El estudio de seguridad de Ernst & Young fue realizado en un contexto de gran incertidumbre económica mundial, de anuncios periódicos de brechas de seguridad en sistemas informáticos e infecciones por virus computacionales y bajo el nuevo escenario de riesgo generado a partir del evento terrorista del 11 de Septiembre del 2001.
Para confeccionar el estudio, personal de Ernst & Young entrevistó a directores líderes de áreas de tecnologías de información y a altos ejecutivos de negocio con el fin de comprender dónde ellos visualizan las mayores amenazas, cómo están respondiendo a ellas y cuáles son las principales barreras que podrían existir para avanzar en materias de seguridad de la información.
Principales conclusiones:
• Más del 75% de las organizaciones han experimentado interrupciones o incidentes en sus sistemas informá-ticos.
• Sólo el 53% cuenta con planes de contingencia en caso de fallas o ataques a sus sistemas.
• Sólo el 40% ha llevado a cabo un análisis sobre el impacto de las caídas de los sistemas en el negocio y el mismo porcentaje no investiga el origen de las fallas o ataques.
• Menos del 50% tiene un programa de entrenamiento a sus empleados para enfrentar incidentes inesperados.
• El 71% señala tener planes de recuperación de desastres, pero el 16% no los ha probado previamente.
• Sólo un 40% de las empresas en-cuestadas se sienten muy confiadas y seguras y sólo un poco más del 50% deja ver su preocupación acerca de la falta de confindencialidad en los datos e informaciones que maneja.
• El 60% responde que espera experimentar una gran vulnerabilidad con el aumento de la conecti-vidad.
• Para el 51% la seguridad en la información es vista co-mo una prioridad comparada con otros proyectos.
• Para el 45% los programas de contingencia y seguridad deberían ser parte del presupuesto del Departamento de Informática, lo que demuestra que muchas entidades continúan pensando que la seguridad de los sistemas no es una responsabilidad de la organización en general.
El estudio pone evidencia que muchas organizaciones, pese a que perciben la existencia de mayores riesgos, no logran alinear sus estrategias y arquitecturas de seguridad, con las exigencias de disponibilidad, integridad y confidencialidad de la información que demanda un entorno cada vez más integrado y globalizado.
A juicio de Andrés Acuña, «existe una brecha importante, de a lo menos un año, que separa lo que una empresa es capaz de implementar en materias de nuevas tecnologías y, lo que es capaz de controlar. Si se considera la alta velocidad de cambio a que se ven enfrentado los procesos de negocio y la rápida obsolescencia que presentan las tecnologías de información, es impensable mantener una brecha como la mencionada, ya que esto, tarde o temprano, necesariamente puede atentar contra la continuidad operacional de una empresa».
Septiembre de 2002
