Las redes sociales y los dispositivos móviles son los nuevos riesgos para la seguridad de la información de las compañías. Así se desprende de la Encuesta Global de la Seguridad de la Información 2012, elaborada conjuntamente por PwC, CIO Magazine y CSO Magazine, que recoge las respuestas de más de 9.600 ejecutivos -324 en España- y responsables de seguridad de la información de 138 países de todo el mundo.

El 57% de los entrevistados reconoce que todavía no dispone de una estrategia de seguridad para el uso que los empleados hacen de sus dispositivos personales, en los que se incluyen los móviles, tablets y redes sociales.

Por su parte, los encuestados españoles muestran un desarrollo inferior en este ámbito, ya que el 62,5% afirma que no tiene estrategia al respecto. Sin embargo, las compañías están trabajando en la implementación de dichas estrategias a medida que se generaliza el uso de las tecnologías móviles y de la web 2.0 entre sus profesionales. Además, muchas empresas ya están creando guías de cómo sus empleados deben utilizar esas tecnologías.

Respecto al cloud computing, la encuesta explica que, pese a la idea generalizada de que puede provocar problemas de seguridad, se están mejorando los sistemas implementados en este entorno. Así lo expresa el 54% (45,8% en España) de los entrevistados frente al 23% (30,2% en España) que opina que la seguridad de esta tecnología se está debilitando. El mayor riesgo asociado al uso del cloud radica en la incertidumbre que tienen las compañías a la hora de hacer cumplir al proveedor con los protocolos y políticas de seguridad, la dificultad en la auditoría, la problemática del control de privilegios de acceso o su difícil localización geográfica.

Ataques organizados

Otro riesgo emergente para la seguridad de la información es el llamado Advanced Persistent Threat (ATP), unos nuevos tipos de ataques organizados que tienen por objetivo los sistemas de organizaciones internacionales, fuerzas y cuerpos de seguridad o gobiernos. Aunque estas amenazas todavía se centran en instituciones del sector público o la política, la encuesta señala que las compañías del sector privado también deben desarrollar protocolos de seguridad en esta línea. Es más, muchos entrevistados explican que su inversión en seguridad aumenta, de forma indirecta, su protección ante los ATP.

Pese a estas nuevas amenazas, la encuesta señala que una gran mayoría de los entrevistados -el 72%- confía que los sistemas de seguridad de la información de sus compañías son efectivos. Este porcentaje es ligeramente inferior -67,9%- en el caso de los entrevistados españoles. Sin embargo, analizando las respuestas de los encuestados en los últimos años, la confianza en la seguridad ha descendido en más de diez puntos desde 2008.

El estudio asegura que, actualmente, las empresas tienen un mayor conocimiento de los ataques contra la seguridad de la información. Aproximadamente el 80% afirma almacenar información detallada -frecuencia, fuente y tipo- sobre los cyberataques que puedan recibir. En 2007, el 40% de los encuestados desconocían los detalles de los ataques recibidos en los últimos 12 meses; en la actualidad, este porcentaje se ha reducido hasta el 9%. Toda la información recogida sobre los ataques se está utilizando para invertir recursos en tres área concretas: la prevención, la detección y lo relativo al uso de las tecnologías web.

Seguridad y crisis económica

El actual contexto de recesión económica está dificultando las políticas de seguridad de la información de las compañías, que en los últimos tres años han visto reducido sus presupuestos de forma consecutiva. Precisamente son los encuestados europeos los que se muestran más pesimistas, ya que creen que los efectos de la crisis en las políticas de seguridad tendrán un mayor impacto a lo largo de 2011. Solo el 51% de los entrevistados estima que el gasto en seguridad de la información se incrementará en los próximos doce meses. En España, esta cifra desciende hasta el 45,7%.

En primer lugar, aseguran que la oleada regulatoria provocada por la recesión está complicando y encareciendo la gestión de las políticas de seguridad de la información en las compañías. Por otro lado, el riesgo de fuga de datos se ha incrementado debido a los recortes de personal en las empresas, lo que unido a la reducción de costes general también dificulta que se alcancen los objetivos de seguridad deseados por las compañías.

Geográficamente, el estudio revela que Asia está igualando su nivel de concienciación en materia de seguridad con Norteamérica y Europa. Simultáneamente, Norteamérica y Europa disminuyen sus inversiones en seguridad debido principalmente a la crisis global.

Elena Maestre, socia responsable de riesgos tecnológicos de PwC, asegura que “cada vez existe una mayor conciencia de la importancia de la seguridad en las organizaciones. Actualmente, la evolución tecnológica es un hecho imparable y un claro factor competitivo y diferencial en las empresas, por lo que es preciso que la seguridad se adapte a los tiempos actuales y evolucione paralelamente a esas nuevas formas de hacer negocios”.