|
|
|
|
|
|
|
|
|
| CONTÁCTENOS |
16 de mayo de 2002
Más de la mitad de las empresas
reconoce no disponer de ningún sistema para detectar intrusos
La primera encuesta
global de Seguridad de la Información realizada por KPMG revela que
la mayoría de las empresas no están tan bien protegidas como
creen.
Cuatro de cada cinco
empresas han sufrido fallos de seguridad en sus sistemas informáticos
en el último año (virus, intrusiones, etc.).
La encuesta mundial, realizada por la firma de asesoría global KPMG
sobre Seguridad de los Sistemas de Información revela que casi todas
las organizaciones (96%) confían en sus sistemas de seguridad. Sin
embargo, al comparar esta respuesta con los mecanismos de protección
actualmente empleados, el estudio encuentra que muchas organizaciones no están
tan bien protegidas como creen , traduciendo estos datos en pérdidas
de US$ 94.000 de media anual. Además:
- El 10% de las empresas
consultadas no puede saber si sus medidas de seguridad son efectivas, al
carecer de los medios necesarios para ponerlas a prueba.
- El 52% no dispone de
ningún tipo de sistema de detección de intrusión. Es
decir, no podría saber si están siendo atacados por hackers
hasta después de ocurrido el ataque.
- El 87% ha sufrido algún tipo de fallo de seguridad en el 2001.
Por otra parte, una gran cantidad de empresas no puede evaluar su gestión de la seguridad en términos de costo/beneficio: más de la mitad de las empresas entrevistadas desconoce, incluso, su gasto en seguridad de la Información y sólo el 60% de los encuestados dispone de algún medio para reportar las violaciones de seguridad; la mayoría confiesa carecer de la capacidad para medir la efectividad de sus propias medidas de seguridad.
Además, el estudio de KPMG identifica una significativa diferencia entre la percepción de las empresas sobre potenciales amenazas y los fallos reales en sus sistemas de seguridad: la mayoría de las empresas perciben que los virus y los hackers son las principales amenazas. Percepción que se corresponde con la realidad en el caso de los virus: más del 60% de las empresas consultadas declararon haber sufrido algún tipo de incidente significativo el pasado año. Sin embargo, un 12% de las compañías afirmó haber sufrido fallos en un sistema crítico, siendo éste el segundo asunto por costo promedio anual directo (US$ 137.000) y que supone también el segundo mayor coste reportado (US$ 3,4 millones) por un sólo incidente.
Los incidentes en los sistemas de seguridad cuestan a las empresas millones de dólares cada año, con un coste directo medio anual que supera los US$ 94.000 euros por entidad y una pérdida individual máxima reportada de US$ 9 millones, a causa de un incidente por virus.
Ramón Poch, Senior Manager de KPMG Information Security Services, señala: "Sin lugar a dudas, las pérdidas por fallos en los Sistemas de Seguridad se calculan a la baja, cuando, en realidad, duplicarían su valor al añadir al coste directo otros costos como el derivado del tiempo no operativo, de la reducción de la productividad de los empleados y el coste de las medidas a tomar de forma inmediata para recobrarse del incidente, además del daño causado a la reputación de la empresa. Es decir, que el coste de los fallos de seguridad actualmente estimado por las empresas representa sólo la punta del iceberg."
El estudio se ha realizado
a través de entrevistas en profundidad con directivos responsables
de Seguridad de la Información de 641 compañías con una
cifra de negocios superior a US$ 44,6 millones y pertenecientes a todos los
sectores clave en Europa, Oriente Medio y África, Asia-Pacífico
y América.
Otras
conclusiones
Las redes inalámbricas implican nuevas amenazas -el 43 por ciento de
las empresas encuestadas están implementando o prevén implementar
una red inalámbrica. Sin embargo, uno de cada tres responsables de
estas redes no las protegen, lo que está provocando un nuevo fenómeno:
drive-by-hacking, ataque pirata transeúnte.
El 43 por ciento de las empresas consultadas permiten la conexión de
PDAs, y aunque muchas, incluso, potencian ese uso, sólo un 20 por ciento
cuenta o tiene previsto contar con algún tipo de software para su control.
Grandes presupuestos para la seguridad de los Sistemas de Información:
las empresas consultadas destinan una media de US$ 2,2 millones a la seguridad
de sus Sistemas de Información, que supone un 10% del presupuesto total
de TI.
Falta el compromiso de la alta dirección: menos de la mitad de las
empresas consultadas cuentan con responsables a nivel de Consejo de Administración
para el área de seguridad de la información, mientras que el
73% del personal carece de formación técnica.
El estudio concluye : "En cualquier caso, la ubicación y el sector
no son importantes. Muchos hackers diseñan sus herramientas automatizadas
para explorar en todas las direcciones IP posibles - independientemente de
la localización o línea de negocio - hasta encontrar sistemas
con vulnerabilidades. Si la organización encontrada vulnerable tiene
un perfil alto, puede que se propongan causarle daño, o sino, puede
que simplemente quieran usarla como plataforma particular para lanzar otro
ataque a una organización diferente y ocultar su rastro. Es decir,
que estamos hablando de una amenaza global."
___.___
Declaración de Privacidad en Línea de KPMG y Cláusula
Exonerativa de Responsabilidad