«Cuidado con la brecha»: Un estudio de Gemalto revela que las empresas confían demasiado en mantener a raya a los hackers, pero no tanto en mantener los datos seguros
A pesar del aumento en el número de filtraciones de datos y de la pérdida o el robo de alrededor de un 1,4 mil millones de registros de datos en 2016 (fuente: Índice de infracción), la inmensa mayoría de los profesionales de TI continúan creyendo que la seguridad perimetral es eficaz para mantener a los usuarios no autorizados fuera de sus redes. Sin embargo, las empresas no invierten lo suficiente en tecnología que proteja adecuadamente sus negocios, de acuerdo con los resultados del cuarto Índice de Confianza de Seguridad de Datos, publicado en el día de hoy por Gemalto (Euronext NL0000400653 GTO), el líder mundial en seguridad digital.
Según una encuesta realizada a 1 050 responsables de TI de todo el mundo, las empresas consideran que la seguridad perimetral los mantiene seguros, y la mayoría (94%) creen que es bastante eficaz para mantener a los usuarios no autorizados fuera de sus redes. Sin embargo, el 65% no confía plenamente en que sus datos estén protegidos si se viola el perímetro. Este dato ha disminuido ligeramente respecto al año anterior (69%). A pesar de ello, alrededor de seis de cada 10 (59%) organizaciones refieren que consideran que sus datos confidenciales están seguros.
El foco de atención es la seguridad perimetral, pero hay una carencia de comprensión de la tecnología y la seguridad de los datos
Muchas empresas continúan dando prioridad a la seguridad perimetral sin darse cuenta de que en gran medida es ineficaz contra ciberataques sofisticados. Según los resultados de la investigación, el 76% afirmó que su organización había aumentado la inversión en tecnologías de seguridad perimetral, como firewalls, IDPS, antivirus, filtrado de contenido y detección de anomalías para protegerse contra atacantes externos. A pesar de esta inversión, dos tercios (68%) creen que los usuarios no autorizados podrían acceder a su red, haciendo ineficaz su seguridad perimetral.
Estos resultados sugieren una falta de confianza en las soluciones empleadas, especialmente cuando más de un cuarto (28%) de las organizaciones han sufrido violaciones a la seguridad perimetral en los últimos 12 meses.
La realidad de la situación empeora teniendo en cuenta que solo un 8%, en promedio, de los datos filtrados estaban encriptados.
La confianza de las empresas se ve socavada por el hecho de que más de la mitad de los encuestados (55%) no saben dónde se almacenan sus datos confidenciales. Además, más de un tercio de las empresas no encriptan información valiosa como los datos de pago (32%) o de los clientes (35%). Esto significa que, si los datos fuesen robados, el hacker tendría acceso total a esta información, y la podría emplear para cometer delitos como el robo de identidad, el fraude financiero o el ransomware.
«Está claro que existe una división entre las percepciones de las organizaciones respecto a la eficacia de la seguridad perimetral y la realidad», declaró Jason Hart, vicepresidente y director de tecnología para la protección de datos de Gemalto. «Al creer que sus datos están seguros, las empresas dejan de priorizar las medidas necesarias para proteger sus datos. Las empresas necesitan ser conscientes de que los hackers están detrás de los activos más valiosos de una empresa: los datos. Es importante centrarse en la protección de este recurso; de lo contrario, aquellos que no lo hagan se enfrentarán a la realidad.»
La mayoría de las empresas no están preparadas para el RGPD
El Reglamento General de Protección de Datos (RGPD) será aplicable a partir de mayo de 2018, por lo que las empresas deben entender cómo cumplirlo mediante la protección adecuada de datos personales para evitar el riesgo de multas administrativas y daños a la reputación. Sin embargo, más de la mitad de los encuestados (53%) afirman que no creen que vayan cumplir totalmente con el RGPD en mayo del año próximo. En menos de un año, las empresas deben comenzar a introducir los protocolos de seguridad correctos en su camino hacia el cumplimiento del RGPD, incluido el cifrado, la autenticación de dos factores y las estrategias de administración de claves.
Hart añade que la «inversión en ciberseguridad se ha convertido en algo más que un objetivo para las empresas en los últimos 12 meses. Sin embargo, lo que preocupa es que haya tan pocas empresas que aseguren adecuadamente los datos más vulnerables y cruciales que poseen, o que incluso no sepan dónde están almacenados. Esto obstaculiza el cumplimiento del RGPD y, en poco tiempo, las empresas que no mejoren su ciberseguridad se enfrentarán a graves consecuencias legales, financieras y de reputación.»