Estudio: Estado de la Seguridad Empresarial 2010 (Symantec)

Estudio de Symantec sobre el Estado de la Seguridad Empresarial 2010

Entre los aspectos destacados del estudio se encuentran:

• La seguridad es de gran interés para las empresas en todo el mundo. El 42 por ciento de las empresas calificaron los riegos cibernéticos como sus principales preocupaciones, más que los desastres naturales, el terrorismo y el crimen tradicional combinado. Como reflejo de esa percepción, las áreas de TI se centran fuertemente en la seguridad empresarial. En promedio, las áreas de tecnología asignan a 120 empleados para la seguridad y el cumplimiento de sus políticas. Las empresas señalaron tener como un objetivo importante para 2010 el “mejorar la administración de riesgos empresariales de TI”, y 84 por ciento lo consideran como muy/absolutamente importante. Casi todas las empresas encuestadas (94 por ciento) prevén cambios de seguridad en 2010 y casi la mitad (48 por ciento) espera grandes cambios

• Las empresas están experimentando ataques frecuentes. En los últimos 12 meses, 75 por ciento de las empresas experimentaron ataques cibernéticos y 36 por ciento calificaron los ataques como muy/altamente efectivos. Lo que es peor, 29 por ciento de las empresas informó que los ataques han aumentado en los últimos 12 meses

• Todas las empresas (100 por ciento) experimentaron pérdidas cibernéticas en 2009. Las tres pérdidas más denunciadas fueron el robo de la propiedad intelectual, el robo de información de las tarjetas de crédito de clientes u otra información financiera y el robo de información de identificación personal de sus clientes. Estas pérdidas se traducen en costos monetarios en 92 por ciento de las ocasiones. Los tres costos principales fueron productividad, ingresos y pérdida de confianza del cliente. Las empresas informaron que habían gastado un promedio de US$2 millones de dólares anuales para combatir los ataques cibernéticos

• La seguridad empresarial es cada vez más compleja debido a varios factores. En primer lugar, la escasez del personal de seguridad empresarial, donde las zonas más afectadas son la seguridad de la red (44 por ciento), seguridad de endpoints (44 por ciento) y seguridad de la mensajería (39 por ciento). En segundo lugar, las empresas han emprendido nuevas iniciativas que hacen más difícil proporcionar seguridad. Las iniciativas que TI calificó como la más problemáticas desde el punto de vista de la seguridad son la infraestructura como servicio, la plataforma como servicio, la virtualización de servidores, la virtualización de endpoints y el software como servicio. Por último, el cumplimiento de normas de TI también es una tarea enorme. La empresa típica está explorando 19 estándares marcos de referencia de TI independientes y actualmente están empleando ocho de ellos. Los estándares principales son ISO, HIPAA, Sarbanes-Oxley, CIS, PCI e ITIL

“El Banco Comercial Abu Dhabi es un buen ejemplo de una organización que ha establecido una estrategia de seguridad efectiva con énfasis en solucionar los problemas de forma proactiva. La empresa tiene un conjunto completo de soluciones de productos y servicios que proporciona protección 24 horas, monitoreo y respuesta a las amenazas, todo por un precio fijo anual. Este enfoque es más rentable que proteger una red después de que se ha puesto en peligro”, agregó de Souza.

Recomendaciones

• Las organizaciones necesitan proteger su infraestructura al asegurar sus endpoints, mensajería y entornos Web. Además, son prioridades la protección de servidores internos críticos y la implementación de funcionalidades para realizar copias de respaldo y recuperar datos. Las organizaciones también necesitan la visibilidad y la inteligencia de seguridad para responder rápidamente a las amenazas

• Los administradores de TI necesitan proteger la información proactivamente, adoptando un enfoque centrado en la información para proteger la información y las interacciones. Adoptar un enfoque consciente del contenido para proteger la información es clave para saber donde reside la información confidencial, quién tiene acceso a ella y cómo llega o sale de la organización

• Las organizaciones deben desarrollar y aplicar las políticas de TI y automatizar sus procesos de cumplimiento de normas. Al dar prioridad a los riesgos y definir políticas que abarcan todas las ubicaciones, los clientes pueden aplicar políticas mediante la automatización integrada y flujo de trabajo, y no sólo identificar amenazas sino corregir incidentes cuando ocurren o anticiparlos antes de que se produzcan

• Las organizaciones necesitan administrar sistemas. Para ello pueden implementar entornos operativos seguros, la distribución y cumplimiento de los niveles de parches, la automatización de procesos para optimizar la eficiencia, el monitoreo y la presentación de informes sobre el estado del sistema  

Descarga del reporte:

• Descargar reporte con resultados para América Latina
• Descargar reporte con resultados globales (en inglés)