Me baso en mi trabajo diario. Trabajo en una empresa que maneja datos de varios bancos (el Santander entre ellos), empresas grandes, gente importante directamente, distintos gobiernos y un largo etcetera (por ejemplo, fuimos los que gestionamos la fusión entre Bankia y Caixa, no mi departamento, que es técnico dentro de una empresa que su actividad no es técnica).
La seguridad tiene que ser mayor que en, por ejemplo el Santander de forma individual. Si hay una fuga de información del Santander, los datos que quedan expuestos son los suyos propios. Si la hay en una empresa como la mía, quedan expuestos los datos del Santader, de Caixabank, de Mercadona o de cualquier empresa, persona o gobierno con el que se trabaje.
Aparte de que como ya han dicho varios usuarios, muchas, pero muchas empresas no invierten ni desarrollan lo suficiente en seguridad y sus sistemas no son ni mucho menos los mejores.
De todas maneras, el 90% o mas de las fugas de información, hackeos y demás problemas son provocados por error humano, no por error de los sistemas de seguridad. Los hay mejores y los hay peores, pero se ha llegado ya a un nivel en el que el mas malo que puedas tener (siempre que tengas algo creado para ello, no Panda antivirus) ya es difícil de reventar. Porque aparte de invertir en seguridad, también hay que formar al usuario para que sepa, o al menos intuya, cuando un mail es real y cuando no.
Nosotros hacemos campañas de phising interno regularmente y es alucinante la cantidad de veces que la gente cae como una mosca. Y eso que, si caen, tienen que ir a un curso obligatorio. Pues nada, siguen creyendo que un príncipe nigeriano les va a nombrar herederos, que su hijo ha sido secuestrado y que un alien tiene a su mascota presa…