Directores y personal de TI no comparten los mismos objetivos de seguridad
Un estudio de Dell y Ponemon señala que los altos directivos no cuentan a menudo con información para tomar decisiones presupuestarias relativas a las prioridades de seguridad, y que estas difieren de las de los empleados de seguridad y TI.
- Cómo obtener el presupuesto necesario para proteger la red corporativa
- 6 de cada 10 empresas aumentaron su presupuesto de seguridad en 2014
- BYOD y otras tecnologías complican la labor del responsable de seguridad TI
- Aumenta la presión sobre los responsables de TI para mantener la empresa segura
- Las organizaciones deben construir un equipo profesional de seguridad
De acuerdo con un nuevo estudio de Ponemon, los responsables de TI y seguridad y los miembros de su personal no están de acuerdo sobre los objetivos de seguridad. El estudio “2015 Global IT Security Spending & Investments” encargado por Dell SecureWorks, encuestó a más de 1.800 directivos de seguridad y TI y a su personal de 42 países diferentes con el fin de determinar los factores clave que están impulsando los presupuestos de seguridad y la compra de tecnología.
Entre las principales conclusiones del estudio destaca que más del 50% de los encuestados afirmó que los miembros de la junta directiva y los ejecutivos de nivel C de su organización con frecuencia no están informados, ni se les da la información necesaria para tomar decisiones presupuestarias relativas a las prioridades de seguridad y a las inversiones en tecnología y personal requeridos. Sobre este punto, Kevin Hanes, director ejecutivo de Consultoría de Seguridad y Riesgos para Dell SecureWorks, comenta que “las organizaciones no pueden combatir con éxito el actual aumento de las ciberamenazas si las partes interesadas importantes, como los ejecutivos de nivel C y los miembros del consejo, no están adecuadamente informados sobre la estrategia de seguridad, los retos y objetivos de su organización".
Otro dato alarmante es que el 58% de los encuestados afirmaron que no creen o no estaban seguros de que su organización posea los recursos suficientes para lograr el cumplimiento de los estándares y normas de seguridad. Para Hanes, “lo que es especialmente preocupante de esta respuesta es que no sólo el incumplimiento pone a las organizaciones en riesgo de sufrir acciones legales y multas, sino que incluso las organizaciones que han logrado el cumplimiento, pueden verse todavía comprometidas”.
El estudio también pone de manifiesto que los puntos de vista y las prioridades de seguridad de los responsables de seguridad y de TI presentan un marcado contraste con las opiniones y prioridades de los miembros de su personal. Así, mientras que para el 72% de los directivos lo más importante es perseguir la mejora en la postura de seguridad de la organización, el 83% de los empleados encuestados ven la minimización del tiempo de inactividad como el objetivo de seguridad prioritario. Asimismo, el 49% de los directivos consideran los errores de terceros como la ciberamenaza más grave, mientras que los miembros del personal consideran las aplicaciones Web inseguras como la principal amenaza.
“Los diferentes puntos de vista y prioridades existentes entre los responsables de seguridad y de TI y sus empleados son señales de un desajuste grave entre los dos grupos", explica Hanes. "Cada miembro del departamento de seguridad de TI de una organización debe trabajar hacia los mismos objetivos de seguridad. Si la empresa quiere establecer una posición fuerte de seguridad, esta falta de alineación debe ser subsanada".
