Hacen falta profesionales de la seguridad informática en las empresas
Coincidiendo con la convocatoria de la IV Edición del Master en Dirección y Gestión de la Información, ASIMELEC llama la atención sobre la imperiosa necesidad de incrementar el número de profesionales en el entorno de la seguridad, tanto en empresas privadas como en instituciones públicas. Según Martín Pérez, presidente de esta asociación que agrupa las empresas del sector TIC español, “según el informe de Inteco sobre el estudio de la seguridad TIC en España, sólo el 16 % de las empresas españolas medianas y pequeñas contemplan en sus organigramas a un responsable de seguridad de sus infraestructuras tecnológicas. Esto, –agrega Pérez–, es especialmente alarmante, si consideramos que nuestro tejido empresarial esta conformado en más de un 95 % por empresas de este tipo”.
Este porcentaje, según este mismo estudio, sube hasta el 57 % en las grandes empresas, “lo cual -agrega Pérez-, tiene dos lecturas, una positiva o bien podemos pensar que más del 40 % de nuestras grandes empresas no contemplan una política de seguridad de su información”.
Según Martín Pérez, “hoy en día existe una muy baja conciencia sobre la gravedad que puede suponer para una empresa o cualquier tipo de organismo o institución, un ataque a sus sistemas, como consecuencia de una brecha de seguridad y se actúa de manera reactiva frente a un hecho que exige planificación y prevención, es decir una actitud proactiva”.
ASIMELEC también resalta lo paradójico de esta situación, puesto que nuestro país cuenta con una industria de seguridad TIC muy relevante y con un muy buen posicionamiento en el mercado internacional.
Para ASIMELEC, y su Comisión de Seguridad, la situación actual es muchas veces fruto del puro desconocimiento sobre los riesgos, y esta situación viene provocada por la ausencia de profesionales cuya actividad principal, sea precisamente, medirlos, sopesarlos y prevenirlos. Por ello, y como novedad en esta edición del Master, al margen de las clases teóricas y los casos prácticos, se ha añadido la posibilidad de que ciertos alumnos puedan ser becados por distintas empresas. Con ello, se pretende, no solamente reforzar la formación de los profesionales, sino también concienciar a las propias empresas sobre los beneficios que aporta al negocio una correcta política de seguridad de su información.
Máster con título propio
Además, patronal de empresas del sector TIC, en colaboración con FUNCOAS (Fundación para la Transferencia del Conocimiento de ASIMELEC), y la Escuela Técnica Superior de Ingenieros de Telecomunicaciones (ETSIT) de la Universidad Politécnica de Madrid, han presentado el Máster en Dirección y Gestión de la Seguridad de la Información, que este año 2009 celebra su cuarta edición. A diferencia de anteriores ediciones, este año el Máster ha sido reconocido como titulo propio de la Universidad Politécnica de Madrid.
El principal objetivo de este Máster es contribuir a la mejora continua de la formación en materia de seguridad de la información mediante la transmisión de conocimiento, por expertos de primer nivel que desarrollan su actividad profesional y docente en organizaciones y empresas del sector de las Tecnologías de la Información y la Comunicación, como de la propia Universidad.
Así, este Máster se dirige a profesionales de empresas y de AAPP, con responsabilidad en la Tecnologías de Información y Comunicaciones (TIC), que desarrollen actualmente funciones técnicas, comerciales y/o de gestión, relacionadas con la Seguridad de la Información o de las TIC, y que deseen adquirir nuevos conocimientos y competencias de gestión, o Ingenieros júnior que pretendan adquirir conocimientos para desempeñar puestos de mayor responsabilidad.
El Máster se estructura en dos grandes bloques temáticos. El primero, Gestión de la Seguridad de las Tecnologías de la Información, aborda los aspectos formativos y científicos más orientados a la tecnología, de forma que los alumnos sean conscientes de la problemática de seguridad asociada a las tecnologías de la información, y puedan desarrollar una planificación de la gestión de la seguridad, conocer las soluciones tecnológicas existentes, e implantar y administrar un sistema de gestión de seguridad.
El segundo bloque, Dirección de la Seguridad de la Información, aborda los aspectos formativos más orientados a la organización y dirección de departamentos y centros de seguridad de la información en una organización. Los alumnos conocerán la legislación que afecta a la seguridad y protección de la información, aplicarán las principales metodologías de gestión de servicios de Tecnologías de la Información, y podrán desarrollar un plan director de seguridad y aplicar las principales habilidades para la dirección y el liderazgo.
Además, y como complemento a las conferencias impartidas por reconocidos expertos en las temáticas del Máster, en el bloque de Gestión de la Seguridad de las Tecnologías de la Información, se planteará la resolución de 4 casos prácticos, y 3 para el bloque de Dirección de la Seguridad de la Información.
Con 60 créditos ECTS (European Credit Transfer System), equivalentes a 1.500 horas de trabajo académico, el Máster incluye clases presenciales en torno a tres áreas docentes interrelacionadas: Cursos troncales, Casos prácticos y Trabajo Fin de Máster. Asimismo, los alumnos podrán realizar prácticas con el sistema, tutorías, pruebas de control, búsquedas de información, etc.
El período lectivo comprende de octubre de 2009 a Junio de 2010 y las clases se impartirán en el Aula de la ETSI Telecomunicación, de la Universidad Politécnica de Madrid en la Ciudad Universitaria de Madrid.
Más de la mitad de las empresas invertirá en seguridad informática
Las cuestiones de seguridad que más preocupan a las organizaciones son: el robo o pérdida de PCs (54 %), los ataques de spam (45 %), el abuso o hacking (45 %), y las herramientas de espionaje (45 %). El proveedor de servicios y soluciones de TI Dimension Data ha presentado los resultados de un nuevo estudio de seguridad TI realizado en colaboración con la consultora IDC. En este informe se dan a conocer importantes conclusiones sobre la inversión en TI en épocas de crisis, el panorama actual de amenazas y la implementación de tecnologías de prevención de fuga de datos (DLP). Los participantes afirmaron que las brechas de seguridad por causas externas (52 %), el abuso intencional interno (49 %), el abuso de acceso remoto (47 %), el robo de identidad (47 %) y los ataques de virus (43 %) serán los incidentes más peligrosos a los que tengan que hacer frente.
“Nos preocupa que las organizaciones estén afrontando las amenazas de forma reactiva, con un enfoque ad-hoc, y sin poner en marcha controles de seguridad básicos. Desde nuestra experiencia, realmente no importa lo sofisticadas que sean las soluciones puntuales. Si las organizaciones no han implementado las cinco categorías principales de control de seguridad: firewall, prevención de intrusiones, seguridad de sistema, seguridad de contenido web y seguridad de contenido de email, entonces están enfocándose solamente en un 20 % del riesgo, quedando expuestos en un 80 %”, explica Albert Teixidó, Responsable de Networking y Seguridadde Dimension Data España.
Prevención de fuga de datos
De acuerdo al estudio, las organizaciones creen que sufrirán fugas de datos en alguna etapa, aunque ésta será accidental en vez de maliciosa. El hecho de que un 57 % de las compañías entrevistadas confirma tener planificado invertir en tecnología DLP indica una amplia aceptación de la necesidad de complementar el enfoque de seguridad centrado en la red al agregar seguridad de datos.
Por otra parte, las organizaciones (45 %) creen que la fuga de datos es más probable que se produzca por errores humanos de los empleados que por hackers externos con intenciones maliciosas (15 %).
La mayoría de los encuestados (85 %) cree que la pérdida de datos a través de hacking externo es “muy improbable”, y un 55 % percibe que sólo tiene un “impacto moderado” o “ninguno” en sus negocios. Por su parte, más de un 60 % considera que es improbable que se vean afectados por un ataque de virus.
Además, cabe destacar que con el incremento en los despidos en el actual clima económico, la probabilidad de que un empleado deliberadamente destruya o robe información sensible de la organización ha incrementado.
La mayoría de las soluciones de seguridad está centrada en el perímetro (firewalls, VPNs, etc) y en los recursos (laptops, servidores). Mientras son componentes necesarios de una completa estrategia de seguridad, protegen la infraestructura que contiene la información, y no los datos.
Para afrontar estos retos, las compañías se están moviendo hacia las tecnologías DLP ya que se trata de un enfoque integral de la protección de la información, en vez de simplemente proteger las redes y sistemas. Crea barreras automáticas y técnicas tanto para los errores humanos como para los ataques maliciosos.
La tecnología DLP permite definir e implementar una política de seguridad efectiva para el flujo de información para poder mantener el control de los datos críticos, previniendo violaciones accidentales a las políticas de cumplimiento y confidencialidad, y soportando la ubicuidad del usuario mientras utiliza ordenadores portátiles o dispositivos más pequeños.
Inversión en seguridad de TI
El estudio muestra que las organizaciones están empezando a darse cuenta del valor de tomar un enfoque proactivo hacia la seguridad, a pesar de que sólo un 19 % de las compañías incrementó su gasto en TI de 2008 a 2009. Un 41 % recortó su gasto en TI, principalmente debido a la actual recesión económica. Por su parte, casi un 60 % de las organizaciones destinó una media de un 10 % de sus presupuestos al área de seguridad.
Las compañías entrevistadas están cambiando su enfoque de inversión en soluciones puntuales por un enfoque más integral. Así, un 59 % tiene planificado invertir en auditorías de seguridad, un 57 % en prevención de pérdida de datos y un 52 % en servicios de consultoría.
“Estos resultados indican una mayor comprensión entre las organizaciones de que reaccionar a los incidentes de seguridad y la adquisición de tecnologías puntuales sin tener en cuenta cómo encajan entre ellas, es más costoso y menos efectivo que planificar una estrategia integral”, agrega Albert.
Cumplimiento de normativas
Los fallos en la seguridad de TI en los últimos años han demostrado el hecho de que cumplir con cierta legislación y normativas no necesariamente equivale a estar protegido. La escala del crimen electrónico en el área de redes wireless y en Internet se está expandiendo a niveles muy altos. El estudio revela que las grandes organizaciones con más de 1.000 empleados tienden a cumplir mejor con las normativas que las pequeñas. Además, las compañías en América y en el sector público se preocupan más por las regulaciones de seguridad TI que en otras regiones o industrias. Esto deja a un enorme conjunto de organizaciones que no están haciendo lo suficiente para cumplir con las regulaciones o para estar protegidas.
El informe sobre el estado de la seguridad de las TI incluye los resultados de 407 entrevistas realizadas a directivos de compañías (de más de 500 trabajadores) presentes en 18 países cubriendo América, Europa Occidental, Oriente Medio y África, y Asia-pacífico.