- El nuevo estudio “Level 3 Security Index” conducido por empresa líder en inteligencia de mercado revela que el 61 por ciento de las compañías considera que son pocos los profesionales calificados para utilizar las herramientas disponibles para certificar la Seguridad de la Información en una empresa
Level 3 Communications, está compartiendo los resultados del Level 3 Security Index, estudio elaborado por IDC, un líder en inteligencia de mercado, para identificar la madurez de la seguridad de la información y de la infraestructura de IT corporativa de las organizaciones brasileñas. Brasil obtuvo una calificación general de 64,9 puntos sobre un total posible de 100 puntos.
“El índice muestra que Brasil aún debe recorrer un largo camino hacia la maduración en el área de la seguridad. Es esencial que las empresas comprendan la importancia de cada una de las áreas analizadas en el índice y equilibren sus inversiones basándose en las mismas. Para avanzar del nivel actual, deben tomarse determinadas acciones respecto de la especialización del equipo, la revisión de los procesos y la adopción de herramientas de vanguardia. La evolución de la Seguridad de la Información es un tema que debe abordarse permanentemente.”, señaló Luciano Ramos, Software Research Coordinator, IDC Brasil.
De otro lado, André Magno, Director de Data Center y Seguridad, Level 3 Brasil, agregó que “Con el rápido crecimiento de las amenazas a la ciberseguridad en Brasil, que están por encima del promedio mundial, hemos advertido la necesidad de desarrollar un estudio capaz de revelar el grado actual de maduración en cuanto a las prácticas de seguridad en las empresas brasileñas. A partir de este índice, podemos colaborar con el mercado brasileño para focalizarnos en las oportunidades principales en la evolución de la ciberseguridad para sus empresas y clientes.”
Acceda al estudio completo aquí: www.level3.com/SecurityIndex
Hallazgos clave:
- En promedio, las compañías brasileñas cuentan con dos profesionales dedicados a la seguridad de la información.
- Alrededor del 57 por ciento de las organizaciones entrevistadas ya usan los Servicios de Seguridad Gerenciados (Managed Security Services – MSS) como respuesta ante la falta de profesionales calificados.
- Aproximadamente el 25 por ciento de las compañías no puede medir los impactos derivados de incidentes relacionados con la seguridad de la información.
- Solo el 42 por ciento de las organizaciones afirma practicar y generar métricas relativas al cumplimiento de las políticas de seguridad de la información.
En el informe se investigaron cuatro temas: Concientización; Herramientas; Prevención; Mitigación.
Concientización:
- El estudio demostró que las grandes empresas tienen más dificultades con la visibilidad de los problemas de seguridad.
- Esta falta de visibilidad está relacionada con la complejidad de sus entornos y sistemas.
- En cuanto a la concientización para cuantificar los ataques padecidos o mitigados, el 34 por ciento tiene una visibilidad absoluta; el 66 por ciento restante carece de visibilidad o tiene una visibilidad parcial.
- Cuando se les preguntó acerca de la medición del impacto de los incidentes de seguridad, el 25.5 por ciento respondió desconocerlo y el 32 por ciento lo conocía superficialmente, mientras que el 42,2 por ciento pudo detallar el impacto en cada sistema o en los sistemas críticos.
Herramientas:
- El estudio demostró que las herramientas de tecnología interna son el área que presentó mayores desafíos para la seguridad.
- Esto se debe al hecho de que las herramientas de tecnologías orientadas a la seguridad, hasta cierto punto, están relacionadas con la capacidad de inversión de las compañías.
- De acuerdo a la investigación, más del 61 por ciento de las compañías considera que solo unos pocos profesionales están plenamente calificados o están por debajo del ideal respecto del nivel de capacitación de personal para usar las herramientas disponibles.
Prevención:
- Las grandes compañías están activas en cuanto a prevención se refiere, estableciendo y monitoreando controles con mayor frecuencia, asegurando un mejor nivel de desempeño.
- Cuando se consultó sobre las políticas y los estándares de seguridad de la información instaurados y documentados, resultó que el 28 por ciento no contaba con un cronograma establecido para revisar y actualizar, mientras que el 33 por ciento revisa y actualiza una vez al año.
Mitigación:
- El estudio muestra que las habilidades en la comunicación y la estructura de activación son, en muchos casos, informales y no están bien documentados.
- 46 por ciento de las compañías no tienen frecuencia de revisión para los procedimientos de contingencia y de seguridad.
- Cuando se les preguntó sobre el grado de alineación en seguridad de la información, en el punto “los controles internos de detección y prevención del fraude se validan periódicamente,” el 41 por ciento lo consideró una realidad en sus empresas, mientras que el 59 por ciento de los encuestados aun lo considera distante.
Próximos Pasos:
Para mejorar la madurez de la seguridad de la información en general, en las compañías brasileñas, el estudio recomienda:
- Pensar en contratar servicios tercerizados y gerenciados.
- Invertir en herramientas que faciliten un mejor control, visibilidad y automatización para maximizar la eficiencia del equipo de seguridad de la información.
- Priorizar inversiones según la prioridad de cada evaluación de entorno, riesgo e impacto.
- Mostrar los beneficios de la seguridad de la información utilizando métricas bien definidas.
- Llevar a cabo pruebas de seguridad con mayor frecuencia y con un alcance más amplio.
Perspectiva para 2017:
- El estudio demostró una perspectiva más proactiva para la seguridad de la información en 2017.
- Más del 42 por ciento de las compañías encuestadas se han propuesto incrementar su presupuesto de IT en 2017, en comparación con el de 2016.
- El modelo de Infraestructura como Servicio (IaaS) está ganando adherencia no solo en computación sino también en almacenamiento — un factor que aumenta las preocupaciones en torno de la seguridad y de la gobernanza de la información.
Metodología:
Para alcanzar este resultado, IDC entrevistó 100 compañías con sede en Brasil con más de 250 empleados (la mayoría de ellas con una dotación superior a los 1.000 empleados). Entrevistaron a los gerentes en cuatro áreas: concientización, herramientas, prevención y mitigación. Durante las entrevistas con los líderes de Seguridad de la Información, los investigadores evaluaron su grado de conocimiento sobre el impacto de la seguridad en el negocio, las habilidades de detección y la capacidad de medir las amenazas a sus sistemas, entre otros temas. Además, analizaron los datos disponibles en IDC a nivel mundial y en Brasil, y en el mercado con el fin de contar con mayor información cualitativa. El índice final es la ponderación matemática de los cuatro temas propuestos en las entrevistas.
https://www.youtube.com/watch?v=6J0OU-O888M