Crear confianza en el mundo digital - Building a better ... | Encuesta Global sobre Seguridad de la...
Transcript of Crear confianza en el mundo digital - Building a better ... | Encuesta Global sobre Seguridad de la...
Perspectivas sobre gobierno corporativo, riesgo y cumplimiento
Crear confianza en el mundo digital
Encuesta Global sobre Seguridad de la Información de EY de 2015
Contenido
Bienvenidos 1
Los ataques actuales en el mundo digital 3
¿Cómo se desarrollan los ataques? 10
¿Por qué las empresas continúan siendo tan vulnerables? 16
El cambio hacia la Defensa Activa 20
Utilizar la ciberseguridad como habilitador digital 28
Metodología del reporte 30
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 1
Bienvenidos a Crear confianza en el mundo digital: Encuesta Global de Seguridad de la Información (GISS, por sus siglas en inglés) de EY 2015, nuestra 18.a edición investiga los asuntos de ciberseguridad más importantes que actualmente enfrentan los negocios. Este año nos complace contar con la participación de 1,755 compañías en este informe basado en las perspectivas extraídas de los resultados y de la amplia experiencia global que adquirimos al trabajar con nuestros clientes al ayudarlos a diseñar sus estrategias de ciberseguridad.
El año pasado identificamos las formas en las que las compañías se mantienen un paso adelante del cibercrimen al seguir el enfoque de tres etapas: Activar, Adaptar y Anticipar. Este concepto aún es aplicable, pero debido a que los ciberatacantes cambian constantemente sus tácticas, aumentan su persistencia y amplían sus habilidades, la naturaleza de las ciberamenazas ha evolucionado. Los atacantes día con día encuentran nuevas y mejores formas de aprovecharse de la rápida expansión de la digitalización y la creciente conectividad de los negocios, así como de las formas en que nuestras vidas personales están cada vez más entrelazadas con las tecnologías móviles y el internet.
Si les cuesta trabajo entender cómo pueden manejar esta situación, no están solos – más de una tercera parte de los participantes de esta encuesta aún consideran que es poco probable que puedan identificar un ciberataque sofisticado – y con base en nuestro conocimiento, sabemos que solo las empresas que están más alerta podrán detectar las pequeñas anomalías que son indicadores de una violación a largo plazo.
La ciberseguridad es más que una cuestión de tecnología y no puede pertenecer únicamente al ámbito de las Tecnologías de la Información.
Tampoco puede ser responsabilidad solo de la alta Dirección, ya que afecta a todos los niveles de una compañía y a las diferentes áreas estratégicas que la integran. Por ello, este reporte analiza cómo deben trabajar conjuntamente las diversas partes de una empresa e intercambiar experiencias para poder acumular evidencia a fin de identificar componentes donde los atacantes logran obtener acceso y acumulan información que pudiera afectar el valor esencial de la organización.
Su objetivo debe continuar siendo mantenerse un paso adelante de los ciberatacantes, lo cual representa aprender a estar en un estado constante de Defensa Activa, concepto cuyo significado y aplicación explicamos en este documento así como las alternativas con las que cuenta EY para apoyarlo en este rubro.
Agradecemos a nuestros clientes por invertir su tiempo en completar esta encuesta y esperamos que disfruten leer el informe.
John DixSocio de Asesoría de Negocios
Bienvenidos
2 | Encuesta Global sobre Seguridad de la Información de EY de 2015
Entender los retos de la ciberseguridad El mundo digital está lleno de oportunidades de innovación y las empresas, gobiernos y personas han enfocado su atención en los beneficios más significativos. Al crear nuevos mercados y productos, así como un novedoso entendimiento de los consumidores y al encontrar formas diferentes de conectarnos con ellos, el mundo digital ofrece un enorme potencial.
Desafortunadamente, debido a la premura por llevar esto a cabo, varias medidas de precaución son ignoradas y los riegos subestimados. Por ello, darse cuenta de que hay un lado negativo y que el mundo digital también plantea posibilidades de explotación para los criminales y otros individuos que buscan provocar problemas, se convierte en un mensaje que ha llegado demasiado tarde a las compañías. Además de esto, comienzan a surgir consecuencias complejas e imprevistas debido a la interconectividad que hay entre la gente, las organizaciones y las “cosas”.
Para que las organizaciones reconozcan los retos actuales y entiendan lo que tienen que hacer, deben analizar a fondo cada una de estas cuatro áreas:
• No hay suficientes medidas de control en el entorno actual
• No hay mecanismos para adaptarse al cambio
• El enfoque proactivo es lento para neutralizar los ciberataques
¿Por qué las empresas continúan siendo tan vulnerables?
El cambio hacia la Defensa Activa
• ¿Qué es la Defensa Activa?
• ¿Qué debe mejorar con su implementación?
• ¿Cómo construirla?
¿Cómo se desarrollan los ataques? • ¿Cuáles son los peores
escenarios?
• ¿Cómo detectar las señales sutiles?
• ¿Por qué el estado de alerta máxima debe ser constante en una organización?
Los ataques actuales en el mundo digital• ¿Cómo cambia el
mundo?
• ¿Cuáles son las principales amenazas y vulnerabilidades?
• ¿Cómo enfrentar los ataques?
Los ataques actuales en el mundo digital
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 3
4 | Encuesta Global sobre Seguridad de la Información de EY de 2015
Los ataques actuales en el mundo digital
88%de los encuestados considera que su programa de seguridad de la información no cumple plenamente con las necesidades de la compañía.
¿Cómo cambia el mundo? Las organizaciones no tienen otra opción más que operar en este entorno cambiante, por lo que los gobiernos y medios de comunicación inevitablemente están enfocando cada vez más su atención en qué es lo que pasa cuando el ciberespacio se une con el mundo físico. Es inaceptable que los datos personales de clientes sean robados y utilizados, y se sabe que el robo de propiedad intelectual es perjudicial para las empresas, al igual que las pérdidas y los costos de remediación correspondientes. El hackeo y la manipulación de los medios de comunicación, tecnologías de información, administración gubernamental y sistemas de defensa son vistos como una amenaza significativa a la seguridad nacional.
Entonces ¿qué significa para ustedes y sus compañías sobrevivir en el mundo digital?
Las empresas deben ser vistas desde una dimensión cibernética y todas estas áreas deben considerarse:
Utilizar la ciberseguridad para generar oportunidades y sustentabilidad digitalDimensión de la empresa
Ret
os d
e la
em
pres
a
Estrategia, innovación y crecimiento
Cadena de suministro y operaciones
Riesgo y ciberseguridad
Gente y organización
Experiencia del cliente
Tecnología Finanzas, legal e impuestos
Impulsar la innovación
Establecer una red de
distribución digital más ágil
Administrar el riesgo a
medida que se transforma el
negocio
Crear una cultura diversa de la innovación y pensamiento Mejorar la
experiencia de los clientes mediante el aprovechamiento de
la tecnología
Optimizar el ecosistema digital
Automatizar los procesos y
controles
Desarrollar el entorno sin límites
Utilizar las nuevas tecnologías
para mejorar las operaciones
Entender los riesgos generales
de las nuevas tecnologías
Transformar el conocimiento
en toda la organización
Profundizar las relaciones con y perspectivas de
los clientes
Equilibrar la innovación
digital con el mantenimiento
de TI
Evaluar la eficacia
del modelo operativo fiscal
digital Entender las amenazas y
oportunidades
Responder rápidamente
ante cambios en el mercado
Brindar confianza y privacidad digitales
Integrar las tecnologías
digitales para empoderar a la
genteUtilizar la tecnología para
obtener una mejor integración entre
las funciones
Integrar las aplicaciones
de clientes con los sistemas
administrativos
Dirigir los requisitos legales
y regulatorios
Alinear el modelo operativo para el
mundo digital
Gestionar tanto los recursos
internos como los proveedores
terceros
Mantener el avance del
incremento de la privacidad
en los riesgos y ciberataques
Rediseñar la organización para acoplarse a la era
digital Reunir
inteligencia a través de puntos
de contacto y medios de
comunicación
Habilitar totalmente
los sistemas digitales
Digitalizar facturas y
documentos
Cat
aliz
ador
es d
e ac
eler
ació
n
El Internet de las Cosas
Sensores Analítica Social Inteligencia artificial
Móvil Impresión 3D Nube Ciber
en gastos de consumidores a través de medios móviles
antes de 2018.Fuente: Goldman Sachs 2014
626 mil millones de dólares
de las relaciones comerciales manejadas sin interactuar con
un humano antes de 2020.Fuente: Gartner Group 2011
de todos los dispositivos que algún día podrían integrarse a la red aún
se encuentran desconectados.Fuente: Cisco, Rob Soderbury 2013
de las compañías probablemente no detectarán un ciberataque
sofisticado.Fuente: Encuesta EY Global Info Sec 2015
de los altos ejecutivos aceptan que los datos deben estar al centro de
toda toma de decisiones.Fuente: EY Becoming an analytics-driven
organization to create value 2015
85% 99% 36% 81%
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 5
¿Cuáles son las principales amenazas y vulnerabilidades? Para que su organización pueda ocupar un lugar más seguro y sustentable en el mundo digital, es necesario contar con una perspectiva de riesgos cibernéticos para todo lo que hagan.
Las empresas adoptan un enfoque adecuado para administrar sus riesgos y vulnerabilidades, mismo que no debe exponerlas a amenazas mayores. Ésta no es una responsabilidad que pueda delegarse a una o dos personas; más bien, debe considerarse y detallarse como una responsabilidad individual en toda la organización y en su ecosistema general, en el que las partes interesadas deberán reunirse para formar una sola perspectiva coherente y accesible. Esta perspectiva será diferente para la Dirección, los altos ejecutivos y para los empleados, así mismo será diferente para los socios, proveedores y otros terceros.
El problema es lograr mantenerse a flote entre tantos datos y no crear más trabajo y riesgos. Por lo tanto, los involucrados deben priorizar, simplificar y planear lo que un enfoque de ciberseguridad integral y eficiente significa para su compañía en particular. Puede que los elementos básicos sean comunes (como se describe en nuestro enfoque de las tres A – ver www.ey.com/GISS2014), pero únicamente podrán obtener un verdadero valor al personalizar su enfoque de ciberseguridad con base en su estrategia comercial, riesgos y prioridades.
Para poder guiar de manera eficiente a su compañía por los diversos niveles de riesgos y amenazas, los líderes deben tener la confianza para establecer su apetito de riesgo y estar preparados para implementar medidas decisivas para hacer frente a cualquier desafío. Por ejemplo, un tema que se ha observado claramente en los últimos dos años es que el impacto de un incidente es reducido considerablemente por los dirigentes, quienes aseguran que cuentan con un manejo inteligente y adecuado de los incidentes cibernéticos y una comunicación eficaz tanto interna como externamente para afrontar los resultados.
Preguntas que deben considerar las compañías:• ¿Entienden plenamente las amenazas y vulnerabilidades del mundo digital?
• ¿Han hecho el análisis necesario para determinar cómo el panorama de amenazas aplica para sus compañías y estrategia? ¿Han priorizado las medidas de ciberseguridad en torno a esto?
• ¿Conoce su apetito de riesgo para determinar las pérdidas y daños aceptables e inaceptables de los posibles incidentes como parte del diseño de su programa de administración de respuestas en caso de violaciones cibernéticas?
Su transformación digital solo será sustentable cuando el apetito de riesgo se establezca a un nivel con el cual la Dirección se sienta cómoda, y que la empresa pueda alcanzar.
67%de los participantes no considera que administrar el crecimiento en los puntos de acceso de su compañía sea un reto de seguridad de la información en el Internet de las Cosas.
68%de los encuestados no piensa que monitorear los ecosistemas de sus negocios sea un reto de seguridad de la información en el Internet de las Cosas.
Los ataques actuales en el mundo digital
Operar en un mundo digital - ¿qué hay de nuevo?• Los servicios y dispositivos inteligentes dan lugar a consecuencias imprevistas y a una
aglomeración de datos, con lo que aumentan las vulnerabilidades para la explotación; los humanos a menudo no participan en los procesos de toma de decisiones.
• Mediante las redes sociales y el programa trae tu propio dispositivo (BYOD, por sus siglas en inglés), los empleados, clientes y ciudadanos siempre están activos y comparten información, por lo que no toman en cuenta todas las implicaciones que esto conlleva para la privacidad y confidencialidad.
• Las compañías almacenan más datos en la nube y con terceros; esto es atractivo pero peligroso, ya que con la pérdida de control, mayores amenazas y una conectividad inesperada, se crea un ecosistema complejo.
• El comportamiento humano cambia de forma tanto positiva como negativa.
• La gran cantidad de leyes y regulaciones nuevas generan modificaciones en los procesos. Esto a su vez, significa que se crean otras vulnerabilidades, lo cual cambia el panorama de amenazas y la superficie de ataque de una compañía (a menudo al ampliar y no reducir el peligro).
6 | Encuesta Global sobre Seguridad de la Información de EY de 2015
Vulnerabilidad
Relacionado con el uso de redes sociales
Relacionado con el uso de la computación en la nube
Relacionado con el uso de la computación móvil
Arquitectura o controles de seguridad de la información obsoletos
Acceso no autorizado
Empleados descuidados o inconscientes
Amenaza
Desastres naturales (tormentas, inundaciones, etcétera)
Espionaje (por ejemplo, por la competencia)
Ciberataques para robar propiedad intelectual o datos
Ataques internos (por ejemplo, por empleados descontentos)
Ciberataques para robar información financiera
Ciberataques para interrumpir o dañar a la empresa
Fraude
Spam
Ataques de día cero
Phishing (suplantación de identidad)
Software malicioso (por ejemplo, virus, gusanos y troyanos)
Clave: 1 2 3 4 5
6% 14% 31% 25% 23%
10%
10%
18% 28% 21% 23%
9%
9%
9%
9%
23%
22%
31% 22% 15%
16%
12%
15%
15%
16% 16%
16%
17%
15%
19%
18%
19%
20%
31%
36%
26% 32% 14% 9%
11% 23% 22% 35%
14% 24% 31%22%
13% 17% 26% 22% 21%
18%
18%
18%
32% 23%
23%
19%
19%
19%
19%
19%
18%
19% 25%
29%
12% 22% 28%
9% 19%
19%
36% 22% 13%
32%
19% 25% 29%
30%
16% 12%
27% 9%
¿Qué amenazas* y vulnerabilidades** han aumentado su exposición a riesgos en los últimos 12 meses? (Calificar los siguientes puntos, en donde uno tiene la prioridad más alta y cinco la más baja)
*Amenaza: posibilidad de acciones hostiles por parte de terceros del entorno externo.
**Vulnerabilidad: exposición a la posibilidad de sufrir daños o ataques.
Los ataques actuales en el mundo digital
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 7
Comparación entre 2015 y 2014 Si analizamos las dos vulnerabilidades principales:
• Empleados descuidados o inconscientes
• Arquitectura o controles de seguridad de la información obsoletos
En 2014, estas vulnerabilidades eran consideradas mayores y de la más alta prioridad, pero las organizaciones indican que el grado de vulnerabilidad ha disminuido en estas áreas. Actualmente, solo el 44% se siente vulnerable con relación a los empleados inconscientes, en comparación con el 57% en 2014. Por otro lado, el 34% se siente vulnerable debido a sus sistemas obsoletos, comparado con el 52% en 2014. Esto demuestra que las compañías cubren sus vulnerabilidades de manera más eficaz en la actualidad.
Sin embargo, cuando analizamos las dos principales amenazas actuales:
• Phishing (suplantación de identidad)
• Software malicioso
Estas amenazas ocuparon el quinto y séptimo lugar en 2014 y el robo de información financiera, de propiedad intelectual, la amenaza de fraude, el espionaje y los ataques de día cero en ese entonces eran señalados como más altas. Esta percepción exacerbada del phishing y software malicioso como amenazas demuestra un claro cambio de opinión, pero ¿es el cambio correcto o un desvío hacia la dirección equivocada?
57% 44%2014 2015
Actualmente, solo 44% se siente vulnerable en relación con empleados inconscientes, en comparación con 57% en 2014.
39% 44%2014 2015
44% considera que el phishing es la principal amenaza en la actualidad, en comparación con 39% en 2014.
34% 43%2014 2015
43% indica que el software malicioso es la amenaza primordial en la actualidad, en comparación con 34% en 2014.
52% 34%2014 2015
Solamente 34% se siente vulnerable debido a sistemas obsoletos, comparado con 52% en 2014.
Los ataques actuales en el mundo digital
8 | Encuesta Global sobre Seguridad de la Información de EY de 2015
¿Cómo enfrentar los ataques? Es un hecho que su compañía sufrirá incidentes cibernéticos, esto es parte del mundo digital.
El punto de partida para ganar confianza como compañía es estar al tanto de la situación; esto es tener un entendimiento de cómo perciben su empresa los ciberataques.
• ¿Cómo proteger la compañía de un incidente cibernético si no conocemos cual es el objetivo del atacante?
• ¿Cómo obtendrán acceso y cómo dañaría esto a la organización y a sus activos críticos?
• ¿Cómo mantener la confianza sin conocer plenamente la capacidad que tiene la empresa para responder, contener y recuperarse de un ataque?
Las compañías a menudo están familiarizadas con buenos principios de administración de riesgos, y esto es un punto de partida útil para pensar en la ciberseguridad:
Principios clave de administración de riesgos ...
... Aplicados a los riesgos cibernéticos
Conocer sus activos de información críticos Identificar los activos de negocio críticos que son vulnerables a los ciberataques.
Hacer que los riesgos cibernéticos sean más tangibles Definir claramente los riesgos cibernéticos y las métricas subyacentes.
Alinear los esfuerzos con los marcos de riesgo existentes Financieros, operativos, regulatorios, clientes, reputación, entre otros.
Otorgar la debida relevancia a los riesgos cibernéticos Vincular los riesgos a nivel organizacional a las unidades de negocio individuales y sus activos de información.
Integrar el apetito de riesgo en las decisiones de inversión Priorizar las inversiones en los puntos críticos, empoderar a los negocios para tomar decisiones a nivel local.
Lo más importante es el enfoque Alinear el negocio y la cultura de riesgo específicamente.
Medir y reportar Incluir declaraciones cualitativas y medidas cuantitativas.
Naturaleza integral Abarcar todos los tipos de riesgo, tanto actuales como futuros.
Identificar el apetito de riesgo Establecer el apetito de las unidades de negocio y determinar tipos de riesgo.
Integrar con la planeación del negocio Los reguladores buscan mayor evidencia de cumplimiento. 5
4
3
2
1
42%de los encuestados piensa que conocer todos sus activos críticos es un reto clave de la seguridad de la información.
Los ataques actuales en el mundo digital
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 9
Los ciberataques a menudo son anunciados como eventos sensacionalistas y dramáticos, es decir, violaciones masivas donde los sistemas y sitios se vuelven inoperables y resultan en inconveniencias o daños repentinos para los consumidores. Los titulares de la prensa enfocan su atención en los eventos a gran escala en los que los atacantes extraen la información de millones de cuentas, filtran grandes cantidades de información confidencial en línea, roban la propiedad intelectual y dañan los sistemas.
Sin embargo, la naturaleza repentina de estos titulares puede ser engañosa. La mayoría de estos ataques comenzaron semanas o meses antes, cuando los cibercriminales encontraron su punto de acceso y esperaron pacientemente para explorar, localizar activos valiosos y hacer sus planes.
Además, los ciberataques no son aislados, sin importar qué tan simples o complejos, dirigidos o aleatorios sean o parezcan ser. Estas primeras señales sutiles y el impacto acumulado de ataques repetidos deben entenderse e incluirse en su planeación y apetito de riesgo.
Apetito de arriba hacia abajo
Marco de abajo hacia arriba
Apetito organizacional
Asignados a las
unidades de negocio
Presupuesto Escenarios
Activos críticos
Definidos a nivel
organización
Equipo rojo: es un grupo que reta abiertamente a una compañía para mejorar su seguridad a través de ejercicios específicos, como pruebas de penetración, ingeniería social, entre otros.
Los ataques actuales en el mundo digital
20%de los encuestados no puede estimar los daños financieros totales relacionados con incidentes cibernéticos en los últimos 12 meses.
Priorizaciones con base en
• Apetito de riesgo
• Criticidad de los activos
• Alineación de pares
Entorno de control
• Requisitos de control alineados con la criticidad de los activos (p. ej., Nivel 1, Nivel 2, etc.)
• Equipo rojo, benchmarking, pruebas de control
• Evaluaciones de riesgo, registros, KRI
Identificar los riesgos reales
• Definir de arriba hacia abajo el apetito de riesgo y activos de información crítica.
• Mapear los activos críticos en todos los sistemas y negocios (incluye a terceros).
Priorizar lo más importante
• ►Asumir que ocurrirán brechas. Mejorar los controles y procesos para identificar, proteger, detectar, responder y recuperarse de ataques.
• Equilibrar lo fundamental con las amenazas emergentes y capacidades de pares.
Gobernar y monitorear el desempeño
• ►Evaluar con regularidad el desempeño y el riesgo residual.
• ►Medir los principales indicadores para identificar los problemas cuando aún son pequeños.
Optimizar inversiones
• ►Aceptar los riesgos manejables cuando no haya presupuesto.
• ►Asegurar que el impacto sobre costos y el negocio habitual sean considerados para toda inversión.
Habilitar el desempeño del negocio
• ►Fomentar que la seguridad sea responsabilidad de todos.
• ►No limitar el uso de nuevas tecnologías; utilizar la fuerza del cambio para implementarlas.
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 11
¿Cómo se desarrollan los ataques?
¿Cuáles son los peores escenarios? Para identificar que las cosas no están del todo bien, primero es importante conocer el entorno al derecho y al revés. Esto permitirá localizar los aspectos críticos para el éxito de la compañía, así como determinar cuáles podrían ser algunos escenarios de riesgo de negocio cibernético importantes, y tener una idea de los daños que habría si cierta información se perdiera o se viera comprometida. Lo anterior ayudará a priorizar las precauciones y crear contramedidas en torno a las áreas más críticas y contextos de ataque más probables.
Un ejemplo de un escenario de ataque es el siguiente:
Una violación cibernética puede ser muy sutil – varios incidentes suceden al mismo tiempo
Ingeniería social avanzada (p. ej., estafa focalizada por correo electrónico (spear-phishing), ataques de espionaje (water-hole attacks)
Recopilación sofisticada de inteligencia durante seis meses
Pleno conocimiento de las debilidades de la empresa – gente, procesos y tecnología
El efecto acumulado sobre una compañía puede ser enorme
Afecta las decisiones de negocio, fusiones y adquisiciones, así como la posición competitiva
Ventas Cadena de suministro
Investigación y desarrollo
Cuentas por pagar
La manipulación estratégica de ventas y sistemas de correo
electrónico dan lugar a una pérdida de ventas de 2% a 3% antes de los periodos de reporte trimestrales o
anuales.
La manipulación de cadenas de suministro y del sistema de pedidos en línea conlleva a la degradación de la producción y de la
recaudación de cuentas por cobrar, lo que representa una pérdida de ingresos proyectados de 2% a 3%.
Las áreas de mayor rentabilidad y los esfuerzos de desarrollo de productos
de crecimiento son robados, lo cual da como
resultado una pérdida de ventas y ventaja
competitiva.
Las dificultades artificiales resultan en pérdidas del valor en libros >30%
Los rumores en las redes sociales resultan en pérdidas de capital de mercado >50%
El fraude periódico de cuentas por pagar da lugar
a pérdidas de millones de dólares por año. La
liberación masiva de datos de privacidad genera una pérdida de confianza del público y costos legales
adicionales.
Impacto de devaluaciónLas compañías son abordadas por posibles benefactores del ciberataque para adquirir a la entidad en problemas a valor deteriorado.
MercadoEl valor de mercado disminuye artificialmente para obtener ganancias financieras y permitir la adquisición de acciones materiales en compañías que cotizan en la Bolsa a un valor deteriorado.
Una vez proyectado uno o más de los principales escenarios de riesgo cibernético y del negocio, es posible identificar qué áreas en la organización deben vigilarse más de cerca que otras:
• ¿Sospechan que utilizan en su contra propiedad intelectual robada, de acuerdo a las cifras de ventas en una región específica?
• A medida que se prepara para una fusión y adquisición importante, ¿detectan una caída en el valor de mercado?
• ¿Existen varias compañías terceras involucradas en un área crítica de su negocio?
Organizaciones criminales 59%
Empleados 56%
Hacktivistas 54%
Hacker solitario 43%
Contratistas externos que trabajan en nuestro sitio 36%
Atacante patrocinado por el estado 35%
Proveedores 14%
Otro socio de negocios 13%
Clientes 12%
Otros (favor de especificar) 3%
¿Quién o qué consideran es la fuente más probable de un ataque?
¿Ya están infiltrados?Debido a que los cibercriminales pueden pasar meses dentro de una compañía, buscando información que almacenarán para un ataque futuro o reuniéndola para lograr otro cometido, también crearán medidas para protegerse de los esfuerzos para detectarlos. En ocasiones crearán tácticas de distracción para despistar la atención de lo que hacen y del éxito que tuvieron algunas de sus misiones. A menudo estos criminales guardan los datos robados y no los utilizan durante algún tiempo; otras veces los comparten entre la comunidad cibercriminal (tal vez a cambio de dinero), lo cual significa una amenaza aún más directa para la empresa.
En ocasiones, estas exploraciones criminales dejan rastros y sacudidas que se sentirán, pero que fácilmente podrán pasar desapercibidas. Por lo general, estas señales son tan sutiles que los pequeños altercados en las operaciones o las fallas aparentemente insignificantes en los sistemas a menudo no se mencionan ni se reportan, por lo que no se logra obtener un panorama amplio de la situación. Aun cuando la ciberseguridad sea un tema pendiente en la agenda del Consejo Directivo, a menudo no será evidente que estos pequeños eventos inexplicables que cada ejecutivo enfrenta individualmente en su área respectiva formen parte de una violación cibernética más grande y sofisticada que tenga el potencial de causar daños enormes.
¿Cómo detectar las señales sutiles? Prestar más atención, esfuerzos de prevención y contramedidas en torno a las áreas de mayor valor y riesgo es un paso clave para minimizar el daño de los ciberataques. El hecho de poder detectar los ciberataques lo antes posible es la siguiente acción crucial, lo cual únicamente es posible con un radar integral que abarque una variedad de indicadores y que pueda advertir cuando se crucen ciertos umbrales, los cuales se determinarán con base en el apetito de riesgo y los tipos de incidentes que le causarán el mayor daño a la compañía.
Algunos ataques serán repentinos y evidentes, en cuyo caso el enfoque se dirigirá a tener una respuesta eficaz. Sin embargo, es importante recordar que estos ataques también pueden ser tácticas de distracción, ya que las empresas necesitan analizar cada incidente para obtener suficiente información a fin de evaluar cómo surgen estos patrones con el paso del tiempo.
Hay muchas formas de infiltrarse en una empresa y los cibercriminales encontrarán los puntos de entrada más vulnerables. Algunas de éstas son obvias, por lo que será fácil fortalecerlas y deben monitorearse, pero al pensar de manera creativa en un escenario sobre cómo pudieran operar los atacantes, podrán ser incluidos barreras y monitores adicionales en lugares menos precisos (p. ej., sitios públicos, sistemas de terceros que se conectan con los suyos, sistemas industriales de conexión, la nube, entre otros).
12 | Encuesta Global sobre Seguridad de la Información de EY de 2015
53% 59%2014 2015
59% considera que las organizaciones criminales actualmente son la fuente más probable de ataques, en comparación con 53% en 2014.
46% 54%2014 2015
54% piensa que los hacktivistas son la fuente más probable, en comparación con 46% en 2014.
27% 35%2014 2015
35% indica que los atacantes patrocinados por el estado son la fuente más probable, en comparación con 27% en 2014.
¿Cómo se desarrollan los ataques?
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 13
Una vez infiltrados, los atacantes encontrarán la forma de llegar a los componentes de valor. Es en este punto es importante conocer las prioridades de un negocio, aquello que podría lastimarlo (en mayor medida), y lo que tiene valor para otra parte, es decir, el eje de intersección donde podrán ser detectados los indicadores o señales más sutiles.
Los departamentos de Finanzas, Mercadotecnia, Operaciones, Investigación y Desarrollo y RR.HH. son las áreas clave que deben conocer los riesgos de negocios cibernéticos para la compañía, incluidos en el rango de los aspectos de responsabilidad individuales. Deben permanecer alerta para detectar comportamientos raros y discutirlos con el contacto correspondiente para que pueda incluirlos en los informes.
Tal como sucede con las campañas públicas contra el terrorismo, el mensaje es que no está de más reportar algo que provoca sospechas. El factor crítico es darlo a conocer a las partes interesadas para armar el rompecabezas.
Algunos ejemplos de los indicadores que un radar debe detectar son los siguientes:
• Ataques sumamente visibles sin un propósito evidente; por ejemplo, DDoS; información robada que no tenga algún uso evidente para ellos.
• Movimientos inesperados en los precios de las acciones.
• Nuevos productos lanzados por competidores que son demasiado similares a su investigación, desarrollo y que llegan a los mercados justo antes que los productos de la compañía, lo cual indica que hubo robo de propiedad intelectual y de conocimiento de su estrategia de crecimiento y calendario.
• Interrupción en las actividades de fusiones y adquisiciones; licitaciones de la competencia que muestran similitudes y que podrían demostrar conocimiento de planes confidenciales, fusiones y adquisiciones que sufren incidentes cibernéticos (p. ej., robo de su propiedad intelectual).
• Comportamiento inusual de los clientes o de los negocios conjuntos: es importante recordar que estos no siempre serán clientes o socios genuinos debido a que los cibercriminales pueden unirse a compañías para tener fácil acceso a sus sistemas y datos.
• Conducta inusitada de empleados: los responsables del personal deben estar alerta a cambios de comportamiento, sobre todo cuando dicho personal trabaja en áreas sensibles.
• Interrupciones operativas sin un motivo aparente.
• Anormalidades en los sistemas de procesamiento de pagos o de pedidos.
• Las bases de datos de clientes o usuarios muestran información incongruente.
7%de las compañías cuenta con un programa de respuesta a incidentes robusto que incluye a terceros y autoridades y que está integrado con su función más amplia de administración de amenazas y vulnerabilidades.
56% 36%2014 2015
36% considera que es poco probable detectar un ataque sofisticado. Aunque se observa una mejora considerable respecto al hallazgo de 56% en 2014, las compañías deben recordar que el nivel de sofisticación aumenta continuamente.
¿Cómo se desarrollan los ataques?
Prevención de fuga de datos/pérdida de datos
Continuidad del negocio/capacidad de recuperación en caso de desastres
Administración de identidad y acceso
Capacitación y concientización en materia de seguridad
Capacidades de respuesta ante incidentes
Operaciones de seguridad (p. ej. antivirus, codificación de parches, encriptación)
Pruebas de seguridad (p. ej., ataque y penetración)
Administración de accesos privilegiados
Asegurar las tecnologías emergentes
Administración de eventos de incidentes de seguridad y Centro de Operaciones de Seguridad (SOC)
Administración de amenazas y vulnerabilidades
Tecnologías móviles
Computación en la nube
Seguridad de TI e integración de tecnología operativa
Medidas de privacidad
Transformación de la seguridad de la información (rediseño fundamental)
Administración de riesgos de terceros
Riesgos/amenazas de personas con información privilegiada
Rediseño de la arquitectura de seguridad
Offshoring/outsourcing de actividades de seguridad
Apoyo en caso de fraude
Propiedad intelectual
Apoyo forense
Redes sociales
Otros (especificar)
Clave: Alto Medio Bajo
56%
55%
33%
33%
47%
45%
46%
44%
44%
41%
38%
38%
38%
38%
37%
44%
44%
44%
45%
45%
42%
41%
11%
11%
12%
12%
12%
15%
15%
17%
18%
18%
21%
21%
21%
33%
32%
29%
29% 27%
30%
28%
25%
24%
23%
22%
21%
21%
20%
19%
13%
11%
47%
34% 34%
35%
32%
50%
44%
42%
46%
46%
49%
39%
40% 40%
37%
37% 44%
38% 49%
39% 50%
50% 30%
14 | Encuesta Global sobre Seguridad de la Información de EY de 2015
¿Cuáles de las siguientes áreas de seguridad de la información clasificarían como de prioridad alta, media y baja para sus compañías en los próximos 12 meses? (Elegir una respuesta para cada tema)
56% de los encuestados clasificó la prevención de fuga o pérdida de datos como un tema de alta prioridad para sus compañías en los próximos 12 meses.
50% de los encuestados señaló a las redes sociales como aspecto de baja prioridad.
49% de los encuestados catalogó los riesgos y las amenazas de personas con información privilegiada como de prioridad media, a pesar de que 56% considera que los empleados son una de las fuentes más probables de un ataque, y 36% señala a los contratistas externos como una fuente factible.
¿Cómo se desarrollan los ataques?
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 15
¿Por qué estar en alerta máxima debe ser constante en una organización? El mundo digital no permite que una compañía esté cómoda en el área de amenazas y vulnerabilidades de ciberseguridad. Es importante estar alerta en todo momento para detectar y responder al entorno cambiante. Se requiere un estado de preparación constante los 365 días al año, las 24 horas del día.
Pero con este grado de supervisión, es entendible que ciertas compañías se sientan fatigadas sobre estas áreas, y que se pregunten ¿cuándo será suficiente?
El bombardeo constante de tres a cuatro años de ataques numerosos, y el hecho de tener que reaccionar a los eventos cibernéticos, fácilmente puede dar lugar a un estado de complacencia. Un registro sólido de ahuyentar ataques típicos rutinarios (p. ej., phishing) y cerrar las brechas evidentes (p. ej., funcionamiento eficaz del programa de Administración de Identidad y Acceso) hace que las compañías crean que han “resuelto” el problema de la ciberseguridad, cuando en realidad la situación empeora. Esto resulta cierto debido a que es muy difícil demostrar el valor de la inversión en términos reales cuando los presupuestos son limitados.
En realidad, la mayoría de las compañías han sentado las bases para una ciberseguridad adecuada, sin darse cuenta que es solo el comienzo, y que el mundo digital requiere un enfoque constante y receptivo hacia la inversión. Una empresa únicamente puede considerar que tiene suficiente ciberseguridad cuando en todo momento es capaz de mantenerse dentro de los límites del apetito de riesgo establecido.
Sin embargo, a medida que aumenta la madurez de la ciberseguridad de una compañía, se vuelve más fácil demostrar el valor de estas inversiones. Proporcionar evaluaciones de costo más precisas por el daño que causarán diversos escenarios de ciberataques podrá ayudar a justificar la inversión y supervisión continuas. Cada vez que su Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) o los analistas de Inteligencia de Amenazas Internas identifican un ataque en sus primeras etapas, es posible demostrar el valor que esto tiene para el negocio al extrapolar los daños provocados si el escenario hubiera llegado al máximo grado.
De igual forma, entre más consciente se esté de la situación, más fácil será personalizar y priorizar los gastos, ya que se malgasta mucho dinero en controles o equipos innecesarios que realmente no mejoran la madurez de la ciberseguridad en las áreas que más lo requieren.
49%considera que requiere un aumento en el financiamiento de hasta 25% para proteger a la compañía de acuerdo con la tolerancia de riesgo de la administración.
62% destinará lo mismo o menos en las habilidades de respuesta a incidentes en el próximo año.
70%empleará lo mismo o menos en operaciones de seguridad (antivirus, codificación de parches, encriptación).
84% invertirá lo mismo o menos en seguridad de la información para la propiedad intelectual en el próximo año.
¿Cómo se desarrollan los ataques?
16 | Encuesta Global sobre Seguridad de la Información de EY de 2015
¿Por qué las empresas continúan siendo tan vulnerables?
En nuestra Encuesta Global sobre Seguridad de la Información de 2014 identificamos tres etapas en el camino hacia la madurez en materia de ciberseguridad - Activar, Adaptar y Anticipar (las tres A) - que deben ejecutarse de manera consecutiva con el objetivo de lograr medidas aún más avanzadas e integrales en cada una.
Las tres A todavía son relevantes y los hallazgos de nuestra encuesta 2015 demuestran que aún hay avances que deben realizarse en ellas. Sin embargo, ante las amenazas actuales, muchas de las acciones que identificamos como más avanzadas han cobrado mayor importancia.
Activar Adaptar Anticipar
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 17
1. ActivarEn esta etapa la compañía debe tener una base sólida de ciberseguridad para el entorno actual al reunir un conjunto de medidas que permitan ofrecer una defensa básica, por lo que la organización requiere:
• Realizar una evaluación de seguridad y elaborar un plan de acción
• Obtener apoyo a nivel del Consejo Directivo para una transformación de seguridad
• Revisar y actualizar las políticas, procedimientos y estándares de apoyo a la seguridad
• Establecer un Centro de Operaciones de Seguridad
• Probar los planes de continuidad del negocio y los procedimientos de respuesta a incidentes
• Diseñar e implemente controles de ciberseguridad
Actualmente, ante la mayor sofisticación de los riesgos y ciberamenazas, hay dos tareas fundamentales adicionales:
• Definir el ecosistema de la compañía
• Implementar programas de capacitación de ciberseguridad para los empleados
13% 63% 12% 67%
2014 2015Porcentaje de encuestados que considera que su función de seguridad de la información cumple plenamente con las necesidades de la compañía; porcentaje de encuestados que indica que cumple parcialmente con las necesidades pero realizan mejoras.
42% 47% 2014 2015Porcentaje de encuestados que cuentan con un programa de Administración de Identidad y Acceso.
12% 18% 2014 2015Porcentaje de encuestados que no cuentan con un Centro de Operaciones de Seguridad.
¿Por qué las empresas continúan siendo tan vulnerables?
Entonces, ¿dónde se encuentran los negocios en 2015? No hay suficientes medidas de control en el entorno actual
• Solamente el 12% de los encuestados señaló que su función de Seguridad de la Información cumple plenamente con las necesidades de la compañía, el 67% aún realiza mejoras.
• Hay una disminución del 1% en los encuestados que considera que las necesidades están plenamente completas, pero el número de los que están haciendo mejoras solamente ha aumentado un 4% desde 2014.
• El 69% considera que su presupuesto de seguridad de la información debe aumentar un 50% para proteger a la compañía de acuerdo con la tolerancia de riesgo de la administración.
• El 47% no cuenta con un SOC, en comparación con el 42% en 2014.
• El 37% no tiene un programa de protección de datos o únicamente cuenta con políticas o procesos ad hoc, en comparación con un 34% en 2014.
• Un 18% no cuenta con un programa de Administración de Identidad y Acceso, mientras que en 2014, esta cifra era del 12%, lo cual representa una caída considerable.
• Solo el 40% cuenta con un inventario preciso de su ecosistema (esto es, todos los proveedores terceros, conexiones de red y datos).
• El 27% señala que el phishing de usuarios finales fue la falla principal en sus controles o procesos lo que dio lugar a la violación de ciberseguridad más significativa en el último año.
18 | Encuesta Global sobre Seguridad de la Información de EY de 2015
2. Adaptar
Al aceptar que las medidas de seguridad de la información fundamentales serán menos eficaces con el paso del tiempo, esta etapa está enfocada en el entorno cambiante y resalta las acciones necesarias para asegurar que las compañías puedan adaptarse para mantenerse a la par y sincronizarse con los requisitos de negocio y la dinámica.
Hoy en día, la etapa de Adaptar requiere:
• Diseñar e implementar un programa de transformación para lograr mejoras en la madurez de la ciberseguridad, al utilizar ayuda externa para acelerar o incorporar prácticas líderes para diseñar el programa y asegurar una buena administración del mismo.
• Decidir qué tareas se realizarán internamente y cuáles se subcontratarán.
• Definir una matriz RACI (Responsable Aprobado Consultado Informado) para la ciberseguridad.
54%de las compañías no cuenta con un puesto o área en su función de seguridad de la información que se enfoque en las tecnologías emergentes y en su impacto.
53% 57% 2014 2015Porcentaje que considera que la falta de recursos especializados dificulta la contribución y el valor de la seguridad de la información a la compañía.
Porcentaje de encuestados que tiene previsto invertir más o lo mismo en la transformación de la seguridad de la información.
25% 64% 28% 61%
2014 2015
¿Por qué las empresas continúan siendo tan vulnerables?
Entonces ¿dónde se encuentran los negocios en 2015? No hay mecanismos para al cambio
El 54% de las compañías no cuenta con un puesto o área en su función de seguridad de la información que se enfoque en las tecnologías emergentes y su impacto, esto incluye al 36% que no tiene planes para implementar uno.
Solo un 34% calificaría el monitoreo de su seguridad como maduro o muy maduro, lo cual solamente representa un aumento del 4% en comparación con 2014.
Solo un 53% señalaría el monitoreo de su red de seguridad como maduro o muy maduro, lo cual solamente representa un aumento del 1% desde 2014.
El 57% considera que la falta de recursos especializados dificulta la contribución y el valor de la seguridad de la información a la compañía, mientras que en 2014 esta cifra era del 53%.
Al preguntarles sobre “en comparación con el año anterior”, el 28% de los encuestados comentaron que tienen previsto invertir más en la transformación de la seguridad de la información (un rediseño fundamental): esto representa un aumento de solo un 3% respecto a las respuestas de la misma pregunta en 2014.
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 19
3. AnticiparEn la etapa Anticipar, una empresa debe diseñar estrategias para detectar y neutralizar los posibles ciberataques. Debe enfocarse en el entorno futuro y confiar más en su habilidad para enfrentar amenazas más predecibles, así como ataques inesperados.
Pocas organizaciones tienen este nivel de capacidad y hoy en día es necesario:
• ►Diseñar e implementar una estrategia de Inteligencia de Ciberamenazas
• Definir y englobar el ecosistema de ciberseguridad general de la compañía
• Adoptar un enfoque cibereconómico
• Utilizar la analítica de datos forenses y la Inteligencia de Ciberamenazas
• Asegurar que todos entiendan lo que sucede
• Estar preparados para lo peor al diseñar una estrategia integral de administración de respuestas en caso de violaciones de ciberseguridad
Entonces ¿dónde se encuentran los negocios en 2015?
El enfoque proactivo es lento para neutralizar los ciberataques
• El 36% no cuenta con un programa de Inteligencia de Amenazas, y un 30% adicional únicamente tiene un enfoque informal, mientras que el 5% considera que su compañía ha logrado una función avanzada de Inteligencia de Amenazas; en comparación con 2014, estas cifras no han cambiado, solo hubo una caída del 2% en aquellas compañías que cuentan con enfoque informal.
• El 63% considera que la administración de amenazas y vulnerabilidades es una prioridad media o baja, lo que representa una mejora menor comparada con los resultados de 2014.
• Solo el 12% ve más allá de sus proveedores a los proveedores de su proveedores (cuartas partes), lo cual representa solo una mejora mínima del 4% en comparación con 2014.
• Solamente un 31% de los terceros realizan una evaluación de riesgos, en comparación con el 27% en 2014.
• El 79% indica que la falta de concientización o comportamiento negativo por parte de los usuarios es el riesgo principal relacionado con los dispositivos móviles.
36%de los encuestados no cuenta con un programa de Inteligencia de Amenazas.
8% 12% 2014 2015Porcentaje de encuestados que observan más allá de sus proveedores a cuartas partes.
66% 63% 2014 2015Porcentaje de participantes que considera que la administración de amenazas y vulnerabilidades es una prioridad media o baja.
¿Por qué las empresas continúan siendo tan vulnerables?
20 | Encuesta Global sobre Seguridad de la Información de EY de 2015
El cambio hacia la Defensa Activa
“Una Defensa Activa no reemplaza las operaciones de seguridad tradicionales – las organiza y mejora”. Ken Allan, Líder Global de Asesoría en Ciberseguridad de EY
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 21
¿Qué es la Defensa Activa? La ciberseguridad es una capacidad de defensa inherente para las compañías. Las secretarías de defensa del gobierno (y el ejército) podrán preparar medidas de ataque al crear armas cibernéticas y al realizar actividades de interrupción intrusivas, pero para las empresas fuera de ese escenario tan reducido, las operaciones ofensivas son innecesarias y a menudo se encuentran en una denominada “zona gris”.
Sin embargo, eso no significa que las organizaciones tienen que ser pasivas y esperar a ser víctimas.
Como se describió al principio de este informe, entender los riesgos cibernéticos de negocio críticos y saber lo que los atacantes quieren de las compañías permitirá establecer una defensa dirigida a través de la priorización (de activos, gente, áreas de negocio) y el endurecimiento de las vulnerabilidades. Asimismo, evaluar el panorama específico de amenazas de las empresas (con base en su entorno operativo, activos críticos y estrategia de negocios) ayudará a entender quiénes son los protagonistas más probables de las amenazas y los métodos posibles a utilizar, los cuales se proyectarán en diversos escenarios para medir el nivel de preparación. Todo lo anterior sirve para informar al SOC y debe ser la base para sustentar cualquier institución.
Implementar un SOC más avanzado y utilizar una estrategia de Inteligencia de Ciberamenazas para alinear eficazmente las operaciones permitirá llevar a cabo una Defensa Activa al utilizar antenas inteligentes para detectar posibles atacantes, analizar y evaluar la amenaza, así como neutralizar la amenaza antes de que dañe los activos críticos de la compañía. De igual forma, un SOC avanzado puede operar de la misma manera y detectar activamente las anomalías no deseadas y los visitantes o atacantes confirmados que ya se encuentran infiltrados en sus sistemas.
¿Qué debe mejorar con su implementación? Inteligencia de Ciberamenazas Avanzada: los diferentes niveles de evaluación de perfiles de amenazas que pueden llevarse a cabo, al escalar desde las preguntas más básicas. Una Inteligencia de Ciberamenazas más avanzada permitirá administrar proactivamente estas intimidaciones y contramedidas.
¿Es necesario mejorar su Inteligencia de Ciberamenazas?
• ►¿Qué información sobre la organización está disponible para cualquier atacante? ¿Cómo podría utilizarla?
Preguntas clave para la función de seguridad de la información de una empresa:
¿Cómo podría utilizarla?
• ¿Qué tipo de atacantes o adversarios son más probables (p. ej., hacktivistas, redes criminales buscando información que puedan vender, estafadores, atacantes a nivel nacional)?
• ¿Cuáles son sus ventajas (p. ej., recursos, tiempo, capacidades técnicas o para reclutar a personas con información privilegiada)?
• ►Para cada uno de los atacantes, ¿qué es lo que probablemente les interese más? (Comparar esto con la lista de lo que realmente le interesa a su negocio, es decir, sus activos más valiosos).
• ¿Qué tan vulnerables son los objetivos o activos deseados, y cómo podrían ser explotados?
• ¿Qué caminos específicos podrán tomar los atacantes para llegar a su objetivo (p. ej., a través de un sistema de aire acondicionado, por medio de un sistema de pago, al reclutar personas con información privilegiada, al realizar estafas focalizadas por correo electrónico a los integrantes del Consejo o a empleados que tienen acceso a la información)?
• ¿Cuáles son las contramedidas más eficaces?
• ¿Qué puedo aprender de mis encuentros anteriores con ciertos adversarios?
Una vez que se tienen las respuestas a estas preguntas, una compañía utilizaría los hallazgos para tomar decisiones de negocio estratégicas informadas a nivel ejecutivo y de la alta administración, reenfocar la actividad operativa en el SOC, y comunicarle los canales información sobre amenazas externas a las áreas más relevantes en ese momento específico.
24%de los encuestados no cuenta con un programa de identificación de vulnerabilidades.
34%cuenta con un programa de identificación de vulnerabilidades y lleva a cabo pruebas automatizadas de manera regular.
27%dice que sus políticas y procedimientos de protección de datos son informales o que tiene políticas adecuadas.
El cambio hacia la Defensa Activa
22 | Encuesta Global sobre Seguridad de la Información de EY de 2015
59%de los encuestados comenta que su SOC no cuenta con una suscripción pagada a los canales de información sobre Inteligencia de Ciberamenazas.
El cambio hacia la Defensa Activa
¿Cómo construirla? La Defensa Activa amplía la capacidad de las operaciones de seguridad tradicional de dos maneras, aunque primero es guiada por una estrategia de Inteligencia de Ciberamenazas analizada profesionalmente. Más que solo recibir informes sobre estas intimidaciones, estos análisis permiten a los profesionales de la Defensa Activa identificar a los atacantes probables, inferir sobre sus objetivos más probables dentro de la compañía y crear hipótesis acerca de las formas en que se presentarán dichos ataques. Estas perspectivas facilitan la implementación de contramedidas personalizadas.
El segundo diferenciador clave respecto al enfoque estándar de ciberseguridad es el ciclo operativo de la Defensa Activa. Al repetir un proceso definido y disciplinado para analizar la información disponible, formular conclusiones relevantes y tomar acción, los profesionales de la Defensa Activa aportan un elemento dinámico y proactivo a las operaciones de seguridad existentes de la empresa.
A diferencia de otras ofertas de servicios de seguridad, la Defensa Activa no busca mejorar un área funcional específica o implementar nuevas tecnologías. Más bien, integra y mejora las habilidades de seguridad existentes para alcanzar una mayor eficacia contra atacantes persistentes. Al adecuar y ejecutar un ciclo iterativo con mecanismos integrados a fin de alcanzar un aprendizaje y mejoras continuas, la compañía obtiene beneficios en cuanto a la eficiencia, responsabilidad y las capacidades de su gobierno corporativo, mismos que se traducen en mejores retornos sobre la inversión para los programas de seguridad al aumentar la efectividad de las operaciones de seguridad, lo cual a su vez reduce el potencial de los ataques dirigidos.
La Defensa Activa también debe incluir una evaluación de las implicaciones de riesgo en caso de una violación cibernética significativa y la creación de un marco de respuesta centralizado como parte de la estrategia de administración de riesgos empresariales. Este marco para responder a violaciones cibernéticas, con un modelo de gobierno corporativo claramente definido, debe abarcar el proceso de investigación de incidentes, recopilación y análisis de evidencia, evaluación de impactos y apoyo en litigios.
¿Cuándo es apropiado implementar la Defensa Activa en una compañía?
Si la respuesta a cualquiera de estas respuestas es sí, el enfoque de Defensa Activa debe ser considerado:
• Estamos considerando o trabajando un SOC, pero aún no encontramos evidencia de atacantes avanzados.
• Contamos con un SOC, no obstante, sufrimos una violación considerable.
• Contamos con un SOC subcontratado, sin embargo, nuestra propiedad intelectual y sistemas de negocio aún no se encuentran totalmente seguros.
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 23
Los pasos a seguir para generar confianza en un mundo digitalUna respuesta sencilla a “¿qué requiere mi compañía?” necesita todos los siguientes puntos:
• Conocimiento de lo que puede dañar a la organización e interrumpir el logro de su estrategia
• Una identificación clara de sus activos críticos, o activos más valiosos
• Escenarios de riesgos cibernéticos de negocio que muestren un panorama preciso de cómo puede darse un ataque
• Un Consejo Directivo y altos ejecutivos que puedan determinar con precisión el apetito de riesgo para la empresa
• Una evaluación de la madurez actual de la ciberseguridad y un comparativo del nivel de madurez que realmente requiere para cumplir con el apetito de riesgo
• Un plan de acción de mejoras
• Perfiles de riesgo personalizados y una Inteligencia de Ciberamenazas avanzada
• Un SOC más avanzado: interno, conjunto o subcontratado
• Una estrategia proactiva y multifuncional de administración de repuestas en caso de violaciones cibernéticas
Para poder avanzar en su plan de acción e implementación de ciberseguridad, será necesario que haya un cambio de mentalidad en su compañía que requerirá claridad en torno a la función del Consejo Directivo, es decir, una alternativa y marco holísticos que estén totalmente alineados con el desempeño del negocio. Es probable que la organización deba contratar recursos externos para conseguir lo anterior. Hoy en día, una evaluación a nivel de Dirección de su espectro de madurez actual podría ser un ejercicio inicial y sumamente efectivo para determinar la escala del cambio que se requiere.
Las siguientes páginas incluyen el espectro completo de los estados de madurez – sobre la situación actual de la empresa - y ¿en dónde consideran que debe estar? El enfoque de defensa dirigido no sugiere que el estado ideal sea esencial para cada aspecto.
66%de los encuestados que sufrieron incidentes de ciberseguridad significativos recientes que no fueron descubiertos por su SOC comenta que éste no tiene una suscripción pagada a los canales de información de Inteligencia de Ciberamenazas.
El cambio hacia la Defensa Activa
24 | Encuesta Global sobre Seguridad de la Información de EY de 2015
El espectro de madurez y dónde se encuentran las compañías actualmente
Pregunta de madurez 1 – No existe 2 3 4 5 — Muy maduro
¿Cuál es la madurez de su programa de Inteligencia de Amenazas?
El 36% de los encuestados no cuenta con un programa de Inteligencia de Amenazas.
El 30% cuenta con un programa informal de Inteligencia de Amenazas que incluye información de terceros de confianza y listas de distribución de correo electrónico.
El 20% cuenta con un programa formal de Inteligencia de Amenazas que incluye suscripciones a canales de información sobre amenazas de proveedores externos y fuentes internas, como una herramienta de administración de incidentes y eventos de seguridad.
El 10% cuenta con un equipo de Inteligencia de Amenazas que recopila información interna y externa sobre amenazas y vulnerabilidades para analizar la credibilidad y relevancia en su entorno.
El 5% cuenta con una función de Inteligencia de Amenazas avanzada con canales de información internos y externos, así como analistas de inteligencia y asesores externos que evalúan la información para su credibilidad, relevancia y exposición a los protagonistas de las intimidaciones.
¿Cuál es la madurez de su capacidad de identificación de vulnerabilidades?
El 24% de los encuestados no tiene un programa de identificación de vulnerabilidades.
El 34% tiene un programa informal de identificación de vulnerabilidades y lleva a cabo pruebas automatizadas de manera regular.
Un 20% utiliza una variedad de enfoques de revisión, incluyendo ingeniería social y pruebas manuales.
El 18% tiene una función formal de inteligencia de vulnerabilidades con un programa de evaluaciones basada en las amenazas del negocio que utilizan pruebas profundas de ataque y penetración de proveedores, pruebas periódicas de procesos de negocio y de proyectos (p. ej., nuevos sistemas).
Un 5% tiene una función avanzada de inteligencia de vulnerabilidades y realiza evaluaciones basadas en riesgos, cuyos resultados y remediaciones son revisados con la función de riesgo a lo largo del año.
¿Cuál es la madurez de su programa de detección de violaciones de Ciberseguridad?
El 18% de los encuestados no cuenta con un programa de detección; un 4% adicional no implementa procesos de respuesta y escalamiento formales implementados.
Un 23% cuenta con dispositivos de seguridad de redes perimetrales (esto es, sistema de detección de intrusos); un 21% adicional utiliza una solución de administración de seguridad y eventos (SIEM, por sus siglas en inglés) para monitorear la red activamente, el sistema de detección de intrusos/sistema de prevención de intrusos y bitácoras de sistemas.
El 6% cuenta con procesos informales de respuesta y escalamiento; un 5% adicional utiliza procesos apropiados para la recopilación, integración, respuesta y escalamiento de amenazas.
El 13% cuenta con un programa formal de detección que aprovecha las tecnologías modernas (detección local y basada en la red del software malicioso, detección de anomalías en el funcionamiento, entre otras) para monitorear el tráfico interno y externo.
El 11% cuenta con una función de detección formal y avanzada que reúne todas las categorías de la tecnología moderna (detección local de software malicioso, antivirus, detección basada en la red de software malicioso, prevención de pérdida de datos, sistemas de localización de intrusos, firewalls de la próxima generación, bitácoras) y utiliza un análisis de datos sofisticado para identificar anomalías, tendencias y correlaciones. Sin embargo, solo el 2% implementa procesos formales para la recopilación de amenazas, diseminación, integración, respuesta, escalamiento y predicción de ataques.
¿Cuál es la madurez de su capacidad de respuesta ante incidentes informáticos?
Un 14% no cuenta con una capacidad de respuesta ante incidentes
El 21% tiene un plan de respuesta ante incidentes con el que pueden recuperarse de un software malicioso y mal comportamiento de los empleados, sin embargo, no se realizan investigaciones más profundas sobre las causas raíz.
El 43% cuenta con un programa formal de respuesta ante incidentes y realiza investigaciones después de un incidente.
Un 16% cuenta con un programa formal de respuesta ante incidentes y acuerdos establecidos con proveedores externos para servicios de investigaciones de repuesta más completos.
El 7% cuenta con un programa robusto de respuesta ante incidentes que incluye a terceros y a las autoridades, y está integrado con la función más amplia de administración de amenazas y vulnerabilidades; también crean registros para posibles incidentes y realizan pruebas regulares a los mismos a través de simulacros.
¿Cuál es la madurez de su programa de protección de datos?
El 10% de los participantes no cuenta con un programa de protección de datos.
Un 27% considera que las políticas y procedimientos de protección de datos son informales o que cuenta con políticas adecuadas.
Un 19% considera que las políticas y procedimientos de protección de datos se definen a nivel de la unidad de negocio.
El 26% indica que las políticas y los procedimientos de protección de datos se definen a nivel de grupo.
El 17% comenta que las políticas y procedimientos de protección de datos se definen a nivel de grupo, se reflejan a nivel corporativo y se comunican a todo el negocio; las unidades de negocio específicas se documentan, monitorean y revisan anualmente.
¿Cuál es la madurez de su programa de administración de acceso e identidades?
El 18% de los encuestados aún no tiene un programa de administración de acceso e identidades.
El 25% cuenta con un equipo que supervisa los procesos de administración de acceso y el repositorio central; no se realizan revisiones formales.
El 34% cuenta con un equipo formal para supervisar los procesos de administración de acceso definidos, aunque esto es principalmente manual; tiene un directorio central, no obstante, interactúa con un número limitado de aplicaciones y no es revisado con regularidad.
Un 23% tiene un equipo formal que interactúa con las unidades de negocio para lograr la supervisión de la administración de acceso e identidades; cuenta con procesos bien definidos, flujos de trabajo automatizados limitados, registros de fuente única para la mayoría de las aplicaciones y lleva a cabo revisiones regulares.
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 25
Pregunta de madurez 1 – No existe 2 3 4 5 — Muy maduro
¿Cuál es la madurez de su programa de Inteligencia de Amenazas?
El 36% de los encuestados no cuenta con un programa de Inteligencia de Amenazas.
El 30% cuenta con un programa informal de Inteligencia de Amenazas que incluye información de terceros de confianza y listas de distribución de correo electrónico.
El 20% cuenta con un programa formal de Inteligencia de Amenazas que incluye suscripciones a canales de información sobre amenazas de proveedores externos y fuentes internas, como una herramienta de administración de incidentes y eventos de seguridad.
El 10% cuenta con un equipo de Inteligencia de Amenazas que recopila información interna y externa sobre amenazas y vulnerabilidades para analizar la credibilidad y relevancia en su entorno.
El 5% cuenta con una función de Inteligencia de Amenazas avanzada con canales de información internos y externos, así como analistas de inteligencia y asesores externos que evalúan la información para su credibilidad, relevancia y exposición a los protagonistas de las intimidaciones.
¿Cuál es la madurez de su capacidad de identificación de vulnerabilidades?
El 24% de los encuestados no tiene un programa de identificación de vulnerabilidades.
El 34% tiene un programa informal de identificación de vulnerabilidades y lleva a cabo pruebas automatizadas de manera regular.
Un 20% utiliza una variedad de enfoques de revisión, incluyendo ingeniería social y pruebas manuales.
El 18% tiene una función formal de inteligencia de vulnerabilidades con un programa de evaluaciones basada en las amenazas del negocio que utilizan pruebas profundas de ataque y penetración de proveedores, pruebas periódicas de procesos de negocio y de proyectos (p. ej., nuevos sistemas).
Un 5% tiene una función avanzada de inteligencia de vulnerabilidades y realiza evaluaciones basadas en riesgos, cuyos resultados y remediaciones son revisados con la función de riesgo a lo largo del año.
¿Cuál es la madurez de su programa de detección de violaciones de Ciberseguridad?
El 18% de los encuestados no cuenta con un programa de detección; un 4% adicional no implementa procesos de respuesta y escalamiento formales implementados.
Un 23% cuenta con dispositivos de seguridad de redes perimetrales (esto es, sistema de detección de intrusos); un 21% adicional utiliza una solución de administración de seguridad y eventos (SIEM, por sus siglas en inglés) para monitorear la red activamente, el sistema de detección de intrusos/sistema de prevención de intrusos y bitácoras de sistemas.
El 6% cuenta con procesos informales de respuesta y escalamiento; un 5% adicional utiliza procesos apropiados para la recopilación, integración, respuesta y escalamiento de amenazas.
El 13% cuenta con un programa formal de detección que aprovecha las tecnologías modernas (detección local y basada en la red del software malicioso, detección de anomalías en el funcionamiento, entre otras) para monitorear el tráfico interno y externo.
El 11% cuenta con una función de detección formal y avanzada que reúne todas las categorías de la tecnología moderna (detección local de software malicioso, antivirus, detección basada en la red de software malicioso, prevención de pérdida de datos, sistemas de localización de intrusos, firewalls de la próxima generación, bitácoras) y utiliza un análisis de datos sofisticado para identificar anomalías, tendencias y correlaciones. Sin embargo, solo el 2% implementa procesos formales para la recopilación de amenazas, diseminación, integración, respuesta, escalamiento y predicción de ataques.
¿Cuál es la madurez de su capacidad de respuesta ante incidentes informáticos?
Un 14% no cuenta con una capacidad de respuesta ante incidentes
El 21% tiene un plan de respuesta ante incidentes con el que pueden recuperarse de un software malicioso y mal comportamiento de los empleados, sin embargo, no se realizan investigaciones más profundas sobre las causas raíz.
El 43% cuenta con un programa formal de respuesta ante incidentes y realiza investigaciones después de un incidente.
Un 16% cuenta con un programa formal de respuesta ante incidentes y acuerdos establecidos con proveedores externos para servicios de investigaciones de repuesta más completos.
El 7% cuenta con un programa robusto de respuesta ante incidentes que incluye a terceros y a las autoridades, y está integrado con la función más amplia de administración de amenazas y vulnerabilidades; también crean registros para posibles incidentes y realizan pruebas regulares a los mismos a través de simulacros.
¿Cuál es la madurez de su programa de protección de datos?
El 10% de los participantes no cuenta con un programa de protección de datos.
Un 27% considera que las políticas y procedimientos de protección de datos son informales o que cuenta con políticas adecuadas.
Un 19% considera que las políticas y procedimientos de protección de datos se definen a nivel de la unidad de negocio.
El 26% indica que las políticas y los procedimientos de protección de datos se definen a nivel de grupo.
El 17% comenta que las políticas y procedimientos de protección de datos se definen a nivel de grupo, se reflejan a nivel corporativo y se comunican a todo el negocio; las unidades de negocio específicas se documentan, monitorean y revisan anualmente.
¿Cuál es la madurez de su programa de administración de acceso e identidades?
El 18% de los encuestados aún no tiene un programa de administración de acceso e identidades.
El 25% cuenta con un equipo que supervisa los procesos de administración de acceso y el repositorio central; no se realizan revisiones formales.
El 34% cuenta con un equipo formal para supervisar los procesos de administración de acceso definidos, aunque esto es principalmente manual; tiene un directorio central, no obstante, interactúa con un número limitado de aplicaciones y no es revisado con regularidad.
Un 23% tiene un equipo formal que interactúa con las unidades de negocio para lograr la supervisión de la administración de acceso e identidades; cuenta con procesos bien definidos, flujos de trabajo automatizados limitados, registros de fuente única para la mayoría de las aplicaciones y lleva a cabo revisiones regulares.
El cambio hacia la Defensa Activa
26 | Encuesta Global sobre Seguridad de la Información de EY de 2015
¿Cuentan con una matriz RACI?Debido a que el Consejo Directivo marca la pauta y el nivel de expectativa, contar con la colaboración de toda la compañía es fundamental, así como vigilar de qué forma los riesgos cibernéticos y ciberataques afectan su función. Una administración de seguridad eficaz impacta cada una de las funciones y partes de una empresa.
Una matriz RACI, un buen gobierno corporativo y empleados satisfechos son esenciales desde nuestro enfoque de las tres A, es un elemento clave en el nivel Adaptar.
Analizar cómo debe ser una matriz RACI para su organización, y asegúrense de tener claro que la ciberseguridad ya no es un tema que le concierne únicamente al área de TI.
32%de los encuestados señaló que la información de benchmarking acerca de la madurez de las organizaciones de pares fue la más útil así como su prioridad más alta.
El cambio hacia la Defensa Activa
El camino para mejorar Pocas empresas en la actualidad cuentan con las habilidades y recursos adecuados a nivel interno para asegurar eficazmente sus activos de información y al mismo tiempo optimizar el desempeño del negocio. Las organizaciones de todos los sectores pueden beneficiarse de una evaluación objetiva de sus programas y estructuras de seguridad de la información.
Una evaluación eficaz debe tener como propósito ayudar a la compañía con lo siguiente:
• Entender la exposición de riesgos de su compañía
• Evaluar la madurez de su programa de ciberseguridad actual e identificar áreas de mejora
• Diseñar un roadmap priorizado para las inversiones en proyectos e iniciativas de cambio organizacional
• Recopilar información para crear comparativos (Benchmarks) con otras organizaciones
• ►Determinar si sus inversiones en seguridad mejoran su nivel de madurez
Esta evaluación debe ser amplia y de alto nivel, así como totalmente enfocada en áreas y componentes específicos, y aquí es donde EY puede ayudar. Las métricas de seguridad permiten que una empresa determine lo que se requiere para apoyar la continua evaluación, transformación y sustentabilidad de la estrategia de seguridad de la información.
Por otro lado, es un ejemplo de las calificaciones de madurez que pueden ayudar a la compañía con el espectro relevante en cuanto a su estado actual, competitivo y futuro.
Restricciones presupuestarias 62%
Falta de recursos especializados 57%
Falta de conocimiento o apoyo por parte de los ejecutivos 32%
Falta de herramientas de calidad para administrar la seguridad de la información 28%
Asuntos de administración y gobierno corporativo 28%
Fragmentación de cumplimiento/regulaciones 23%
Otros (favor de especificar) 7%
La eficacia de la seguridad de la información
¿Cuáles son los principales obstáculos o razones que cuestionan la aportación y el valor de la operación de seguridad de la información para la compañía? (Seleccionar todas las opciones que apliquen)
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 27
Comparativo de madurez de ciberseguridad del estado actual entre la Compañía X y sus pares
La madurez del estado actual de la compañía X se encuentra aproximadamente en el mismo nivel que la de sus pares comparables. El estado futuro definido aumenta considerablemente el nivel de madurez.
Organización X versus pares
Page 1
Maturity level descriptions
1 Initial
2 Repeatable
3 Defined
4 Managed
5 Optimizing
0.0
1.0
2.0
3.0
4.0
5.0Architecture
Asset Management
Awareness
BCP/DR
Data Infrastructure(Events/Alerts/ Logs)
Data Protection
Governance andOrganization
Host Security
Identity and AccessManagement
Incident ManagementMetrics and Reporting
Network Security
Operations
Privacy
Policy and StandardsFramework
Security Monitoring
Software Security
Strategy
Third Party Mgmt
Threat and VulnerabilityManagement
X’s current state maturity is approximately on the same level than in the comparable industries. Defined future state increases the maturity level considerably.
Current state maturity benchmarking between X and industry
Administración de amenazas y vulnerabilidades
Administración de identidad y acceso
Infraestructura de datos (eventos/alertas/bitácoras)
Gobierno Corporativo y OrganizaciónMarco de políticas y
normas
Arquitectura
Métricas y reportes
Plan de continuidad de negocio/recuperación en caso de desastres
Concientización
Administración de activos
Administración de incidentes
Seguridad de la Computadora Central
(Host)
Protección de Datos
Administración de terceros
Estrategia
Seguridad del software
Monitoreo de seguridad
Privacidad
Operaciones
Seguridad de la red
Estado actual
Estado futuro
Comparativo
Porcentaje de encuestados que señalaron que su nivel de madurez era “muy maduro”.
El cambio hacia la Defensa Activa
Arch
itect
ure
Metric
s and
re
porti
ng
Asse
t man
agem
ent
Netw
ork s
ecur
ity
Awar
enes
s
Oper
ation
s
BCP/
DR
Polic
y and
stan
dard
s fra
mew
ork
Data
infra
stru
ctur
e
Priva
cy
Data
prot
ectio
n
mon
itorin
g
Secu
rity
Gove
rnan
ce an
d
org
aniza
tion
Softw
are s
ecur
ity
Host
secu
rity
Stra
tegy
Ident
ity an
d acc
ess
m
anag
emen
t
Third
-par
ty
man
agem
ent
Incide
nt
man
agem
ent
Thre
at an
d
vulne
rabil
ity
man
agem
ent
7%
4%
5%
12%
6%
7%
10%
10%
8%
7%
7%
7%
8%
5%
10%
8%
9%
3%
8%
7%
Percentage of respondents stating that their processes are ‘very mature’
Maturity of information security management processes
Arqui
tect
ura
Mét
ricas
y re
port
es
Segu
ridad
de
la re
d
Opera
cion
es
Priv
acid
adM
arco
de
polít
icas
y n
orm
as
Mon
itore
o de
seg
urid
ad
Segu
ridad
del
sof
twar
e
Estr
ateg
iaAdm
inis
trac
ión
de te
rcer
osAdm
inis
trac
ión
de a
men
azas
y
vuln
erab
ilida
des
Admin
istr
ació
n de
act
ivos
Conc
ient
izac
ión
Prot
ecci
ón d
e Da
tos
Gobi
erno
Cor
pora
tivo
y
Organ
izac
ión
Segu
ridad
de
la C
ompu
tado
ra
Cent
ral (
Hos
t)
Admin
istr
ació
n de
iden
tidad
y
acce
so
Admin
istr
ació
n de
inci
dent
es
Infr
aest
ruct
ura
de d
atos
(ev
en-
tos/
aler
tas/
bitá
cora
s)
Plan
de
cont
inui
dad
de n
egoc
io/
recu
pera
ción
en
caso
de
desa
stre
s
28 | Encuesta Global sobre Seguridad de la Información de EY de 2015
La ciberseguridad es un habilitador digital
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 29
La ciberseguridad no debe ser percibida como un inhibidor sino como una forma de conseguir que el mundo digital sea operativo y sustentable.
También es un elemento clave para promover la innovación así como la expansión de una empresa, y que con un enfoque personalizado, así como orientado a la compañía y a sus posibles riesgos permite concentrar la atención nuevamente en las oportunidades y la exploración.
De este modo, crea confianza en un negocio que opera de manera exitosa dentro del Internet de la Cosas, que apoya y protege plenamente a las personas y a sus dispositivos móviles personales (desde un simple teléfono, un dispositivo del cuidado de la salud, aparatos hasta automóviles inteligentes) es un diferenciador competitivo clave y debe ser una prioridad.
Al actuar ahora, las compañías podrán ajustar el equilibrio del mundo digital con la sustentabilidad y seguridad a fin de alcanzar un mayor nivel de protección y fomentar confianza en su marca.
30 | Encuesta Global sobre Seguridad de la Información de EY de 2015
La Encuesta Global sobre Seguridad de la Información de EY 2015 se llevó a cabo entre junio y septiembre del mismo año. Contó con la participación de más de 1,755 encuestados de 67 países y de todas las principales industrias.
Invitamos a los CIO, CISO, CFO, CEO y otros ejecutivos de seguridad de la información a participar en esta encuesta. Repartimos un cuestionario a los profesionales de EY designados en cada país, junto con instrucciones para una administración congruente del proceso de la misma.
La mayoría de las respuestas fueron recopiladas durante las entrevistas en persona. Cuando esto no fue posible, el cuestionario fue contestado en línea.
Si desea participar en la Encuesta Global sobre Seguridad de la Información de EY, favor de contactar al representante o a la oficina local de EY o ingresar a www.ey.com/glss y completar una breve solicitud.
Encuestados por área (1,755 encuestados)
Región:
EMEIA 51%
Américas 29%
Asia - Pacífico 15%
Japón 5%
Encuestados por ingresos totales anuales de la compañía
Menos de USD$10 millones 5%
USD$10 millones a <USD $250 millones 5%
USD$25 millones a < USD$50 millones 4%
USD$50 millones a < USD$100 millones 6%
USD$100 millones a < USD$250 millones 9%
USD$250 millones a < USD$500 millones 9%
USD$500 millones a < USD$1 mil millones 11%
USD$1.1 mil millones a < USD $2 mil millones 10%
USD$2 mil millones a < USD$3 mil millones 7%
USD$3 mil millones a < USD$4 mil millones 4%
USD$4 mil millones a < USD$5 mil millones 3%
USD$5 mil millones a < USD$7.5 mil millones 4%
USD$7.5 mil millones a < USD$10 mil millones 3%
USD$10 mil millones a < USD$15 mil millones 3%
USD$15 mil millones a < USD$20 mil millones 2%
USD$20 mil millones a < USD$50 mil millones 4%
USD$50 mil millones o más 3%
Gobierno, no lucrativo 6%
No aplica 4%
Metodología de la encuesta
1,755encuestados
67países de todo el mundo
25sectores de la industria
Perfil de los participantes
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 31
Encuestados por industria
Banca y mercados de capital 16%
Tecnología 10%
Gobierno y sector público 7%
Seguros 6%
Productos de consumo 6%
Electricidad y servicios públicos 5%
Menudeo y mayoreo 5%
Telecomunicaciones 5%
Productos industriales
diversificados4%
Petróleo y gas 3%
Cuidados de la salud 3%
Automotriz 3%
Transporte 3%
Patrimonio y administración de
activos3%
Minería y metales 3%
Medios de comunicación y
entretenimiento2%
Ciencias de la vida 2%
Firmas profesionales y servicios 2%
Productos químicos 1%
Aerolíneas 1%
Aeroespacial y defensa 1%
Otros 6%
Encuestados por cantidad de empleados
<1,000 31%
1,000 — 1,999 14%
2,000 — 2,999 7%
3,000 — 3,999 5%
4,000 — 4,999 4%
5,000 — 7,499 7%
7,500 — 9,999 5%
10,000 — 14,999 7%
15,000 — 19,999 2%
20,000 — 29,999 4%
30,000 — 39,999 3%
40,000 — 49,999 2%
50,000 — 74,999 3%
75,000 — 99,999 1%
Por encima de los 100,000 5%
Encuestados por cargo
Director de Seguridad de la
Información30%
Ejecutivo de Seguridad de la
Información19%
Director de Información 17%
Ejecutivo de Tecnologías de la
Información16%
Director de Seguridad 5%
Director/Gerente de Auditoría Interna 3%
Director de Tecnología 3%
Ejecutivo/Vicepresidente de la Unidad de Negocios
2%
Administrador de Red/Sistema 2%
Director de Operaciones 1%
Director de Riesgos 1%
Director de Cumplimiento 1%
32 | EY’s Global Information Security Survey 2015
Perspectivas sobre gobierno corporativo, riesgos y cumplimiento es una serie continua de informes de liderazgo intelectual enfocada en TI y otros riesgos de negocios, así como en lo relacionado con sus retos y oportunidades. Estas publicaciones oportunas y con temas específicos están diseñadas para ayudarles a entender estos asuntos y proporcionarles perspectivas valiosas para el futuro. Consulten esta serie en www.ey.com/GRCinsights.
Insights on governance, risk and compliance
October 2014
Get ahead of cybercrimeEY’s Global Information Security Survey 2014
Cybersecurity and the Internet of Things
Insights on governance, risk and compliance
March 2015
Cyber breach response managementBreaches do happen.Are you ready?
Cyber Threat Intelligence − how to get ahead of cybercrime
www.ey.com/CTI
Security Operations Centers — helping you get ahead of cybercrime
www.ey.com/SOC
Achieving resilience in the cyber ecosystem
www.ey.com/cyberecosystem
Managed SOC — EY’s Advanced Security Center: world-class cybersecurity working for you
http://www.ey.com/managedSOC
Get ahead of cybercrime: EY’s Global Infomation Security Survey 2014
www.ey.com/GISS2014
Cybersecurity and the Internet of Things
www.ey.com/IoT
Using cyber analytics to help you get on top of cybercrime: Third-generation Security Operations Centers
www.ey.com/3SOC
Cyber Program Management: identifying ways to get ahead of cybercrime
www.ey.com/CPM
Cyber breach response management — Breaches do happen. Are you ready?
www.ey.com/cyberBRM
Insights on governance, risk and compliance
December 2014
Achieving resilience in the cyber ecosystem
¿Desean obtener mayor información?
32 | Encuesta Global sobre Seguridad de la Información de EY de 2015
¿Reconocerían estar bajo un ciberataque?Para el área de Asesoría de EY, un mejor entorno de negocios significa resolver problemas grandes y complejos de la industria, y aprovechar oportunidades para asegurar resultados que permitan crecer, optimizar y proteger los negocios de nuestros clientes. Hemos formado un ecosistema global de asesores, profesionales de la industria y alianzas con una sola idea en la mente: nuestros clientes.
Creemos que anticipar y defenderse activamente de los ciberataques es la única manera de ir un paso adelante de los cibercriminales. Al enfocarnos en las necesidades de los clientes hacemos mejores preguntas acerca de sus operaciones, prioridades y vulnerabilidades. Posteriormente, trabajamos en conjunto para crear respuestas más innovadoras que brinden las alternativas que requieren. De esta forma, ayudamos a alcanzar duraderos y mejores resultados, desde la estrategia hasta la ejecución.
Pensamos que a través de impulsar una buena administración de la ciberseguridad, lograremos construir un mejor entorno de negocios.
Entonces, ¿se percataría en caso de estar bajo un ciberataque? Pregunte a EY.
The better the question. The better the answer. The better the world works.
Líder Global de Riesgos
Paul van Kessel +31 88 40 71271 [email protected]
Líderes de Riesgos del Área
Americas
Amy Brachio +1 612 371 8537 [email protected]
EMEIA
Jonathan Blackmore +971 4 312 9921 [email protected]
Asia-Pacific
Iain Burnet +61 8 9429 2486 [email protected]
Japan
Yoshihiro Azuma +81 3 3503 1100 [email protected]
Nuestros líderes de ciberseguridad son:
Líder de Ciberseguridad Global
Ken Allan +44 20 795 15769 [email protected]
Líderes de Ciberseguridad del Área
Americas
Bob Sydow +1 513 612 1591 [email protected]
EMEIA
Scott Gelber +44 207 951 6930 [email protected]
Asia-Pacific
Paul O’Rourke +65 8691 8635 paul.o’[email protected]
Japan
Shinichiro Nagao +81 3 3503 1100 [email protected]
Nuestros Líderes de Asesoría en Riesgos son:
EY | Aseguramiento | Asesoría de Negocios | Fiscal-Legal | Fusiones y Adquisiciones
Acerca de EY
EY es líder global en servicios de aseguramiento, asesoría, impuestos y transacciones. Las perspectivas y los servicios de calidad que entregamos ayudan a generar confianza y seguridad en los mercados de capital y en las economías de todo el mundo. Desarrollamos líderes extraordinarios que se unen para cumplir nuestras promesas a todas las partes interesadas. Al hacerlo, jugamos un papel fundamental en construir un mejor entorno de negocios para nuestra gente, clientes y comunidades.
Para obtener más información acerca de nuestra organización, visite el sitio
www.ey.com/mx.
© 2016 Mancera S.C.Integrante de Ernst & Young GlobalDerechos Reservados EY se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes
Contacto en México: [email protected]