La figura de un responsable de seguridad de la información (CISO, Chief Information Security Officer) no es del todo relevante en otros sectores, pero sí en el de las entidades financieras, donde estos responsables reportan al más alto nivel (consejero delegado, Consejo de Administración) y están presentes en el 80 por ciento de bancos o aseguradoras, según Deloitte.
La consultora ha presentado su ‘Informe anual sobre seguridad en Instituciones financieras’, en el que se refleja la creciente importancia de la seguridad en un ámbito especialmente castigado por el robo de identidades, spam y phishing. En su elaboración han participado 200 empresas de todo el mundo (el 50 por ciento de la región EMEA y en torno a 25 entidades financieras españolas).

Una de las conclusiones de este estudio, además del aumento de las responsabilidades del CISO, es la evolución de la función de la seguridad de la información: el 92 por ciento de las empresas consultadas considera fundamental una estrategia de protección de la información, impulsada principalmente por el cumplimiento de la regulación. No obstante, sólo el 61 por ciento posee ya una estrategia en este sentido.

Durante el pasado año, Deloitte detectó que la gestión de accesos fue una de las prioridades, especialmente en lo referido a fugas de información, a pesar de que los presupuestos destinados a soluciones de seguridad se han visto afectados por la crisis. Éste es pues el principal obstáculo para diseñar una estrategia eficaz. Deloitte subraya que el 29 por ciento de las organizaciones consultadas destina únicamente entre un uno y un tres por ciento de su presupuesto de TI a seguridad, mientras que sólo un cinco por ciento destina más de un 10 por ciento de esta partida. Asimismo, la escasez de profesionales especializados en materia de seguridad es otra de las preocupaciones.

Negligencias y ataques externos

De este estudio se extrae otra conclusión: el 31 por ciento de las entidades consultadas opina que en su organización existen excesivos privilegios de acceso a la información, una cuestión que puede derivar en pérdidas de datos confidenciales por errores humanos y, en ocasiones, voluntariamente por descontento del empleado. El 11 por ciento de los ataques externos corresponden a conductas inapropiadas de los trabajadores.

Por otra parte, la consultoría de seguridad supone más del 60 por ciento de la inversión total en seguridad, seguida de cerca por soluciones orientadas al control de accesos. Durante la presentación del estudio Alfonso Mur, socio responsable de gestión de riesgos de Deloitte, ha destacado un dato, que el 20 por ciento de las entidades afirma no haber recibido ningún ataque externo durante un año. “No nos lo creemos. Las compañías interpretan que al tener controladas las amenazas no siguen recibiendo ataques. Lo que existe es una gestión más eficaz de algunos ataques”, apunta Mur.

De cara al futuro, la consultora ha detectado una tendencia hacia la proactividad, ya que los productos de prevención frente a ataques como antivirus, antispam o cortafuegos han alcanzado el estadio de madurez. Es el caso de herramientas antiphishing, de detección de amenazas o incluso las biométricas, que todavía son inaccesibles por su elevado coste.