El 68% de las grandes firmas tiene niveles bajos de protección de seguridad
La seguridad deja mucho que desear en las grandes firmas españolas. Así lo pone de manifiesto un estudio elaborado por el Centro de Seguridad de HP España, que, tras unas pruebas realizadas en más del 50% de las grandes empresas con entornos críticos del sector de la banca, las telecomunicaciones, la industria y las Administraciones Públicas, concluye que más de un 68% de éstas no están suficientemente protegidas. Según el informe, la detección de intrusiones es su aspecto más olvidado.
El informe elaborado por el Security Center de HP España se basa, como explica David Pérez Conde, responsable del centro, en una serie de pruebas realizadas durante una semana sobre grandes compañías del sector de la banca (un 23%), de las telecomunicaciones (36%), de la industria (26%) y de las Administraciones Públicas (15%). “Los resultados han sido peores de lo que pensábamos. No creíamos que la protección de estas empresas fuera tan baja”, asegura Pérez, que puntualiza que un 68% de estas compañías tienen un nivel bajo de protección, frente a un 13% que disponen de un nivel alto (el 19% restante cuentan con un nivel medio).
El sector que parece prestar más importancia al ámbito de la seguridad es el financiero: “Mientras en la banca, un 57% de las empresas tienen un nivel bajo de protección, las cifras suben a un 75% en la industria, un 70% en la administración y un 69% en el sector de las telecomunicaciones”, señala el responsable.
Para realizar las pruebas, se han utilizado herramientas de ataque públicas y fabricadas por HP, que van desde el ataque a servicios financieros hasta el de servidores de correo o web, pasando por el de los sistemas de facturación, los ERPs (Enterprise Resource Planning), los sistemas de gestión y las bases de datos. No se han empleado técnicas de ingeniería social, según Pérez, unas de las que tienen más éxito entre los atacantes, ya que, “se trata de engañar a los empleados para que nos faciliten información con el fin de acceder a los sistemas, etc.”. Tampoco, señala el responsable, se han hecho esfuerzos para camuflar estos ataques y, sin embargo, “aunque las empresas que han colaborado con nosotros para hacer el estudio sabían que íbamos a realizar estos ataques, tan sólo un 5% de ellas los han detectado. Esto demuestra que es la detección de intrusiones y de ataques el aspecto más olvidado en estas compañías”, señala Pérez.
Conclusiones
En general, las conclusiones del estudio se centran en destacar que “el estado de la seguridad informática es manifiestamente mejorable”, además de asegurar que la conciencia de esta problemática es baja entre las estas empresas y, explica Pérez, “las más concienciadas, son las que ya han sufrido incidentes de este tipo”.
El estudio también destaca al sector financiero como el más concienciado sobre la seguridad informática, frente a la industria, que es el que sale peor parado, “quizás por su diversidad”. Mientras la banca se preocupa más por la seguridad debido a razones económicas, el sector público lo hace motivado por la imagen. Por otro lado, el informe asegura que la principal preocupación del sector de las telecomunicaciones es el fraude. Pérez resalta la importancia no sólo de la necesidad de prevenir este tipo de ataques, sino también de detectarlos, aunque “el riesgo en materia de seguridad, por mucho que se invierta, nunca se llega a eliminar del todo”. El responsable del centro de seguridad señala que su intención es realizar anualmente este estudio.
El sector que parece prestar más importancia al ámbito de la seguridad es el financiero: “Mientras en la banca, un 57% de las empresas tienen un nivel bajo de protección, las cifras suben a un 75% en la industria, un 70% en la administración y un 69% en el sector de las telecomunicaciones”, señala el responsable.
Para realizar las pruebas, se han utilizado herramientas de ataque públicas y fabricadas por HP, que van desde el ataque a servicios financieros hasta el de servidores de correo o web, pasando por el de los sistemas de facturación, los ERPs (Enterprise Resource Planning), los sistemas de gestión y las bases de datos. No se han empleado técnicas de ingeniería social, según Pérez, unas de las que tienen más éxito entre los atacantes, ya que, “se trata de engañar a los empleados para que nos faciliten información con el fin de acceder a los sistemas, etc.”. Tampoco, señala el responsable, se han hecho esfuerzos para camuflar estos ataques y, sin embargo, “aunque las empresas que han colaborado con nosotros para hacer el estudio sabían que íbamos a realizar estos ataques, tan sólo un 5% de ellas los han detectado. Esto demuestra que es la detección de intrusiones y de ataques el aspecto más olvidado en estas compañías”, señala Pérez.
Conclusiones
En general, las conclusiones del estudio se centran en destacar que “el estado de la seguridad informática es manifiestamente mejorable”, además de asegurar que la conciencia de esta problemática es baja entre las estas empresas y, explica Pérez, “las más concienciadas, son las que ya han sufrido incidentes de este tipo”.
El estudio también destaca al sector financiero como el más concienciado sobre la seguridad informática, frente a la industria, que es el que sale peor parado, “quizás por su diversidad”. Mientras la banca se preocupa más por la seguridad debido a razones económicas, el sector público lo hace motivado por la imagen. Por otro lado, el informe asegura que la principal preocupación del sector de las telecomunicaciones es el fraude. Pérez resalta la importancia no sólo de la necesidad de prevenir este tipo de ataques, sino también de detectarlos, aunque “el riesgo en materia de seguridad, por mucho que se invierta, nunca se llega a eliminar del todo”. El responsable del centro de seguridad señala que su intención es realizar anualmente este estudio.
