Actualidad

Los cimientos de una gran fortaleza por construir

Queda un largo camino por recorrer en materia de seguridad

Un estudio reciente sobre el estado actual de la seguridad de la información, contrastado con las normas y directrices de la organización de estándares ISO, muestra que queda aún mucho que mejorar. ¿Dónde radica el problema: en la falta de una visión de alcance suficiente, una escasez de recursos adecuados o un poco de ambas cosas?

Diversas tendencias sugieren que la seguridad de la información se encuentra en un estado de inmadurez sorprendente, que con frecuencia carece de fondos suficientes y que en muchos casos se implementa de forma deficiente. Ahora, los datos procedentes de varias encuestas confirman esos informes, al menos hasta cierto punto. Recientemente, más de 1.000 personas rellenaron un cuestionario de auto-evaluación online desarrollado por el Human Firewall Council, una organización no lucrativa de seguridad de la información que utiliza términos como alarmante y desalentador para describir el estado general de la seguridad de la información.
La principal conclusión es que a la seguridad de la información le queda aún un largo camino por recorrer.

Resultados esclaredores
El “Indice de Gestión de la Seguridad” del Human Fire­wall Council (que a pesar de la longitud de su nombre se refiere sólo a la seguridad de la información) es un cuestionario online que permite a las empresas y organizaciones calificar sus esfuerzos en seguridad de acuerdo con 10 categorías, en base a la directiva ISO 17799 de la International Organization for Standarization. El resultado es que 8 de cada 10 consultados obtuvieron una calificación total de D ó E (Ver en el gráfico adjunto los desgloses de puntuaciones por categorías y por sectores), lo que significa un nivel de seguridad muy deficiente.
El Human Firewall Council atribuye las puntuaciones principalmente a una actitud de buscar una solución puntual, es decir, observar cada problema individualmente y reaccionar adquiriendo una solución que resuelva el problema inmediato en lugar de analizar toda la operación y encontrar un método o enfoque global que incluya educación, política, arquitectura, etc. Según el consejo, esta forma de pensar es dominante hoy en la mentalidad sobre seguridad en las empresas. Para Giga Group, la gente aborda la cuestión de la seguridad de la información a través de los productos, pero con eso sólo se resuelve el lado táctico. Se trata mucho más de un problema comercial, y la gente está despertando ahora a esa realidad. Además, admite que se puede crear una fortaleza inpenetrable desde un punto de vista teórico o académico, pero si el empleado que está sentado tras su escritorio entrega sin autorización esa información privada, la fortaleza habrá sido construida para nada. El estándar ISO presenta un enfoque más global o holístico, cubriendo categorías como política a seguir, educación de usuarios finales y clasificación de activos, además de otras áreas más técnicas.

¿Verdadero o falso?
De todas formas, en relación con los términos “alarmante” y “desalentador”, cabe preguntarse en qué medida pueden atribuirse estas conclusiones a las falsas alarmas de unos profesionales de la seguridad de la información permanentemente escasos de recursos.
En realidad, y a pesar de algunas advertencias de precaución, las personas con experiencia práctica en la cuestión afirman que el instrumento aplicado en la encuesta y los resultados parecen en general fiables.
Curva de puntuación
Otro motivo posible de las bajas puntuaciones de algunas de las empresas consultadas en la encuesta es que otros sectores están expuestos de formas diferentes a los riesgos de la seguridad de la información y podrían comprobar que ciertas categorías contenidas en el índice son sencillamente menos críticas que en las empresas financieras o de asistencia médica.


La mayoría de las compañías suspenden en
la gestión de la seguridad de la información
--------------------------------------------------------------
A 5 %
B 6 %
C 11 %
D 12 %
E 66 %

Puntuación por categorías
Seguridad física y del entorno 63 %
Gestión de comunicaciones y operaciones 58 %
Control de accesos 56 %
Política de seguridad de la información 52 %
Cumplimiento con los estándares 47 %
Seguridad del personal 44 %
Clasificación y control de activos 44 %
Organización de la seguridad 43 %
Desarrollo y mantenimiento de sistemas 43 %
Gestión de continuidad de la actividad 41 %

Puntuación media por sectores
Servicios financieros 57 %
Fabricación de hardware y software 57 %
Proveedor de servicios 55 %
Consultoría 54 %
Comunicaciones 49 %
Fabricación, agricultura, minería, petróleo, gas 48 %
Venta mayorista, minorista y distribución 47 %
Asistencia médico 44 %
Sector público, Gobierno y militar 44 %
Otros 48 %

NOTA: Las puntuaciones de la encuesta son similares a la puntuación de un examen, donde cualquier cosa inferior a 70 se considera insatisfactoria y se le asigna una calificación de d o inferior.
* encuesta realizada entre septiembre y noviembre de 2002.

Viñeta publicada el 20 de febrero de 1870 en La Flaca n.º 35 Tendencias

ny2 Sociedad de la información

ny2 ACTUALIDAD

Día de la Movilidad y el BYOD Coffee Break