El factor humano es la mayor amenaza para la seguridad informática de los bancos

En 2004 el 34% sufrió ataques desde dentro de la organización, según el informe anual de Deloitte sobre seguridad informática en entidades financieras

El informe 'Seguridad Global 2005' de la consultora Deloitte señala que el factor humano es el eslabón más débil de la cadena de seguridad que protege los datos en bancos y cajas. Los ataques desde dentro de las organizaciones se duplicaron en 2004, mientras que a las amenazas tradicionales, como los virus, se suman los ataques por phishing y pharming, técnicas en las que se engaña al internauta para que revele información delicada utilizando webs y e-mails falsos.

Más información
Un 'pirata' informático accede a los datos de 40 millones de tarjetas de crédito en EE UU
40 millones de tarjetas expuestas a los 'piratas'
53.000 tarjetas españolas, afectadas por el fraude de CardSystems
El fraude masivo de tarjetas de crédito se extiende de EE UU a Japón
Filtrados en Internet datos secretos sobre centrales nucleares japonesas

El número de ataques informáticos internos dirigidos contra las principales entidades financieras mundiales ha aumentado respecto al número de ataques externos a lo largo del último año. El 35% de los encuestados por la consultora afirma haber sufrido ataques desde dentro de sus propias organizaciones en el último año (14% en el informe de 2004), frente al 26% que aseguraron que la mayoría de ataques procedía desde el exterior (23% el año anterior). En concreto, algo menos de un tercio (28%) de los encuestados manifestó haber incumplido la normativa sobre seguridad en los últimos 12 meses, en comparación con el 83% registrado en 2004.

El cambio en la tendencia de los ataques externos a los internos y la táctica que aprovecha el comportamiento humano frente a las lagunas jurídicas tecnológicas, puede explicarse, según Deloitte, debido a la mejora en la utilización de las tecnologías de seguridad de la información, en particular por el uso cada vez mayor de las soluciones antivirus (98% frente al 87% en 2004), las Redes Privadas Virtuales (79% frente al 75%) y la filtración y el control de contenidos (76% frente al 60% en 2004).

La mitad, sin formación sobre seguridad

Otro fenómeno en alza es el de las estafas por phishing y pharming, una de las amenazas para la seguridad que más crecieron en 2004. Para evitar resultar afectados por estas técnicas de ataque Alfonso Mur, socio de Deloitte recomienda las entidades que pongan en práctica "soluciones de gestión de la identidad" que incluyan "la gestión del acceso, la vulnerabilidad, los parches y los incidentes relacionados con la seguridad". Estas soluciones deben reforzarse con "la formación y concienciación en materia de seguridad si las entidades quieren minimizar el número de amenazas provocadas por el comportamiento humano", afirma.

Pero el estudio de Deloitte afirma que apenas la mitad (46%) de los encuestados han programado iniciativas de formación y concienciación para el próximo año. Estas dos cuestiones se hallan a la cola de la lista de iniciativas en materia de seguridad, a mucha distancia del cumplimiento de las normativas (74%) y de la información y evaluación (61%). Estos datos concuerdan con los futuros planes de inversión en seguridad de las entidades financieras, en los que la mayor partida se dirige a herramientas de seguridad (64%), frente a un escaso 15% destinado a la concienciación y formación de los empleados.

Así, aunque casi la mitad (48%) de los encuestados considera que la falta de concienciación de los empleados es uno de los desafíos principales, las medidas de formación y concienciación en materia de seguridad aplicadas en los últimos 12 meses disminuyeron del 77% registrado en el anterior estudio al 65% de este año.

Por último, el estudio señala que los plazos y presupuestos poco realistas (56%) encabezaban la lista de razones comunes de los encuestados para los incumplimientos de proyectos de seguridad, seguidos por los problemas de integración debido a un diseño y a una arquitectura iniciales mediocres (48%) y a la falta de implicación por parte de los empresarios (34%).

Deloitte afirma que el informe ha sido realizado mediante entrevistas cara a cara y cuestionarios online plateados a altos directivos de tecnología de la información (Director de Seguridad, Director de Información, Equipo de Gestión de la Seguridad, etc.) de gran parte de las 100 primeras entidades de servicios financieros del mundo.

Regístrate gratis para seguir leyendo

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS