Marcelo Zanotti, Socio de Consultoría en Gestión y Tecnología de EY:
“La estrategia comercial no está alineada con la estrategia de seguridad”
Las necesidades de seguridad de la información no siempre se ven satisfechas, y las nuevas tecnologías aún no son incorporadas de una forma ordenada y segura al ámbito organizacional. Así lo afirma el ejecutivo, quien agrega que no existen los mecanismos de seguridad que permitan garantizar de una manera eficiente y a bajo costo la data vital de una compañía: “Falta mayor voluntad para llevar a cabo la implementación de este tipo de soluciones TI”. Estas son algunas de las conclusiones de la “Encuesta de Seguridad de la Información en Chile” que, por tercer año consecutivo, realizó la consultora EY (ex Ernst & Young).
¿Qué temas fueron analizados en esta encuesta?
Cubrió temas críticos y actuales, como cloud computing, movilidad, redes sociales, gestión de la continuidad del negocio, evaluaciones de seguridad, auditoría interna, estándares de seguridad, herramientas y TI y governance, entre otros.Los resultados de la encuesta permitirán a las organizaciones entender cómo son impactadas, y cómo deberían responder ante los cambios y tendencias en el mundo de la seguridad actual, ayudándolas a comprender cómo se compara su situación de seguridad de la información v/s sus competidores y otras empresas del ámbito nacional e internacional.
¿Cuáles fueron las principales conclusiones que lograron extraer del estudio?
El análisis presenta evidencia de que aún existe una brecha entre las estrategias de negocio y de seguridad. Esto genera que las necesidades de protección de la información no siempre se vean satisfechas. Las nuevas TI aún no son incorporadas de una forma ordenada y segura, de manera que permitan convivir con los riesgos que presentan.
Los grandes temas que surgieron del análisis fueron: dispositivos móviles; cloud computing; y redes sociales, en lo que se refiere a la administración y control de seguridad sobre estos factores. Frente a la consulta de qué tema de seguridad está definido como de alta prioridad para los próximos 12 meses, un 82% indicó que es la gestión de continuidad de negocios.Lo interesante es que, después de tres años consecutivos, la respuesta sigue siendo la misma. En segundo lugar se ubican las pruebas de seguridad (56%) y más atrás están los tres elementos antes mencionados.
Un 60% señala no tener “ningún” tipo de control para mitigar los riesgos de seguridad del cloud. ¿Por qué?
Se consultó a las empresas si utilizan este tipo de servicio y el 37% dijo que “sí”, mientras que un 6% “lo está “evaluando”, es decir, un 43% lo tiene en carpeta. El resto no tiene previsto utilizarlo, casi un 47%, cifra superior a la del año 2012. O sea, hoy menos compañías están dispuestas a utilizar el cloud computing. Y es justamente la desconfianza la principal barrera para usar este sistema: hoy por hoy no existen los mecanismos de seguridad que permitan garantizar de una forma eficiente y a bajo costo la información vital de una compañía. Es más, los mecanismos de supervisión se limitan a medidas llamadas “blandas” como un mayor control de los contratos, mayor evaluación de los proveedores. Incluso, un 33% señaló que no tiene un enfoque definido para el manejo de este tema.
¿Qué ocurre con las redes sociales, que hoy son una importante herramienta de negocios?
Respecto a ese punto, les preguntamos a los ejecutivos cómo controlaban el acceso a las redes sociales. La mayoría se limita a evitar el acceso en la oficina, lo cual marca una diferencia importante con las políticas de control que se ejecutan a nivel mundial. Lo que hacen otros países es concientizar a la gente, más que restringir su uso. No se puede ir contra una tendencia tan fuerte como ésta. Además, las empresas necesitan estar en Facebook, YouTube o Twitter. Ojo: hay que tener en cuenta que lo que está avanzando más concretamente hoy en Chile es la nube privada.
¿Cuáles son las barreras que impiden un mayor grado de eficiencia en materia de seguridad?
Los cuatro factores más importantes son: falta de recursos especializados (28%), escasez de apoyo ejecutivo (22%), limitación de presupuesto (12%) y carencia de herramientas (6%). Además, la mitad de los participantes cree que su función de seguridad no cubre las necesidades de su organización. Me parece que lo que se deduce de estas repuestas es que más que una falta de recursos internos, hay un tema de poca voluntad organizacional para llevar a cabo la implementación de este tipo de soluciones TI. El asunto es que la estrategia comercial no está alineada con la estrategia de seguridad.
¿Qué tipos de desafíos se plantean finalmente en materia de seguridad de la información?
Específicamente, el reto para un Oficial de Seguridad es convencer al directorio de su empresa de que estos sistemas son seguros y confiables. Las compañías que se mueven a esta tendencia deben ser capaces de encontrar mecanismos de control eficientes y que la relación costo-beneficio sea positiva, de forma que valga la pena hacer este cambio.
Por otra parte, los proveedores que ofrecen estos servicios TI tendrán que empezar a demostrar los beneficios concretos en materia de seguridad. Me parece que ahí, las compañías del sector financiero están logrando una ventaja importante hoy en día. Pero éste es un tema de prioridad empresarial; creo que a las mineras, por ejemplo, les preocupan otros aspectos como la seguridad de sus trabajadores y los accidentes laborales. Algunas de las estadísticas principales:
• Más del 55% tiene un sistema de gestión de la seguridad de la información implementado o en proceso de implementación.
• El 56% tiene una estrategia de seguridad definida para los próximos 3 años.
• El 75% de los participantes trata los temas de seguridad en el Directorio (instancia más alta dentro de la organización) al menos 2 veces al año.
• Un 33% no tiene un enfoque definido para el manejo de las redes sociales.
• El 50% de los participantes cree que su función de seguridad no cubre las necesidades de su organización.
• El 62% evalúa su seguridad a través de la función de auditoría interna.
• Las principales prioridades incluyen la gestión de continuidad de negocios (82%) y la realización de pruebas de seguridad (56%).
Nota: Un total de 36 personas respondieron la consulta de EY (Ex Ernst & Young) este año, incluyendo CEOs, Directores de TI y Oficiales de Seguridad de la Información.
