Monterrey, N.L. 11 de junio de 2009.- El keynote de apertura del b:Secure Conference Monterrey 2009 estuvo a cargo de Ernst & Young, que aprovecharon el micrófono para presentar los resultados de su Encuesta Anual de Seguridad. “Son 11 años consecutivos con esta encuesta global, y de las 1,400 empresas encuestadas, 100 fueron mexicanas por lo que México ocupó el tercer lugar después de Estados Unidos e India. El perfil de las personas encuestadas son gente de finanzas e IT�, especificó Carlos Chalico, socio del área de Risk Advisory Services de Ernst & Young.

Sergio Raúl Solís, gerente de Advisory de la firma añadió que el 31% de los encuestados son de servicios financieros, y en cuanto al tipo de empresas de menos de $100 millones de dólares (mdd) son 26% y entre $1,000 y $10,000 mdd son más del 20%.

Inversión anual en seguridad
De acuerdo a la encuesta, 50% en el mundo se incrementó la inversión anual en seguridad como parte total de los gastos. En México fue el 38% que reportó un incremento. Globalmente el 45% se mantuvo igual y en México el 58%. Se redujo en 5% en ambos casos.

“Se reconoce que está asociado a un tema de riesgos, en esta situación se reconoce más y la seguridad no está siendo castigada. El mismo análisis de la revista b:Secure da esa lectura: los budgets de IT van a la baja pero no los de seguridad�, dijo Chalico.

Cómo realizan el análisis de riesgo
Un 46% global y 44% en México, reconocen que hacen análisis de riesgos como un ejercicio formal de gestión de riesgos, el resto lo hace de una manera informal o no lo está haciendo. “¿Cómo saber a dónde va la estrategia si no sabemos donde están los mayores riesgos en la compañía?�, cuestionó Solís.

“37% en México y 33% global está integrada con la estrategia IT de la empresa. Pero los que tienen una estrategia específica para seguridad son 29% en México y el 20% en el mundo. Pero los que lo hacen integrada con el negocio son solo 12% en México y 18% global. Si no se tiene un enfoque de negocio no se está llevando en buen camino la estrategia�, añadió Solís.

Retos de iniciativas de seguridad
“Le hace falta conciencia a la organización. No hay suficiente, ha crecido, estamos de acuerdo, pero es el principal reto a vencer porque el segundo es tener una disponibilidad de recursos humanos capacitados. Sabemos que hay universidades que están enfocándose en esto, la verdad no es común ver que integran dentro de la curricula. Creemos que tiene que ser más acelerada y trabajar con seriedad para que el modelo de seguridad sea tan efectivo como demandan las organizaciones�, explicó Chalico.

Cómo se evalúa la calidad y efectividad de la seguridad
En México el 64% lo hacen a través de evaluaciones internas de IT mientras que en el mundo es un 77%. O lo hace el departamento de auditoría interna en un 50% en MX y 67% global. En México un 37% de las evaluaciones son hechas por proveedores externos.

Cómo hacen sus pruebas de penetración
El 77% en mx lo hacen desde internet, al igual que con pruebas de infraestructura. “El eslabón más débil es la gente y son muy pocas las pruebas que se hacen de ingeniería social�, precisó Solís.

Enfoque y relación con el negocio
“Las malas noticias: las funciones de Seguridad de la Información (SI) nacen en IT pero el tema de SI no debe ser visto como tecnología sino como negocio. Desde hace 11 años hemos preguntado cómo ha evaluado la conciencia de la SI y sigue un apego muy grande a las áreas de IT. Las juntas con el CIO son muy seguido en México y el mundo, mientras que un 15% en México lo hacen con los CEO, CFO o COO una vez al mes o trimestralmente. El 26% de las empresas en el país nunca se han reunido con los CxO, frente al 19% a nivel global.

“En 5 o 6 años las cosas no han cambiado en México y no terminamos de crear una conciencia entre la gente que dirige el negocio. Esa es la mala noticia, que parece que no está despegando. Pero sí creemos que hay un acercamiento con los CxO. Se está ganando un poquito más de terreno�, afirmó Chalico.

Quién es el responsable
En el 87% (Mx) y 85% (global) el responsable de la seguridad es el mismo administrador de IT.

“El 53% de las organizaciones mexicanas señalan que IT tiene la responsabilidad principal de la gestión de continuidad del negocio. La influenza nos mostró que las empresas no están preparadas para una contingencia que no tiene que ver con tecnología. Si ponemos a alguien de IT en esto, se preocupará que la infraestructura funcione, pero qué va pasar con las áreas de la organización que no se pueden comunicar con clientes y proveedores o si no pueden salir de casa. Tenemos que reconocer que esto no se puede dejar solo en IT. Hacer un análisis de riesgos para definir qué hacer en caso de una contingencia�, agregó.

Outsourcing
Donde más se da el outsourcing a nivel completo o parcial es en auditorías y evaluaciones de seguridad, pruebas de ataque y penetración, y en tercer lugar es en pruebas de aplicación y revisión de código. “Normalmente no se tienen los recursos en la organización para hacerlo interno. Creo que hay que apoyarse afuera y capacitar con los recursos internos para responder a las necesidades de la empresa�.

Estándares
ITIL encabeza el 54% y luego Cobit que está más relacionado con riesgos. Identifican los procesos críticos del negocio pero no la información que debe ser protegida para soportarlos. En cuanto al tema de la privacidad 55% han implementado controles para proteger la información personal pero 15% dijo que ninguna o no sabe.

En control de datos sensitivos, han implementado otros mecanismos de información y han definido en un 44% una política específica, pero están lejos de las respuestas globales.

Conclusiones
“Hay una buena noticia: en el tiempo, México se ha venido viendo con prioridades y necesidades distintas al resto del mundo y hoy vemos una alineación. Eso no quiere decir que el mundo esté bien, pero hay retos. El principal reto es la falta de profesionales de seguridad y más de la mitad de las organizaciones mexicanas asignan a IT la responsabilidad sobre la continuidad de las operaciones del negocio y no hay que olvidar accidentes aéreos, AH1N1, Hermosillo, Inseguridad pueden cambiar las reglas del juego�.

La exigencia es común: compromiso con el negocio.

Carlos Chalico

No hay artículos relacionados.