México, sin estrategias formalizadas para proteger información empresarial

Según los resultados de la Encuesta Global de Seguridad de la Información, presentados la semana pasada por Ernst & Young, una de las más grandes empresas de servicios profesionales del mundo, la mayoría de las empresas mexicanas carecen de planes de seguridad para su información.

En la encuesta, en la cual participaron mil 586 organizaciones a nivel mundial y 91 en México, en nuestro país hay una tendencia de 90 por ciento a mantener o incrementar el presupuesto destinado a la seguridad de la información, en tanto que a escala internaciopnal la tendencia es de 94 por ciento.

Sin embargo, el 60 por ciento de las empresas participantes a nivel global y el 54 por ciento en México no cuentan con una estrategia documentada de seguridad de la información. Y solamente el 28 por ciento -a nivel mundial y local- tienen en considerados nuevos riesgos a la seguridad de la información dentro de su plan de acción.

Esto puede provocar que pérdidas de tiempo para prevenir o afrontar los riesgos que enfrentan, las nuevas amenazas y las regulaciones que deben cumplir, alertó Ricardo Lira, gerente senior del área de Servicios de Asesoría en Riesgos (RAS por sus siglas en inglés) de Ernst & Young.

“En la encuesta observamos que la gran mayoría de las organizaciones en México mantienen o incrementan su inversión en temas relacionados con seguridad de la información con respecto al año pasado. Sin embargo, y apesar de avances observados en años recientes, aún más de la mitad no cuentan con estas estrategias formalizadas” comentó.

De las organizaciones que sí cuentan con planes formales en la materia, agregó, únicamente la mitad los tienen alineados con los objetivos del negocio y los mantienen actualizados.

Erika Saucedo, gerente senior del área de RAS de Ernst & Young, explicó que en México se percibe un incremento en los ataques externos. Sin embargo, los internos reportaron un incremento del 47 por ciento en las organizaciones participantes.

“Las redes sociales, cómputo en nube y dispositivos móviles son otro factor que incrementa el riesgo de las organizaciones en México (56%) y en el mundo (60%) en comparación con el año pasado, pues son tecnologías que las exponen a escenarios como la fuga de datos y el acceso no autorizado a las plataformas organizacionales”, agregó.

Destacó que la atención que se le da en México a los riesgos asociados a esas tecnologías en particular, la encuesta revela cierto retraso en relación a otros países.

“Las organizaciones mexicanas continúan con la tendencia de enfocar su atención en los ajustes a políticas, auditorías y concientización de usuarios pero se han dejado de lado los controles preventivos para estos temas específicos”, enfatizó.

Ricardo Lira enfatizó que las compañías en México deben tomar ya cartas en el asunto para documentar y formalizar estrategias de seguridad de la información para no perder competitividad en el ámbito internacional, pues para hacer negocios en el mundo se necesitará acreditar una solidez mínima en este importante tema.

Ambos especialistas confiaron en que la entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) reforzará la preocupación de las empresas por proteger su reputación y su marca.

“A pesar de que la encuesta revela una tendencia a enfocar la inversión de este año a temas de seguridad informática sin considerar los aspectos que se relacionan con el cumplimiento de los objetivos del negocio, pensamos que la llegada de esta Ley provocará ajustes en las prioridades de las organizaciones en materia de seguridad de la información”, dijo Ricardo Lira.

Las organizaciones mexicanas, agregó, deben tomar a la Ley como un habilitador importante para mejorar los procesos internos que soportan la seguridad de su información en general.

Es importante destacar que aunque la mitad de las organizaciones de México encuestadas aseguran tener un buen nivel de entendimiento del impacto de las leyes relacionadas con la protección de datos, es clave que además cuenten con diagnósticos adecuados que les permitan una mejor implementación de los requerimientos que la Ley impone a efecto de afrontar de mejor forma el cambio regulatorio, concluyó.