El Informe Anual de Seguridad en Instituciones Financieras, realizado por Deloitte, analiza el estado de las entidades financieras en materia de seguridad de la información:
Menos ataques a los bancos, pero más sofisticados; el presupuesto de seguridad sigue siendo escaso. Según sostiene el Informe Anual de Deloitte sobre Seguridad en Instituciones Financieras.
El 80% de las instituciones financieras dispone ya de un responsable de seguridad de la información. La seguridad se está convirtiendo en una función estratégica en las entidades, alineada cada vez más con el negocio. En este sentido, cada vez son más los CISOs (Chief Information Security Officer) que reportan al más alto nivel en las organizaciones (Consejo de Administración, Consejero Delegado, Comité de Seguridad).
Estas son algunas conclusiones del Informe Anual de Seguridad en Instituciones Financieras, realizado por Deloitte, en el que han participado más de 200 instituciones financieras, bancos y compañías aseguradoras de todo el mundo.
.Un 92% de las entidades consultadas considera fundamental definir e implantar una estrategia a nivel de seguridad de la información. En este sentido, el 61% de las organizaciones tiene ya definida y formalmente documentada su estrategia de seguridad, un 21% se encuentra en fase de definición, y un 10% espera desarrollar una estrategia de seguridad en los próximos 12 meses
Además, cada vez es mayor la involucración de los profesionales del negocio en la estrategia de seguridad de la organización (una de cada cuatro organizaciones afirma estar involucrada en este sentido). Pero se experimenta un descenso respecto al año anterior en aquellos que opinan que la seguridad se encuentra adecuadamente alineada con la estrategia de la compañía (un 32% en 2008 frente al 40% en 2007).
En sintonía con la coyuntura actual, las restricciones presupuestarias son, para el 56% de las entidades consultadas, el mayor impedimento a la hora de desarrollar una estrategia eficiente de seguridad. La cada vez mayor sofisticación de los ataques y la escasez de profesionales especializados en materia de seguridad son otras dos grandes preocupaciones para las instituciones financieras.
Inversión en seguridad
El presupuesto que las entidades dedican a seguridad de la información sigue siendo escaso. El 29% de las organizaciones consultadas destina entre un 1% y un 3% de su presupuesto de tecnología, mientras que sólo un 5% destina más de un 10% de su presupuesto a seguridad de la información.
En este sentido, más del 60% del presupuesto de seguridad se destina a la contratación de profesionales especializados, debido a la escasez de personal cualificado en esta materia dentro las entidades. Otra gran partida presupuestaria es la que se dirige a productos para garantizar la seguridad en accesos, antivirus, etc.
La principal causa por la que fallan los proyectos de seguridad en las compañías consultadas es la carencia de recursos. Además, el error humano sigue siendo el motivo principal de los fallos de los sistemas, por delante de la propia tecnología. En este sentido, la pérdida de información es la principal amenaza que observan las entidades para el próximo año, junto con otro tipo de riesgos propios del sector como el phising y el pharming. El ciber-terrorismo aparece como creciente amenaza para las entidades, con cada vez más ataques en la red de forma organizada.
La frecuencia de ataques externos en las entidades financieras se ha reducido respecto a 2007. Así, el porcentaje de empresas que afirmaron ser víctimas de repetidos ataques externos en 2008 fue del 47%, frente al 65% del año anterior. Sin embargo, el nivel de sofisticación de los ataques es mayor, haciendo que éstos sean cada vez más críticos.
La principal fuente de ataques externos hacia las entidades financieras son virus y gusanos, correo basura y programas de spyware. El phising continúa siendo frecuente en el sector, mientras que las conductas inapropiadas de los empleados suponen ya un elevado porcentaje (11%) motivo de ataques externos. Cabe destacar que hasta un 20% de las entidades afirma no haber sufrido ataque externos durante el último año.
En cuanto a amenazas internas, la principal fuente de ataques son los virus y gusanos, mientras que las fugas de información se han incrementado en los últimos años y son ya una de las amenazas más comunes.
Tecnología y soluciones
Las tecnologías líderes continúan siendo las soluciones de antivirus y filtrado de spam, así como los firewalls. Se ha extendido de forma notable la utilización de sistemas de detección de intrusos, y se detecta una tendencia al diseño y adopción de sistemas de gestión de vulnerabilidades. Sin embargo, la parte reactiva de la gestión de la seguridad se encuentra ya en un estadio maduro, y cada vez más surgen iniciativas orientadas a actuar de forma preventiva.
Descarga del estudio (PDF, 1,1Mb, 42 páginas), pulse aquí
En cuanto a amenazas internas, la principal fuente de ataques son los virus y gusanos, mientras que las fugas de información se han incrementado en los últimos años y son ya una de las amenazas más comunes.
Tecnología y soluciones
Las tecnologías líderes continúan siendo las soluciones de antivirus y filtrado de spam, así como los firewalls. Se ha extendido de forma notable la utilización de sistemas de detección de intrusos, y se detecta una tendencia al diseño y adopción de sistemas de gestión de vulnerabilidades. Sin embargo, la parte reactiva de la gestión de la seguridad se encuentra ya en un estadio maduro, y cada vez más surgen iniciativas orientadas a actuar de forma preventiva.
Descarga del estudio (PDF, 1,1Mb, 42 páginas), pulse aquí
No hay comentarios:
Publicar un comentario