Perspectivas sobre los riesgos de TI Informe de negocios

Salir de la niebla para entrar a la nube

XIV Encuesta Global de Seguridad de la Informacin

Contenido:
Entrar a la nube Salir de la niebla Monitorear el cmputo mvil Ver a travs de la nube Relacionarse a travs de las redes sociales Controlar las fugas de datos Prepararse para lo peor Ver hacia el futuro Resumen de hallazgos de la encuesta Enfoque de la encuesta Perspectivas relacionadas Acerca de Ernst & Young

C
2 4 6 8 12 14 18 20 24 26 30 32

Bienvenida
La XIV Encuesta Global de Seguridad de la Informacin de Ernst & Young es uno de los ejercicios con mayor tradicin y reconocimiento en su tipo. Desde hace 14 aos ha ayudado a diferentes organizaciones a enfocarse en los riesgos ms crticos, identificar sus fortalezas y debilidades para, en consecuencia, mejorar su seguridad de la informacin. Nuestra encuesta no es solo otro sondeo en lnea que cualquier persona puede contestar. Hemos invitado a CIO, CISO, CFO, CEO y otros ejecutivos de seguridad de la informacin a participar. Este ao recibimos respuestas de casi 1,700 ejecutivos en 52 pases de todos los sectores de la industria. El aumento en el nivel de participacin en nuestra encuesta demuestra que la seguridad de la informacin se mantiene como uno de los temas ms importantes que las organizaciones enfrentan en la actualidad. Estamos en un entorno de cambios sin precedente, con muchos paradigmas de negocio nuevos que son sustentados por las nuevas tecnologas o incluso afectados por nuevas regulaciones. Observamos cmo cada vez ms negocios tradicionales y no tradicionales trasladan no solo informacin, sino modelos de negocio enteros hacia la nube. De esta manera amplan el negocio virtual con un mayor uso de cmputo mvil, redes sociales, infraestructura y servicios de computacin compartidos. Sin embargo, estas nuevas tecnologas no vienen sin riesgos; este informe deber servir como un llamado de atencin para aquellas organizaciones que an no los han reconocido y abordado. Muchos de los participantes en nuestra encuesta revelaron que sus presupuestos de seguridad de la informacin estn aumentando. No obstante, tambin revelaron que existe una brecha creciente entre las necesidades de su negocio y lo que la seguridad de la informacin hace por sus organizaciones. En el caso de Mxico, en varios casos pareciera que vamos detrs de las tendencias que el mundo marca, lo que pudiera significar pasos hacia atrs en un camino que, en los ltimos aos, pareca estar consolidndose. Queda claro que todava existe mucho por hacer para proteger la informacin y administrar el riesgo relacionado con esta, por lo que consideramos que es momento de retomar los principios bsicos y definir una estrategia clara y un programa de mejora que ayude a la seguridad de la informacin en cada organizacin a salir de la niebla. Aprovechamos este espacio para agradecer a todos los participantes de nuestra encuesta por haber aceptado la invitacin para hablar abiertamente y compartir sus puntos de vista con nosotros acerca de la seguridad de la informacin. Tambin invitamos a la comunidad en general a participar en nuestro siguiente ejercicio. Nos gustara hablar personalmente con usted acerca de sus riesgos y retos especficos en materia de seguridad de la informacin. Consideramos que dichas plticas sern de ayuda para abordar sus necesidades y permitirn que usted y su organizacin encuentren una mayor certeza y un mayor valor tanto en la seguridad de la informacin como en su inversin en dicha rea. Carlos Chalico Socio en Asesora

XIV Encuesta Global de Seguridad de la Informacin

Entrar a la nube
Cada vez ms negocios se trasladan al mundo virtual, sustentados por las nuevas tecnologas e impulsados por una necesidad de reducir costos. Estas organizaciones han emprendido un viaje fascinante hacia la nube, un viaje que prevemos muchas organizaciones ms emprendern.
En este nuevo mundo virtual, la manera en la que se entrega una adecuada seguridad de la informacin se ha modificado drsticamente y se ha convertido en una licencia para operar para muchas organizaciones. Hemos identificado tres tendencias diferentes que juntas han tenido, y seguirn teniendo, un impacto considerable sobre la funcin e importancia de la seguridad de la informacin. En primer lugar, las fronteras fsicas de las organizaciones desaparecen a medida que se transmite ms de su informacin va internet. Empleados, clientes, proveedores y otras partes interesadas pueden tener acceso a estos datos donde y cuando quieran, y la adopcin generalizada de dispositivos mviles acelera esta tendencia. En la encuesta del ao pasado notamos este desarrollo e hicimos referencia a un entorno sin fronteras; sin embargo, esta sigue siendo un rea de preocupacin clave para las organizaciones actuales. Tambin hemos observado que el ritmo del cambio sigue en aceleracin y hemos sido testigos de cmo la tecnologa ha transformado a industrias enteras, desde la automotriz y editorial hasta la industria minorista. El tema aqu es el cambio de lo fsico a lo digital. La digitalizacin est teniendo un efecto profundo sobre los modelos de negocio, en donde las industrias tradicionales son dominadas o completamente reemplazadas por modelos que se basan esencialmente solo en software. Los libros se han convertido en electrnicos, los CD se han transformado en MP3 y los automviles actualmente son operados en gran parte va software. Esto permite ofrecer a los consumidores una entrega inmediata de productos y aumentar su valor. Por ltimo, pero no por ello menos importante, las organizaciones estn cambiando sus contratos de outsourcing tradicionales por contratos con proveedores de servicios en la nube. De hecho, nuestra encuesta global revel que el 57% de los encuestados en Mxico y 61% a nivel global actualmente utiliza, evala o planea utilizar servicios de computacin en la nube dentro de los prximos 12 meses. Lo anterior representa un aumento considerable a nivel global sobre el 45% que se report en 2010; en relacin con lo que se report para Mxico en el mismo ao, representa un aumento de 18% sobre el 39% obtenido. A medida que las organizaciones reconozcan los beneficios de trasladar su negocio hacia la nube y siga aumentando la confianza en dicho modelo de operacin, estas trasladarn las funciones ms crticas y, en ocasiones, toda su infraestructura de TI y plataforma de aplicaciones hacia la nube. De esta forma alterar su esquema de negocios y funciones de TI para siempre. Al entrar a la nube, las organizaciones ahora tendrn la posibilidad de disminuir considerablemente o hasta eliminar sus operaciones de TI.

Ernst & Young

Mientras las organizaciones se digitalizan, entran a la nube y se convierten en organizaciones sin fronteras, el panorama de riesgos tambin cambia. Los participantes en nuestra encuesta reconocen esta tendencia: el 63% de los encuestados en Mxico y el 72% a nivel global observan un aumento en el nivel de riesgo debido al aumento de amenazas externas. Sin embargo, al mismo tiempo, solo una cuarta parte de los encuestados en Mxico (26%) y el 68% a nivel global han actualizado su estrategia de seguridad de la informacin en los ltimos 12 meses para responder a dicho aumento en las amenazas. Adems, cerca del 50% de las organizaciones tambin ha identificado mayores amenazas dentro de sus propias organizaciones.

En los ltimos 12 meses, de qu forma ha cambiado el entorno de riesgos en el cual opera?

Observamos un aumento en el nivel de riesgo debido al incremento en el nmero de amenazas (externas) Observamos un aumento en el nivel de riesgo debido al incremento en el nmero de vulnerabilidades (internas) Observamos una disminucin en el nivel de riesgo debido al decremento en el nmero de vulnerabilidades (internas) Observamos una disminucin en el nivel de riesgo debido al decremento en el nmero de amenazas (externas) No respondi 0% 2% 9% 17% 21% 34% 46% 45% 72% 63%

Ms del 60% de los encuestados en Mxico reconoce un aumento en el nivel de riesgo debido al incremento en el nmero de amenazas externas

Muestra: porcentaje de encuestados

Global

Mxico

Estadsticas del crimen ciberntico

La Encuesta de Seguridad y Crimen Computacional del FBI (Federal Bureau of Investigation) y del CSI (Computer Security Institute) del 2001 seal que las prdidas financieras provocadas por crmenes cibernticos ascendieron a ms de 37 millones de dlares para las cerca de 200 organizaciones que participaron en la encuesta. Asimismo, el FBI report que tan solo en el 2011 se recibieron ms de 350,000 reportes de crmenes cibernticos. Esta declaracin debe ser evaluada considerando que la mayora de los crmenes cibernticos no se reportan. De acuerdo con los informes ms recientes de uscollegeresearch.org, aproximadamente el 73% de los usuarios de internet de EE. UU. y 65% de los usuarios globales ha sido vctima de criminales cibernticos hasta junio de 2011.

XIV Encuesta Global de Seguridad de la Informacin

Salir de la niebla
La seguridad de la informacin es un componente crtico y habilitador clave para lograr una transicin exitosa hacia la nube. Resulta alentador que ms de la mitad de los encuestados (53% en Mxico y 59% a nivel global) pretenden aumentar sus presupuestos de seguridad de la informacin en los prximos 12 meses. Sin embargo, ciertos indicios sealan que es posible que el dinero no se gaste como debiera. Solo el 38% de los encuestados en Mxico y 52% a nivel global menciona que cuenta con una estrategia documentada de seguridad de la informacin. Las tendencias mencionadas anteriormente (eliminacin de fronteras, servicios de TI en la nube y digitalizacin del negocio) vienen acompaadas de retos que requieren una estrategia bien pensada y una respuesta cuidadosamente considerada. Las soluciones ad hoc tal vez resultaron tiles en el pasado, pero no son sustentables en el futuro. Es importante reconocer que el solo hecho de aumentar las inversiones no garantizar la proteccin si no hay un enfoque para llevar a cabo las acciones correctas. Se requiere una respuesta pragmtica y proactiva en lugar de una reactiva. La seguridad de la informacin debe ser un tema con mayor visibilidad en las juntas de consejo, con una estrategia claramente definida que sustentar al negocio en la nube y en otras partes. La encuesta seala que a la mayora de las organizaciones an les queda mucho trabajo por hacer para convertir esto en realidad: menos del 20% de los encuestados expone temas relacionados con la seguridad de la informacin en sus reuniones del consejo (17% en Mxico y 12% a nivel global); la mitad de encuestados en Mxico y 49% a nivel global seal que la funcin de la seguridad de la informacin en su empresa es cumplir con las necesidades de la organizacin. Tambin resulta clave la percepcin externa y reputacin de la postura que tiene una organizacin en torno a la seguridad de la informacin ya que, a menos que las compaas cuenten con una ptima reputacin por qu deberan sus clientes confiarles su informacin y, a final de cuentas, su negocio?

En trminos absolutos, cul de los siguientes puntos describe el presupuesto total planeado de seguridad de la informacin de su organizacin para los prximos 12 meses?
Aumentar 53% 59%

Permanecer igual

35% 43%

Disminuir 3%

6%

Muestra: porcentaje de encuestados

Global

Mxico

Ernst & Young

Hasta que la seguridad de la informacin se convierta en un aspecto integral de la entrega de servicios y productos y parte de los aspectos analizados por la administracin de manera cotidiana, esta no ser vista como un habilitador estratgico para mejorar el desempeo del negocio. En lo que resta del informe, analizamos ms de cerca la forma en que las organizaciones abordan sus necesidades de seguridad de la informacin en el entorno actual. Tambin analizamos las posibles oportunidades de mejora e identificamos las tendencias importantes de corto y largo plazo que le darn forma a la seguridad de la informacin en los prximos aos.

La funcin de seguridad de la informacin es cumplir con las necesidades de su organizacin?

S 49% 50% No, debido principalmente a la falta de recursos capacitados No, debido principalmente a otras razones 13% 15% 11% 13% 17% 13% 9% 9% 1% 0% Global Mxico

En Mxico, el 50% de los encuestados seal que la funcin de seguridad de la informacin es cumplir con las necesidades de la organizacin

No, debido principalmente a restricciones en el presupuesto No, debido principalmente a la falta de apoyo directivo No contest

Muestra: porcentaje de encuestados

Nuestra perspectiva
Hablar del tema de seguridad de la informacin en las juntas de consejo, hacindolo ms visible y con una estrategia claramente definida que proteger al negocio, que agregar a su vez mayor valor mediante una alineacin ms estrecha con las necesidades del negocio. Hacer que la seguridad de la informacin sea una parte integral de la entrega de servicios y productos y en los aspectos diarios de todos. Enfocar la seguridad de informacin en proteger lo ms importante, como la informacin del cliente y la propiedad intelectual. Si esta es inadecuada y no sirve para mejorar su marca, por qu los clientes habran de tenerle confianza como negocio?

XIV Encuesta Global de Seguridad de la Informacin

Monitorear el cmputo mvil

El uso de las tablets va en aumento
Durante los ltimos veinte aos, hemos sido testigos de avances tecnolgicos significativos en los dispositivos mviles, desde los asistentes personales digitales (PDA, por sus siglas en ingls) de finales de los aos noventa y principios del siglo XXI hasta los ubicuos y multifuncionales smartphones y tablets de la actualidad. Estos avances han ampliado las fronteras virtuales de las empresas y han borrado las lneas divisorias entre el hogar, la oficina, los colegas y competidores. El acceso constante al correo electrnico y las aplicaciones corporativas habilitan nuevas aplicaciones de negocio mvil, permiten tener acceso y almacenar datos sensibles de la organizacin as como datos personales privados. En otras palabras, ms accesibilidad significa ms productividad, pero tambin ms riesgos. Las tecnologas mviles convergen a medida que el traslape de funcionalidad entre laptops, smartphones y tablets aumenta. Adems, el ritmo de adopcin por parte de las organizaciones no tiene precedentes. Por lo tanto, las organizaciones necesitan integrarse rpidamente, reducir el tiempo requerido para identificar los posibles riesgos y crear estrategias eficaces e implementar medidas para abordar dichos riesgos. Los resultados de nuestra encuesta muestran la adopcin rpida de la computacin por tablet. Menos de la cuarta parte de los encuestados (24% en Mxico y 20% a nivel global) no tiene planes de permitir el uso de tablets; la gran mayora de los entrevistados (76% en Mxico y 80% a nivel global) est planeando (7% en Mxico y 11% a nivel global), evaluando (24% en Mxico y 46% a nivel global) o utiliza ampliamente la computacin por tablets (42% en Mxico y 23% a nivel global, del cual el 29% en Mxico hace uso de tablets sin la aprobacin oficial de la organizacin y 9% a nivel global). Por otro lado, nuestra encuesta a nivel global y en Mxico seala que la adopcin de tablets y smartphones ocupa el segundo lugar en la lista de retos tecnolgicos que se consideran ms importantes, y ms de la mitad de los encuestados considera que es un reto difcil o sumamente difcil.

Trae tu propio dispositivo

Cada vez ms organizaciones brindan soporte para los dispositivos propiedad de los empleados en lugar de proporcionar dispositivos con un sistema preconfigurado. Con este cambio en la propiedad, las organizaciones renuncian a cierto control en cuanto a limitar el apoyo a una sola estructura de software constante, debido a que no tienen el derecho legal de obligar a los empleados a adoptar la paquetera de la organizacin. Adems, da pie a la posibilidad de que los empleados, de forma consciente o inconsciente, le hagan cambios al dispositivo mvil, con lo que disminuir la seguridad de este. Por ejemplo, los usuarios podran instalar un servidor administrativo remoto que podra ser otra interfaz susceptible a un ataque, o podran comprometer la integridad subyacente del sistema operativo a travs de procesos como el desbloqueo (jailbreaking).
6

Su organizacin actualmente permite el uso de computadoras tablet para fines de negocio?

Bajo evaluacin o uso muy limitado 24% No. y no hay planes de utilizarlas en los prximos 12 meses S, se utilizan ampliamente y la organizacin apoya a su uso oficialmente No, pero su uso est planeado para los prximos 12 meses S, usadas de manera extensa, pero no son oficialmente aprobadas por la organizacin No contest 0% 2% Global Mxico 14% 13% 11% 7% 9% 29% 20% 24% 46%

Muestra: porcentaje de encuestados Ernst & Young

Las polticas como un control clave

Nuestra encuesta seala que los cambios a la poltica y los programas de concienciacin se consideran las dos medidas principales que las organizaciones utilizan para abordar los riesgos presentados por esta nueva tecnologa. Si bien establecer el gobierno en la seguridad es un enfoque reconocido para asegurar cualquier tecnologa, consideramos que esto es an ms eficaz por la naturaleza cambiante de los dispositivos mviles y los productos de software de seguridad que utilizan. El hecho que el usuario conozca los riesgos de los dispositivos mviles y se le informe de la poltica en torno al uso aceptable de los mismos tambin ayudar a limitar los casos de uso indebido por parte de los empleados. A la par de los esfuerzos por actualizar las polticas y la concientizacin de los usuarios, observamos que las organizaciones reconocen que necesitan hacer ms. De hecho, los enfoques anteriores estn muy lejos de ser medidas firmes para mitigar los riesgos. Por lo tanto, las organizaciones se capacitan en cuanto a las caractersticas y el diseo de los productos de software de seguridad para dispositivos mviles que estn disponibles en el mercado. Sin embargo, la tasa de adopcin de tcnicas de seguridad y software en un mercado tan cambiante como el de cmputo mvil sigue siendo baja. Por ejemplo, menos de la mitad (38% en Mxico y 47% a nivel global) de las organizaciones utiliza tcnicas de cifrado.

El 56% de los encuestados en Mxico ha hecho cambios a su poltica para mitigar los riesgos relacionados con el cmputo mvil

Cul de los siguientes controles ha implementado para mitigar los nuevos o mayores riesgos relacionados con el uso de cmputo mvil (por ejemplo, computadoras tablet)?
Ajustes en la poltica Ms actividades de concientizacin en materia de seguridad Tcnicas de encripcin Permitir el uso de tablets y smartphones propiedad de la compaa Cambios de arquitectura Nuevo software de administracin de dispositivos mviles Mayor capacidad de auditora Ajuste en gestin de procesos incidentes Nuevos procesos disciplinarios Ninguno No permitir el uso de tablets y smartphones para uso profesional No contest 0% 2% 7% 7% 13% 21% 11% 19% 35% 23% 30% 31% 28% 27% 23% 26% 30% 57% 56% 52% 49% 47%

Nuestra perspectiva
Establecer polticas y una gua para el uso tanto de dispositivos mviles como sus productos de software de seguridad relacionados. Utilizar el cifrado como un control fundamental. Como menos de la mitad de los encuestados lo utilizan, las organizaciones deben considerar adoptar el cifrado. Realizar pruebas de ataque y penetracin en las aplicaciones para dispositivos mviles antes de utilizarlos para disminuir el riesgo de exposicin de la organizacin.

Muestra: porcentaje de encuestados

Global

Mxico
7

XIV Encuesta Global de Seguridad de la Informacin

Ver a travs de la nube

Ir ms all de los beneficios del cmputo en la nube

El 61% de los encuestados a nivel global actualmente utiliza, evala o planea utilizar servicios de cmputo en la nube dentro del prximo ao. Para el caso de Mxico esta cifra se reduce a 57%

A medida que el cmputo en la nube evoluciona, los compradores de servicios de nube tambin lo hacen. Los expertos y profesionales de negocios han reconocido la velocidad y eficiencias que trae consigo el hecho de adoptar esta tecnologa. Las organizaciones que no estn interesadas en formar parte del negocio de TI han reconocido el enorme valor de poder enfocarse en sus competencias de negocio clave y de permanecer nicamente como usuarios de los servicios de TI. Los modelos de TI tradicionales requeran que se erigieran infraestructuras gigantescas y arquitecturas de aplicaciones complejas solo para poder correr nuestros procesos de negocio ms bsicos. El cmputo en la nube ha provocado el surgimiento de un nuevo tipo de usuarios de negocio: consumidores sofisticados que pueden elegir qu servicios consumir y combinarlos con la misma facilidad con la que se ordena de un men. A pesar de las historias convincentes en torno a la adopcin de la nube, muchas organizaciones an no conocen sus implicaciones y trabajan para entender mejor el impacto y los riesgos. De 16 reas de seguridad de la informacin, el cmputo en la nube ocupa el segundo lugar entre todas las dems categoras de las reas que probablemente recibirn ms, y no menos, inversin en comparacin con el ao anterior. A cambio de aplicaciones altamente configurables, de rpida implementacin y administradas externamente, las organizaciones ceden en temas de riesgos (se den cuenta o no). Los organismos gubernamentales, como auditora y cumplimiento, consideran que estos intercambios son peligrosos debido a la falta de conocimientos o experiencias por parte de algunas de las personas que toman dichas decisiones arriesgadas. Sin importar si nos damos cuenta o no, el deseo de contar con servicios de nube externos ha aumentado la dependencia sobre terceros y ha afectado la visin del funcionamiento interno de las aplicaciones clave del negocio. A medida que las organizaciones se vean restringidas por su proveedor de nube, tambin enfrentan riesgos de cumplimiento, riesgos legales de contratacin y riesgos de integracin. El integrarse a la nube no es un programa de cambio ms; es una transicin completa de los procesos de negocio, incluidos los riesgos relacionados.

Su organizacin utiliza servicios basados en nube?

Mxico
No, y no estaba planeado para los siguientes 12 meses S, ya estn en uso 17% 7% 16% 11% 24% 21% 41% 61%

Global
39% 55% 36% 23% 9% 7% 16% 15%

S, se est evaluando el uso

No, pero su uso est planeado para los prximos 12 meses No contest
Muestra: porcentaje de encuestados (XIII GISS y XIV GISS)

1% XIII XIV
Ernst & Young

XIII

XIV

Categora

Riesgos y retos clave

El cmputo en la nube a menudo es sin fronteras, pero este no es el caso para el cumplimiento. Para los usuarios de la nube frecuentemente no queda claro en dnde se encuentran los datos; lo cual representa retos para el cumplimiento legal o de privacidad. Por ejemplo, un proveedor de nube podra estar sujeto a leyes de privacidad, a la Ley Sarbanes-Oxley (SOX, por sus siglas en ingls), la Ley de Portabilidad y Responsabilidad de Seguros Mdicos (HIPAA, por sus siglas en ingls), las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI/DSS, por sus siglas en ingls), la Ley Patriota de EE. UU. o la Ley Federal de Proteccin de Datos Personales en Posesin de Particulares (LFPDPPP) en Mxico. El procesamiento de datos con un proveedor de servicios de nube seguido por la comunicacin a travs de internet, en lugar de mantener dichos datos dentro de la red de una organizacin, aumenta la vulnerabilidad de los datos y la informacin. Los riesgos clave incluyen la modificacin no autorizada de sistemas o datos y la eliminacin no autorizada de estos. Por lo tanto, la nube trae nuevos retos en materia de seguridad de las aplicaciones, administracin de identidad, acceso, autenticacin, cifrado y clasificacin de datos. Los riesgos contractuales provienen principalmente de los tipos de contratos que las organizaciones celebran con los proveedores de servicios de nube. Estos deben incluir los acuerdos de nivel de servicio (SLA, por sus siglas en ingls) e indicadores de clave de desempeo (KPI, por sus siglas en ingls) que se utilizan para acordar y evaluar el desempeo. Administrar estas complejas relaciones con proveedores requiere de experiencia y habilidades altamente especializadas. En muchos casos, la complejidad dificulta distinguir en dnde se asume el riesgo y quin es el responsable. Al emprender el viaje hacia la nube, las organizaciones querrn asegurar que se ajusta a sus objetivos de negocio generales en trminos tanto de los beneficios como de los riesgos. Por lo tanto, necesitan un modelo de gobierno y una estrategia de nube, incluido un enfoque de administracin de riesgos de la misma. Las normas, prcticas lder y gua para los usuarios de la nube y proveedores de este servicio se encuentran en proceso de desarrollo con varios organismos independientes. Sin embargo, no hay una base acordada disponible. La continuidad del negocio es un factor crtico. Por lo tanto, es importante entender la cobertura geogrfica de un proveedor de nube y la forma en que podra afectar a sus usuarios. Adems, los usuarios de la nube dependen del programa de continuidad del negocio y las habilidades de recuperacin en caso de desastres de su proveedor. El usuario de la nube tambin depende de las habilidades que tiene el proveedor en cuanto a procesos de operaciones y de apoyo, como la administracin de incidentes y mesa de ayuda. La integracin de los sistemas a la nube es una tarea importante. Es necesario que los sistemas puedan comunicarse entre s, entre el usuario de la nube y el proveedor de servicio. En algunos casos, los usuarios negocian los servicios de transicin para hacer que esto suceda, incluidas pruebas de amplio rango. Para poder cumplir con la interoperabilidad continua, los cambios en la tecnologa y actualizaciones del sistema, incluidas las pruebas, tambin deben abordarse y manejarse.

Cumplimiento y privacidad

La razn por la que las organizaciones necesitan entender a su proveedor de nube externo

Seguridad de la informacin e integridad de los datos

Contrato y legal

Gobierno, administracin de riesgos y aseguramiento

Confiabilidad y continuidad de las operaciones

La mayora de los encuestados (43% en Mxico y 80% a nivel global) que utiliza servicios de cmputo en la nube emplea servicios de Software como Servicio (SaaS, por sus siglas en ingls). Sin embargo, para complicar ms las cosas, aunque muchas personas piensan que estn adquiriendo SaaS, este podra provenir de un proveedor de nube que utiliza habilidades de Plataforma como Servicio (PaaS, por sus siglas en ingls) de otro proveedor de nube que adquiri su infraestructura de un proveedor de Infraestructura como Servicio (IaaS, por sus siglas en ingls) que renta un espacio en un centro de datos compartidos. En trminos sencillos, es similar al carro de un fabricante que le subcontrat su produccin de motores a una organizacin que, a su vez, le subcontrat su funcin de fundicin de acero a otro proveedor. Las divisiones entre los proveedores estn desapareciendo, y en un mundo en donde la informacin fluye libremente de proveedor a proveedor, la confianza se vuelve un bien valioso. Por lo tanto, es importante fomentar relaciones de confianza con los proveedores de servicios de nube para poder tener la seguridad de que los procesos que utilizan para administrar los negocios y datos son confiables.

Integracin e interoperabilidad

XIV Encuesta Global de Seguridad de la Informacin

Ver a travs de la nube (contina)

Dnde est la gua?
A pesar de la evolucin del cmputo en la nube y la capacidad de los proveedores de servicios de implementar soluciones de alto valor y fciles de usar, las organizaciones luchan por integrar el cmputo en la nube externa a su negocio. Este ao, el 64% de los encuestados en Mxico y 48% a nivel global mencion que la implementacin del cmputo en la nube es un reto difcil o muy difcil, y un poco ms de la mitad an no ha implementado controles para mitigar los riesgos relacionados. Las organizaciones, que se muestran inciertas acerca de sus opciones de control, eligen e implementan solo un subconjunto de los que se encuentran disponibles, y a veces no instauran ninguno. A nivel global, la medida ms comn es una mayor supervisin sobre el proceso de administracin de contratos con los proveedores de nube. En Mxico, la medida ms comn es establecer controles ms robustos de administracin de acceso e identidad. Cabe mencionar que ambas medidas nicamente son adoptadas por un poco ms del 20% de los encuestados (22% y 21%, respectivamente), lo cual indica que hay un alto y posiblemente equivocado nivel de confianza. Debido a la falta de una gua clara, muchas organizaciones parecen tomar decisiones mal informadas, ya sea al cambiarse a la nube antes de tiempo y sin considerar los riesgos relacionados, o al evitarla en su totalidad. Los resultados de la encuesta sealan que aunque muchas organizaciones se han cambiado a la nube, muchas lo han hecho con cierta renuencia, como lo demuestra el 88% de los encuestados en Mxico y 81% a nivel global que se encargan de ofrecer iniciativas de seguridad de la informacin para las nuevas tecnologas, como el cmputo en la nube y la virtualizacin.

Cul de los siguientes controles ha implementado para mitigar los nuevos o mayores riesgos relacionados con el uso de cmputo en la nube?
Ninguno Una mayor supervisin del proceso de gestin de contratos de los proveedores de servicios de la nube Una mayor agilidad de respuesta de los proveedores del servicio Controles ms robustos de administracin de acceso e identidad Tcnicas de encripcin Inspeccin de las instalaciones por su propio equipo de seguridad/riesgos de TI Ms actividades de auditora al proveedor de servicio en nube Incrementar la confianza mediante la certificacin de los servicios de la nube por parte de terceros Contratar a un tercero para control de pruebas en la nube Establecer una mayor responsabilidad para los proveedores de servicios en nube en los contratos Ajuste de procesos para gestin de incidentes Sanciones econmicas en caso de brechas de seguridad No contest 0% 3% 22% 15% 21% 15% 19% 21% 18% 19% 16% 17% 15% 15% 13% 12% 13% 13% 11% 10% 11% 12% 8% 7% 52% 50%

Global Mxico

Muestra: porcentaje de encuestados 10 Ernst & Young

Fomentar la confianza en la nube

Muchos encuestados aceptan que ellos se basan fuertemente en la confianza, cuando en realidad lo que se requiere es confianza y validacin, verificacin y certificacin. Casi el 90% de los entrevistados a nivel global y 50% en Mxico est a favor de una certificacin externa, y cerca de la mitad a nivel global (45%) y ms del 20% para el caso de Mxico (21%) opina que esta debe basarse nicamente en una norma acordada. Diversos organismos independientes reconocen la necesidad de que el mercado cuente con una verificacin y certificacin independiente. De hecho, se hicieron recientemente grandes avances en materia de guas reveladoras sobre la certificacin de la nube. Muchas organizaciones han comenzando el proceso de gobierno, al abordar varios de los retos percibidos por medio de registros de atestiguacin de servicios y marcos de auditora congruentes, como los que se utilizan en la industria de servicios financieros. Se han logrado grandes avances en torno a un modelo de confianza coherente (por ejemplo, por parte de la Alianza de Seguridad en la Nube), y prevemos que muchos encuestados tendrn ms seguridad en los proveedores que participan en la comunidad de confianza. La industria de la nube necesita evolucionar. Actualmente, el atractivo de la extensibilidad, personalizacin y bajo costo impulsa las decisiones de utilizar los servicios de nube. Sin embargo, existen riesgos reales, y el uso de servicios basados en la nube deben considerarse en el contexto de los beneficios que ofrecen. A medida que evolucione la industria de la nube, tambin deber evolucionar la capacidad de confiar. Esto se lograr al crear normas de confianza reguladas. Actualmente, existen alianzas tanto privadas como federales que trabajan para lograr este objetivo. Las organizaciones deben seguir utilizando la gua proporcionada por estas organizaciones y alinearse con las prcticas de la industria para fomentar la estandarizacin con los proveedores de servicios. No basta con depender de las entidades externas para abordar todos los riesgos relacionados con el cmputo en la nube. Estos riesgos pueden representar un cambio considerable en cuanto a la forma en que opera una organizacin y deben ser manejados por procedimientos empresariales y de administracin de riesgos de TI formales.

El 50% de los encuestados en Mxico considera que la certificacin externa aumentara su confianza en el cmputo en la nube

Nuestra perspectiva
Escoger la verificacin por encima de la confianza. Entender quin es el responsable de los riesgos antes de celebrar un acuerdo de nube. Planear para tener continuidad y elegir proveedores que son transparentes acerca de la resistencia en la generacin de respaldos y las pruebas de recuperacin. Utilizar los procesos y tcnicas de seguridad estndares que han funcionado eficazmente para otras tecnologas en el pasado. Alienar su estrategia de negocios y de seguridad de la informacin, y evaluar continuamente los riesgos para cumplir con los reglamentos y normas de la industria.

La certificacin externa de los proveedores de servicios de nube aumentara su confianza en el cmputo en la nube? (Escoja una opcin)
S, pero solo si este certificado est basado en una norma acordada S, pero solo el organismo que certifica puede demostrar la certificacin S, en cualquiera de los casos 11% 14% 0% 36% Global Mxico 45% 21% 24% 7% 20% 22%

No

No contest

Muestra: porcentaje de encuestados XIV Encuesta Global de Seguridad de la Informacin 11

Relacionarse a travs de las redes sociales

56% de los encuestados en Mxico han bloqueado o limitado el acceso a los sitios de redes sociales como control para mitigar los riesgos relacionados a estas
Dnde est la gua?
Ms de mil millones de personas, cerca del 15% de la poblacin mundial, estn registrados como usuarios de los sitios ms populares del mundo de redes sociales y de negocios. Si los usuarios registrados del sitio de redes sociales ms grande del mundo fuera un pas, sera el tercero ms grande despus de China y la India. El crecimiento de la popularidad y masividad de los medios de comunicacin social se atribuye a sus profundos beneficios: las redes sociales permiten a las personas mantenerse en contacto como nunca antes, lo que permite a las organizaciones transformar la manera en que se conectan con los clientes, desarrollar la lealtad de marca y vender con ms eficacia. Las redes sociales permiten a las organizaciones comprometerse con los clientes sobre una base en tiempo real y solicitar informacin directa, que a su vez les ayuda a mejorar continuamente sus ofertas de mercado y posicionamiento. La adopcin cada vez mayor de las redes sociales afecta el panorama de riesgos de TI. En realidad, los amigos virtuales no son siempre lo que parecen en el mundo de las redes sociales. Los riesgos en los medios de comunicacin social incluyen la introduccin de software malicioso que pueda encontrarse dentro de las redes sociales, robar cuentas que se utilizan para solicitar informacin y la divulgacin de informacin confidencial de la empresa o datos de carcter personal.

Cules de los siguientes controles ha implementado para mitigar nuevos riesgos o incremento de estos en cuanto al uso de redes sociales?
53% 56%

Uso limitado o no acceso a redes sociales

Ajuste de polticas

46% 55%

Programas de concientizacin en cuanto a redes sociales

39% 36% 38% 33% 15% 16%

Monitoreo de internet

Ninguno

Nuevos procesos disciplinarios

12% 21%

Ajuste de procesos para gestin de incidentes 0% 1%

11% 10%

No contest

Muestra: porcentaje de encuestados 12 Ernst & Young

Global

Mxico

Nuestra encuesta revela que una parte considerable de los participantes reconocen los riesgos: el 44% de los encuestados en Mxico y el 40% a nivel global calific los asuntos relacionados con redes sociales como desafiantes o considerablemente desafiantes. 63% de los encuestados en Mxico y 72% a nivel global mencion que los ataques maliciosos externos representaban su principal riesgo. Estos ataques podran haber sido impulsados por la informacin obtenida a travs del uso de las redes sociales que fueron utilizadas para enviar mensajes de phishing dirigidos a personas especficas. Para poder abordar los posibles riesgos relacionados con las redes sociales, las organizaciones parecen adoptar una respuesta radical. Ms de la mitad (56% para el caso de Mxico y 53% a nivel global) ha respondido bloqueando o limitando el acceso a los sitios en lugar de aceptar el cambio y adoptar medidas a nivel empresarial. Aunque esta accin podr resultar eficaz en algunas situaciones, la facilidad de acceso por medio de dispositivos mviles (particulares) permite que las personas tengan ingreso directo a las redes sociales durante horarios de oficina. Por lo tanto, bloquear o limitar los sitios de redes sociales nunca ser una medida completamente eficaz.

44% de los encuestados en Mxico calific los asuntos relacionados con redes sociales como desafiantes

Nuestra perspectiva
Reconsiderar (en su caso) el uso de polticas estrictas de no acceso/no uso para los sitios de redes sociales. Esta respuesta, aunque quiz aborda las amenazas externas al hardware y software interno, no abarca en su totalidad la adopcin personal generalizada del uso de redes sociales y la integracin indirecta al uso de los negocios a travs de otros canales, como los dispositivos mviles. Las organizaciones podrn considerar monitorear el uso de dichos sitios por parte de sus empleados sin llegar a restringir el acceso. Comprender todas las ventajas de las redes sociales. La falta de una poltica integrada de seguridad de la informacin para el acceso y uso de las redes sociales no permite que las organizaciones se mantengan a la par de sus competidores, y podra crear un sentimiento de desconfianza entre los empleados. Considerar realizar pruebas y utilizar soluciones tcnicas que tambin refuerzan la postura de seguridad esbozada en su poltica de redes sociales. Realizar sus propios estudios para entender mejor lo que los posibles atacantes podran encontrar en las redes sociales.

XIV Encuesta Global de Seguridad de la Informacin

13

Controlar las fugas de datos

La importancia de la prevencin de prdida de datos

El 65% de los encuestados en Mxico no ha implementado herramientas de prevencin de prdida de datos (DLP, por sus siglas en ingls)

El conocimiento es poder y la informacin que proviene de los datos es el activo ms valioso de cualquier organizacin. Recientemente, ha habido varios casos notorios de fuga de datos que han colocado este tema bajo el escrutinio pblico. Con los nuevos entornos operativos sin fronteras y el aumento en la adopcin de la nube, el riesgo de la prdida de datos crece rpidamente. La mayor cantidad de informacin que se transporta a travs de los dispositivos mviles aumenta el riesgo de que terceros no autorizados obtengan acceso a datos sensibles. Pero la prdida de datos no solo se limita al riesgo de la prdida fsica de dispositivos como computadoras tablet, telfonos mviles o laptops. Muchos incidentes tambin se atribuyen a revelaciones accidentales por transmisiones electrnicas. En la mayora de los casos, los empleados no conocen los riesgos asociados con enviar datos sensibles a travs de correos electrnicos no cifrados, mensajes instantneos, webmail y herramientas de transferencia de archivos. La incorporacin de productos tecnolgicos amigables para el usuario y el acceso a los datos se ha vuelto tan entrelazado que es relativamente fcil difundir datos de forma no intencional. Los agujeros por donde pueden fugarse los datos, que ya son grandes debido a las tecnologas y plataformas en expansin, se crecen ms por el uso de sistemas descentralizados y herramientas de colaboracin de trabajo, lo cual dificulta an ms que las organizaciones rastreen y controlen la informacin en el negocio. Dentro de los esfuerzos por controlar los datos, otra complicacin es la disponibilidad de dispositivos de almacenamiento cada vez ms econmicos. Varios gigabytes de datos pueden salir literalmente caminando por la puerta en el llavero de un empleado o en un smartphone, o pueden ser interceptados cuando son enviados a travs de proveedores de servicios de nube y almacenamiento de bajo costo o gratuitos. Recuerde que en el caso de datos personales, la LFPDPPP en Mxico exige la notificacin de vulneraciones a los titulares.

En cuanto a la implementacin de herramientas de DLP, cmo describira su implementacin?

No hemos implementado herramientas de DLP 66% 65% Los usuarios no han notado en gran medida el impacto de estas herramientas Nuestra implementacin ha sido un xito 15% 12% 14% 7% 14% 13% 12% 14% 6% 10% 4% 8% Global
Ernst & Young

La implementacin se ha realizado sin contratiempos y de acuerdo con el calendario previsto La implementacin ha tomado ms tiempo del esperado Los usuarios han estado molestos con el impacto en sus rutinas diarias Nuestras implementaciones no han sido tan exitosas como esperabamos
Muestra: porcentaje de encuestados 14

Mxico

Sin embargo, se reconoce ampliamente que las tecnologas y procesos de DLP son una de las prioridades principales de la administracin y ocupan el segundo lugar en la lista de reas prioritarias de asignacin de presupuesto. A nivel global, ms de la mitad (51%) de las organizaciones pretende gastar ms en esfuerzos de DLP de lo que lo hicieron en 2011. Para el caso de Mxico, este porcentaje representa el 41%. En cuanto a las acciones tomadas para controlar la fuga de informacin sensible, el 62% de las organizaciones en Mxico y el 74% a nivel global ha definido una poltica especfica en cuanto a la clasificacin y el manejo de dichos datos. El 60% en Mxico y casi el 70% a nivel global ha llevado a cabo programas de concienciacin para empleados. El 60% a nivel global y 34% de las organizaciones en Mxico ha implementado mecanismos de seguridad adicionales como el cifrado para proteger la informacin. Los enfoques de registro y monitoreo incluyen la deteccin de casos de intrusin en redes y la segmentacin de estas, dos de las medidas ms populares que se implementan para prevenir, detectar o reaccionar ante ataques externos. Adems, el 64% de las organizaciones en Mxico y 75% en el mundo llevar a cabo evaluaciones de ataques y penetracin desde redes externas durante el prximo ao, y el 58% en Mxico y 73% en el mundo pretende realizar un escaneo de vulnerabilidades a nivel de la red externa.

62% de los encuestados en Mxico ha definido una poltica para la clasificacin y el manejo de los datos sensibles como una medida de control para el riesgo de fuga de datos
74% 62% 69% 60% 60% 34% 45% 35% 45% 29% 43%

Cul de las siguientes acciones ha tomado su organizacin para controlar la fuga de informacin sensible?
Definicin de una politica especifica en cuanto a la clasificacin y manejo de informacin sensible Programas de concientizacin de usuarios Implementacin de mecanismos de seguridad adicionales para proteger la informacin (ej. encripcin) Uso de auditoras internas para probar controles Bloqueo/restriccin de uso de ciertos componentes de hardware (ej. puertos USB, puertos Firewire) Definicin de requerimientos especificos para trabajar a distancia en relacin con la proteccin de la informacin que es extrada de la ... Implementacin de herramientas de revisin de bitcoras Implementacin de herramientas de DLP (McAfee, Symantec, Verdasys, etc.) Restriccin o prohibicin de mensajera instantnea o uso de correo para enviar datos sensitivos Prohibicin de uso de cmaras fotogrficas dentro de reas sensitivas o restringidas Acceso restringido a informacin sensitiva por periodos de tiempo especfico No contest Muestra: porcentaje de encuestados 0% 2% 24% 21% 15% 28%

28% 39% 28% 38% 28% 35% 35%

Global

Mxico

XIV Encuesta Global de Seguridad de la Informacin

15

Controlar las fugas de datos (contina)

Nuestra perspectiva
Evaluar, entender y apreciar los diversos riesgos potenciales y reas de prdida de datos, al documentar y calificar especficamente los riesgos relacionados con los canales de prdida de datos que existen dentro de la organizacin. Identificar, evaluar y clasificar los datos sensibles a lo largo de la empresa para que los controles de DLP puedan enfocarse en proteger los datos ms sensibles de la organizacin. Adoptar una visin holstica de la prevencin de prdida de datos al identificar los controles clave de DLP y medir su eficacia. Todos los controles clave que sustentan el programa de prevencin de prdida de datos, como la administracin de datos y los controles de seguridad fsica, deben conocerse para poder reportar con precisin los riesgos y controles de la prdida de datos. Abarcar los datos en movimiento, en reposo y en uso dentro de los controles de DLP de la organizacin. Implementar la investigacin de incidentes, reclutar a un equipo fuerte para llevar a cabo el programa y buscar el apoyo de las partes interesadas clave a lo largo del negocio para crear un programa exitoso de DLP. Poner ms atencin a los terceros que tienen acceso a datos sensibles de la organizacin. Saber qu datos son enviados a terceros, cmo son enviados y si los mecanismos de transmisin son seguros. Las organizaciones tienen la responsabilidad de implementar actividades de due diligence para validar que los administradores de datos de terceros cuenten con salvaguardas razonables para proteger los datos sensibles de la organizacin. Considerar el cumplimiento con la LFPDPPP y su reglamento.

16

Ernst & Young

XIV Encuesta Global de Seguridad de la Informacin

17

Prepararse para lo peor

Eventos del Cisne Negro
Los eventos del Cisne Negro surgen de un factor o una combinacin de factores, incluidos errores humanos involuntarios, negligencia, acciones maliciosas o actos de la naturaleza. Sin importar sus causas, son parecidos por el hecho que ocurren de manera impredecible o inesperada, se desarrollan rpidamente, son de escala catastrfica, presentan peligros que van ms all de los riesgos financieros inmediatos, ponen en peligro vidas, implican daos considerables a activos, y requieren de considerables recursos para su resolucin. (N.N. Taleb, El cisne negro, Segunda Edicin, Penguin, 2010).

La necesidad de contar con un plan de continuidad del negocio

Sucesos inesperados y catastrficos, como desastres naturales y ataques terroristas, pueden provocar prdidas trgicas a nivel personal y de negocios. A medida que ha aumentado el tamao y complejidad de las organizaciones dentro del mundo sin fronteras, se ha incrementado el impacto de la falta de disponibilidad de recursos clave. Los grandes desastres, as como las interrupciones ms pequeas, han provocado que los ejecutivos lderes no solo esperen lo mejor, sino que se preparen para lo peor al invertir en una administracin eficaz de la continuidad del negocio (BCM, por sus siglas en ingls). Las medidas de seguridad de la informacin asumen una funcin clave en esto. Los resultados de nuestra encuesta reflejan esta tendencia: la mayora de los encuestados asignan a la continuidad del negocio y la recuperacin en caso de desastres como la prioridad principal de inversin para el prximo ao, en donde el 40% de los encuestados en Mxico y 36% a nivel global considera que es su prioridad principal de inversin, lo cual representa ms de tres veces para el caso de Mxico y ms del doble a nivel global el nmero de los encuestados que sealaron que el rea que ocupa el segundo lugar (esfuerzos de prevencin de fuga y prdida de datos) era su prioridad principal (12% para Mxico y 13% a nivel global).

Cul de las siguientes reas de seguridad de la informacin recibir ms inversin durante los prximos 12 meses? Mxico

Planes de continuidad del negocio y recuperacin en caso de desastres Procesos y tecnologas de prevencin de fugas y datos Implementacin de estndares de seguridad (ej. ISO/IEC 27002-2005) Monitoreo del cumplimiento (a polticas y estndares internos y externos) Asegurar nuevas tecnologas (ej. cmputo en la nube, virtualizacin, cmputo mvil) Administracin de riesgos de seguridad de la informacin
12% 10% 7%

40% 9% 9% 13% 13% 4% 6% 8% 8% 15% 6% 13% 11% 2% 9%

13% 5% 6%

5% 7%

6%

15%

6% 5% 6% 6% 9%

Global
Planes de continuidad del negocio y recuperacin en casos de desatres Procesos y tecnologas de prevencin de fuga de datos y prdida de datos Monitoreo del cumplimiento (a polticas y estndares internos y externos) Procesos y tecnologas de administracin de acceso e identidades Asegurar nuevas tecnologas (ej. cmputo en la nube, virtualizacin, cmputo mvil) Administracin de riesgos de seguridad de la informacin
Prioridad 1 Prioridad 2 Prioridad 3 13% 10% 9% 6% 5% 8% 8% 36% 15% 11% 12% 9% 10% 8% 9% 9% 9% 10% 7% 8% 8% 8% 11% 6% 7% 6% 7% 8% 7% 6%

Prioridad 4

Prioridad 5

18

Ernst & Young

Al mismo tiempo, algunas organizaciones an no estn preparadas: el 34% en Mxico y el 18% a nivel global seal que no cuenta con programas de BCM, y solo el 29% en Mxico y el 56% a nivel global contest que la administracin haba autorizado las actividades de BCM. Aun cuando se lleva a cabo, la planeacin del BCM carece de madurez en muchas organizaciones, lo cual significa que posiblemente no funcione cuando ms se necesite. A pesar de que la continuidad del negocio es la prioridad principal de inversin, muchos encuestados reportan tener una BCM parcial, en donde una minora considerable a nivel global (45%) de las organizaciones no cuenta con procedimientos para responder ante casos de crisis, no tiene procedimientos para proteger al personal o no cuenta con planes que abarquen todos los procesos crticos de negocio. Para el caso de Mxico estas afirmaciones representan el 73%, 74% y 71% respectivamente. Adems, dada la importancia de la infraestructura de tecnologa de informacin y comunicaciones (ICT, por sus siglas en ingls) para las organizaciones, es notable que el 45% a nivel global y 74% en Mxico sealara que carece de procedimientos para asegurar que podr seguir trabajando durante un desastre. Es evidente que a muchas organizaciones an les queda mucho por hacer antes de estar seguros de que realmente cuentan con un plan para los peores escenarios. Desde una perspectiva de estrategia, gobierno y control, mientras que el 67% de encuestados a nivel global y 35% en Mxico prueba sus planes de continuidad con regularidad, solo el 48% de las organizaciones a nivel global y 16% en Mxico tienen recursos adecuados para sustentar sus habilidades de BCM. Adems, ms de una tercera parte de las organizaciones a nivel global (36%) y el 7% en Mxico han utilizado la tecnologa como un mecanismo para comunicarse durante incidentes, o utiliza herramientas para administrar los datos de BCM (28% a nivel global y 10% en Mxico).

Por segundo ao consecutivo, los encuestados sealaron que la continuidad del negocio es su prioridad principal de inversin

Nuestra perspectiva
Prepararse y asegurar aquellos planes de continuidad del negocio que anticipan los eventos de alto impacto y frecuencia baja, as como determinar cules se integran en un marco de administracin de riesgos ms amplio enfocado en proteger a la organizacin de las prdidas catastrficas. Evaluar si el plan de continuidad del negocio cuenta con el nivel adecuado de madurez a la luz de las tendencias emergentes y nuevas tecnologas. Probar el plan de continuidad del negocio con frecuencia para validar la resistencia de su negocio en la prctica. Entre ms complejos sean los escenarios sometidos a pruebas, mejor cobertura tendr la prueba. Solicitar el apoyo del consejo y del comit de auditora para sus programas de continuidad del negocio.
19

Cul de las siguientes afirmaciones aplica para la estrategia y programa de administracin de la continuidad del negocio de su organizacin?
Nuestro BMC est aprobado por la direccin Contamos con procedimientos para habilitar la continuidad de la infraestructura ICT (ej. plan de recuperacin ante desastres ICT) Contamos con procedimientos para habilitar la continuidad de los procesos crticos del negocio Contamos con procedimientos establecidos para proteger a nuestra gente ( ej. planes de evaluacin, plan de respuesta ante pandemias Contamos con procedimientos establecidos de administracin de crisis e incidentes Nuestro programa BCM cubre todos los procedimientos criticos del negocio Hemos identificado el tiempo de recuperacin requerido para los recursos crticos del negocio (ej. a travs de un anlisis de impacto...) Continuamente mejoramos nuestro BCM Nuestro programa BCM est bien documentado e incluye polticas, procesos, roles y responsabilidades Continuamente identificamos y evaluamos las amenazas y riesgos de continuidad del negocio Hemos establecido relaciones con los grupos de emergencia locales (ej. bomberos, polica, equipos de emergencias mdicas Continuamente monitoreamos y reportamos los riesgos, problemas, estatus, e iniciativas relacionadas con nuestro BCM No tenemos un programa BCM Muestra: porcentaje de encuestados 17% 20% 21% 38% 16% 14% 18% 33% 56% 29% 55% 26% 29% 26% 55% 27% 53% 36% 49% 23% 49% 47% 39% 55% 55%

34%

Global

Mxico

XIV Encuesta Global de Seguridad de la Informacin

Ver hacia el futuro

Enfocarse en lo fundamental
Los resultados de la encuesta de este ao sealan que el panorama de riesgos cambia a un ritmo acelerado. Debido a la eliminacin de las fronteras, los servicios y modelos de negocio en la nube, las organizaciones se preguntan cmo deben responder ante los riesgos nuevos y emergentes, y si deben revisar su estrategia. Resulta sorprendente que el 52% de los encuestados a nivel global y el 38% en Mxico cuente con una estrategia de seguridad documentada, y el 43% a nivel global y 19% en Mxico seale que su estrategia actual aborda sus riesgos adecuadamente. Adems, la mayora de los participantes (28% en Mxico y 56% a nivel global) seal que necesitan modificar su estrategia (23% en Mxico y 33% a nivel global) o investigar ms a fondo para poder entender los nuevos riesgos (5% en Mxico 23% a nivel global). Contar con un plan estratgico claramente definido y actualizado le demuestra a los lderes de la organizacin y a las partes interesadas que la organizacin cuenta con una visin y agenda clara para poder brindar y mejorar la seguridad. Esto llevar a la seguridad de la informacin de la niebla a la luz. Fomentar el nivel necesario de confianza, lo cual es un prerrequisito fundamental para poder hacer negocios en el mundo virtual de la actualidad.

Su organizacin cuenta con una estrategia documentada para la seguridad de la informacin para los prximos uno a tres aos?

Global
No S No respondi No

Mxico
S No respondi 1%

38% 52% 48% 61%

Muestra: porcentaje de encuestados

20

Ernst & Young

Cul de los siguientes enunciados describe mejor a la estrategia de seguridad de la informacin de su organizacin en relacin con el panorama de riesgos actual?
Nuestra estrategia actual de seguridad de la informacin aborda los riesgos adecuadamente Necesitamos modificar nuestra estrategia para abordar los nuevos riesgos Necesitamos investigar para poder entender los nuevos riesgos No consideramos que haya nuevos o mayores riesgos relacionados con estas tecnologas No contest 43% 19% 33% 23% 23% 5% 1% 1%

52%

Muestra: porcentaje de encuestados

Global

Mxico

56% de los encuestados a nivel global seal que su estrategia actual de seguridad de la informacin necesita ser modificada o requiere una investigacin adicional

Las soluciones puntuales han dejado de funcionar

Los resultados de este ao demuestran que ms de una tercera parte de los encuestados en Mxico (36%) seal que su organizacin recientemente adquiri soluciones de seguridad de la informacin que consideran que fallaron o no cumplieron adecuadamente. Las organizaciones estaran mejor atendidas si no siempre adquirieran las herramientas ms recientes y si mejor se enfocaran en lo fundamental. Siguen siendo una primera lnea de defensa crtica al atender las vulnerabilidades, fortalecer las configuraciones del sistema y configurar adecuadamente el software. Dichos programas de principios bsicos no son tan emocionantes como adquirir un software de millones de dlares o un nuevo aparato de seguridad verstil, pero han demostrado ser eficaces.

Nuevos riesgos emergentes: coaccin por correo electrnico

El dueo de un prspero sitio de internet experiment un ataque de Denegacin de Servicio (DoS, por sus siglas en ingls), en donde el sitio se cay durante una hora. La falta de una actividad comercial continua le ocasion daos y provoc que clientes preocupados le enviaran correos electrnicos para preguntarle cul era el problema. Le lleg otro correo electrnico de una organizacin de seguridad preocupada. Dicha empresa detect que su sitio se cay durante una hora, pero ofreci una solucin para su vulnerabilidad. A cambio de una tarifa no tan pequea como pago nico, garantiz que el sitio no sufrira otro ataque de DoS. Tambin mencion que si no pagaba, el da de maana se iba a caer el sitio por dos horas, el da siguiente por cuatro horas, y que el precio para arreglar el problema aumentara cada vez ms.

XIV Encuesta Global de Seguridad de la Informacin

21

Ver hacia el futuro (contina)

El 36% de los encuestados en Mxico seal que su organizacin recientemente adquiri soluciones de seguridad de la informacin que consideran que fallaron o no cumplieron adecuadamente
Su organizacin ha adquirido software y/o hardware para apoyar las iniciativas de seguridad de la informacin en los ltimos 18 meses que considere que fall o no cumpli adecuadamente?
No, toda nuestra tecnologa de seguridad de la informacin ha sido implementada de manera extitosa S 31% 36% 0% 3% 69% 60%

No respondi

Muestra: porcentaje de encuestados

Global

Mxico

22

Ernst & Young

El surgimiento de la administracin de riesgos de TI como un enfoque estructurado

Para poder administrar eficazmente los riesgos de TI en general, las empresas necesitan obtener una visin amplia e integral de todo el panorama de riesgos de TI. Esta perspectiva holstica le proporcionar a las empresas un punto de partida para ayudarles a identificar y manejar los riesgos y retos actuales de TI, as como aquellos que puedan surgir con el paso del tiempo. Esto permitir que la organizacin se enfoque en los riesgos ms importantes, en lugar de centrarse en soluciones puntuales. Cuando estudiamos los resultados de nuestra encuesta, el 84% de los encuestados a nivel global y 87% en Mxico seal que cuenta con un programa de administracin de riesgos de TI o considera implementarlo en los prximos 12 meses.

Su organizacin cuenta con un programa formal de administracin de riesgos de TI?

No, pero estamos considerando implementarlo los prximos 12 meses 28% 45% 31% 27% 25% 15%

S, contamos con un programa de administracin de riesgos de TI que ha existido por menos de tres aos S, contamos con un programa bien establecido de administracin de riesgos de TI que ha existido por ms de tres aos

87% de los encuestados en Mxico seal que cuenta con un programa de administracin de riesgos de TI o considera implementarlo dentro del prximo ao

No y no estamos considerando implementarlo

16% 12%

No contest
Muestra: porcentaje de encuestados

1% Global Mxico

Nuestra perspectiva
Revisar su estrategia de seguridad de la informacin para adecuarla al panorama de riesgos actual. En lugar de adquirir las herramientas ms recientes, concentrarse en lo fundamental. Implementar un enfoque estructurado y pragmtico en la administracin de los riesgos de TI para asegurar que aborde los riesgos importantes. Consideramos que un enfoque de administracin de riesgos de TI o de gobierno, riesgo y cumplimiento (GRC, por sus siglas en ingls) es una inversin futura clave para muchas organizaciones. Abordar el universo entero de riesgos de TI en su programa de riesgos de TI o de GRC, el cual abarca ms que solo la seguridad de la informacin.
23

XIV Encuesta Global de Seguridad de la Informacin

Resumen de hallazgos de la encuesta

Los datos se encuentran en todas partes: en el trabajo, en casa o en actividades de diversin. Estn en nuestras computadoras, televisiones, telfonos, automviles y aparatos. Durante dcadas, algunas de las organizaciones ms grandes del mundo han dependido de los datos para ayudarlos a manejar su negocio. Pero ltimamente muchas de las empresas ms grandes del mundo no solamente utilizan los datos, sino que son su negocio entero. A travs del cmputo mvil, el empleo de servicios basados en la nube y el vertiginoso aumento del uso de redes sociales provoca que esos datos siempre presentes estn cada vez ms en riesgo. Nuestra XIV Encuesta Global de Seguridad de la Informacin muestra que, a pesar de las presiones econmicas, muchos entrevistados reconocen la necesidad de salvaguardar y asegurar los datos. De hecho, los encuestados sealan que sus presupuestos de seguridad de la informacin aumentan. Sin embargo, la encuesta tambin demuestra que el hecho de reconocer los retos que presentan las nuevas tecnologas no siempre significa que se tomarn las acciones adecuadas para abordar dicho riesgo. La encuesta revel una brecha creciente entre las necesidades de negocio y las habilidades de los esfuerzos correspondientes de seguridad de la informacin. Queda claro que ahora es el momento de llenar esa brecha con un plan estratgico y eficaz de seguridad de la informacin que se enfoque menos en las soluciones a corto plazo y ms en una visin holstica integrada con objetivos corporativos estratgicos de largo plazo.

24

Ernst & Young

Resumen El 63% de los encuestados en Mxico y 72% a nivel global observa un aumento en el nivel de riesgo debido a mayores amenazas externas. El 50% de los encuestados en Mxico y 49% a nivel global seal que la funcin de seguridad de la informacin es cumplir con las necesidades de la organizacin.

Prevencin de la prdida de datos El 65% de los encuestados en Mxico y 66% a nivel global no ha implementado herramientas de prevencin de prdida de datos. El 62% de los encuestados en Mxico y 74% a nivel global ha definido una poltica para la clasificacin y el manejo de los datos sensibles como una medida de control para el riesgo de fuga de datos.

Cmputo mvil El 76% de los encuestados en Mxico y 80% a nivel global pretende adoptar, evala o actualmente utiliza las tablet PC. El 56% de los encuestados en Mxico y 57% a nivel global ha hecho cambios a su poltica para mitigar los riesgos relacionados con los riesgos de cmputo mvil.

Administracin de la continuidad del negocio Por segundo ao consecutivo los encuestados sealaron que la continuidad del negocio es su prioridad principal de inversin.

Administracin de Riesgos de TI El 56% de los encuestados a nivel global indic que su estrategia actual de seguridad de la informacin necesita modificarse o requiere investigacin adicional. Para el caso de Mxico este dato representa el 28%. El 36% de los encuestados en Mxico y 31% a nivel global dijo que su organizacin recientemente adquiri soluciones de seguridad de la informacin que consideran que fallaron o no cumplieron adecuadamente. El 88% de los encuestados en Mxico y 84% a nivel global mencion que cuenta con un programa de administracin de riesgos de TI o considera implementar uno en los prximos 12 meses.

Cmputo en la nube El 57% de los encuestados en Mxico y 61% a nivel global actualmente utiliza, evala o planea utilizar servicios de cmputo en la nube dentro del prximo ao. Casi el 90% de los encuestados considera que la certificacin externa aumentara su confianza en el cmputo en la nube. nicamente 50% de los encuestados en Mxico opina de forma similar.

Redes sociales El 44% de los encuestados en Mxico y casi el 40% a nivel global calific los asuntos relacionados con redes sociales como desafiantes. Ms de la mitad de los encuestados (56% para el caso de Mxico y 53% a nivel global) ha bloqueado o limitado el acceso a los sitios de redes sociales como un control para mitigar los riesgos relacionados con estas.

XIV Encuesta Global de Seguridad de la Informacin

25

Enfoque de la encuesta
La XIV Encuesta Global de Seguridad de la Informacin de Ernst & Young fue creada con la ayuda de nuestros clientes de Aseguramiento y Asesora de Negocios. La encuesta de este ao se llev a cabo entre junio y agosto de 2011. Participaron cerca de 1,700 organizaciones de las industrias ms importantes en 52 pases.

Encuestados por regin

7% 29%

Metodologa

20%

Amricas EMEIA

Nuestra encuesta no es solo otro sondeo en lnea que cualquier persona puede contestar. Invitamos a participar a los CIO, CISO y otros profesionales y ejecutivos de seguridad de la informacin. El cuestionario se reparti a profesionales especficos de Ernst & Young de cada pas, junto con instrucciones para una administracin congruente del proceso de la encuesta. La mayora de las respuestas de la encuesta se recopilaron durante entrevistas en persona. Cuando esto no fue posible, el cuestionario se realiz en lnea. Si desea participar en la XV Encuesta Global de Seguridad de la Informacin de 2012 de Ernst & Young, contacte a su oficina local de Ernst & Young o ingrese a www.ey.com y llene una breve solicitud.

Japn 44%

Muestra: porcentaje de encuestados

26

Ernst & Young

Encuestados por industria

Administracin de activos Aeroespacial y de defensa Aerolneas Automotriz Banca y mercados de capital Bienes races Capital privado Ciencias de la vida Electricidad y servicios pblicos Firmas de servicios profesionales Gobierno y sector pblico Mayoreo y menudeo Medios y entretenimiento Minera y metales Otros Petrleo y gas Productos de consumo Productos industriales diversificados Qumicos Residencias privadas Seguros Servicios de cuidado Tecnologa Telecomunicaciones Transportes
Muestra: nmero de encuestados

40 8 11 54 341 52 2 40 58 45 131 104 48 26 57 26 98 99 36 2 143 31 119 68 44

XIV Encuesta Global de Seguridad de la Informacin

27

Enfoque de la encuesta
Encuestados por industria

Ejecutivo de tecnologa de la informacin Oficial de la informacin Ejecutivo de seguridad de la informacin Oficial de seguridad de la informacin Oficial de seguridad Director/Gerente de auditora interna Oficial de tecnologa Administrador de red/sistema Ejecutivo/Vicepresidente de la unidad de negocios Oficial de operaciones Oficial de riesgo Oficial de finanzas Oficial de cumplimiento Otro
Muestra: nmero de encuestados

295 294 230 215 81 38 34 24 14 13 11 10 7 417

28

Ernst & Young

Encuestados por ingresos anuales (USD)

Menos de 100 millones de USD USD mil millones - USD 9.9 mil millones USD 100 millones - USD 249 millones USD 250 millones - USD 499 millones USD 500 millones - USD 999 millones No aplica (sin fines de lucro, gobierno, etc.) USD 10 millones - USD 3.9 mil millones Ms de USD 24 mil millones 165 163 120 98 94 221

418 404

Muestra: nmero de encuestados

XIV Encuesta Global de Seguridad de la Informacin

29

Perspectivas relacionadas
Liderazgo intelectual en ey.com/mx/publicaciones

Cambios en el panorama de los riesgos de TI

Los riesgos de seguridad presentados por el cmputo mvil, el cmputo en la nube, medios sociales y pagos en lnea son un tema crtico para los inversionistas, reguladores, accionistas y ejecutivos. Un programa estratgico de administracin de riesgos de TI ayuda a abordar los riesgos de TI de acuerdo con los objetivos corporativos estratgicos, y ayuda a establecer una cultura de riesgo al proporcionarle a la administracin una perspectiva holstica y para toda la empresa.

Proteger y fortalecer su marca

Las redes sociales han reinventado la relacin entre las compaas, clientes, empleados, proveedores y reguladores, acortando los procesos que antes tardaban das o semanas a tan solo horas o minutos. Las redes sociales incrementan las eficiencias en sus cadenas de suministro. Otras compaas estn utilizando las redes sociales para crear nuevos modelos de negocios y nuevos tipos de relaciones con los clientes, empleados, inversionistas y otras partes interesadas.

Listos para despegar

Muchas organizaciones estn considerando utilizar la computacin en nube para aumentar la eficacia de las iniciativas de TI, reducir costos de las operaciones internas, aumentar la flexibilidad operativa y crear una ventaja competitiva. Mediante una estrategia eficiente, la computacin en nube podra permitir que muchas compaas hagan mucho ms con TI al enfocarse en estrategias y no en las operaciones. Los servicios basados en la nube son giles y adaptables, ya que mejoran la capacidad de leer y reaccionar a las condiciones cambiantes del mercado, al responder a las necesidades de los clientes y a las acciones de la competencia.

Administracin eficiente de activos de software

Muchos directores de TI se estn dando cuenta de que sus proveedores de software se han vuelto ms diligentes para asegurar el cumplimiento por parte de sus clientes. Los lderes de TI, altos ejecutivos y accionistas actualmente esperan cada vez ms de sus inversiones, incluyendo aquellas que dependen de las funciones de TI. En un ambiente de impulso global por contar con un mejor desempeo, una eficiente administracin de activos de software puede tener un impacto positivo considerable al ayudar a disminuir los gastos relacionados con las licencias, administrar mejor los riesgos vinculados con el cumplimiento y mejorar las eficiencias operativas generales.

Un enfoque basado en riesgos para la segregacin de funciones

La segregacin de funciones es un tema prioritario para muchos profesionales a nivel global. Dicho inters responde en parte a los reglamentos impulsados con un enfoque en los controles y a la responsabilidad a nivel ejecutivo por lograr su implementacin exitosa. Con un enfoque basado en riesgos se puede lograr que este esfuerzo sea manejable para una compaa de cualquier tamao.

30

Ernst & Young

XIV Encuesta Global de Seguridad de la Informacin

31

Acerca de Ernst & Young

En Ernst & Young, nuestros servicios en Asesora de Negocios se enfocan en las necesidades y problemas especficos del negocio de cada uno de nuestros clientes, porque reconocemos que cada necesidad y problema es exclusivo de ese negocio. Las Tecnologas de Informacin (TI) son un habilitador fundamental para que las organizaciones compitan en el entorno actual de negocios globales. Las TI ofrecen la oportunidad de acercarse ms y de responder con mayor rapidez a los clientes, lo cual puede mejorar considerablemente tanto la eficacia como la eficiencia de las operaciones. Pero a medida que las organizaciones ingresen a la nube y utilicen las nuevas tecnologas, los riesgos tambin aumentan. Nuestros 6,000 profesionales en riesgos y aseguramiento recurren a nuestra vasta experiencia personal para darle nuevas perspectivas y asesora objetiva y abierta, donde quiera que se encuentre en el mundo. Consideramos que las TI son tanto un negocio como un habilitador de negocios. Las TI son fundamentales para ayudar a los negocios a mejorar continuamente su desempeo y a mantener dichos avances en un entorno de negocios rpidamente cambiante. Ms all de las TI, nuestros otros profesionales en Asesora ofrecen su experiencia proveniente de trabajar con las organizaciones ms importantes para ayudarle a lograr mejoras medibles y sostenibles en el desempeo de su negocio. Reunimos equipos multidisciplinarios, utilizamos una metodologa congruente, enfoques y herramientas comprobadas, recurrimos al amplio alcance, habilidades y experiencia globales de Ernst & Young. Posteriormente trabajamos para darle el beneficio de nuestra amplia experiencia en el sector, nuestro profundo conocimiento del tema y las perspectivas ms recientes de nuestro trabajo a nivel global. As es como Ernst & Young marca la diferencia. Para obtener ms informacin acerca de cmo podemos marcar la diferencia en su organizacin, por favor contacte al profesional de Ernst & Young en su localidad o a cualquiera de las personas incluidas en la lista que se encuentra en la siguiente pgina.

32

Ernst & Young

Contactos
Carlos Chalico LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDA Socio en Asesora de Negocios carlos.chalico@mx.ey.com Tel. +52 (55) 1101 6414 Eliud Elizondo Gerente en Asesora de Negocios eliud.elizondo@mx.ey.com Tel. +52 (81) 8152 1844

XIV Encuesta Global de Seguridad de la Informacin

33

Ernst & Young Aseguramiento | Asesora de Negocios | Fiscal-Legal | Fusiones y Adquisiciones Acerca de Ernst & Young Ernst & Young es un lder global en servicios de aseguramiento, asesora de negocios, servicios fiscales, legales y transaccionales. A nivel mundial, nuestros 152,000 profesionales estn unidos por los mismos valores y un compromiso slido hacia la calidad. Marcamos la diferencia al ayudar a nuestra gente, clientes y comunidades a lograr su potencial. Para obtener ms informacin acerca de nuestra organizacin, por favor visite el sitio www.ey.com. Acerca de los Servicios de Asesora de Ernst & Young La relacin entre la mejora en el desempeo y los riesgos es un reto cada vez ms complejo y primordial para los negocios, ya que su desempeo est directamente relacionado con el reconocimiento y manejo eficaz del riesgo. Ya sea que su enfoque sea en la transformacin del negocio o en mantener los logros, contar con los asesores adecuados puede marcar la diferencia. Nuestros 25,000 profesionales en asesora forman una de las redes globales ms extensas de cualquier organizacin profesional, la cual integra a equipos multidisciplinarios y experimentados que trabajan con nuestros clientes para brindarles una experiencia poderosa y de gran calidad. Utilizamos metodologas comprobadas e integrales para ayudarles a alcanzar sus prioridades estratgicas y a efectuar mejoras que sean sostenibles durante un mayor plazo. Entendemos que para alcanzar su potencial como organizacin requiere de servicios que respondan a sus necesidades especficas; por lo tanto, le ofrecemos una amplia experiencia en el sector y profundo conocimiento sobre el tema para aplicarlos de manera proactiva y objetiva. Nos comprometemos a medir las ganancias e identificar en dnde la estrategia est proporcionando el valor que su negocio necesita. As es como Ernst & Young marca la diferencia. 2012 EYGM Limited. Todos los Derechos Reservados. CLAVE: SDN001
De acuerdo con el compromiso de Ernst and Young de minimizar su impacto en el medio ambiente, este documento se imprimi en papel con un alto contenido reciclable. Esta publicacin contiene informacin en forma de resumen y, por lo tanto, su uso es slo para orientacin general. No debe considerarse como sustituto de la investigacin detallada o del ejercicio de un criterio profesional. Ni EYGM Limited, ni ningn otro miembro de la organizacin global de Ernst & Young acepta responsabilidad alguna por la prdida ocasionada a cualquier persona que acte o deje de actuar como resultado de algn material en esta publicacin. Para cualquier asunto en particular, deber consultar al asesor apropiado. www.ey.com/informationsecurity