Las entidades financieras cuentan cada vez con una gestión más profesionalizada de la seguridad de la información. El aumento de las preocupaciones en materia de seguridad en estas entidades, motivado por aspectos como la sofisticación de los ataques informáticos o la exigencia informativa, han llevado a las entidades financieras a disponer o estar en proceso de implantar una estrategia de seguridad más madura.
Esta es una de las principales conclusiones del Informe Anual de Seguridad en Entidades Financieras, realizado por Deloitte y en el que han participado más de 350 entidades financieras de todo el mundo, 19 de ellas españolas. El informe, que cumple este año su séptima edición, profundiza en la estrategia de las entidades financieras respecto a la organización de la seguridad; la figura del CISO (Chief Information Secutiry Officer) y la relación de la función de seguridad con los responsables del negocio, principales preocupaciones en las entidades financieras, evoluciones de presupuestos respecto a la seguridad o principales iniciativas futuras de este tipo de entidades.
Principales factores en materia de seguridad en el año 2010
Entre los hechos destacables del Informe Anual de Seguridad en Entidades Financieras respecto a las materias de seguridad, encontramos un aumento de la sofisticación de los ataques contra la seguridad, así el malware sigue evolucionando y continúa siendo la principal amenaza externa para las organizaciones. Otro dato reseñable es que se ha incrementado considerablemente la preocupación por la protección de información y prevención de fugas, de hecho, la protección de datos se ha convertido en la segunda prioridad en materia de seguridad para las empresas. Unas empresas que apuestan cada vez más por sistemas integrados de control de acceso e identidades pues las nuevas tecnologías ayudan a rastrear mejor la identidad del usuario y su actividad.
Otro dato que arroja el informe es el aumento de la presión regulatoria en materia de seguridad y gestión de riesgos así como las inversiones en tecnología de seguridad. Además, el trabajo elaborado por Deloitte confirma que el papel sigue estando a la cola de las prioridades para las organizaciones, pues apenas la mitad de las empresas reconocen este formato como un activo de información y muchos de los CISOs siguen sin tener responsabilidad sobre la protección de información en papel y archivos físicos.
En cuanto a las tecnologías más implantadas, se mantienen las soluciones de antivirus, cortafuegos y filtrado de spam, destacando la próxima implantación de otras como los sistemas de gestión de vulnerabilidades, el control de accesos a red o la gestión de registros de seguridad.
Formación en seguridad
En formación en seguridad de las empresas, el informe asegura que el 64% de las compañías cuentan conformación específica para identificar y reportar actividades sospechosas que surjan en la organización, pero 1 de cada 5 de estas compañías no hacen nada en este sentido. En lo referido a nuestro país, asegura además que existe una tendencia mayor que en otros países a formar de manera reactiva. Además, se apunta también que los colectivos menos formados en materia de seguridad son los ejecutivos y los proveedores externos. Pero hay más datos concretos sobre España, como por ejemplo que las entidades financieras muestran un mayor nivel de implantación de sistemas de medición y reporting. A nivel global, sólo 1 de cada 5 compañías dispone de métricas de seguridad y de un sistema de reporting regular.
Presupuesto en tiempos de crisis
Para el 50% de las empresas, el presupuesto de la seguridad supone menos del 6% del presupuesto de IT. En España ese porcentaje asciende al 67%. Y la difícil situación económica que atraviesa el panorama internacional se hace más patente al comprobar que el porcentaje de empresas que ha reducido el presupuesto de seguridad se ha duplicado respecto a 2009 a nivel global, triplicándose en el caso de España (28%).
Por productos, el software, hardware y consultoría de seguridad son los principales focos de atención de las organizaciones a la hora de distribuir el presupuesto de seguridad. Por el contrario, la formación, la investigación y el desarrollo y gestión de la continuidad del negocio son los aparatos que menos recursos económicos reciben.
