PricewaterhouseCoopers ha dado a conocer el Informe sobre Seguridad de la Información 2003, elaborado a partir de un sondeo on line realizado entre 7.500 especialistas en seguridad y de TI de todo el mundo.
Como principales conclusiones, destaca que las iniciativas de seguridad en la empresa se deben aún en gran parte a factores externos, como las regulaciones y las prácticas industriales.
Así, no responden a una política proactiva y planificada de evaluación del riesgo, siendo una minoría las organizaciones que contemplan esta ordenación.
Igualmente, el 98 por ciento de las compañías encuestadas disponen de un presupuesto identificado y dedicado a seguridad, aunque en 87 de cada 100 casos éste representa menos del 20 por ciento de la inversión en TI de cada compañía.
El máximo nivel ejecutivo (CEOs) fija este presupuesto en más del 45 por ciento de los casos, seguido directamete por los responsables TI (41 por ciento). También se prevé incrementar los fondos dedicados a seguridad, según el 62 por ciento.
Los encuestados consideran de forma generalizada que la seguridad es una función que apoya al negocio y no debe externalizarse en su totalidad, aunque sí parcialmente, como el análisis de vulnerabilidades y la detección virus e intrusiones. Y es que la mayoría de incidentes proceden de código malicioso -59 por ciento- seguido del acceso no autorizado y denegación de servicio (40 y 35 por ciento).
Como principales barreras para desplegar niveles adecuados de seguridad, figuran las limitaciones de tiempo y presupuesto, así como la falta de formación, concienciación y soporte.
Finalmente, el cambio de perspectiva hacia una seguridad estratégica se refleja en que casi un 40 por ciento busca diseñar una arquitectura de amplio alcance.
