El 92% de las empresas considera mejorable su seguridad
Según el estudio realizado por Penteo en colaboración con ANIEL
El 83% de las empresas españolas ha sufrido problemas de seguridad informática, el 77% de ellos de forma esporádica y el 6% de forma habitual, lo que da una idea de la preocupación que generan este tipo de incidentes, que ha llevado al 92% de las empresas consultadas por Penteo a considerar su seguridad como un aspecto mejorable.
El informe “Seguridad informática en la empresa española. Año 2004”, realizado por el Grupo Penteo en colaboración con ANIEL, refleja una realidad inexorable, que no es otra que el crecimiento experimentado en los últimos años por el número de incidentes relacionados con la seguridad informática. Prueba de ello es que el presupuesto que las empresas destinaron a seguridad en 2003 fue del 8,9% del total asignado a las TIC, en relación al 7,3% destinado en 2002.
Del estudio, basado en una muestra de 238 empresas españolas, se desprende que los virus informáticos, especialmente los que se transmiten por correo electrónico pero también los que lo hacen por cualquier otro medio, son la principal preocupación de los responsables de seguridad con una valoración de 7,4 y 5,4 respectivamente; seguidos del entorno, como desastres naturales (4,6); los fallos de software (4,3); el robo o manipulación indebida por parte de personal interno (4,2); los ataque de personas ajenas a la compañía (sin intenciones dañinas, 4,1, o malintencionados, 3,8); fallos del sistema operativo o del hardware (valorado con un 3,8 cada uno); y la ingeniería social (2,5).
Por otro lado, tres de cada cinco empresas consultadas para la redacción del informe de Penteo asegura que la falta de seguridad no supone freno alguno a las iniciativas de e-business, frente al 8% que manifiesta abiertamente que ésta es la causa de paralización de sus proyectos e-business.
Cómo poner freno
Los antivirus y firewalls son las tecnologías más utilizadas para prevenir y detectar los ataques a la red, presentes en más del 90% de las empresas españolas. Al margen de éstas, también se recurre a la realización de análisis periódicos de las vulnerabilidades y riesgos (37%), sistemas de detección de intrusos (31%), software de gestión de red (31%), análisis de tráfico en la red (26%), y la revisión de ficheros de registro (20%).
Actitud proactiva
Para Antonio Macià, director general de Grupo Penteo, “la seguridad de los sistemas de información debe ser enfocada desde una perspectiva de gestión del riesgo que permita analizar los activos críticos de la compañía así como las amenazas potenciales y los métodos más adecuados de protección”. Macià alude a una actitud proactiva que implique el análisis de vulnerabilidades del sistema para que puedan ser enmendados antes de que supongan una verdadera amenaza para los activos críticos de la compañía. Entre las soluciones integradas que podrían ofrecer una protección a todos los niveles, las mejor valoradas son las soluciones IDS-IPS, Content Switching, Application Defense y firewalls tradicionales.
Sin embargo, del estudio se deduce que las empresas no logran identificar las principales barreras que permitirían establecer un sistema seguro, lo que dificulta el establecimiento de medidas preventivas. “La mayoría de directores de TI se refiere a causas externas, como la presencia de constantes nuevos riesgos o los cambios tecnológicos, por delante de problemas como la falta de estrategia o de concienciación de los usuarios”, matiza Macià. Así las cosas, el 58% de las empresas consultadas confiesa disponer de un plan de contingencia, mientras otro 37% tiene prevista su elaboración para lograr la recuperación de sus activos en caso de incidente, frente al 6% de las empresas que carece de ellos y además no tiene previsto realizarlo próximamente.
Con todos estos datos, es destacable el hecho de que la gran mayoría de las empresas no realiza auditorías de seguridad, a pesar de que todas consideran necesaria su realización para garantizar la seguridad de sus sistemas.
Para garantizar la continuidad del negocio a pesar de los ataques destacan, entre otros mecanismos, los componentes redundantes (69%), los mecanismos de tolerancia a fallos para discos con los dispositivos de almacenamiento (57%), las soluciones de clustering hardware (51%) y las líneas de comunicación de backup.
¿Han sufrido problemas de seguridad en su empresa?
----------------------------------------------------------------------------
Sí, ocasionalmente y no graves 73 %
No, nunca 17 %
Sí, habitualmente pero no graves 6 %
Sí, ocasionalmente y de gravedad 4 %
Probabilidad de los ataques - Valoración
--------------------------------------------------------
Virus informático por correo electrónico 7,4
Virus informático (Otros mecanismos de transmisión) 5,4
El entorno 4,6
Fallos de software 4,3
Manipulación indebida por parte de personal interno 4,2
Ataque de personas ajenas 3,9
Fallos del sistema operativo 3,8
Fallos de hardware 3,6
Ingeniería social 2,5
Fuente: Grupo Penteo
El informe “Seguridad informática en la empresa española. Año 2004”, realizado por el Grupo Penteo en colaboración con ANIEL, refleja una realidad inexorable, que no es otra que el crecimiento experimentado en los últimos años por el número de incidentes relacionados con la seguridad informática. Prueba de ello es que el presupuesto que las empresas destinaron a seguridad en 2003 fue del 8,9% del total asignado a las TIC, en relación al 7,3% destinado en 2002.
Del estudio, basado en una muestra de 238 empresas españolas, se desprende que los virus informáticos, especialmente los que se transmiten por correo electrónico pero también los que lo hacen por cualquier otro medio, son la principal preocupación de los responsables de seguridad con una valoración de 7,4 y 5,4 respectivamente; seguidos del entorno, como desastres naturales (4,6); los fallos de software (4,3); el robo o manipulación indebida por parte de personal interno (4,2); los ataque de personas ajenas a la compañía (sin intenciones dañinas, 4,1, o malintencionados, 3,8); fallos del sistema operativo o del hardware (valorado con un 3,8 cada uno); y la ingeniería social (2,5).
Por otro lado, tres de cada cinco empresas consultadas para la redacción del informe de Penteo asegura que la falta de seguridad no supone freno alguno a las iniciativas de e-business, frente al 8% que manifiesta abiertamente que ésta es la causa de paralización de sus proyectos e-business.
Cómo poner freno
Los antivirus y firewalls son las tecnologías más utilizadas para prevenir y detectar los ataques a la red, presentes en más del 90% de las empresas españolas. Al margen de éstas, también se recurre a la realización de análisis periódicos de las vulnerabilidades y riesgos (37%), sistemas de detección de intrusos (31%), software de gestión de red (31%), análisis de tráfico en la red (26%), y la revisión de ficheros de registro (20%).
Actitud proactiva
Para Antonio Macià, director general de Grupo Penteo, “la seguridad de los sistemas de información debe ser enfocada desde una perspectiva de gestión del riesgo que permita analizar los activos críticos de la compañía así como las amenazas potenciales y los métodos más adecuados de protección”. Macià alude a una actitud proactiva que implique el análisis de vulnerabilidades del sistema para que puedan ser enmendados antes de que supongan una verdadera amenaza para los activos críticos de la compañía. Entre las soluciones integradas que podrían ofrecer una protección a todos los niveles, las mejor valoradas son las soluciones IDS-IPS, Content Switching, Application Defense y firewalls tradicionales.
Sin embargo, del estudio se deduce que las empresas no logran identificar las principales barreras que permitirían establecer un sistema seguro, lo que dificulta el establecimiento de medidas preventivas. “La mayoría de directores de TI se refiere a causas externas, como la presencia de constantes nuevos riesgos o los cambios tecnológicos, por delante de problemas como la falta de estrategia o de concienciación de los usuarios”, matiza Macià. Así las cosas, el 58% de las empresas consultadas confiesa disponer de un plan de contingencia, mientras otro 37% tiene prevista su elaboración para lograr la recuperación de sus activos en caso de incidente, frente al 6% de las empresas que carece de ellos y además no tiene previsto realizarlo próximamente.
Con todos estos datos, es destacable el hecho de que la gran mayoría de las empresas no realiza auditorías de seguridad, a pesar de que todas consideran necesaria su realización para garantizar la seguridad de sus sistemas.
Para garantizar la continuidad del negocio a pesar de los ataques destacan, entre otros mecanismos, los componentes redundantes (69%), los mecanismos de tolerancia a fallos para discos con los dispositivos de almacenamiento (57%), las soluciones de clustering hardware (51%) y las líneas de comunicación de backup.
¿Han sufrido problemas de seguridad en su empresa?
----------------------------------------------------------------------------
Sí, ocasionalmente y no graves 73 %
No, nunca 17 %
Sí, habitualmente pero no graves 6 %
Sí, ocasionalmente y de gravedad 4 %
Probabilidad de los ataques - Valoración
--------------------------------------------------------
Virus informático por correo electrónico 7,4
Virus informático (Otros mecanismos de transmisión) 5,4
El entorno 4,6
Fallos de software 4,3
Manipulación indebida por parte de personal interno 4,2
Ataque de personas ajenas 3,9
Fallos del sistema operativo 3,8
Fallos de hardware 3,6
Ingeniería social 2,5
Fuente: Grupo Penteo
