Level 3 Communications, ha dado a conocer los resultados del Level 3 Security Index, estudio elaborado por IDC, para identificar la madurez de la seguridad de la información y de la infraestructura de IT corporativa de las organizaciones brasileñas. Brasil obtuvo una calificación general de 64,9 puntos sobre un total posible de 100 puntos.
En promedio, las compañías brasileñas cuentan con dos profesionales dedicados a la seguridad de la información. Alrededor del 57% de las organizaciones entrevistadas ya usan los Servicios de Seguridad Gerenciados (Managed Security Services – MSS) como respuesta ante la falta de profesionales calificados. Aproximadamente el 25% de las compañías no puede medir los impactos derivados de incidentes relacionados con la seguridad de la información y solo el 42% de las organizaciones afirma practicar y generar métricas relativas al cumplimiento de las políticas de seguridad de la información.
En el informe se investigaron cuatro temas: Concientización; Herramientas; Prevención y Mitigación. En el primer campo, el estudio demostró que las grandes empresas tienen más dificultades con la visibilidad de los problemas de seguridad. Esta falta de visibilidad está relacionada con la complejidad de sus entornos y sistemas.
En cuanto a la concientización para cuantificar los ataques padecidos o mitigados, el 34% tiene una visibilidad absoluta; el 66% restante carece de visibilidad o tiene una visibilidad parcial. Cuando se les preguntó acerca de la medición del impacto de los incidentes de seguridad, el 25.5% respondió desconocerlo y el 32% lo conocía superficialmente, mientras que el 42,2% pudo detallar el impacto en cada sistema o en los sistemas críticos.
Por su parte, el estudio demostró que las herramientas de tecnología interna son el área que presentó mayores desafíos para la seguridad. Esto se debe al hecho de que las herramientas de tecnologías orientadas a la seguridad, hasta cierto punto, están relacionadas con la capacidad de inversión de las compañías. De acuerdo a la investigación, más del 61% de las compañías considera que solo unos pocos profesionales están plenamente calificados o están por debajo del ideal respecto del nivel de capacitación de personal para usar las herramientas disponibles.
Adicionalmente, las grandes compañías están activas en cuanto a prevención se refiere, estableciendo y monitoreando controles con mayor frecuencia, asegurando un mejor nivel de desempeño. Cuando se consultó sobre las políticas y los estándares de seguridad de la información instaurados y documentados, resultó que el 28% no contaba con un cronograma establecido para revisar y actualizar, mientras que el 33% revisa y actualiza una vez al año.
En cuanto a mitigación, el estudio muestra que las habilidades en la comunicación y la estructura de activación son, en muchos casos, informales y no están bien documentados. El 46% de las compañías no tienen frecuencia de revisión para los procedimientos de contingencia y de seguridad. Cuando se les preguntó sobre el grado de alineación en seguridad de la información, en el punto “los controles internos de detección y prevención del fraude se validan periódicamente,” el 41% lo consideró una realidad en sus empresas, mientras que el 59% de los encuestados aun lo considera distante.
Para mejorar la madurez de la seguridad de la información en general, en las compañías brasileñas, el estudio recomienda:
*Pensar en contratar servicios tercerizados y gerenciados.
*Invertir en herramientas que faciliten un mejor control, visibilidad y automatización para maximizar la eficiencia del equipo de seguridad de la información.
*Priorizar inversiones según la prioridad de cada evaluación de entorno, riesgo e impacto.
*Mostrar los beneficios de la seguridad de la información utilizando métricas bien definidas.
*Llevar a cabo pruebas de seguridad con mayor frecuencia y con un alcance más amplio.
Perspectiva para 2017
El estudio demostró una perspectiva más proactiva para la Seguridad de la Información en 2017. Más del 42% de las compañías encuestadas se han propuesto incrementar su presupuesto de IT en 2017, en comparación con el de 2016.
El modelo de Infraestructura como Servicio (IaaS) está ganando adherencia no solo en computación sino también en almacenamiento, un factor que aumenta las preocupaciones en torno de la seguridad y de la gobernanza de la información.
