McAfee alerta sobre la escasez de expertos en seguridad TI

Vulnerabilidades

McAfee ha hecho públicos los resultados de un estudio que pone de manifiesto la situación en la que la nueva normativa legal en materia de seguridad ha situado a las empresas estadounidenses. Esta legislación, que previsiblemente se extenderá en el futuro por todo el mundo, ha provocado en las organizaciones una mayor sensación de vulnerabilidad frente a los ataques contra su propia imagen.

El informe, encargado por McAfee y dirigido por Jonathan Liebenau, profesor de Sistemas de Información del Departamento de Gestión de la Facultad de Economía de Londres (LSE), refleja el esfuerzo que están realizando las empresas para contar con los recursos de seguridad TI necesarios que les permitan cumplir con las regulaciones impuestas por el gobierno.

Bajo el título “Perspectivas internacionales en el tratamiento seguro de la información”, el estudio alerta de que la imagen de una firma puede verse afectada por algunas de las leyes que están en vigor en la actualidad.

Escaso personal cualificado

El informe revela además que muchos negocios dependen de un número limitado de especialistas cualificados para gestionar situaciones de riesgo informativo y estar al día de las normas legales. Las compañías que, por una razón u otra, no cuentan con estos profesionales están trabajando para incorporarlos o para compensar este déficit a través de la compra de productos de seguridad.

Información e imagen

Puede que el mejor ejemplo de la relación directa entre seguridad TI y estrategia de negocio sea la obligatoriedad de hacer público cualquier problema que afecte a los sistemas de seguridad de la compañía. Esta normativa, vigente en Estados Unidos desde 2004, conlleva importantes consecuencias para la empresa en términos de imagen y continuidad de negocio. Un estudio reciente llevado a cabo por el Instituto Ponemon en los Estados Unidos ha revelado que uno de cada tres clientes (el 34 por ciento) cambiaría de banco después de que éste informara de haber detectado una brecha en sus sistemas de seguridad.

Hasta mediados de 2006, Liebenau contabilizó una media de 8 a 10 problemas de seguridad detectados en Estados Unidos cada semana, lo que supone que 94 millones de archivos con información personal sensible estuvieron expuestos a brechas de seguridad.

“La obligatoriedad de notificar los problemas en los sistemas de seguridad tendrá implicaciones en la gestión de la imagen de las compañías”, añade Jonathan Liebenau. “La práctica de hacer públicos los problemas de seguridad de las compañías, algo que ya es habitual en los Estados Unidos y que se extenderá rápidamente a otros países, chocará con la forma actual en que individuos y las organizaciones conciben la forma de tratar la información en general y la protección de la imagen en particular.”

¿Riesgo creciente?

Sorprendentemente, la propia exigencia de cumplimiento de las normas de seguridad puede incrementar el riesgo al ceñirse a pautas de actuación que eclipsan la verdadera necesidad de protección de las empresas. Es más, los propios costes invertidos en gestionar y conocer las normas de seguridad en vigor pueden afectar a los que deberían estar orientados a combatir las amenazas de seguridad permanentemente.

Teoría y práctica

El estudio revela que tanto los CIOs como los responsables de tecnología, y los directores TI de las empresas coinciden en que las normas de seguridad están adquiriendo un rol creciente en el mundo de la seguridad TI y que existe un esfuerzo real por parte de las compañías para cumplir con estas exigencias. Según uno de los expertos en seguridad en banca del Reino Unido que participó en el estudio: “Somos conscientes que SOX tiene sentido en muchas ocasiones, pero la realidad es que en la práctica se hace lo que se puede”.

En éste área, las conclusiones más importantes que aporta el estudio son:

– La evaluación de las prácticas de seguridad es a menudo muy subjetiva debido a la escasez de profesionales cualificados.

– No existe una convergencia en las prácticas de seguridad dentro de las empresas. Con frecuencia, los responsables de establecer las políticas de seguridad no son los mismos que se encargan del mantenimiento y la gestión de los sistemas.

– Los gestores y ejecutivos responsables de la seguridad de la información se muestran molestos por la magnitud del esfuerzo al que deben enfrentarse como consecuencia de las nuevas normativas legales en términos de modificación de las políticas de seguridad y rediseño de sistemas.

Sarbanes- Oxley a examen

Los profesionales de la seguridad informática coinciden en que SOX ha resultado positiva para incrementar el peso de la seguridad TI dentro de la vida corporativa. Pese a ello, existe una opinión bastante extendida entre el personal TI senior entrevistado sobre el contraste entre la extremada vaguedad de la ley en algunas de sus especificaciones y lo preceptivo de sus implicaciones.

Liebenau ha llevado a cabo entrevistas con directores TI, responsables de seguridad, CIOs y CFOs de una amplia lista de organizaciones financieras a nivel global en Europa, Asia y Norteamérica para averiguar cómo designan y priorizan los riesgos de la seguridad de la información.