El factor humano es la mayor amenaza para la seguridad inform¨¢tica de los bancos

El informe 'Seguridad Global 2005' de la consultora Deloitte se?ala que el factor humano es el eslab¨®n m¨¢s d¨¦bil de la cadena de seguridad que protege los datos en bancos y cajas. Los ataques desde dentro de las organizaciones se duplicaron en 2004, mientras que a las amenazas tradicionales, como los virus, se suman los ataques por phishing y pharming, t¨¦cnicas en las que se enga?a al internauta para que revele informaci¨®n delicada utilizando webs y e-mails falsos.

El n¨²mero de ataques inform¨¢ticos internos dirigidos contra las principales entidades financieras mundiales ha aumentado respecto al n¨²mero de ataques externos a lo largo del ¨²ltimo a?o. El 35% de los encuestados por la consultora afirma haber sufrido ataques desde dentro de sus propias organizaciones en el ¨²ltimo a?o (14% en el informe de 2004), frente al 26% que aseguraron que la mayor¨ªa de ataques proced¨ªa desde el exterior (23% el a?o anterior). En concreto, algo menos de un tercio (28%) de los encuestados manifest¨® haber incumplido la normativa sobre seguridad en los ¨²ltimos 12 meses, en comparaci¨®n con el 83% registrado en 2004.

El cambio en la tendencia de los ataques externos a los internos y la t¨¢ctica que aprovecha el comportamiento humano frente a las lagunas jur¨ªdicas tecnol¨®gicas, puede explicarse, seg¨²n Deloitte, debido a la mejora en la utilizaci¨®n de las tecnolog¨ªas de seguridad de la informaci¨®n, en particular por el uso cada vez mayor de las soluciones antivirus (98% frente al 87% en 2004), las Redes Privadas Virtuales (79% frente al 75%) y la filtraci¨®n y el control de contenidos (76% frente al 60% en 2004).

La mitad, sin formaci¨®n sobre seguridad

Otro fen¨®meno en alza es el de las estafas por phishing y pharming, una de las amenazas para la seguridad que m¨¢s crecieron en 2004. Para evitar resultar afectados por estas t¨¦cnicas de ataque Alfonso Mur, socio de Deloitte recomienda las entidades que pongan en pr¨¢ctica "soluciones de gesti¨®n de la identidad" que incluyan "la gesti¨®n del acceso, la vulnerabilidad, los parches y los incidentes relacionados con la seguridad". Estas soluciones deben reforzarse con "la formaci¨®n y concienciaci¨®n en materia de seguridad si las entidades quieren minimizar el n¨²mero de amenazas provocadas por el comportamiento humano", afirma.

Pero el estudio de Deloitte afirma que apenas la mitad (46%) de los encuestados han programado iniciativas de formaci¨®n y concienciaci¨®n para el pr¨®ximo a?o. Estas dos cuestiones se hallan a la cola de la lista de iniciativas en materia de seguridad, a mucha distancia del cumplimiento de las normativas (74%) y de la informaci¨®n y evaluaci¨®n (61%). Estos datos concuerdan con los futuros planes de inversi¨®n en seguridad de las entidades financieras, en los que la mayor partida se dirige a herramientas de seguridad (64%), frente a un escaso 15% destinado a la concienciaci¨®n y formaci¨®n de los empleados.

As¨ª, aunque casi la mitad (48%) de los encuestados considera que la falta de concienciaci¨®n de los empleados es uno de los desaf¨ªos principales, las medidas de formaci¨®n y concienciaci¨®n en materia de seguridad aplicadas en los ¨²ltimos 12 meses disminuyeron del 77% registrado en el anterior estudio al 65% de este a?o.

Por ¨²ltimo, el estudio se?ala que los plazos y presupuestos poco realistas (56%) encabezaban la lista de razones comunes de los encuestados para los incumplimientos de proyectos de seguridad, seguidos por los problemas de integraci¨®n debido a un dise?o y a una arquitectura iniciales mediocres (48%) y a la falta de implicaci¨®n por parte de los empresarios (34%).

Deloitte afirma que el informe ha sido realizado mediante entrevistas cara a cara y cuestionarios online plateados a altos directivos de tecnolog¨ªa de la informaci¨®n (Director de Seguridad, Director de Informaci¨®n, Equipo de Gesti¨®n de la Seguridad, etc.) de gran parte de las 100 primeras entidades de servicios financieros del mundo.