Las personas y los Procesos son más Importantes que la Tecnología para la Seguridad de la Empresa, según un Estudio Global entre 4.000 Profesionales de Seguridad Informática
El Tercer Estudio Global sobre Profesionales de Seguridad Informática, Patrocinado por (ISC)2, Destaca un Aumento en los Presupuestos para Personal, Educación y Capacitación
NUEVA YORK--(BUSINESS WIRE)--International Information Systems Security Certification Consortium ((ISC)2(R)), la organización líder mundial sin fines de lucro que se dedica a la educación y certificación de profesionales de seguridad informática a lo largo de sus carreras, anunció hoy día los resultados del tercer Estudio Global sobre Profesionales de Seguridad Informática (Global Information Security Workforce Study), realizado por la firma internacional de analistas IDC y patrocinado por (ISC)2.
Según más de 4.000 profesionales de seguridad informática de más de 100 países en el estudio más exhaustivo en su género, los elementos más importantes para asegurar en forma efectiva la infraestructura de sus organizaciones son (por orden de importancia):
-- Apoyo gerencial de las políticas de seguridad
-- Respeto de la política de seguridad por parte de los usuarios
-- Personal de seguridad calificado
-- Soluciones de software
-- Soluciones de hardware
Según el estudio, los tres principales factores de éxito ponen de relieve la necesidad de que las entidades públicas y privadas dediquen más tiempo y atención a las políticas, los procesos y la gente, áreas que tradicionalmente han sido ignoradas, confiándose más en el software y el hardware para la resolución de los problemas de seguridad. Los encuestados comentan que las organizaciones están comenzando a reconocer que la tecnología es un facilitador, no una solución, para implementar y ejecutar una buena estrategia de seguridad.
El estudio también reveló que la responsabilidad de ejecutar una estrategia de seguridad es compartida cada vez más por toda la organización, responsabilizando a los directivos como parte de un programa bien definido y articulado de gestión de riesgos. Continuando una tendencia identificada en el estudio del año pasado, la responsabilidad de asegurar los activos de la información está pasando del director de información (CIO) a otras áreas de la gerencia superior y de la empresa, incluso el director general, director de finanzas, el director de riesgos y el director de seguridad informática, así como al departamento jurídico y de cumplimiento.
"Si las organizaciones quieren asegurar y proteger en forma proactiva su información y activos financieros y físicos, es necesario su compromiso incondicional con la seguridad a nivel financiero, gerencial y operacional", dijo Allan Carey, director de programa de IDC, quien encabezó el estudio.
"La gestión de la seguridad requerirá siempre del equilibrio apropiado entre la gente, las políticas, los procesos y la tecnología a fin de mitigar con eficacia los riesgos que conlleva el entorno digitalmente conectado en el que funcionan las empresas".
IDC analizó las respuestas de 4.016 profesionales de seguridad informática de más de 100 países, con casi el 40% empleado por organizaciones con $1.000 millones o más en ingresos anuales. Los encuestados pertenecían a las tres regiones importantes del mundo: América del Norte, Central y del Sur (57,3%), EMEA (Europa, Medio Oriente, África) (22,8%) y AP (Asia Pacífico, incluyendo Japón) (19,5%), y representaban a organizaciones del sector público y privado, diversas industrias verticales, al igual que diferentes competencias centrales y cualidades. Los encuestados tenían típicamente responsabilidades de adquisición, contratación de personal y/o administración. Otros puntos destacados del estudio 2006 comprenden:
-- IDC estima que el número de profesionales de seguridad informática en todo el mundo en 2006 es de 1.5 millones, un aumento del 8,1% con respecto a 2005. Se espera que esta cifra aumente a un poco más de 2 millones para 2010, con una tasa de crecimiento anual compuesto (CAGR) del 7,8% de 2005 a 2010. A modo de comparación, el crecimiento previsto en el número de empleados de informática a nivel mundial en el mismo período es del 4,6%.
-- Los sueldos en los Estados Unidos para la profesión continuaron sin cambios con respecto al año pasado; sin embargo, los sueldos para seguridad informática han cambiado a nivel global para reflejar la dinámica regional que tiene lugar a medida que evoluciona esta profesión. En el continente americano, los trabajadores que ganan menos de $30.000 dólares aumentaron el 3% al 4,4% de la fuerza laboral, el cambio más notable entre los encuestados de las Américas, debido más que nada al creciente número de profesionales de seguridad informática a ese nivel que se están contratando en América Central y del Sur con sueldos más bajos que el promedio para toda la región.
-- Las tecnologías comunes de seguridad que implementan las organizaciones de todas las regiones son biométrica, seguridad inalámbrica, prevención de intrusiones y herramientas forenses. La biométrica se ubicó en primer o segundo lugar en todas las regiones.
-- El área de gestión de riesgos en seguridad informática se ubicó en primer lugar como prioridad de capacitación en todo el continente americano y en la región EMEA y en segundo lugar en la región AP. Esto continuará en el futuro previsible mientras las organizaciones luchan por ganar el control sobre su postura de riesgo, desarrollan un marco flexible para adaptarse rápidamente a los nuevos factores ambientales, y dan visibilidad a sus riesgos más grandes. La continuidad empresarial y la ciencia forense son también temas que consideran los profesionales para aumentar sus conocimientos y perfeccionar sus habilidades.
-- El 67% de los profesionales de seguridad creen que durante los últimos 12 meses sus esfuerzos lograron influir en la gerencia y en los accionistas de la empresa para elevar la concienciación y la responsabilidad en materia de seguridad dentro de sus organizaciones. Con respecto a 2007, el 73% cree que podrá fomentar el cambio en sus organizaciones.
-- En general, las organizaciones están gastando un mayor porcentaje de sus presupuestos para seguridad informática en personal y capacitación en 2006 que en 2005. Las organizaciones están gastando más del 41% de sus presupuestos para seguridad, como promedio, en personal y capacitación para dotar de personal a proyectos y apoyar la gestión posterior a la implementación.
-- La importancia de las certificaciones de seguridad informática como un criterio de contratación siguió siendo alta, con el 85% entre los encargados de contrataciones, pero bajó del pico del 92% en 2004.
-- Para compensar las capacidades internas y los recursos limitados, las organizaciones están contratando a terceras firmas de servicios que han logrado atraer a profesionales calificados en el campo de la seguridad informática.
"IDC cree que los profesionales de seguridad que participaron en este estudio están llevando su mensaje a las masas y están actuando como 'agentes del cambio' dentro de sus organizaciones para cerciorarse que la seguridad informática sea reconocida por sus contribuciones positivas a la empresa, en lugar de costos irrecuperables como se han percibido en los últimos años", dijo Carey. "El mensaje de que la gente y los procesos son absolutamente cruciales para una seguridad informática eficaz finalmente está comenzando a resonar entre los líderes empresariales".
"Las vulneraciones de seguridad que fueron noticia el año pasado son resultado del error humano, y el Estudio Global sobre Profesionales de Seguridad Informática de este año valida además la opinión que mantuvieron durante años los profesionales de este campo de que la gente es el componente más importante de un programa eficaz de seguridad informática", señaló Ed Zeitler, CISSP, director ejecutivo de (ISC)2. "El hecho de que los profesionales de seguridad informática sean escuchados por los directivos y se comparta la responsabilidad de la seguridad en toda la organización demuestra que se ha consolidado la profesión de la seguridad informática y que se valora como un componente imprescindible de la empresa"
"Con respecto a la certificación, esta encuesta no distinguió entre las certificaciones que se basan sólo en una prueba y las que exigen experiencia profesional validada, formación permanente, patrocinio de pares y otros requisitos asociados generalmente con certificaciones profesionales en otros campos más establecidos", agregó Zeitler. "Creemos que las certificaciones acreditadas que apoyan la necesidad de gestión para los profesionales con experiencia en el mundo real y educación continua son consideradas en forma más favorable que las certificaciones que se obtienen con sólo pasar una prueba".
El Estudio Global sobre Profesionales de Seguridad Informática 2006 (IDC Doc. # 203970, octubre de 2006) fue llevado a cabo por IDC y patrocinado por (ISC)2 con el fin de proporcionar un panorama detallado de las tendencias importantes y las oportunidades dentro de la profesión de seguridad informática. La finalidad del estudio es proporcionar una visión más clara de cómo son remunerados los profesionales, qué opinión tienen sus organizaciones con respecto a la seguridad y cuáles son los siguientes pasos para que sigan evolucionando las carreras y la profesión de la seguridad informática. Para descargar una copia del estudio, visite www.isc2.org/workforcestudy.
Acerca de (ISC)2
International Information Systems Security Certification Consortium ((ISC)2) (Consorcio Internacional de Certificación en Seguridad de los Sistemas de Información) es la principal organización sin fines de lucro que se dedica a certificar a profesionales de la seguridad informática de todo el mundo. Fundado en 1989, (ISC)2 ha certificado a más 45.000 profesionales de seguridad informática en más de 120 países. Con sede en Palm Harbor, Florida, EE.UU., y oficinas en Vienna, Virginia, EE.UU., Londres, Hong-Kong y Tokio, (ISC)2 expide las credenciales de Profesional de Seguridad Certificado en Sistemas de Información (CISSP(R)) y concentraciones relacionadas, Profesional Certificado y Acreditado (CAP(CM)) y Profesional Certificado en Seguridad de Sistemas (SSCP(R)) y concentraciones relacionadas, a aquellas personas que cumplen con los requisitos necesarios de competencia. Las certificaciones CISSP, CISSP-ISSEP(R) y SSCP(R) son las primeras credenciales de informática que cumplen con los requisitos rigurosos de la norma 17024 de ANSI/ISO/IEC, un parámetro global para evaluar y certificar al personal. (ISC)2 también ofrece una cartera de productos y servicios educativos relacionados, basados en CBK(R) de (ISC)2, una taxonomía de temas de seguridad informática, y es responsable del Estudio Global sobre Profesionales de Seguridad Informática (ISC)2. Para obtener más información, visite www.isc2.org.
(C) 2006, (ISC)2 Inc. (ISC)2 , CISSP, ISSEP, SSCP y CBK son marcas registradas de certificación y CAP es una marca de servicio de (ISC)2 Inc.
Nota a los Redactores:
Para solicitar un ejemplar de este estudio, comuníquese con:
Pat Harriman o Mike Kilroy Maples Communications, Inc. (949) 855-3555 pharriman@maples.com mkilroy@maples.com
Maples Communications, Inc. para (ISC)2
Pat Harriman o Mike Kilroy, 949-855-3555
pharriman@maples.com
mkilroy@maples.com
No hay comentarios.:
Publicar un comentario