InfoSec 2006: Las pymes el pariente pobre para la seguridad de la información €“ DTI

Las pequeí±as empresas son el pariente pobre cuando se trata de seguridad de la información, según la última encuesta de DTI sobre violaciones dentro de UK PLC.

Chris Potter, socio de aseguramiento de la seguridad de la información en PricewaterhouseCoopers LLP, que dirigió la encuesta, la describió como “una historia de dos ciudades”.

Las cifras muestran que las pequeí±as empresas están invirtiendo menos, sufriendo más incidencias y son menos conscientes que sus contrapartes a gran escala.

Ha surgido una imagen clara de cómo abordar el problema tiene verdadero sentido económico. La encuesta muestra que el número total de empresas afectadas por un incidente de seguridad en 2006 ha disminuido más en los últimos dos aí±os que solo para las pequeí±as empresas.

Sin embargo, en términos de número absoluto de incidentes, la cifra ha aumentado en general en un 50%, mientras que en el de las empresas más grandes esa cifra se ha reducido en un 30%. Pero eso todaví­a se traduce en un promedio de ocho al aí±o para las PYMES y 50 al aí±o para las grandes empresas. Y el costo promedio de cada incidente , generalmente relacionado con la interrupción del negocio en lugar de las pérdidas de efectivo , ha aumentado un 20 por ciento en general, pero ha caí­do un 10 por ciento para las grandes empresas.

“Uno de los grandes desafí­os ha sido cómo medir el retorno de la inversión en seguridad”, dijo Potter. ‘¿Cómo se mide el efecto de incidentes que no han ocurrido?’

Las grandes empresas están claramente mejor protegidas contra las brechas de seguridad y son más capaces de hacer frente a tales incidencias que nunca antes, mientras que las empresas más pequeí±as están sufriendo más infracciones y más daí±os económicos.

«La inversión general ha ido de un cuatro a cinco por ciento en seguridad, pero esto enmascara un cuerpo pequeí±o que está haciendo muy poco», dijo Potter. «Dos quintas partes de las PYMES gastan un uno por ciento o menos en seguridad».

De ellos, una buena proporción no se molesta en realizar evaluaciones de riesgo, por lo que no son conscientes de cómo se ven afectados por el problema. La encuesta mostró que cuando una empresa realizaba una evaluación de riesgos dedicaba un promedio del 7 por ciento de su presupuesto de TI a la seguridad, mientras que las que no gastan solo el 4 por ciento en promedio.

Sin embargo, las cifras indican que son las pequeí±as empresas las que menos invierten y sufren por ello.

Un área que podrí­an ser perdonados por eludir es la de los expertos en seguridad internos. Potter dijo que “casi todas” las PYMES carecí­an de esto y tendí­an a contratar ayuda de terceros. Sin embargo, dijo que eso planteaba la cuestión de la fiabilidad de esos autodenominados expertos y acogí­a con beneplácito la creación del recién nombrado Instituto de Profesionales de la Seguridad de la Información (IISP), que deberí­a garantizar que los miembros acreditados estuvieran debidamente calificados.

Hay otras iniciativas que pueden ayudar a garantizar la eficacia de los esfuerzos de seguridad ya existentes. Sin embargo, pocas pequeí±as empresas estaban al tanto de estándares como BSI 7799 e ISO 27001 que harán que la elección de soluciones de seguridad sea mucho más fácil.

Alun Michael, diputado, Ministro de Estado de Industria y Regiones, dijo que «el bajo nivel de conocimiento [de estas normas] es uno de los problemas más preocupantes».

InfoSec 2006: Las pymes el pariente pobre para la seguridad de la información €“ DTI

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll hacia arriba