La cantidad de incidentes de seguridad a nivel global creció 48% durante
2014, hasta alcanzar los 40 millones. Pero a pesar del creciente riesgo
y los gastos asociados a brechas de
seguridad, la inversión en
seguridad cayó.
Estos y muchos otros datos se desprenden del
Global State of Information Security Survey 2015
realizado por la consultora PwC, que reveló que hasta mayo de 2014 los
incidentes de
seguridad registrados en el mundo fueron 42.8 millones, el
equivalente a 117.339 ataques por día. Estos se están volviendo más
costosos para las organizaciones, ya que se ha estimado un costo de 2.7
mil dólares por incidente, lo que representa un aumento del 34% respecto
a 2013.
¿Cuál es el panorama en Latinoamérica?
En los últimos años, la región ha trabajado en la implementación de
prácticas de seguridad claves y continúa mejorando, pero está empezando a
retrasarse en otros aspectos importantes, según el documento. Este año,
las organizaciones detectaron menos incidentes de seguridad que en
2013, y la inversión en
seguridad cayó un 24% -el decrecimiento más
notorio de todas las regiones evaluadas.
Sin embargo, ante la pregunta de qué sucederá con el gasto en
seguridad
durante los próximos doce meses, el 73.8% de las compañías aseguró que
aumentará.
Latinoamérica reporta una alta incidencia de amenazas internas, en
particular relacionadas a antiguos empleados. El
reporte afirma:
El crecimiento en los incidentes causados por factores internos podría
acarrear serias implicancias, porque los crímenes de actores internos
son a menudo más costosos o dañinos que aquellos perpetrados por grupos
externos. Cuando las organizaciones pasan por alto las amenazas que
residen en sus ecosistemas, los efectos pueden ser devastadores. Aún así
muchas compañías no tienen un programa contra amenazas internas, y por
lo tanto no están preparadas para prevenir, detectar y responder ante
ellas.
A continuación podemos ver en detalles los diversos orígenes de los problemas en las compañías:
Como podemos ver, proveedores y socios también se incluyen entre las
fuentes de ataques informáticos en Latinoamérica, además de los
cibercriminales.
Hay una notable paradoja: según los hallazgos de PwC, la región es líder
en iniciativas estratégicas como la inclusión de una política para
alinear la inversión en seguridad con las líneas de negocio más
rentables, y la implementación de medidas de seguridad en dispositivos
móviles. Además, las compañías de la región son propensas a colaborar
con otros para mejorar la seguridad y tener un Chief Information
Security Officer (CISO) a cargo. Pero, sin embargo, presentan un
compromiso muy débil en lo que respecta a concientización y capacitación
de empleados.
Esto es preocupante si tenemos en cuenta que la educación es un pilar
fundamental para garantizar realmente la seguridad de la información.
Por ejemplo, de nada sirve tener una excelente política de seguridad o
mantener la solución de seguridad actualizada si los empleados
introducen datos sensibles en sitios de phishing y entregan esa
información.
Desde ESET hemos presentado este año nuestro propio
ESET Security Report,
que analiza el estado de la seguridad en las compañías de América
Latina, y los resultados son en gran parte similares a los que obtuvo
PwC. Pudimos concluir que se invirtió más en seguridad informática y que
los departamentos específicos cobraron más relevancia; no obstante, no
se toma total conciencia de la magnitud que podrían tener los incidentes
internos.
Por esta razón, es necesario fortalecer los controles sobre lo que se
encuentra puertas hacia adentro y representa el capital más importante:
los colaboradores. La implementación de medidas de seguridad
tradicionales es satisfactoria en la región, pero no se realizan
actividades suficientes para prevenir incidentes relacionados con
trabajadores, que son el principal origen de problemas según el reporte
de PwC, como vimos anteriormente.
De todas formas, es reconfortante el hecho de que el 47% de las
compañías asegura tener una estrategia de seguridad implementada,
mientras el 29.64% se encuentra trabajando en ello para garantizar que
los activos importantes, como la información, están a salvo.
Fuente:
We Live Security
