Resultados de la Encuesta Global de Seguridad de la ... · PDF filede seguridad...
Transcript of Resultados de la Encuesta Global de Seguridad de la ... · PDF filede seguridad...
Resultados de la Encuesta Global de Seguridad de la Información
www.pwc.com/ar
Advisory2016
2
Introducción
Nos complace presentarles los resultados de la Encuesta Global de Seguridad de la Información 2015 de PwC.
Comprende un estudio mundial realizado por PwC y las revistas CIO Magazine y CSO Magazine. La investigación se llevó a cabo del 7 de Mayo al 12 de Junio de 2015.
Los resultados presentados en este informe se basan en la respuesta de más de 10.000 ejecutivos incluyendo CEOs, CFOs, CIOs, CISOs, SCOs, VPs y directores de IT y seguridad.
En cuanto al nivel de participación, el 37% de los encuestados son de América del Norte, 30% de Europa, 16% de Asia y el Pacífico, 14% de América del Sur y el 3% del Medio Oriente y África.
De los encuestados a nivel global el 3,43% fue de Argentina, representando un total de 345 respuestas.
Este año los resultados muestran que los ejecutivos están poniendo especial foco en la necesidad de financiar las actividades de seguridad de la información y han mejorado medidas de protección tecnológicas, procesos y estrategias.
37%16%
30%
3%
14%
América del Norte
Europa
Asía y el Pacífico
América del Sur
Medio Oriente y África
Nivel de participación
2016 - Resultados de la encuesta global sobre Seguridad de la Información 3
Año tras año los ataques cibernéticos continúan creciendo en términos de frecuencia, severidad e impacto, resultando cada vez más ineficientes, los métodos para la prevención y detección. Muchas organizaciones no saben qué hacer o no cuentan con los recursos necesarios para combatirlos.
Aumento de riesgos
16% 38%Aumento de incidentesdetctados que afecta ala seguridad de lainformación
4
Un programa de ciberseguridad efectivo, comienza con una estrategia y fundamentos basados en riesgos. Es por ello que la mayoría de las compañías ha adoptado la implementación de uno o varios frameworks.
Los dos frameworks más utilizados dentro del marco de la ciberseguridad son, la norma ISO 27001 y el Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology).
Los frameworks permiten a las organizaciones, identificar y priorizar riesgos, evaluar la madurez de sus prácticas en ciberseguridad y mejorar la comunicación tanto interna como externa.
Los beneficios de la utilización de frameworks
Beneficios de la ciberseguridad basada en frameworks
49% 47% 45%
Capacidad de identificar y priorizar riesgos
Capacidad de detectar y mitigar incidentes de
seguridad rápidamente
Datos sensibles resguardados de
forma segura
Capacidad de identificar y priorizar riesgos
Capacidad de detectar y mitigar incidentes de seguridad rápidamente
Datos sensibles resguardados de forma segura
Comprensión de las brechas de seguridad y cómo mejorarlas
Mejora tanto en la colaboración interna como en la externa y la comunicación
de incidentes
49%
37%
47%
32%
45%
91%Ha adoptado un marcode ciberseguridadbasado en el riesgo
2016 - Resultados de la encuesta global sobre Seguridad de la Información 5
Los sistemas basados en la nube han surgido en los últimos años y se han convertido en una herramienta, ya que los proveedores de dichos servicios, han invertido en tecnologías avanzadas para la protección de datos, privacidad, conectividad segura y un mejor control de accesos.
Para la mayoría de los encuestados, estos servicios sirven para proteger los datos sensibles y reforzar la privacidad, incluyendo el monitoreo y análisis en “real time” de posibles vulnerabilidades, y comportamientos anómalos, entre otros.
El poder de la ciberseguridad en la nube
Adopción de servicios cloud basados en la ciberseguridad
56% 55%48%
47% 44%
Monitoreo yanálisis en tiempo real
Autenticaciónavanzada
Administración deidentidad y acceso
Inteligenciafrente a amenazas
Protección de“End of point”
69%Utiliza servicios deciberseguridadbasados en la nuve
6
El impacto de “Big Data”Muchas organizaciones están aprovechando el análisis que proporciona “Big Data” para modelar y monitorear problemas de ciberseguridad, responder ante incidentes y auditar y revisar los datos para comprender cómo y cuándo utilizarlos.
Beneficios de la ciberseguridad
61% 49% 41% 40% 39%
Mejor comprensiónde las amenazas
externas
Mejor comprensiónde las amenazas
internas
Mejor comprensióndel comportamiento
de los usuarios
Mayor facilidadpara la detección
de anomalíasen las redes
Mejora en la capacidadpara identificar y
responderrápidamente
2016 - Resultados de la encuesta global sobre Seguridad de la Información 7
Reemplazo de contraseñas por sistemas de autenticación avanzados
Hoy en día, la mayoría de las contraseñas son consideradas poco seguras. Es por esto que muchas organizaciones están recurriendo a mecanismos de autenticación avanzada para ayudar a controlar el acceso y así, aumentar la confianza de sus clientes.
Particularmente los bancos están adoptando los conceptos “one-time-password” (se le envía a sus clientes contraseñas que son válidas una única vez) y el “two-factor-authentication”, basado en la generación de códigos numéricos de manera aleatoria para el acceso a sus cuentas.
Beneficios de la autenticación avanzada
91%Utilizaautenticaciónavanzada
Mejora en la confianza cliente/ empresa en términos de seguridad y privacidad
Protección premium contra posibles fraudes
Transacciones online más seguras
Mejoras en la experiencia de los clientes
Mejoras en el cumplimiento normativo
50%
39%
45%
38%
44%
44%45%50%
8
Socios en ciberseguridad
A medida que las empresas comparten datos con socios, clientes y otras organizaciones resulta indispensable que acudan a la colaboración de terceros para evitar amenazas de ciberseguridad.
De hecho, el número de organizaciones que colaboran con otras organizaciones ha aumentado durante los últimos 3 años debido a sus múltiples beneficios.
Beneficios de la ciberseguridad basados en datos
56% 46% 42% 40% 37%
Comparte y recibeinformación deotras empresas
del sector
Comparte y recibeinformación del
ISACs
Mejora de lainteligencia
sobre las amenazas
Comparte y recibeinformación
de entesgubernamentales
Comparte y recibeinformación deentes judiciales 1
1 ISACs: Information Sharing and Analysis Center: es una organización sin fines de lucro que procesa y brinda información acerca de ciber crímenes.
2016 - Resultados de la encuesta global sobre Seguridad de la Información 9
Aquello que no puede ser protegido, puede ser aseguradoCompartir información e implementar tecnologías avanzadas de ciberseguridad no va a detener todos los ciber ataques, debido a que siempre se encuentran nuevas maneras para evadir la protección. Es por eso que, muchas empresas están contratando seguros para poder mitigar el impacto financiero. De hecho, el seguro de ciberseguridad es uno de los sectores que más ha creciendo dentro de la industria aseguradora.
Los seguros de ciberseguridad cubren destrucción de datos, ataques de negación de servicios, robos y extorsión, respuesta a incidentes y remediación, investigación y auditoría de ciberseguridad. La industria está haciendo esfuerzos por ampliar su servicio e incluir seguros que cubran el valor de pérdida de la propiedad intelectual, reputación e imagen de marca.
Además de la mitigación de los riesgos financieros, las compañías que adquieren un seguro frente a ciber delitos, están comenzando a obtener una mejor comprensión acerca del tema. Esto es porque las aseguradoras requieren una cuidadosa evaluación de las capacidades y riesgos actuales como condición previa al establecimiento de la póliza. Estas evaluaciones pueden ayudar a las empresas a predecir mejor sus riesgos legales y jurídicos, los costos de respuesta y el potencial daño a la marca.
“Las empresas deben entender que no serán capaces de asegurar todo el riesgo de pérdida debido a que el
mercado aún no cuenta con la oferta necesaria”.
Incidentes cubiertos por seguros de ciberseguridad
Información de la identificación personal
Datos de tarjetas de pago
Propiedad intelectual/ Secretos de negocio
Daños a la reputación de la marca
Respuesta a incidentes
47%
36%
41%
31%
38%
59%Ha contratadoseguro deciberseguridad
47%
10
“Hoy, un líder en seguridad es un administrador general con experiencia en comunicación, presentación y negocios, en resumen, todas las habilidades que se esperan de un director de operaciones”.
Involucramiento de ejecutivos y directorio en ciberseguridad
Los avances tecnológicos que se avecinan prometen contener ciber amenazas que, hoy en día, son inmanejables. Poner el foco sólo en los avances técnicos, puede desviar la atención que requiere el desarrollo de las competencias y la formación de las personas sobre la materia.
Es más probable alcanzar dicho nivel de responsabilidad cuando el líder en seguridad de la información de la empresa reporta directamente al CEO u otro ejecutivo encargado de supervisar y gestionar el riesgo y la estrategia.
Tiene un CISO2
a cargo delprograma de
seguridad
54%
Habilidades y competencias de los líderes de seguridad de la información
43% 43% 41% 36% 35%
Comunica directamentea los líderes ejecutivos
información acercade la seguridad de losriesgos y estrateguas
Enfoque de laseguridad de la
información como untema de gestión de
riesgos de laempresa
Entiende losproblemas delnegocio de la
organización y elentorno
Colabora con gruposde interés para
entender problemasy necesidades del
negocio
Proporcionaactualizaciones sobre
riesgos deseguridad de lainformación al
Directorio, al menos,cuatro veces al año
2 CISO (Chief Information Security officer): oficial principal de seguridad de la información
2016 - Resultados de la encuesta global sobre Seguridad de la Información 11
Otro punto importante a destacar es que los ataques de seguridad informática producen daños que afectan a toda la empresa, ya sea en las operaciones, reputación y, por lo tanto a los ingresos. Es por ello, que los directores lo han definido como un tema de riesgo altamente estratégico.
En cuanto al presupuesto de seguridad informática, alcanzó un incremento del 24%. Otros resultados notables, citado por los encuestados, son la identificación de los principales riesgos, el fomento de una cultura organizacional basada en la seguridad y una mejor alineación de la seguridad cibernética con los objetivos del negocio
Participación del Directorio en la seguridad de la información
45%Directorio
participa enla estrategia
general deseguridad
2014 2015
40%
46%
Presupuestode seguridad
42%
45%
36%
41%
30%
37%
25%
32%
Estrategia globalde seguridad
Políticasde seguridad
Tecnologíasde seguridad
Revisión de riesgosde seguridad y
privacidad
12
Due diligence de seguridad informática ante fusiones y adquisiciones
Un modo que escogen los atacantes para lograr su objetivo es burlar la seguridad informática de pequeñas compañías debido a su estructura generalmente sencilla. Luego esperan el momento en que éstas sean adquiridas por organizaciones de mayor volumen para lanzar su principal ataque. Es por eso que realizar un Due Diligence acerca de la seguridad informática de las compañías está cobrando un rol protagónico.
Durante la evaluación de los riesgos de seguridad informática, tres áreas deben ser consideradas:
1 Países donde las compañías tienen sede y operan
2 Industrias en las que opera la organización
3 Prácticas de seguridad individuales de la compañía y el historial de incidentes
2016 - Resultados de la encuesta global sobre Seguridad de la Información 13
El futuro de la seguridad informática
A medida que las tecnologías evolucionan, los atacantes mejoran sus habilidades.
Las vidas personales serán cada vez más digitalizadas, creando una mayor avalancha de datos que puede ser recopilada, analizada y potencialmente comprometida. Las empresas seguirán generando y compartiendo más información acerca de las personas. Es por eso que deben estar mejor preparadas para afrontar estos riesgos, y aún más para el fenómeno “Internet of Things (IoT)” que se avecina.
14
Apéndice A 15
Apéndice A: Respuesta al aumento de ciber riesgos
16
Global América del Sur Argentina
Aumento de incidentes de seguridad detectados en 2015
Aumento del impacto a causa de incidentes de seguridad en 2015
Aumento del presupuesto en seguridad de la información en 2015
Aumento de pérdidas financieras a causa de incidentes de seguridad
38%
50%
24%
-5%
109%
18%
58%
44%
7%
21%
137%
56%
Apéndice A 17
Argentina 2015 Argentina 2014 América del Sur 2015 América del Sur 2014 Global 2015 Global 2014
Empleados actuales Proveedores de servico actuales
Ex empleados Ex proveedores de servicio
Socios del negocio
Fuentes de los incidentes de seguridad
25%
29%
35%
35%
34% 35
%
33%
46%
37% 39
%
29%
30%
22% 23
%
23%
24%
22%
18%
24%
22%
18%
11%
19%
15%
19%
10%
17%
17%
16%
13%
18
Adopción de iniciativas estratégicas en seguridad
Implementación de garantías de seguridad
69%Ciberseguridad
basada enla nube
59%Análisis de
Big Data
59%Seguro de
ciberseguridad
91%Framework de
seguridad basadaen el riesgo 65%
Colaboraformalmente
con otros
Estrategia de seguridad de la
información
Normas de seguridad para terceros
Estrategia de seguridad de información
Capacitación en seguridad
Ciso a cargo del programa de
seguridad
Capacitación en seguridad
49%
46%
44%
56%
53%
53%
58%
49%52
%
42%
34%
52%53
%
48%
48%
43%
54%56
%
Global América del Sur Argentina
Muchas organizaciones están incorporando iniciativas estratégicas para mejorar la
seguridad y reducir riesgos.
Apéndice A 19
Forrester Research reconoció en 2009 a PwC como líder mundial en áreas de Seguridad de la Información y Consultoría de Riesgos de Tecnología:
“PwC ofrece una práctica de seguridad madura, que se encuentra integrada con la privacidad y la gestión de los riesgos en una sola estructura. La compañía tiene una fuerte presencia global de empleados y clientes, focalizándose generalmente en emprendimientos de gran escala. En nuestra evaluación, PwC también ha obtenido los mejores puntajes en materia de administración de clientes y cuentas”.
The Forrester Wave™: Security Consulting.
En PwC Argentina, contamos con una práctica que tiene más de 15 años en el mercado. La misma está compuesta por profesionales con vasta experiencia y diversidad de conocimientos en materia de seguridad de la información, especializados por industria, plataforma y aplicación.
Contamos además con un laboratorio de seguridad especialmente diseñado para llevar a cabo estudios de seguridad y análisis.
Asimismo, asistimos a nuestros clientes en:
• Cyber-security: Modelado de ciber-amenazas, Ejecución de Cyber-ejercicios, Cyber-intelligence
• Pruebas de intrusión (Ethical Hacking)
• Implantación de soluciones de gestión de identidades y accesos
• Investigaciones forenses en el campo de la seguridad informática
• Cumplimiento normativas: PCI DSS, SOX, Ley de protección de datos personales y BCRA 4609/A
• Alineación con estándares ISO 27001, BS25999, ISO22301, COBIT e ITIL
• Revisiones de seguridad de sitios web, aplicaciones, tecnologías de base, seguridad física y patrimonial
• Estudios de vulnerabilidades de plataformas
• Testeo de seguridad de soluciones específicas
• Implantación de esquemas de seguridad para diversas tecnologías y plataformas
• Simulación de ambientes informáticos
• Pruebas de software y herramientas de seguridad
• Medición de Audiencia Online
• Desarrollo de infraestructuras PKI
• Implantación de VPNs
• Definición de planes de respuesta ante incidentes
• Desarrollo e implantación de planes de continuidad del negocio
• Elaboración de estrategia y plan de seguridad
Acerca de nuestros servicios en Seguridad de la Información
© 2016 En Argentina, las firmas miembro de la red global de PricewaterhouseCoopers International Limited son las sociedades Price Waterhouse & Co. S.R.L, Price Waterhouse & Co. Asesores de Empresas S.R.L. y PwC Legal S.R.L, que en forma separada o conjunta son identificadas como PwC Argentina.
Contactos
Oficinas
Enzo Taibi | Socio(54 11) 4850 - [email protected]
Diego Taich | Director(54 11) [email protected]
Buenos AiresBouchard 557, Piso 7°(C1106ABG) Buenos Aires Tel.: (54 11) 4850-0000 Fax: (54 11) 4850-1800
CórdobaAv. Colón 610, Piso 8°(X5000EPT) CórdobaTel.: (54-351) 420-2300Fax: (54-351) 420-2332
Mendoza9 de Julio 921, Piso 1°(M5500DOX) MendozaTel.: (54-261) 429-5300Fax: (54-261) 429-5300 (int. 1116)
RosarioMadres de Plaza 25 de Mayo 3020, Piso 3°(S2013SWJ ) RosarioTel.: (54-341) 446-8000Fax: (54-341) 446-8016