23-06-2005 - Deloitte

El número de ataques informáticos internos dirigidos contra las principales entidades financieras mundiales ha aumentado respecto al numero de ataques externos a lo largo del último año según el estudio de Seguridad Global 2005 realizado por Deloitte. El 35% de los encuestados confirmó haber sufrido ataques desde dentro de sus propias organizaciones en el último año (14% en el 2004), frente al 26% que aseguraron que la mayoría de ataques procedía desde el exterior (23% el año anterior). En concreto, algo menos de un tercio (28%) de los encuestados manifestó haber incumplido la normativa sobre seguridad en los últimos 12 meses, en comparación con el 83% registrado en 2004.

Los ataques de phishing y pharming (que consisten en engañar a la gente para que revele información delicada utilizando páginas web y direcciones de correo electrónico falsas) se sumaron a las principales amenazas en materia de seguridad a las que se enfrentaron las entidades financieras el año pasado, y que mostraban además, que el factor humano es el eslabón más débil de la cadena de seguridad.

El cambio en la tendencia de los ataques externos a los internos y la táctica que aprovecha el comportamiento humano frente a las lagunas jurídicas tecnológicas, puede explicarse, según Deloitte, debido a la mejora en la utilización de las tecnologías de seguridad de la información, en particular por el uso cada vez mayor de las soluciones antivirus (98% frente al 87% en 2004), las Redes Privadas Virtuales (79% frente al 75%) y la filtración y el control de contenidos (76% frente al 60% en 2004).

“En un intento por minimizar el factor del riesgo humano, las entidades financieras han estado haciendo especial énfasis en buscar soluciones para toda la organización”, afirma Alfonso Mur, Socio de Deloitte y máximo responsable del área de Enterprise Risk Services. “Dado el aumento de amenazas tales como el robo de identidad o los ataques phishing y pharming, las entidades deberían estar poniendo en práctica soluciones de gestión de la identidad, que englobaran cuestiones como la gestión del acceso, la vulnerabilidad, los parches y los incidentes relacionados con la seguridad. Estas soluciones deben reforzarse con la formación y concienciación en materia de seguridad si las entidades quieren minimizar el número de amenazas provocadas por el comportamiento humano.”

Sin embargo, según muestra el estudio, la formación y concienciación en materia de seguridad aún deben llegar a las agendas de los Directores de Seguridad de la Información, ya que apenas la mitad (46%) de los encuestados han programado iniciativas de formación y concienciación para el próximo año. Estas dos cuestiones se hallan a la cola de la lista de iniciativas en materia de seguridad, a mucha distancia del cumplimiento de las normativas (74%) y de la información y evaluación (61%).

Estas conclusiones concuerdan con los futuros planes de inversión en seguridad de las entidades financieras, en los que la mayor partida se dirige a herramientas de seguridad (64%), frente a un escaso 15% destinado a la concienciación y formación de los empleados. Son muy pocas las entidades financieras que disponen de planes para concienciar sobre los problemas de seguridad a los clientes.

“Las entidades financieras han progresado enormemente en el desarrollo de soluciones tecnológicas para protegerse de las amenazas externas, pero el aumento de ataques internos y de ataques dirigidos a los clientes indica que existe una nueva amenaza a la que debemos enfrentarnos”, concluye Alfonso Mur.


Otras conclusiones principales del estudio:

• Aunque casi la mitad (48%) de los encuestados considera que la falta de concienciación de los empleados es uno de los desafíos principales, las medidas de formación y concienciación en materia de seguridad aplicadas en los últimos 12 meses disminuyeron del 77% registrado en el anterior estudio al 65% de este año.

• Casi las tres cuartas partes (74%) de los encuestados optan por externalizar al menos una función de TI, pero (27%) no controlan mediante evaluaciones regulares el cumplimiento de los requisitos de seguridad por parte del proveedor externo de este servicio.

• Aunque el 86% de las entidades que cuentan con un Director de Seguridad de la Información señalaba que esta función rinde cuentas directamente al consejo o a los altos directivos, sólo un tercio de las entidades entrevistadas cree que la seguridad ha sido reconocida como un área crítica de negocio a este nivel.

• Los plazos y presupuestos poco realistas (56%) encabezaban la lista de razones comunes de los encuestados para los incumplimientos de proyectos de seguridad, seguidos por los problemas de integración debido a un diseño y a una arquitectura iniciales mediocres (48%) y a la falta de implicación por parte de los empresarios (34%).


Metodología del estudio:

El estudio, realizado mediante entrevistas cara a cara y cuestionarios online por las prácticas de la Industria de Servicios Financieros de las firmas miembro de DTT, se ha centrado en los altos directivos de tecnología de la información (Director de Seguridad, Director de Información, Equipo de Gestión de la Seguridad, etc.) de gran parte de las 100 primeras entidades de servicios financieros del mundo. Las cuestiones estaban relacionadas con el buen gobierno, la inversión, el valor, el riesgo, el empleo de tecnologías de seguridad, la calidad de las operaciones y la privacidad. Los encuestados representaban a empresas públicas y privadas de todas las regiones de mundo, incluidas América, Europa, Oriente Medio y África, Asia Pacífico y Latinoamérica.

Deloitte es miembro de Deloitte Touche Tohmatsu, organización de firmas que presta servicios profesionales y de asesoría en 150 países. Las firmas miembro de Deloitte cuentan con más de 2.500 profesionales de Servicios de Seguridad y Gestión del Riesgo de TI, entre ellos más de 500 Profesionales Certificados en Seguridad de Sistemas de Información (CISSP) en todo el mundo y más de 800 Auditores Certificados en Sistemas de Información (CISA).
.