Actualidad | Noticias | 25 NOV 2005

(Análisis) El cumplimiento de la regulación, vital para la seguridad de la información

Encuesta de Ernst & Young: el cumplimiento de la regulación, vital para seguridad de la información
La conformidad con las normas ha tomado la delantera como el principal vehículo para la seguridad de la información, superando, por primera vez a virus y gusanos, según la Octava Encuesta Anual sobre Seguridad Mundial de la Información realizada por Ernst & Young.
IDG.es

El gran número de normas y las consecuencias de no actuar de conformidad con ellas ha llevado a la seguridad de la información hasta la sala de reuniones. Casi dos tercios de los participantes en la encuesta - que representaban a 1.300 multinacionales, organismos gubernamentales e instituciones sin ánimo de lucro de 55 naciones - citaron la conformidad con las normas, tales como la Ley Sarbanes-Oxley, la Octava Directiva de la Unión Europea, o sus equivalentes, como el principal vehículo de la seguridad de la información.

Sin embargo, las organizaciones están perdiendo las escasas oportunidades de inversión que ofrece la conformidad con las normas para promover la seguridad de la información como una parte integral de su negocio.

"La conformidad con las normas está demostrando ser más una distracción que un catalizador para que la seguridad de la información se convierta en un elemento alineado estratégicamente dentro de las organizaciones", afirmó Edwin Bennett, Director de los Servicios de Tecnología y de Riesgo a la Seguridad de Ernst & Young. "Se podría asumir que con el nivel de atención que la seguridad de la información está recibiendo, debido a la conformidad con las normas, las posturas respecto a la seguridad de la información de las organizaciones están mejorando y la seguridad de la información, como función, se está convirtiendo un una parte más integral de sus iniciativas estratégicas, pero, desgraciadamente, esto no está ocurriendo de manera coherente. Continúa ampliándose la brecha entre los riesgos crecientes surgidos por los rápidos cambios en el medio empresarial mundial y lo que la seguridad de la información está haciendo para afrontar esos riesgos. Esta pauta es general entre las organizaciones, independientemente de su tamaño o emplazamiento".

La investigación llevada a cabo por Ernst & Young pone de manifiesto que las exigencias empresariales y la disminución del coste de la conectividad inalámbrica están conduciendo a la rápida generalización de la adopción de la tecnología móvil. Pero con estos dispositivos, que abandonan la seguridad del entorno de control corporativo, la protección de los recursos de información y de la propiedad intelectual que conllevan se están convirtiendo, cada vez más, en responsabilidad de los propios individuos - una responsabilidad que muchas organizaciones todavía no han aceptado ni anticipado totalmente.

"Menos de la mitad de las organizaciones previenen el entrenamiento, o la concienciación de los usuarios generales de la información, sobre las cuestiones del impacto de estas tecnologías sobre la seguridad de la información, y todavía son menos los que reciben entrenamiento como respuesta a incidentes contra la seguridad", observó Bennett.
Otras tecnologías en rápido desarrollo, como la telefonía IP, el código abierto y la virtualización de los servidores, que tienen el potencial de incrementar las ventajas competitivas de las organizaciones, se manifiestan en la encuesta como una importante preocupación relativa a la seguridad entre menos del 20% de las organizaciones, a pesar de las graves amenazas que conllevan. Las organizaciones consideran las tecnologías emergentes, en general, como una cuestión de importancia creciente para los próximos 12 meses. Sin embargo, más de un cuarto de ellas no ha desarrollado planes de acción para afrontar esta cuestión durante ese periodo de tiempo, o con posterioridad.

La subcontratación continúa siendo una amenaza para la seguridad de la información, pues muchas organizaciones todavía no están prestando atención suficiente a la gestión de riesgos del proveedor - el proceso de evaluación y mitigación de riesgos, incluyendo la diligencia debida y las revisiones regulares de las prácticas y procesos que apoyan los productos y servicios del proveedor. La investigación revela que un quinto de los participantes en la encuesta no afronta la cuestión de la gestión de riesgos del proveedor en absoluto, y un tercio informa que únicamente tiene procesos informales en marcha para tal fin.
"Ya no es suficiente, para las organizaciones, que consideren únicamente sus propias cuestiones relativas a la seguridad de la información y sus riesgos", afirmó Bennett. "A medida que el mundo se va haciendo cada vez más pequeño, y con el aumento progresivo de la cantidad de información que fluye entre las empresas, todas las organizaciones empresariales deberían considerar la seguridad de sus socios, acuerdos de subcontratación, proveedores y clientes. De otro modo, el valor creado por medio de estos acuerdos podría disminuir rápidamente, o incluso desaparecer, debido a los fallos de seguridad, reales o supuestos, respecto a la privacidad o la identidad. Las organizaciones deberían también considerar el hecho de demostrar su propio compromiso hacia una buena seguridad de la información por medio de la aplicación de estándares reconocidos, o por medio de la obtención de certificados".

Aunque la concienciación sobre la seguridad de la información se ha elevado como una cuestión decisiva entre los Consejos empresariales y el personal directivo, estos continúan enfocando las actividades relacionadas con la seguridad de la información sobre cuestiones operacionales y tácticas, en lugar de dirigirse hacia cuestiones estratégicas.
"Con la alineación organizativa y ejecución adecuadas, la seguridad de la información puede realizar importantes contribuciones a las iniciativas estratégicas de las organizaciones y a la gestión integral de riesgo", observó Bennett. "Las organizaciones que emplean la seguridad de la información de este modo implican de manera continuada a empresas, tecnología informática y a los líderes de la seguridad de la información en la identificación de las áreas específicas en las que la seguridad de la información puede contribuir a las iniciativas estratégicas, tales como fusiones y adquisiciones y operaciones comerciales de subcontratación. Aplican estándares reconocidos de seguridad de la información, prácticas líderes, así como los recursos apropiados".



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios