Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Contenido:
Entrar a la nube Salir de la niebla Monitorear el cmputo mvil Ver a travs de la nube Relacionarse a travs de las redes sociales Controlar las fugas de datos Prepararse para lo peor Ver hacia el futuro Resumen de hallazgos de la encuesta Enfoque de la encuesta Perspectivas relacionadas Acerca de Ernst & Young
C
2 4 6 8 12 14 18 20 24 26 30 32
Bienvenida
La XIV Encuesta Global de Seguridad de la Informacin de Ernst & Young es uno de los ejercicios con mayor tradicin y reconocimiento en su tipo. Desde hace 14 aos ha ayudado a diferentes organizaciones a enfocarse en los riesgos ms crticos, identificar sus fortalezas y debilidades para, en consecuencia, mejorar su seguridad de la informacin. Nuestra encuesta no es solo otro sondeo en lnea que cualquier persona puede contestar. Hemos invitado a CIO, CISO, CFO, CEO y otros ejecutivos de seguridad de la informacin a participar. Este ao recibimos respuestas de casi 1,700 ejecutivos en 52 pases de todos los sectores de la industria. El aumento en el nivel de participacin en nuestra encuesta demuestra que la seguridad de la informacin se mantiene como uno de los temas ms importantes que las organizaciones enfrentan en la actualidad. Estamos en un entorno de cambios sin precedente, con muchos paradigmas de negocio nuevos que son sustentados por las nuevas tecnologas o incluso afectados por nuevas regulaciones. Observamos cmo cada vez ms negocios tradicionales y no tradicionales trasladan no solo informacin, sino modelos de negocio enteros hacia la nube. De esta manera amplan el negocio virtual con un mayor uso de cmputo mvil, redes sociales, infraestructura y servicios de computacin compartidos. Sin embargo, estas nuevas tecnologas no vienen sin riesgos; este informe deber servir como un llamado de atencin para aquellas organizaciones que an no los han reconocido y abordado. Muchos de los participantes en nuestra encuesta revelaron que sus presupuestos de seguridad de la informacin estn aumentando. No obstante, tambin revelaron que existe una brecha creciente entre las necesidades de su negocio y lo que la seguridad de la informacin hace por sus organizaciones. En el caso de Mxico, en varios casos pareciera que vamos detrs de las tendencias que el mundo marca, lo que pudiera significar pasos hacia atrs en un camino que, en los ltimos aos, pareca estar consolidndose. Queda claro que todava existe mucho por hacer para proteger la informacin y administrar el riesgo relacionado con esta, por lo que consideramos que es momento de retomar los principios bsicos y definir una estrategia clara y un programa de mejora que ayude a la seguridad de la informacin en cada organizacin a salir de la niebla. Aprovechamos este espacio para agradecer a todos los participantes de nuestra encuesta por haber aceptado la invitacin para hablar abiertamente y compartir sus puntos de vista con nosotros acerca de la seguridad de la informacin. Tambin invitamos a la comunidad en general a participar en nuestro siguiente ejercicio. Nos gustara hablar personalmente con usted acerca de sus riesgos y retos especficos en materia de seguridad de la informacin. Consideramos que dichas plticas sern de ayuda para abordar sus necesidades y permitirn que usted y su organizacin encuentren una mayor certeza y un mayor valor tanto en la seguridad de la informacin como en su inversin en dicha rea. Carlos Chalico Socio en Asesora
Entrar a la nube
Cada vez ms negocios se trasladan al mundo virtual, sustentados por las nuevas tecnologas e impulsados por una necesidad de reducir costos. Estas organizaciones han emprendido un viaje fascinante hacia la nube, un viaje que prevemos muchas organizaciones ms emprendern.
En este nuevo mundo virtual, la manera en la que se entrega una adecuada seguridad de la informacin se ha modificado drsticamente y se ha convertido en una licencia para operar para muchas organizaciones. Hemos identificado tres tendencias diferentes que juntas han tenido, y seguirn teniendo, un impacto considerable sobre la funcin e importancia de la seguridad de la informacin. En primer lugar, las fronteras fsicas de las organizaciones desaparecen a medida que se transmite ms de su informacin va internet. Empleados, clientes, proveedores y otras partes interesadas pueden tener acceso a estos datos donde y cuando quieran, y la adopcin generalizada de dispositivos mviles acelera esta tendencia. En la encuesta del ao pasado notamos este desarrollo e hicimos referencia a un entorno sin fronteras; sin embargo, esta sigue siendo un rea de preocupacin clave para las organizaciones actuales. Tambin hemos observado que el ritmo del cambio sigue en aceleracin y hemos sido testigos de cmo la tecnologa ha transformado a industrias enteras, desde la automotriz y editorial hasta la industria minorista. El tema aqu es el cambio de lo fsico a lo digital. La digitalizacin est teniendo un efecto profundo sobre los modelos de negocio, en donde las industrias tradicionales son dominadas o completamente reemplazadas por modelos que se basan esencialmente solo en software. Los libros se han convertido en electrnicos, los CD se han transformado en MP3 y los automviles actualmente son operados en gran parte va software. Esto permite ofrecer a los consumidores una entrega inmediata de productos y aumentar su valor. Por ltimo, pero no por ello menos importante, las organizaciones estn cambiando sus contratos de outsourcing tradicionales por contratos con proveedores de servicios en la nube. De hecho, nuestra encuesta global revel que el 57% de los encuestados en Mxico y 61% a nivel global actualmente utiliza, evala o planea utilizar servicios de computacin en la nube dentro de los prximos 12 meses. Lo anterior representa un aumento considerable a nivel global sobre el 45% que se report en 2010; en relacin con lo que se report para Mxico en el mismo ao, representa un aumento de 18% sobre el 39% obtenido. A medida que las organizaciones reconozcan los beneficios de trasladar su negocio hacia la nube y siga aumentando la confianza en dicho modelo de operacin, estas trasladarn las funciones ms crticas y, en ocasiones, toda su infraestructura de TI y plataforma de aplicaciones hacia la nube. De esta forma alterar su esquema de negocios y funciones de TI para siempre. Al entrar a la nube, las organizaciones ahora tendrn la posibilidad de disminuir considerablemente o hasta eliminar sus operaciones de TI.
Mientras las organizaciones se digitalizan, entran a la nube y se convierten en organizaciones sin fronteras, el panorama de riesgos tambin cambia. Los participantes en nuestra encuesta reconocen esta tendencia: el 63% de los encuestados en Mxico y el 72% a nivel global observan un aumento en el nivel de riesgo debido al aumento de amenazas externas. Sin embargo, al mismo tiempo, solo una cuarta parte de los encuestados en Mxico (26%) y el 68% a nivel global han actualizado su estrategia de seguridad de la informacin en los ltimos 12 meses para responder a dicho aumento en las amenazas. Adems, cerca del 50% de las organizaciones tambin ha identificado mayores amenazas dentro de sus propias organizaciones.
Ms del 60% de los encuestados en Mxico reconoce un aumento en el nivel de riesgo debido al incremento en el nmero de amenazas externas
Global
Mxico
La Encuesta de Seguridad y Crimen Computacional del FBI (Federal Bureau of Investigation) y del CSI (Computer Security Institute) del 2001 seal que las prdidas financieras provocadas por crmenes cibernticos ascendieron a ms de 37 millones de dlares para las cerca de 200 organizaciones que participaron en la encuesta. Asimismo, el FBI report que tan solo en el 2011 se recibieron ms de 350,000 reportes de crmenes cibernticos. Esta declaracin debe ser evaluada considerando que la mayora de los crmenes cibernticos no se reportan. De acuerdo con los informes ms recientes de uscollegeresearch.org, aproximadamente el 73% de los usuarios de internet de EE. UU. y 65% de los usuarios globales ha sido vctima de criminales cibernticos hasta junio de 2011.
Salir de la niebla
La seguridad de la informacin es un componente crtico y habilitador clave para lograr una transicin exitosa hacia la nube. Resulta alentador que ms de la mitad de los encuestados (53% en Mxico y 59% a nivel global) pretenden aumentar sus presupuestos de seguridad de la informacin en los prximos 12 meses. Sin embargo, ciertos indicios sealan que es posible que el dinero no se gaste como debiera. Solo el 38% de los encuestados en Mxico y 52% a nivel global menciona que cuenta con una estrategia documentada de seguridad de la informacin. Las tendencias mencionadas anteriormente (eliminacin de fronteras, servicios de TI en la nube y digitalizacin del negocio) vienen acompaadas de retos que requieren una estrategia bien pensada y una respuesta cuidadosamente considerada. Las soluciones ad hoc tal vez resultaron tiles en el pasado, pero no son sustentables en el futuro. Es importante reconocer que el solo hecho de aumentar las inversiones no garantizar la proteccin si no hay un enfoque para llevar a cabo las acciones correctas. Se requiere una respuesta pragmtica y proactiva en lugar de una reactiva. La seguridad de la informacin debe ser un tema con mayor visibilidad en las juntas de consejo, con una estrategia claramente definida que sustentar al negocio en la nube y en otras partes. La encuesta seala que a la mayora de las organizaciones an les queda mucho trabajo por hacer para convertir esto en realidad: menos del 20% de los encuestados expone temas relacionados con la seguridad de la informacin en sus reuniones del consejo (17% en Mxico y 12% a nivel global); la mitad de encuestados en Mxico y 49% a nivel global seal que la funcin de la seguridad de la informacin en su empresa es cumplir con las necesidades de la organizacin. Tambin resulta clave la percepcin externa y reputacin de la postura que tiene una organizacin en torno a la seguridad de la informacin ya que, a menos que las compaas cuenten con una ptima reputacin por qu deberan sus clientes confiarles su informacin y, a final de cuentas, su negocio?
En trminos absolutos, cul de los siguientes puntos describe el presupuesto total planeado de seguridad de la informacin de su organizacin para los prximos 12 meses?
Aumentar 53% 59%
Permanecer igual
35% 43%
Disminuir 3%
6%
Global
Mxico
Hasta que la seguridad de la informacin se convierta en un aspecto integral de la entrega de servicios y productos y parte de los aspectos analizados por la administracin de manera cotidiana, esta no ser vista como un habilitador estratgico para mejorar el desempeo del negocio. En lo que resta del informe, analizamos ms de cerca la forma en que las organizaciones abordan sus necesidades de seguridad de la informacin en el entorno actual. Tambin analizamos las posibles oportunidades de mejora e identificamos las tendencias importantes de corto y largo plazo que le darn forma a la seguridad de la informacin en los prximos aos.
En Mxico, el 50% de los encuestados seal que la funcin de seguridad de la informacin es cumplir con las necesidades de la organizacin
No, debido principalmente a restricciones en el presupuesto No, debido principalmente a la falta de apoyo directivo No contest
Nuestra perspectiva
Hablar del tema de seguridad de la informacin en las juntas de consejo, hacindolo ms visible y con una estrategia claramente definida que proteger al negocio, que agregar a su vez mayor valor mediante una alineacin ms estrecha con las necesidades del negocio. Hacer que la seguridad de la informacin sea una parte integral de la entrega de servicios y productos y en los aspectos diarios de todos. Enfocar la seguridad de informacin en proteger lo ms importante, como la informacin del cliente y la propiedad intelectual. Si esta es inadecuada y no sirve para mejorar su marca, por qu los clientes habran de tenerle confianza como negocio?
Cada vez ms organizaciones brindan soporte para los dispositivos propiedad de los empleados en lugar de proporcionar dispositivos con un sistema preconfigurado. Con este cambio en la propiedad, las organizaciones renuncian a cierto control en cuanto a limitar el apoyo a una sola estructura de software constante, debido a que no tienen el derecho legal de obligar a los empleados a adoptar la paquetera de la organizacin. Adems, da pie a la posibilidad de que los empleados, de forma consciente o inconsciente, le hagan cambios al dispositivo mvil, con lo que disminuir la seguridad de este. Por ejemplo, los usuarios podran instalar un servidor administrativo remoto que podra ser otra interfaz susceptible a un ataque, o podran comprometer la integridad subyacente del sistema operativo a travs de procesos como el desbloqueo (jailbreaking).
6
El 56% de los encuestados en Mxico ha hecho cambios a su poltica para mitigar los riesgos relacionados con el cmputo mvil
Cul de los siguientes controles ha implementado para mitigar los nuevos o mayores riesgos relacionados con el uso de cmputo mvil (por ejemplo, computadoras tablet)?
Ajustes en la poltica Ms actividades de concientizacin en materia de seguridad Tcnicas de encripcin Permitir el uso de tablets y smartphones propiedad de la compaa Cambios de arquitectura Nuevo software de administracin de dispositivos mviles Mayor capacidad de auditora Ajuste en gestin de procesos incidentes Nuevos procesos disciplinarios Ninguno No permitir el uso de tablets y smartphones para uso profesional No contest 0% 2% 7% 7% 13% 21% 11% 19% 35% 23% 30% 31% 28% 27% 23% 26% 30% 57% 56% 52% 49% 47%
Nuestra perspectiva
Establecer polticas y una gua para el uso tanto de dispositivos mviles como sus productos de software de seguridad relacionados. Utilizar el cifrado como un control fundamental. Como menos de la mitad de los encuestados lo utilizan, las organizaciones deben considerar adoptar el cifrado. Realizar pruebas de ataque y penetracin en las aplicaciones para dispositivos mviles antes de utilizarlos para disminuir el riesgo de exposicin de la organizacin.
Global
Mxico
7
El 61% de los encuestados a nivel global actualmente utiliza, evala o planea utilizar servicios de cmputo en la nube dentro del prximo ao. Para el caso de Mxico esta cifra se reduce a 57%
A medida que el cmputo en la nube evoluciona, los compradores de servicios de nube tambin lo hacen. Los expertos y profesionales de negocios han reconocido la velocidad y eficiencias que trae consigo el hecho de adoptar esta tecnologa. Las organizaciones que no estn interesadas en formar parte del negocio de TI han reconocido el enorme valor de poder enfocarse en sus competencias de negocio clave y de permanecer nicamente como usuarios de los servicios de TI. Los modelos de TI tradicionales requeran que se erigieran infraestructuras gigantescas y arquitecturas de aplicaciones complejas solo para poder correr nuestros procesos de negocio ms bsicos. El cmputo en la nube ha provocado el surgimiento de un nuevo tipo de usuarios de negocio: consumidores sofisticados que pueden elegir qu servicios consumir y combinarlos con la misma facilidad con la que se ordena de un men. A pesar de las historias convincentes en torno a la adopcin de la nube, muchas organizaciones an no conocen sus implicaciones y trabajan para entender mejor el impacto y los riesgos. De 16 reas de seguridad de la informacin, el cmputo en la nube ocupa el segundo lugar entre todas las dems categoras de las reas que probablemente recibirn ms, y no menos, inversin en comparacin con el ao anterior. A cambio de aplicaciones altamente configurables, de rpida implementacin y administradas externamente, las organizaciones ceden en temas de riesgos (se den cuenta o no). Los organismos gubernamentales, como auditora y cumplimiento, consideran que estos intercambios son peligrosos debido a la falta de conocimientos o experiencias por parte de algunas de las personas que toman dichas decisiones arriesgadas. Sin importar si nos damos cuenta o no, el deseo de contar con servicios de nube externos ha aumentado la dependencia sobre terceros y ha afectado la visin del funcionamiento interno de las aplicaciones clave del negocio. A medida que las organizaciones se vean restringidas por su proveedor de nube, tambin enfrentan riesgos de cumplimiento, riesgos legales de contratacin y riesgos de integracin. El integrarse a la nube no es un programa de cambio ms; es una transicin completa de los procesos de negocio, incluidos los riesgos relacionados.
Mxico
No, y no estaba planeado para los siguientes 12 meses S, ya estn en uso 17% 7% 16% 11% 24% 21% 41% 61%
Global
39% 55% 36% 23% 9% 7% 16% 15%
No, pero su uso est planeado para los prximos 12 meses No contest
Muestra: porcentaje de encuestados (XIII GISS y XIV GISS)
1% XIII XIV
Ernst & Young
XIII
XIV
Categora
Cumplimiento y privacidad
La razn por la que las organizaciones necesitan entender a su proveedor de nube externo
Contrato y legal
La mayora de los encuestados (43% en Mxico y 80% a nivel global) que utiliza servicios de cmputo en la nube emplea servicios de Software como Servicio (SaaS, por sus siglas en ingls). Sin embargo, para complicar ms las cosas, aunque muchas personas piensan que estn adquiriendo SaaS, este podra provenir de un proveedor de nube que utiliza habilidades de Plataforma como Servicio (PaaS, por sus siglas en ingls) de otro proveedor de nube que adquiri su infraestructura de un proveedor de Infraestructura como Servicio (IaaS, por sus siglas en ingls) que renta un espacio en un centro de datos compartidos. En trminos sencillos, es similar al carro de un fabricante que le subcontrat su produccin de motores a una organizacin que, a su vez, le subcontrat su funcin de fundicin de acero a otro proveedor. Las divisiones entre los proveedores estn desapareciendo, y en un mundo en donde la informacin fluye libremente de proveedor a proveedor, la confianza se vuelve un bien valioso. Por lo tanto, es importante fomentar relaciones de confianza con los proveedores de servicios de nube para poder tener la seguridad de que los procesos que utilizan para administrar los negocios y datos son confiables.
Integracin e interoperabilidad
Cul de los siguientes controles ha implementado para mitigar los nuevos o mayores riesgos relacionados con el uso de cmputo en la nube?
Ninguno Una mayor supervisin del proceso de gestin de contratos de los proveedores de servicios de la nube Una mayor agilidad de respuesta de los proveedores del servicio Controles ms robustos de administracin de acceso e identidad Tcnicas de encripcin Inspeccin de las instalaciones por su propio equipo de seguridad/riesgos de TI Ms actividades de auditora al proveedor de servicio en nube Incrementar la confianza mediante la certificacin de los servicios de la nube por parte de terceros Contratar a un tercero para control de pruebas en la nube Establecer una mayor responsabilidad para los proveedores de servicios en nube en los contratos Ajuste de procesos para gestin de incidentes Sanciones econmicas en caso de brechas de seguridad No contest 0% 3% 22% 15% 21% 15% 19% 21% 18% 19% 16% 17% 15% 15% 13% 12% 13% 13% 11% 10% 11% 12% 8% 7% 52% 50%
Global Mxico
El 50% de los encuestados en Mxico considera que la certificacin externa aumentara su confianza en el cmputo en la nube
Nuestra perspectiva
Escoger la verificacin por encima de la confianza. Entender quin es el responsable de los riesgos antes de celebrar un acuerdo de nube. Planear para tener continuidad y elegir proveedores que son transparentes acerca de la resistencia en la generacin de respaldos y las pruebas de recuperacin. Utilizar los procesos y tcnicas de seguridad estndares que han funcionado eficazmente para otras tecnologas en el pasado. Alienar su estrategia de negocios y de seguridad de la informacin, y evaluar continuamente los riesgos para cumplir con los reglamentos y normas de la industria.
La certificacin externa de los proveedores de servicios de nube aumentara su confianza en el cmputo en la nube? (Escoja una opcin)
S, pero solo si este certificado est basado en una norma acordada S, pero solo el organismo que certifica puede demostrar la certificacin S, en cualquiera de los casos 11% 14% 0% 36% Global Mxico 45% 21% 24% 7% 20% 22%
No
No contest
Cules de los siguientes controles ha implementado para mitigar nuevos riesgos o incremento de estos en cuanto al uso de redes sociales?
53% 56%
Ajuste de polticas
46% 55%
Monitoreo de internet
Ninguno
12% 21%
11% 10%
No contest
Global
Mxico
Nuestra encuesta revela que una parte considerable de los participantes reconocen los riesgos: el 44% de los encuestados en Mxico y el 40% a nivel global calific los asuntos relacionados con redes sociales como desafiantes o considerablemente desafiantes. 63% de los encuestados en Mxico y 72% a nivel global mencion que los ataques maliciosos externos representaban su principal riesgo. Estos ataques podran haber sido impulsados por la informacin obtenida a travs del uso de las redes sociales que fueron utilizadas para enviar mensajes de phishing dirigidos a personas especficas. Para poder abordar los posibles riesgos relacionados con las redes sociales, las organizaciones parecen adoptar una respuesta radical. Ms de la mitad (56% para el caso de Mxico y 53% a nivel global) ha respondido bloqueando o limitando el acceso a los sitios en lugar de aceptar el cambio y adoptar medidas a nivel empresarial. Aunque esta accin podr resultar eficaz en algunas situaciones, la facilidad de acceso por medio de dispositivos mviles (particulares) permite que las personas tengan ingreso directo a las redes sociales durante horarios de oficina. Por lo tanto, bloquear o limitar los sitios de redes sociales nunca ser una medida completamente eficaz.
44% de los encuestados en Mxico calific los asuntos relacionados con redes sociales como desafiantes
Nuestra perspectiva
Reconsiderar (en su caso) el uso de polticas estrictas de no acceso/no uso para los sitios de redes sociales. Esta respuesta, aunque quiz aborda las amenazas externas al hardware y software interno, no abarca en su totalidad la adopcin personal generalizada del uso de redes sociales y la integracin indirecta al uso de los negocios a travs de otros canales, como los dispositivos mviles. Las organizaciones podrn considerar monitorear el uso de dichos sitios por parte de sus empleados sin llegar a restringir el acceso. Comprender todas las ventajas de las redes sociales. La falta de una poltica integrada de seguridad de la informacin para el acceso y uso de las redes sociales no permite que las organizaciones se mantengan a la par de sus competidores, y podra crear un sentimiento de desconfianza entre los empleados. Considerar realizar pruebas y utilizar soluciones tcnicas que tambin refuerzan la postura de seguridad esbozada en su poltica de redes sociales. Realizar sus propios estudios para entender mejor lo que los posibles atacantes podran encontrar en las redes sociales.
13
El 65% de los encuestados en Mxico no ha implementado herramientas de prevencin de prdida de datos (DLP, por sus siglas en ingls)
El conocimiento es poder y la informacin que proviene de los datos es el activo ms valioso de cualquier organizacin. Recientemente, ha habido varios casos notorios de fuga de datos que han colocado este tema bajo el escrutinio pblico. Con los nuevos entornos operativos sin fronteras y el aumento en la adopcin de la nube, el riesgo de la prdida de datos crece rpidamente. La mayor cantidad de informacin que se transporta a travs de los dispositivos mviles aumenta el riesgo de que terceros no autorizados obtengan acceso a datos sensibles. Pero la prdida de datos no solo se limita al riesgo de la prdida fsica de dispositivos como computadoras tablet, telfonos mviles o laptops. Muchos incidentes tambin se atribuyen a revelaciones accidentales por transmisiones electrnicas. En la mayora de los casos, los empleados no conocen los riesgos asociados con enviar datos sensibles a travs de correos electrnicos no cifrados, mensajes instantneos, webmail y herramientas de transferencia de archivos. La incorporacin de productos tecnolgicos amigables para el usuario y el acceso a los datos se ha vuelto tan entrelazado que es relativamente fcil difundir datos de forma no intencional. Los agujeros por donde pueden fugarse los datos, que ya son grandes debido a las tecnologas y plataformas en expansin, se crecen ms por el uso de sistemas descentralizados y herramientas de colaboracin de trabajo, lo cual dificulta an ms que las organizaciones rastreen y controlen la informacin en el negocio. Dentro de los esfuerzos por controlar los datos, otra complicacin es la disponibilidad de dispositivos de almacenamiento cada vez ms econmicos. Varios gigabytes de datos pueden salir literalmente caminando por la puerta en el llavero de un empleado o en un smartphone, o pueden ser interceptados cuando son enviados a travs de proveedores de servicios de nube y almacenamiento de bajo costo o gratuitos. Recuerde que en el caso de datos personales, la LFPDPPP en Mxico exige la notificacin de vulneraciones a los titulares.
La implementacin se ha realizado sin contratiempos y de acuerdo con el calendario previsto La implementacin ha tomado ms tiempo del esperado Los usuarios han estado molestos con el impacto en sus rutinas diarias Nuestras implementaciones no han sido tan exitosas como esperabamos
Muestra: porcentaje de encuestados 14
Mxico
Sin embargo, se reconoce ampliamente que las tecnologas y procesos de DLP son una de las prioridades principales de la administracin y ocupan el segundo lugar en la lista de reas prioritarias de asignacin de presupuesto. A nivel global, ms de la mitad (51%) de las organizaciones pretende gastar ms en esfuerzos de DLP de lo que lo hicieron en 2011. Para el caso de Mxico, este porcentaje representa el 41%. En cuanto a las acciones tomadas para controlar la fuga de informacin sensible, el 62% de las organizaciones en Mxico y el 74% a nivel global ha definido una poltica especfica en cuanto a la clasificacin y el manejo de dichos datos. El 60% en Mxico y casi el 70% a nivel global ha llevado a cabo programas de concienciacin para empleados. El 60% a nivel global y 34% de las organizaciones en Mxico ha implementado mecanismos de seguridad adicionales como el cifrado para proteger la informacin. Los enfoques de registro y monitoreo incluyen la deteccin de casos de intrusin en redes y la segmentacin de estas, dos de las medidas ms populares que se implementan para prevenir, detectar o reaccionar ante ataques externos. Adems, el 64% de las organizaciones en Mxico y 75% en el mundo llevar a cabo evaluaciones de ataques y penetracin desde redes externas durante el prximo ao, y el 58% en Mxico y 73% en el mundo pretende realizar un escaneo de vulnerabilidades a nivel de la red externa.
62% de los encuestados en Mxico ha definido una poltica para la clasificacin y el manejo de los datos sensibles como una medida de control para el riesgo de fuga de datos
74% 62% 69% 60% 60% 34% 45% 35% 45% 29% 43%
Cul de las siguientes acciones ha tomado su organizacin para controlar la fuga de informacin sensible?
Definicin de una politica especifica en cuanto a la clasificacin y manejo de informacin sensible Programas de concientizacin de usuarios Implementacin de mecanismos de seguridad adicionales para proteger la informacin (ej. encripcin) Uso de auditoras internas para probar controles Bloqueo/restriccin de uso de ciertos componentes de hardware (ej. puertos USB, puertos Firewire) Definicin de requerimientos especificos para trabajar a distancia en relacin con la proteccin de la informacin que es extrada de la ... Implementacin de herramientas de revisin de bitcoras Implementacin de herramientas de DLP (McAfee, Symantec, Verdasys, etc.) Restriccin o prohibicin de mensajera instantnea o uso de correo para enviar datos sensitivos Prohibicin de uso de cmaras fotogrficas dentro de reas sensitivas o restringidas Acceso restringido a informacin sensitiva por periodos de tiempo especfico No contest Muestra: porcentaje de encuestados 0% 2% 24% 21% 15% 28%
Global
Mxico
15
16
17
Cul de las siguientes reas de seguridad de la informacin recibir ms inversin durante los prximos 12 meses? Mxico
Planes de continuidad del negocio y recuperacin en caso de desastres Procesos y tecnologas de prevencin de fugas y datos Implementacin de estndares de seguridad (ej. ISO/IEC 27002-2005) Monitoreo del cumplimiento (a polticas y estndares internos y externos) Asegurar nuevas tecnologas (ej. cmputo en la nube, virtualizacin, cmputo mvil) Administracin de riesgos de seguridad de la informacin
12% 10% 7%
13% 5% 6%
5% 7%
6%
15%
6% 5% 6% 6% 9%
Global
Planes de continuidad del negocio y recuperacin en casos de desatres Procesos y tecnologas de prevencin de fuga de datos y prdida de datos Monitoreo del cumplimiento (a polticas y estndares internos y externos) Procesos y tecnologas de administracin de acceso e identidades Asegurar nuevas tecnologas (ej. cmputo en la nube, virtualizacin, cmputo mvil) Administracin de riesgos de seguridad de la informacin
Prioridad 1 Prioridad 2 Prioridad 3 13% 10% 9% 6% 5% 8% 8% 36% 15% 11% 12% 9% 10% 8% 9% 9% 9% 10% 7% 8% 8% 8% 11% 6% 7% 6% 7% 8% 7% 6%
Prioridad 4
Prioridad 5
18
Al mismo tiempo, algunas organizaciones an no estn preparadas: el 34% en Mxico y el 18% a nivel global seal que no cuenta con programas de BCM, y solo el 29% en Mxico y el 56% a nivel global contest que la administracin haba autorizado las actividades de BCM. Aun cuando se lleva a cabo, la planeacin del BCM carece de madurez en muchas organizaciones, lo cual significa que posiblemente no funcione cuando ms se necesite. A pesar de que la continuidad del negocio es la prioridad principal de inversin, muchos encuestados reportan tener una BCM parcial, en donde una minora considerable a nivel global (45%) de las organizaciones no cuenta con procedimientos para responder ante casos de crisis, no tiene procedimientos para proteger al personal o no cuenta con planes que abarquen todos los procesos crticos de negocio. Para el caso de Mxico estas afirmaciones representan el 73%, 74% y 71% respectivamente. Adems, dada la importancia de la infraestructura de tecnologa de informacin y comunicaciones (ICT, por sus siglas en ingls) para las organizaciones, es notable que el 45% a nivel global y 74% en Mxico sealara que carece de procedimientos para asegurar que podr seguir trabajando durante un desastre. Es evidente que a muchas organizaciones an les queda mucho por hacer antes de estar seguros de que realmente cuentan con un plan para los peores escenarios. Desde una perspectiva de estrategia, gobierno y control, mientras que el 67% de encuestados a nivel global y 35% en Mxico prueba sus planes de continuidad con regularidad, solo el 48% de las organizaciones a nivel global y 16% en Mxico tienen recursos adecuados para sustentar sus habilidades de BCM. Adems, ms de una tercera parte de las organizaciones a nivel global (36%) y el 7% en Mxico han utilizado la tecnologa como un mecanismo para comunicarse durante incidentes, o utiliza herramientas para administrar los datos de BCM (28% a nivel global y 10% en Mxico).
Por segundo ao consecutivo, los encuestados sealaron que la continuidad del negocio es su prioridad principal de inversin
Nuestra perspectiva
Prepararse y asegurar aquellos planes de continuidad del negocio que anticipan los eventos de alto impacto y frecuencia baja, as como determinar cules se integran en un marco de administracin de riesgos ms amplio enfocado en proteger a la organizacin de las prdidas catastrficas. Evaluar si el plan de continuidad del negocio cuenta con el nivel adecuado de madurez a la luz de las tendencias emergentes y nuevas tecnologas. Probar el plan de continuidad del negocio con frecuencia para validar la resistencia de su negocio en la prctica. Entre ms complejos sean los escenarios sometidos a pruebas, mejor cobertura tendr la prueba. Solicitar el apoyo del consejo y del comit de auditora para sus programas de continuidad del negocio.
19
Cul de las siguientes afirmaciones aplica para la estrategia y programa de administracin de la continuidad del negocio de su organizacin?
Nuestro BMC est aprobado por la direccin Contamos con procedimientos para habilitar la continuidad de la infraestructura ICT (ej. plan de recuperacin ante desastres ICT) Contamos con procedimientos para habilitar la continuidad de los procesos crticos del negocio Contamos con procedimientos establecidos para proteger a nuestra gente ( ej. planes de evaluacin, plan de respuesta ante pandemias Contamos con procedimientos establecidos de administracin de crisis e incidentes Nuestro programa BCM cubre todos los procedimientos criticos del negocio Hemos identificado el tiempo de recuperacin requerido para los recursos crticos del negocio (ej. a travs de un anlisis de impacto...) Continuamente mejoramos nuestro BCM Nuestro programa BCM est bien documentado e incluye polticas, procesos, roles y responsabilidades Continuamente identificamos y evaluamos las amenazas y riesgos de continuidad del negocio Hemos establecido relaciones con los grupos de emergencia locales (ej. bomberos, polica, equipos de emergencias mdicas Continuamente monitoreamos y reportamos los riesgos, problemas, estatus, e iniciativas relacionadas con nuestro BCM No tenemos un programa BCM Muestra: porcentaje de encuestados 17% 20% 21% 38% 16% 14% 18% 33% 56% 29% 55% 26% 29% 26% 55% 27% 53% 36% 49% 23% 49% 47% 39% 55% 55%
34%
Global
Mxico
Su organizacin cuenta con una estrategia documentada para la seguridad de la informacin para los prximos uno a tres aos?
Global
No S No respondi No
Mxico
S No respondi 1%
20
Cul de los siguientes enunciados describe mejor a la estrategia de seguridad de la informacin de su organizacin en relacin con el panorama de riesgos actual?
Nuestra estrategia actual de seguridad de la informacin aborda los riesgos adecuadamente Necesitamos modificar nuestra estrategia para abordar los nuevos riesgos Necesitamos investigar para poder entender los nuevos riesgos No consideramos que haya nuevos o mayores riesgos relacionados con estas tecnologas No contest 43% 19% 33% 23% 23% 5% 1% 1%
52%
Global
Mxico
56% de los encuestados a nivel global seal que su estrategia actual de seguridad de la informacin necesita ser modificada o requiere una investigacin adicional
El dueo de un prspero sitio de internet experiment un ataque de Denegacin de Servicio (DoS, por sus siglas en ingls), en donde el sitio se cay durante una hora. La falta de una actividad comercial continua le ocasion daos y provoc que clientes preocupados le enviaran correos electrnicos para preguntarle cul era el problema. Le lleg otro correo electrnico de una organizacin de seguridad preocupada. Dicha empresa detect que su sitio se cay durante una hora, pero ofreci una solucin para su vulnerabilidad. A cambio de una tarifa no tan pequea como pago nico, garantiz que el sitio no sufrira otro ataque de DoS. Tambin mencion que si no pagaba, el da de maana se iba a caer el sitio por dos horas, el da siguiente por cuatro horas, y que el precio para arreglar el problema aumentara cada vez ms.
21
No respondi
Global
Mxico
22
S, contamos con un programa de administracin de riesgos de TI que ha existido por menos de tres aos S, contamos con un programa bien establecido de administracin de riesgos de TI que ha existido por ms de tres aos
87% de los encuestados en Mxico seal que cuenta con un programa de administracin de riesgos de TI o considera implementarlo dentro del prximo ao
16% 12%
No contest
Muestra: porcentaje de encuestados
1% Global Mxico
Nuestra perspectiva
Revisar su estrategia de seguridad de la informacin para adecuarla al panorama de riesgos actual. En lugar de adquirir las herramientas ms recientes, concentrarse en lo fundamental. Implementar un enfoque estructurado y pragmtico en la administracin de los riesgos de TI para asegurar que aborde los riesgos importantes. Consideramos que un enfoque de administracin de riesgos de TI o de gobierno, riesgo y cumplimiento (GRC, por sus siglas en ingls) es una inversin futura clave para muchas organizaciones. Abordar el universo entero de riesgos de TI en su programa de riesgos de TI o de GRC, el cual abarca ms que solo la seguridad de la informacin.
23
24
Resumen El 63% de los encuestados en Mxico y 72% a nivel global observa un aumento en el nivel de riesgo debido a mayores amenazas externas. El 50% de los encuestados en Mxico y 49% a nivel global seal que la funcin de seguridad de la informacin es cumplir con las necesidades de la organizacin.
Prevencin de la prdida de datos El 65% de los encuestados en Mxico y 66% a nivel global no ha implementado herramientas de prevencin de prdida de datos. El 62% de los encuestados en Mxico y 74% a nivel global ha definido una poltica para la clasificacin y el manejo de los datos sensibles como una medida de control para el riesgo de fuga de datos.
Cmputo mvil El 76% de los encuestados en Mxico y 80% a nivel global pretende adoptar, evala o actualmente utiliza las tablet PC. El 56% de los encuestados en Mxico y 57% a nivel global ha hecho cambios a su poltica para mitigar los riesgos relacionados con los riesgos de cmputo mvil.
Administracin de la continuidad del negocio Por segundo ao consecutivo los encuestados sealaron que la continuidad del negocio es su prioridad principal de inversin.
Administracin de Riesgos de TI El 56% de los encuestados a nivel global indic que su estrategia actual de seguridad de la informacin necesita modificarse o requiere investigacin adicional. Para el caso de Mxico este dato representa el 28%. El 36% de los encuestados en Mxico y 31% a nivel global dijo que su organizacin recientemente adquiri soluciones de seguridad de la informacin que consideran que fallaron o no cumplieron adecuadamente. El 88% de los encuestados en Mxico y 84% a nivel global mencion que cuenta con un programa de administracin de riesgos de TI o considera implementar uno en los prximos 12 meses.
Cmputo en la nube El 57% de los encuestados en Mxico y 61% a nivel global actualmente utiliza, evala o planea utilizar servicios de cmputo en la nube dentro del prximo ao. Casi el 90% de los encuestados considera que la certificacin externa aumentara su confianza en el cmputo en la nube. nicamente 50% de los encuestados en Mxico opina de forma similar.
Redes sociales El 44% de los encuestados en Mxico y casi el 40% a nivel global calific los asuntos relacionados con redes sociales como desafiantes. Ms de la mitad de los encuestados (56% para el caso de Mxico y 53% a nivel global) ha bloqueado o limitado el acceso a los sitios de redes sociales como un control para mitigar los riesgos relacionados con estas.
25
Enfoque de la encuesta
La XIV Encuesta Global de Seguridad de la Informacin de Ernst & Young fue creada con la ayuda de nuestros clientes de Aseguramiento y Asesora de Negocios. La encuesta de este ao se llev a cabo entre junio y agosto de 2011. Participaron cerca de 1,700 organizaciones de las industrias ms importantes en 52 pases.
7% 29%
Metodologa
20%
Amricas EMEIA
Nuestra encuesta no es solo otro sondeo en lnea que cualquier persona puede contestar. Invitamos a participar a los CIO, CISO y otros profesionales y ejecutivos de seguridad de la informacin. El cuestionario se reparti a profesionales especficos de Ernst & Young de cada pas, junto con instrucciones para una administracin congruente del proceso de la encuesta. La mayora de las respuestas de la encuesta se recopilaron durante entrevistas en persona. Cuando esto no fue posible, el cuestionario se realiz en lnea. Si desea participar en la XV Encuesta Global de Seguridad de la Informacin de 2012 de Ernst & Young, contacte a su oficina local de Ernst & Young o ingrese a www.ey.com y llene una breve solicitud.
Japn 44%
26
27
Enfoque de la encuesta
Encuestados por industria
Ejecutivo de tecnologa de la informacin Oficial de la informacin Ejecutivo de seguridad de la informacin Oficial de seguridad de la informacin Oficial de seguridad Director/Gerente de auditora interna Oficial de tecnologa Administrador de red/sistema Ejecutivo/Vicepresidente de la unidad de negocios Oficial de operaciones Oficial de riesgo Oficial de finanzas Oficial de cumplimiento Otro
Muestra: nmero de encuestados
28
Menos de 100 millones de USD USD mil millones - USD 9.9 mil millones USD 100 millones - USD 249 millones USD 250 millones - USD 499 millones USD 500 millones - USD 999 millones No aplica (sin fines de lucro, gobierno, etc.) USD 10 millones - USD 3.9 mil millones Ms de USD 24 mil millones 165 163 120 98 94 221
418 404
29
Perspectivas relacionadas
Liderazgo intelectual en ey.com/mx/publicaciones
30
31
32
Contactos
Carlos Chalico LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDA Socio en Asesora de Negocios carlos.chalico@mx.ey.com Tel. +52 (55) 1101 6414 Eliud Elizondo Gerente en Asesora de Negocios eliud.elizondo@mx.ey.com Tel. +52 (81) 8152 1844
33
Ernst & Young Aseguramiento | Asesora de Negocios | Fiscal-Legal | Fusiones y Adquisiciones Acerca de Ernst & Young Ernst & Young es un lder global en servicios de aseguramiento, asesora de negocios, servicios fiscales, legales y transaccionales. A nivel mundial, nuestros 152,000 profesionales estn unidos por los mismos valores y un compromiso slido hacia la calidad. Marcamos la diferencia al ayudar a nuestra gente, clientes y comunidades a lograr su potencial. Para obtener ms informacin acerca de nuestra organizacin, por favor visite el sitio www.ey.com. Acerca de los Servicios de Asesora de Ernst & Young La relacin entre la mejora en el desempeo y los riesgos es un reto cada vez ms complejo y primordial para los negocios, ya que su desempeo est directamente relacionado con el reconocimiento y manejo eficaz del riesgo. Ya sea que su enfoque sea en la transformacin del negocio o en mantener los logros, contar con los asesores adecuados puede marcar la diferencia. Nuestros 25,000 profesionales en asesora forman una de las redes globales ms extensas de cualquier organizacin profesional, la cual integra a equipos multidisciplinarios y experimentados que trabajan con nuestros clientes para brindarles una experiencia poderosa y de gran calidad. Utilizamos metodologas comprobadas e integrales para ayudarles a alcanzar sus prioridades estratgicas y a efectuar mejoras que sean sostenibles durante un mayor plazo. Entendemos que para alcanzar su potencial como organizacin requiere de servicios que respondan a sus necesidades especficas; por lo tanto, le ofrecemos una amplia experiencia en el sector y profundo conocimiento sobre el tema para aplicarlos de manera proactiva y objetiva. Nos comprometemos a medir las ganancias e identificar en dnde la estrategia est proporcionando el valor que su negocio necesita. As es como Ernst & Young marca la diferencia. 2012 EYGM Limited. Todos los Derechos Reservados. CLAVE: SDN001
De acuerdo con el compromiso de Ernst and Young de minimizar su impacto en el medio ambiente, este documento se imprimi en papel con un alto contenido reciclable. Esta publicacin contiene informacin en forma de resumen y, por lo tanto, su uso es slo para orientacin general. No debe considerarse como sustituto de la investigacin detallada o del ejercicio de un criterio profesional. Ni EYGM Limited, ni ningn otro miembro de la organizacin global de Ernst & Young acepta responsabilidad alguna por la prdida ocasionada a cualquier persona que acte o deje de actuar como resultado de algn material en esta publicacin. Para cualquier asunto en particular, deber consultar al asesor apropiado. www.ey.com/informationsecurity