SAFE. Guía para proteger tu vida digital y tu privacidad

19 jun 2006

Nueva edición del CSI/FBI Computer Crime and Security Survey

La Oficina Federal de Investigación (FBI) ha publicado, en cooperación con el Computer Security Institute (CSI), el informe sobre sus actividades de investigación relacionadas con la seguridad, perteneciente al 2006.

En un elaborado documento de 30 páginas, el CSI realiza un resumen y exposición de los principales hallazgos que se han producido en materia de seguridad y crimen telemático hasta la fecha. El método empleado es someter a distintos especialistas de seguridad a un cuestionario, en el que se abordan diversas temáticas relacionadas con la seguridad, con el fin de publicar después los resultados de dichas encuestas.

En esta edición, la onceava desde su fundación, se han entrevistado a 616 especialistas reputados pertenecientes a Instituciones Públicas, entidades financieras y organizaciones en general. Resulta igualmente curiosa la inclusión de perfiles relacionados con las instituciones médicas, principalmente por la dureza de la legislación sobre protección de datos y privacidad en EEUU, así una nutrida representación de las Universidades, que aportan siempre la visión académica del problema de la seguridad.

Las materias tratadas en el documento tienen relación directa con cuatro aspectos básicos de la gestión de seguridad: el uso no autorizado de terminales informáticos, el número de incidentes internos y externos documentados, tipologías de ataque y por último, las acciones tomadas ante intrusiones y compromisos en los equipos.

El documento recoge también aspectos económicos. Así pues, trata aspectos con implicación en la inversión en seguridad, la necesidad de formación y concienciación, los presupuestos de seguridad en las organizaciones, el impacto de la externalización de servicios de seguridad, la proporción entre presupuesto de tecnologías de la información en general frente al de seguridad, las auditorías, la ontratación de e-seguros y por último, y esto es algo estrechamente relacionado con el país donde se han efectuado las consultas, el rol del Acta Sarbanes Oxley en la seguridad corporativa.

Por primera vez, este año el informe recoge aspectos inéditos en ediciones anteriores, como la protección de datos personales y las posibles consecuencias en la seguridad derivadas del empleo de mensajería instantánea en las organizaciones.

A modo de resumen, los principales hallazgos del informe FBI/CSI 2006 son los siguientes:

* El malware se perfila como la mayor fuente de pérdidas económicas en las empresas. En segunda posición, aparecen los accesos no autorizados, seguidos de los daños económicos relacionados con la pérdida de hardwaremóvil (portátiles, PDAs, etc). El cuarto factor es el robo de propiedad industrial, sumando estos cuatro factores el 74% de las pérdidasfinancieras totales en las empresas.

* Se percibe, según los entrevistados, un descenso en las pérdidas totales imputables a amenazas relacionadas con brechas de seguridad, así como una notable disminución de las intrusiones.

* La externalización de servicios de seguridad permanece estable, sin crecimientos ni retrocesos. En la actualidad, el 61% de las empresas norteamaricanas no externalizan la seguridad, bien porque poseen unidades específicas "in house", bien porque directamente no abordan estas cuestiones.

* El porcentaje de organizaciones que notificó intrusiones a las fuerzas de seguridad creció ligeramente, si bien el porcentaje total del 25% indica que 75 de cada 100 empresas prefieren no notificar este tipo de problemas por cuestiones de imagen.

* Más del 80% de las organizaciones realiza auditorías de seguridad, siendo muy bajo el número de empresas que apuestan por seguros relacionados con la actividad telemática.

* El 42% de los entrevistados escoge el método del Retorno de la Inversión (ROI) para valorar sus gastos de seguridad. El 21% prefiere la Tasa Interna de Retorno (TIR), mientras que el 19% prefiere el Valor Actual Neto (VAN) como metodología de selección de inversiones.

* Por último, el informe destaca que la formación y la concienciación son críticas. La mayoría de los entrevistados reconoce que no se destinan suficientes fondos para estas labores.

Los datos del informe son, como es lógico, interpretables. En primer lugar, los modelos de negocio en general, y la posición que juegan las TI y la seguridad en las empresas norteamericanas no tienen por qué serparecida a la situación en la Unión Europea, o en Centro o Sudamérica, por multitud de cuestiones, como la coyuntura económica, el grado de desarrollo, factores políticos y de cultura, etc.

No obstante, teniendo en cuenta esta premisa, es posible extrapolar los resultados a otros mercados, siempre con los debidos matices, ya que los patrones de conducta más generales sí son reproducibles, indendientemente del país o continente de operación. Las amenazas también son fácilmente extrapolables, y esto es debido a la naturaleza global e interconectada de las comunicaciones empresariales. Estas
condiciones permiten que parte de los resultados vertidos del informe generen conocimiento aplicable prácticamente a cualquier modelo de gestión de seguridad, con independencia de factores específicos, inherentes a la empresa que aplica dichas metodologías.

Lo que sí parece revelador, a la luz de los resultados, es que la gestión de la seguridad debe recorrer todavía más camino en el seno de las organizaciones, con el objetivo de paliar las deficiencias históricas que la seguridad ha ido arrastrando desde sus inicios.

Más información:
2006 CSI/FBI Computer Crime and Security Survey
http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2006.pdf

Computer Security Institute
http://www.gocsi.com/

Fuente: http://www.hispasec.com/corporate/noticias/110



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!