BLINDAR LOS DATOS: PRIORIDAD EN AGENDA TI

Cada año, el Cetiuc realiza un estudio que da cuenta de la importancia de la ciberseguridad para las compañías. La última edición destaca que el 62% de las empresas teme ser blanco de un ataque, frente al 35% que temía lo mismo en 2013.


Tienen estrategias “claras” para proteger sus datos, saben que están en riesgo, pero invierten poco en la materia. Ese fue uno de los principales hallazgos que arrojó el último Estudio Nacional sobre Tecnologías de Información (ENTI), en materia de ciberseguridad. A pesar de que el 60,9% de las organizaciones consultadas aseguró contar con una hoja de ruta al respecto, el presupuesto anual que la mayoría destina para estos temas es menos del 1%, mientras que 62% se considera en un alto riesgo de ser víctima de un ataque.


Un escenario que plantea desafíos importantes para que las empresas dejen de reaccionar y empiecen a adoptar estrategias preventivas.


“Si bien existe una mayor conciencia frente al tema, los presupuestos no son suficientes para implementar mejoras continuas y enfoques proactivos”, señala Matías Fuentes, director de Estudios y Tecnología del Centro de Estudios de Tecnologías de Información de la Pontificia Universidad Católica de Chile (Cetiuc).


Desde 2016, la institución incorporó al ENTI la Encuesta de Gestión de Seguridad de la Información en respuesta a la necesidad creciente del mercado, contando con la participación en aumento de un importante número de CISOs de grandes empresas del país.


Esta vez, la participación fue tal, que decidieron separar el ámbito de Seguridad del ENTI y crear el Estudio Nacional de Ciberseguridad (ENCI), que se está ejecutando por primera vez este año a fin de generar un marco de referencia del nivel de madurez en la gestión de este tema.


A simple vista, las cifras del ENTI relativas a ciberseguridad parecieran contradictorias, pero Fuentes explica que la ejecución de estas estrategias “se percibe como un deseable” y que, en el camino, las empresas se han encontrado con obstáculos que no han podido resolver con premura, relacionados al cambio cultural y a la educación, “por lo que sus resoluciones son de largo aliento e involucrarán una mayor inversión de recursos”.


Fuentes observa que hay conciencia a nivel gerencial, lo que ha llevado a que muchas organizaciones, en su afán de enfrentar el tema, hayan generado áreas de seguridad de la información con presupuesto autónomo y reportando a la gerencia general.


Algo que destaca Wilson España, miembro del Latinamerican Advisory Council de (ISC)2 , para quien es relevante lograr “procesos maduros” que contemplen la seguridad tanto en su diseño como en la operación general, junto con reportar directamente a las gerencias generales.


71,4% de las firmas bancarias tiene una política de seguridad, frente al 33,3% de las de alimentación.


6 DE CADA 10 ORGANIZACIONES se considera en alto riesgo de ataque.


En esa línea, según datos del Cetiuc, “más de la mitad de las empresas tiene un Comité de Seguridad, conformado por cargos de alta administración. Y casi el mismo porcentaje dice tener un Oficial de Seguridad definido”, destaca Fuentes.


Por sector, los investigadores encontraron diferencias significativas. Sobre todo en aquellos donde la ciberseguridad es un tema “más sensible”, como la banca, donde mejorar la seguridad está en el top 3 de prioridades. A diferencia, por ejemplo, del rubro de alimentos, donde se posiciona “al otro extremo” porque simplemente la definición de políticas de este tipo no está dentro de sus prioridades más importantes.


Política exitosa


España, quien también es profesor del Diplomado de Ciberseguridad de la UC y del Magíster de Ciberseguridad de la Universidad Adolfo Ibáñez (UAI), explica que para que una política de seguridad sea exitosa, las organizaciones deben poner mucha atención a la capacitación del capital humano. “Si no tienen profesionales calificados y experimentados, no lograrán una adecuada gestión”, señala.


En esa línea, José Antonio Lagos, managing partner en Cybertrust, recomienda que las capacitaciones tengan evaluaciones finales para medir el grado de entendimiento de las políticas a implementar y asegurar “que los colaboradores no sólo las entiendan, sino que sepan aplicarlas”.


Algo que, de alguna manera, también refleja el estudio del Cetiuc: las actividades que generarían mayor valor y cambios significativos y sustentables en beneficio de la seguridad de los datos, como la difusión, no están en las prioridades de los CISOs.


“Esta difusión debe estar acompañada de entrenamiento y capacitación para todos los usuarios de la organización, con el objetivo de cambiar la cultura organizacional”, añade Fuentes.


Fuente: Diario Financiero.

17 vistas