El factor humano y la seguridad

phishingSegún Deloitte, la principal amenaza para la seguridad de la información en las entidades financieras es el factor humano, por encima de la tecnología. En el denominado “Estudio de Seguridad Global” realizado por la consultora, concluyeron que los ataques internos, el phishing y el pharming son las principales amenazas para las entidades financieras en materia de seguridad, por lo que sugieren que la formación y concienciación en materia de seguridad es la solución para evitar las amenazas provocadas por el comportamiento humano, que sin embargo solo representa el 15% del total del presupuesto de seguridad de las entidades.

En realidad, nada sorprendente. Algo parecido decíamos aquí con respecto a los contenidos de pago: “Lo preocupante son los propios usuarios, que vienen demostrando una preocupante (a los ojos de la industria) tendencia a no vigilar debidamente el uso EXCLUSIVAMENTE PERSONAL de sus cuentas de acceso”. Como siempre, el factor humano.

El número de ataques informáticos internos dirigidos contra las principales entidades financieras mundiales ha aumentado respecto al numero de ataques externos a lo largo del último año según el estudio de Seguridad Global 2005 realizado por Deloitte. El 35% de los encuestados confirmó haber sufrido ataques desde dentro de sus propias organizaciones en el último año (14% en el 2004), frente al 26% que aseguraron que la mayoría de ataques procedía desde el exterior (23% el año anterior). En concreto, algo menos de un tercio (28%) de los encuestados manifestó haber incumplido la normativa sobre seguridad en los últimos 12 meses, en comparación con el 83% registrado en 2004.

Los ataques de phishing y pharming (que consisten en engañar a la gente para que revele información delicada utilizando páginas web y direcciones de correo electrónico falsas) se sumaron a las principales amenazas en materia de seguridad a las que se enfrentaron las entidades financieras el año pasado, y que mostraban además, que el factor humano es el eslabón más débil de la cadena de seguridad.

El cambio en la tendencia de los ataques externos a los internos y la táctica que aprovecha el comportamiento humano frente a las lagunas jurídicas tecnológicas, puede explicarse, según Deloitte, debido a la mejora en la utilización de las tecnologías de seguridad de la información, en particular por el uso cada vez mayor de las soluciones antivirus (98% frente al 87% en 2004), las Redes Privadas Virtuales (79% frente al 75%) y la filtración y el control de contenidos (76% frente al 60% en 2004).

Según el estudio, la formación y concienciación en materia de seguridad aún deben llegar a las agendas de los Directores de Seguridad de la Información, ya que apenas la mitad (46%) de los encuestados han programado iniciativas de formación y concienciación para el próximo año. Estas dos cuestiones se hallan a la cola de la lista de iniciativas en materia de seguridad, a mucha distancia del cumplimiento de las normativas (74%) y de la información y evaluación (61%).

Estas conclusiones concuerdan con los futuros planes de inversión en seguridad de las entidades financieras, en los que la mayor partida se dirige a herramientas de seguridad (64%), frente a un escaso 15% destinado a la concienciación y formación de los empleados. Son muy pocas las entidades financieras que disponen de planes para concienciar sobre los problemas de seguridad a los clientes.

Otras conclusiones principales del estudio:

• Aunque casi la mitad (48%) de los encuestados considera que la falta de concienciación de los empleados es uno de los desafíos principales, las medidas de formación y concienciación en materia de seguridad aplicadas en los últimos 12 meses disminuyeron del 77% registrado en el anterior estudio al 65% de este año.

• Casi las tres cuartas partes (74%) de los encuestados optan por externalizar al menos una función de TI, pero (27%) no controlan mediante evaluaciones regulares el cumplimiento de los requisitos de seguridad por parte del proveedor externo de este servicio.

• Aunque el 86% de las entidades que cuentan con un Director de Seguridad de la Información señalaba que esta función rinde cuentas directamente al consejo o a los altos directivos, sólo un tercio de las entidades entrevistadas cree que la seguridad ha sido reconocida como un área crítica de negocio a este nivel.

• Los plazos y presupuestos poco realistas (56%) encabezaban la lista de razones comunes de los encuestados para los incumplimientos de proyectos de seguridad, seguidos por los problemas de integración debido a un diseño y a una arquitectura iniciales mediocres (48%) y a la falta de implicación por parte de los empresarios (34%).

Deja un comentario