> MAPA del WEB <
|
||||||||||||
|
|
||||||||||||
Noticias Profesionales
|
|
Lunes 7 de julio de 2003 |
Noticias
Seguridad de la Información y Protección de DatosEl sector financiero es el que mayor niveles de seguridad de la información registra, el 29% de las empresas tiene altos niveles de protección
HP presenta su Estudio de Seguridad Informática en empresas españolas cuyo entorno de Tecnologías de la Información es de la máxima criticidad y cuya falta de disponibilidad representa un impacto directo en el negocio. Este estudio pone de manifiesto que un 68% de las empresas españolas de entorno críticos tiene unos niveles de protección bajos en sus sistemas.
El estudio realizado por el Security Center de HP, el centro de competencias en temas de seguridad de HP en España, fue creado para evaluar la situación en la que se encuentra la seguridad informática empresarial de las grandes corporaciones y la Administración Pública, tomando como referencia las compañías con los entornos más críticos.
Este informe se basa en las pruebas de intrusión llevadas a cabo en más del 50% de empresas españolas con entornos de estas características en el último año. Las empresas donde se han realizado estas pruebas pertenecen a los sectores financiero (23%), de telecomunicaciones (36%), industria (26%) y público (15%).
Niveles de protección de las empresas frente a posibles ataques informáticos
Del estudio realizado por el Security Center de HP se desprende que del total de empresas analizadas sólo un 13% presenta unos niveles de protección altos a posibles ataques informáticos, frente a un 68% que tiene unos niveles de protección bajos. En el término medio se sitúa el restante19% de compañías. Estas cifras ponen de manifiesto una escasa concienciación de los peligros que suponen la falta de seguridad informática en las compañías, con el consiguiente impacto y repercusión que tiene en los negocios.
El desglose por sectores revela que la banca es el sector que mayor protección presenta, ya que el 29% de las compañías financieras que HP ha analizado tienen unos niveles de protección altos. En el lado opuesto se sitúa la industria, que, con sólo un 8% de empresas con niveles de protección altos, es el que más carencias de seguridad registra. El 75% de las empresas de este sector tiene unos bajos niveles de protección.
En los sectores de telecomunicaciones y público está aumentado el número de empresas e instituciones que contemplan la seguridad informática como una prioridad en el negocio. Sin embargo, aún queda camino por recorrer, ya que en el sector telco sólo el 8% presenta niveles de protección altos y de las instituciones públicas analizadas el 10%.
En general, se puede afirmar que el sector financiero es el que más concienciación tiene sobre la seguridad informática. Las empresas de este sector son conscientes de la repercusión negativa que tendría para su propio negocio un ataque a sus sistemas con información confidencial.
El sector público, en su intento por posicionar la Administración Electrónica a la par del resto de miembros de la Unión Europea, comienza a preocuparse por la seguridad, ya que, además del daño interno que supondría la vulnerabilidad de sus sistemas, un ataque repercute en aspectos como una mala imagen o pérdida de credibilidad de cara al exterior.
Para las empresas del sector de las telecomunicaciones es importante intentar controlar las acciones destinadas a cometer fraude. Un aliado para reducir el fraude son las medidas de seguridad implantadas de forma sistemática.
El sector de la industria es el que más problemas de seguridad registra, ya que está formado por muchas áreas con negocios diferentes y características dispares. Únicamente se atisba una cierta conciencia de los temas de seguridad en ciertas áreas muy especializadas como la de transporte aéreo.
Detección de los ataques de HP
Un punto importante del estudio llevado a cabo por el Security Center de HP es que la compañía no realizó ningún esfuerzo para ocultar las pruebas de intrusión que estaba realizando a las empresas analizadas, con el objetivo de averiguar la capacidad de éstas para detectar los intentos de intrusión en sus sistemas.
Del total de compañías únicamente un 5% detectó los ataques y un 95% no se percató de que sus sistemas estaban siendo vulnerados. Este dato es bastante relevante y pone de manifiesto que un porcentaje importante de los ataques que están ocurriendo hoy día pasan totalmente desapercibidos. Tan importante es protegerse como saber cuándo se está produciendo un ataque.Un 7% de las empresas del sector financiero detectaron las pruebas de intrusión a las que estaban siendo sometidos por parte de HP, seguidas de cerca por las compañías del sector telco (6%). El gobierno y la industria, con un 4% y un 3% respectivamente, fueron los sectores que menos nivel de detección de las pruebas registraron.
Cómo se realizaron las pruebas de intrusión
El Security Center de HP definió las pruebas base del estudio en función de los siguientes aspectos:
HP y las compañías objeto de estudio firmaron una autorización expresa y un acuerdo de confidencialidad
Las empresas identificaron los sistemas con la información confidencial y sensible
Las pruebas de intrusión se realizaron únicamente con un PC con conexión a la red
La duración estándar de las pruebas de intrusión fue de una semana
Las herramientas utilizadas fueron tanto desarrollos propios de HP específicamente diseñados para la realización de estas pruebas como herramientas de dominio público, disponibles en Internet
HP definió los diferentes niveles de protección de seguridad informática (alto, medio y bajo) en función de los privilegios de acceso obtenidos en el sistema y del tiempo necesario para vulnerar los sistemas
HP no empleó ninguna técnica de ingeniería social, consistentes en el uso del engaño a las personas para obtener información relevante de la compañía
HP no realizó ningún esfuerzo para camuflar y ocultar los ataques que estaban realizando a las empresas del estudio
Entre los sistemas críticos que las empresas designaron para que fueran vulnerados por el equipo de expertos en seguridad de HP se encontraban entornos muy diversos: servidores financieros, sistemas de facturación, ERPs, sistemas de gestión, bases de datos, servidores de correos, servidores web, etc.
La vulneración de todos estos sistemas por un ataque real podría provocar daños importantes a las empresas con repercusiones económicas, pérdida de imagen, de confianza de los clientes, etc. Algunos de estos daños están relacionados con la generación de facturas falsas, transferencias, robos de bases de datos de clientes o proveedores, envío de correos falsos o control del sistema de gestión de una compañía, entre otros.La seguridad es un proceso global.
HP considera que es preciso que las empresas españolas amplíen la conciencia sobre la importancia de la seguridad y que tomen medidas sistemáticas, no únicamente medidas puntuales. La seguridad es un proceso, no un producto.
Para HP una parte fundamental de la estrategia de seguridad es el diseño de unos planes de contingencia que ayuden a las empresas a recuperarse de posibles desastres e incidentes de seguridad. Estos planes de contingencia aseguran la continuidad del negocio (Business Continuity) ante cualquier problema grave.
Del mismo modo, las compañías deben tener en cuenta la alta disponibilidad de los sistemas, que garantizan la reducción del riesgo y la continuidad de las operaciones críticas para el negocio ante incidentes de severidad alta.
En general, la falta de conciencia acerca de la importancia de las políticas de seguridad es un serio problema en la Sociedad de las Tecnologías de la Información que afecta a empresas de todos los sectores, lo que significa que hay que reforzar las estrategias de seguridad corporativa y protegerse adecuadamente de ataques y vulnerabilidades.
Las recomendaciones de HP pasan por establecer una estrategia global, como la que establece la norma ISO-17799, que contemple medidas efectivas como el análisis de riesgos, auditoría técnica para evaluar las vulnerabilidades y una revisión continua de las políticas de seguridad.
Fuente: www.hp.es
03.07.03
