El 75% de los consultados señala su preocupación ante las posibles represalias que podrían tomar contra su ex empresa los empleados que acaban de dejar la compañía. Un 42% declara estar concienciados de los riesgos potenciales que conlleva esta situación, aunque sólo un 26% afirma tener medidas en marcha para mitigarlos.
Según Marc Martínez, socio del área de Information Tecnology Risk Advisory de Ernst & Young, "en una economía en recesión, muchos empleados que han pasado por un proceso de despido podrían mostrar resentimiento hacia su empresa y realizar acciones que podrían afectar negativamente a ésta. De hecho, cada vez hay más casos en los que los sistemas de información y los datos de las compañías son objeto de robo o manipulación por parte de ex empleados. Para combatirlo, lo primero que deberían hacer las empresas es un ejercicio de evaluación de sus riesgos, identificar su potencial exposición y tener preparada una respuesta en caso de que dicho riesgo se haga efectivo”.
Adecuar el presupuesto
La asignación de un presupuesto adecuado para una buena gestión de la Seguridad de la Información es otro de los actuales quebraderos de cabeza para las empresas, según los encuestados. Un 50% considera que la falta de presupuesto es un riesgo de importancia elevada o muy significativa, lo que supone un incremento del 17% sobre el pasado informe de 2008. Este hecho resulta especialmente relevante cuando un 40% de los directivos tenía previsto aumentar su inversión anual en Seguridad de la Información y un 52% manifestaba que iban a mantener dicho presupuesto.
En palabras de Marc Martínez, "la seguridad de la información requiere hoy en día muchas más inversiones para hacer frente a las cada vez más numerosas amenazas. Sin embargo, también hay que tener en cuenta que la Seguridad de la Información no está exenta de los actuales condicionantes económicos, por lo que los profesionales del área deberán hacer un esfuerzo en mejorar tanto su eficacia como su productividad”.
Nuevas tecnologías
El incremento de incidencias que afectan a la protección de datos y a la Seguridad de la Información hace que los directivos estén más concienciados. Implantar o mejorar las tecnologías de prevención de fuga de datos (Data Leakage Prevention –DLP-) es la segunda prioridad para los próximos meses para el 40% de los directivos encuestados. La prevención de la fuga de datos es la combinación de herramientas y procesos para la identificación, supervisión y la protección de información sensible.
Una de las conclusiones más llamativas es la referida a las pocas empresas que cifran sus ordenadores portátiles. Sólo el 41% de los encuestados lo hace, y el 17% piensa ponerlo en marcha el próximo año. El dato sorprende dado el creciente número de incidentes derivados de la pérdida o robo de portátiles en las empresas, así como por la gran variedad de tecnologías en el mercado que combatirían estas incidencias con un precio muy accesible.
Cumpliendo con la regulación
Otro de los datos que destaca el Informe de Ernst & Young es que el cumplimiento regulatorio también resulta una prioridad para los ejecutivos de Seguridad de la Información, y éste continúa siendo un motor importante a la hora de acometer mejoras e inversiones en este área. Un 55% de los consultados señala que los gastos derivados del cumplimiento normativo seguirán crecido moderada o significativamente sobre el total del presupuesto en Seguridad de la Información, mientras que sólo un 6% manifiesta que los reducirá en los próximos doce meses.
Según Martínez, "la regulación por parte de los gobiernos, y por la propia industria, ha propiciado que las compañías estructuren mejor sus sistemas de Seguridad de la Información. Por un lado esto es positivo, ya que las iniciativas de compliance mejoran los procedimientos de seguridad en las organizaciones. Sin embargo, muchas empresas ven el cumplimiento como una tarea sin valor más que como el principal impulsor de mejora para la Seguridad de la Información".
Por último, "el estudio muestra que el nivel de riesgo, tanto interno como externo, sigue aumentando. Gestionar los riesgos de Seguridad de la Información requiere una dosis de flexibilidad y focalizarse en los asuntos más críticos de la organización, protegiendo la información más crítica. Solo si se entiende el uso que los procesos de negocio hacen de la información se podrán realmente empezar a gestionar las necesidades en seguridad", concluye Marc Martínez.
Acceda al informe 2009 Global Information Security Survey (en inglés)
