automáticas e intuitivas. Y esta actitud es una práctica cada vez más extendida entre las entidades financieras, incluida la banca española, hoy en día más sensible a securizar sus sistemas de información. Esta sería la primera conclusión extraída de la sexta edición del informe mundial Annual Global Security Survey, realizado por Deloitte, en el que analiza el estado de las entidades financieras en materia de seguridad de la información.
Haciendo un drenaje de los datos aportados por las 250 instituciones del sector financiero y asegurador que han participado en el estudio, -siendo el diez por ciento del total, representación española-, destaca en primer lugar, que la figura del responsable de seguridad de una organización ha ganado relevancia, es decir, no sólo el 80 por ciento de las entidades consultadas dispone de un CISO (Chief Information Security Officer), también está reportando cada vez más al Consejo de Administración, CEO…, en lugar de tan sólo al director de sistemas.
De esta resolución se interpreta que la seguridad está adquiriendo un carácter más estratégico con un 92 por ciento de los encuestados, que considera fundamental implantar una estrategia de seguridad de la información. Una estrategia cuya prioridad es la protección de los datos y prevención de fugas de información, pasando a un segundo lugar la gestión de accesos e identidades, y el cumplimiento regulatorio, que en 2007 éstas eran las preferencias.
Sin embargo, la escasez de recursos y de profesionales especializados son los principales impedimentos para desarrollar una estrategia de seguridad. De hecho, el presupuesto que las entidades destinan a la seguridad de la información es escaso. Como anota Alfonso Mur, socio director de Servicios de Riesgos Empresariales de Deloitte, “el 29 por ciento de las organizaciones consultadas dedica entre un uno y un tres por ciento de su presupuesto de TI a la seguridad; y sólo un cinco por ciento, consigna más del diez por ciento. Además, se ha percibido una bajada de las partidas, que está en línea con la reducción de los presupuestos en general”.
Le sigue en importancia una incongruencia. De las respuestas recibidas acerca del tema de la frecuencia de los ataques, se deriva que dicha asiduidad se redujo el año pasado con respecto a 2007. El porcentaje de empresas que han afirmado ser víctimas de repetidos ataques externos en 2008 es del 47 por ciento frente al 65 por ciento del año anterior, y eso que el nivel de sofisticación de los ataques ha aumentado. Y el 20 por ciento de las entidades afirma no haber sufrido ataques en el último año. Sin embargo, los expertos de Deloitte no se lo creen, “ya que las estadísticas de tráfico consultadas demuestran lo contrario, y eso significa que o bien han mentido en sus respuestas ya que a ningún banco le gusta reconocer que está siendo atacado, o bien, que pueden pensar que al tener las amenazas controladas no sufren ataques. Pero, sí nos tenemos que creer que hay una gestión más eficaz de la seguridad”, explica Alfonso Mur.
Del apartado de las amenazas, indica el informe que la principal fuente de ataques externos en 2008 hacia las entidades financieras han sido virus, spam y spyware. El phising continua siendo frecuente aunque su impacto es nimio, mientras que las conductas inapropiadas de los empleados se han incrementado hasta el 11 por ciento.