Las Organizaciones No Están Preparadas Para Los Ataques Cibernéticos
COLOMBIA (BusinessCol, 25 de Febrero de 2015) Aunque los empleados descuidados o inconscientesrepresentan la principal vulnerabilidad, la amenaza latente más grande es elrobo de información financiera.
Las organizaciones necesitan estar en un estado constante de preparación, anticipándose a nuevas amenazas.Bogotá, Febrero de 2015.- La mayoría de las organizaciones (67%) se enfrentan a crecientes amenazas en su entorno de seguridad de la información, pero más de un tercio (37%) no tienen datos en tiempo real para combatir estos ciber riesgos. Esta es una de las conclusiones arrojadas por la encuesta anual de seguridad de la información de EY, “Adelántate a la ciber delincuencia”, que encuestó a 1.825 organizaciones en 60 países.
Las empresas carecen de agilidad, presupuesto y conocimiento necesario para reducir exitosamente vulnerabilidades conocidas y prepararse para hacer frente a la seguridad cibernética. 43% de los encuestados dicen que el presupuesto total de seguridad de la información de su organización se mantendrá en los próximos 12 meses a pesar de las crecientes amenazas, lo cual representa una mejora marginal frente al 46% que dijo en el 2013 que los presupuestos no cambiarían.
Más de la mitad (53 %) dice que la falta de recursos calificados es uno de los principales obstáculos que desafían su programa de seguridad de la información y sólo el 5 % de las empresas encuestadas tiene un equipo de inteligencia con analistas dedicados. Estas cifras no representan una diferencia importante con respecto al 2013, cuando el 50% destacó la falta de recursos especializados y un 4% dijo que tenían un equipo de inteligencia de amenazas con analistas dedicados.
Según, María Conchita Jaimes, Socia de Asesoría y líder de Seguridad de la Información de EY Colombia (antes Ernst & Young), “Los empleados descuidados o inconscientes, se convierten en la vulnerabilidad número uno que las empresas enfrentan, de acuerdo con el 38 % de los encuestados; además las medidas obsoletas de seguridad de la información, la arquitectura y el uso del cloud computing, ocupan el segundo y tercer lugar (35% y 17%). Las tres principales amenazas son:
El robo de información financiera, la intrusión para alterar o afectar la organización, y el robo de la propiedad intelectual o datos (28 %, 25% y 20% respectivamente)”.
La encuesta de este año concluye que las organizaciones necesitan hacer un mejor trabajo y anticiparse a los ataques en un entorno en el que ya no es posible prevenir todas las infracciones cibernéticas y donde las amenazas provienen de fuentes cada vez más ingeniosas y bien financiadas.
Jaimes de EY, dice: "Las organizaciones sólo desarrollarán una estrategia de riesgos efectiva si entienden cómo anticiparse a la ciberdelincuencia. Los ciberataques tienen el potencial de ser de gran alcance – no sólo económicamente, sino también en términos de marca y daños de reputación, pérdida de ventaja competitiva e incumplimiento de normas. Las organizaciones deben cambiar de enfoque reactivo a una postura proactiva,
transformándose de un blanco fácil para los ciberdelincuentes a complejos
adversarios.
"Muchas organizaciones aún se encuentran lejos de dominar los aspectos fundamentales de la ciberseguridad. Además de la falta de enfoque de las directivas de la organización y de la definición de procedimientos y prácticas, muchas de las organizaciones encuestadas revelan que no tienen un centro de operaciones de seguridad. Esta es una preocupación latente", asegura la experta de EY Colombia.
El informe sugiere a las organizaciones adoptar la ciberseguridad como una capacidad competitiva. Para ello es necesario mantener a la organización en un constante estado de preparación, anticipándose a las nuevas amenazas.
Para ello, el informe recomienda:
• Permanecer alerta ante nuevas amenazas: las directivas deben abordar las amenazas de riesgos cibernéticos como un aspecto fundamental del negocio, y poner en marcha un proceso dinámico de toma de decisiones que permita acciones preventivas.
· Comprender el panorama de las amenazas: Las organizaciones deben tener una conciencia amplia frente al panorama de las amenazas y cómo se relacionan con la organización, e invertir en inteligencia cibernética.
· Conocer sus "joyas de la corona": que toda la organización tenga información de los activos que son de mayor valor para el negocio, y cómo pueden ser priorizados y protegidos.
· Centrarse en las respuestas frente a incidentes y crisis: Las organizaciones deben probar regularmente sus capacidades.
· Aprendizaje y evolución: la Ciberseguridad forense es una pieza crítica del rompecabezas. Las organizaciones deben estudiar los datos de incidentes y ataques, mantener y explorar nuevas relaciones y refrescar su estrategia con regularidad.
Finalmente, Jaimes de EY Colombia agrega: “La prevención es la mejor solución y las organizaciones deben concientizarse del grave riesgo que corren si no implementan programas para protegerse porque luego podría sermuy tarde”.