Asimismo, las brechas de seguridad proceden de fallos en los procesos más que de fallos de las tecnologías. Éstos son, entre otros, los puntos de investigación publicados el 21 de octubre en el informe llevado a cabo por Economist Intelligence Unit Comprobando las defensas: hacer frente al reto de la seguridad corporativa, patrocinado por Nortel Networks.
El documento está prologado por el ex-alcalde de Nueva York Rudolph Giuliani, en el que argumenta que, mientras numerosas compañías consideran la seguridad como algo prioritario, muchas han fallado a hora de introducir sistemas de gestión y control de riesgos. La encuesta, realizada a 178 directores generales de todo el mundo, desvela que el 68 por ciento no había cuantificado los riesgos de seguridad de su empresa.
Los responsables de los negocios son más conscientes de los peligros que entrañan los agujeros en la seguridad corporativa, pero necesitan hacer más para prepararse. Tal y como desvela el informe, las empresas no deberían aplazar esta necesidad simplemente porque resulte difícil de calcular esta amenaza. Al contrario, los directores ejecutivos y los consejos de administración deberían considerar los futuros costes a causa de los fallos, para actuar ahora de forma consecuente, señala Giuliani, presidente y CEO de Giuliani Partners.
El informe detalla también conclusiones útiles para los responsables de los negocios ya que les ayuda a entender los complejos entornos de seguridad:
– Los ejecutivos se esfuerzan en medir y dar prioridad a los riesgos de seguridad. Aunque el 71% de las compañías realiza un análisis de riesgos en sus entornos de seguridad al menos una vez al año o más, el 32 por ciento no saben en qué consiste el coste de un fallo de seguridad. Hay respuestas contradictorias a algunas de las preguntas de las encuestas, lo que indica altos niveles de confusión e incertidumbre entre los ejecutivos acerca de la naturaleza e impacto de las amenazas de seguridad que se ciernen sobre sus empresas.
– Los empleados tienen la llave de la seguridad. El 57% de los encuestados cree que las brechas de seguridad son consecuencia de accidentes más que de forma deliberada; el 78 por ciento cree que son debidos a un fallo en los procesos internos. Muchas compañías no tienen una política específica para hacer frente a una pérdida accidental de información. Incluso cuando existen políticas definidas al respecto, se requieren prácticas e incentivos para asegurarse de que los empleados siguen los debidos procesos de seguridad. Las investigaciones sugieren que el único camino para tener bien protegida una empresa es integrar el concepto de seguridad dentro de la cultura corporativa.
– Las empresas deben tener una respuesta coordinada a las múltiples amenazas. Pocas compañías tienen una estrategia de empresa que cubra todos los aspectos de la seguridad corporativa. Esto es sólo parte del problema: las empresas necesitan con urgencia gestionar otros puntos débiles de la organización. Las diferentes funciones de seguridad -IT, seguridad física, responsables de riesgos y recursos humanos- necesitan trabajar juntos de forma eficiente para asegurar este rendimiento.
– Los consejos de administración están incrementando su responsabilidad para fallos de seguridad. Nuevas leyes y regulaciones hacen marcan la necesidad de que los ejecutivos de cierto nivel estén preparados para prevenir las brechas de seguridad. Los consejos con capacidad de decisión necesitan controlar la seguridad desde arriba, marcando prioridades y conduciendo cambios culturales en contraste con un plan de negocios coherente. Los altos ejecutivos también necesitarán mejor información para conocer los diferentes tipos de riesgos y el coste de las prevenciones.
Estas investigaciones dejan claro que las compañías tienen mucho por hacer si quieren conseguir la protección total de sus negocios. Se trata de mucho más que un problema de las tecnologías de información: la seguridad debe convertirse en parte del ADN de las organizaciones, señala Malcolm Collins, presidente para redes empresariales de Nortel Networks.
Las compañías están invirtiendo, más que nunca, en tiempo y recursos destinados a la seguridad corporativa. Pero aún se esfuerzan en sobrevivir dentro de un entorno complejo de riesgos, señala Daniel Franklin, director editorial de Economist Intelligence Unit.
