US$2 millones pierden anualmente las empresas por ataques cibernéticos

Noticintel 2010-02-24

Un promedio de US$ 2 millones al año le ha costado a las empresas los ataques cibernéticos que han sufrido por las organizaciones criminales, las cuales cada vez realizan frecuentes y eficientes ataques.

Ese es uno de los resultados del Reporte sobre el Estado de Seguridad Empresarial 2010 que Symantec Corporation presentó y el cual resalta que el 42% de las organizaciones califica a la seguridad como principal prioridad, habida cuenta que el 75% de las organizaciones han sufrido vulnerabilidades en su seguridad en los últimos 12 meses.

El reporte también señala que las organizaciones informaron que la seguridad empresarial es cada vez más difícil, debido a factores como la escasez de personal, las nuevas iniciativas de TI que intensifican los problemas de seguridad y problemas de cumplimiento de las normas de TI. El estudio se basa en una encuesta realizada a 2.100 CIO (Chief Technology Officer en inglés), CISO, encargados de seguridad informática y administradores de TI de 27 países, incluidos Argentina, Brasil, Colombia y México en enero de 2010.

Francis de Souza, Vicepresidente Senior de Seguridad Empresarial de Symantec, manifestó que “proteger la información hoy es más complejo que nunca. Al poner en marcha un plan de seguridad que proteja la infraestructura y la información, que exija el cumplimiento de políticas de TI y administre los sistemas de manera más eficiente, las empresas pueden aumentar su ventaja competitiva en el actual mundo conectado por la información”.

Risk_Ranking_LAM_Espanol

Fuente: Symantec

Seguridad empresarial, cada vez más compleja

Entre los aspectos destacados del estudio se encuentran:

- La seguridad es de gran interés para las empresas en todo el mundo. Cuarenta y dos por ciento de las empresas calificaron los riesgos cibernéticos como sus principales preocupaciones, más que los desastres naturales, el terrorismo y el crimen tradicional combinado. Como reflejo de esa percepción, TI se centra fuertemente en la seguridad empresarial. En promedio, las áreas de tecnología asignan a 120 empleados para la seguridad y el cumplimiento de sus políticas. Las empresas calificaron a “mejorar la administración de riesgos empresariales de TI” como un objetivo importante para el 2010 y el 84 por ciento la calificaron como muy/absolutamente importante. Casi todas las empresas encuestadas (94 por ciento) prevén cambios de seguridad en el 2010 y casi la mitad (48 por ciento) espera grandes cambios.

- Las empresas están experimentando ataques frecuentes. En los últimos 12 meses, 75 por ciento de las empresas experimentaron ataques cibernéticos y 36 por ciento calificaron los ataques como muy/altamente efectivos. Lo que es peor, el 29 por ciento de las empresas informó que los ataques han aumentado en los últimos 12 meses.

- Todas las empresas (100 por ciento) experimentaron pérdidas cibernéticas en el 2009. Las tres pérdidas más denunciadas fueron el robo de la propiedad intelectual, el robo de información de las tarjetas de crédito de clientes u otra información financiera y el robo de información de identificación personal de sus clientes. Estas pérdidas se traducen en costos monetarios en el 92 por ciento de las ocasiones. Los tres costos principales fueron productividad, ingresos y pérdida de confianza del cliente. Las empresas informaron que habían gastado un promedio de US$2 millones de dólares anuales para combatir los ataques cibernéticos.

- La seguridad empresarial es cada vez más compleja debido a varios factores. En primer lugar, la escasez del personal de seguridad empresarial, donde las zonas más afectadas son la seguridad de la red (44 por ciento), seguridad de endpoints (44 por ciento) y seguridad de la mensajería (39 por ciento). En segundo lugar, las empresas han emprendido nuevas iniciativas que hacen más difícil proporcionar seguridad. Las iniciativas que TI calificó como la más problemáticas desde el punto de vista de la seguridad son la infraestructura como servicio, la plataforma como servicio, la virtualización de servidores, la virtualización de endpoints y el software como servicio. Por último, el cumplimiento de normas de TI también es una tarea enorme. La empresa típica está explorando 19 estándares marcos de referencia de TI independientes y actualmente están empleando ocho de ellos. Los estándares principales son ISO, HIPAA, Sarbanes-Oxley, CIS, PCI e ITIL.

“El Banco Comercial Abu Dhabi es un buen ejemplo de una organización que ha establecido una estrategia de seguridad efectiva con énfasis en solucionar los problemas de forma proactiva. La empresa tiene un conjunto completo de soluciones de productos y servicios que proporciona protección 24 horas, monitoreo y respuesta a las amenazas, todo por un precio fijo anual. Este enfoque es más rentable que proteger una red después de que se ha puesto en peligro”, agregó de Souza.

Recomendaciones

- Las organizaciones necesitan proteger su infraestructura al asegurar sus endpoints, mensajería y entornos Web. Además, son prioridades la protección de servidores internos críticos y la implementación de funcionalidades para realizar copias de respaldo y recuperar datos. Las organizaciones también necesitan la visibilidad y la inteligencia de seguridad para responder rápidamente a las amenazas.

- Los administradores de TI necesitan proteger la información proactivamente, adoptando un enfoque centrado en la información para proteger la información y las interacciones. Adoptar un enfoque consciente del contenido para proteger la información es clave para saber donde reside la información confidencial, quién tiene acceso a ella y cómo llega o sale de la organización.

- Las organizaciones deben desarrollar y aplicar las políticas de TI y automatizar sus procesos de cumplimiento de normas. Al dar prioridad a los riesgos y definir políticas que abarcan todas las ubicaciones, los clientes pueden aplicar políticas mediante la automatización integrada y flujo de trabajo, y no sólo identificar amenazas sino corregir incidentes cuando ocurren o anticiparlos antes de que se produzcan.

- Las organizaciones necesitan administrar sistemas. Para ello pueden implementar entornos operativos seguros, la distribución y cumplimiento de los niveles de parches, la automatización de procesos para optimizar la eficiencia, el monitoreo y la presentación de informes sobre el estado del sistema.