Alcanzando metas, acortando distancias
Junio 2009   Página 0
                        XI Encuesta Global de Seguridad de la...
XI Encuesta Global de Seguridad
de la Información
Alcanzando metas, acortando distancias
El reto aún sigue por delante



...
Contenido


►   Antecedentes
►   Participantes
►   Gobierno de Seguridad & Medición
►   Organización
►   Habilitadores
►  ...
Antecedentes


►   Cumplimos 11 años consecutivos aplicando nuestra Encuesta Global
    de Seguridad de la Información.
► ...
Participantes por país

En total 1,392 participantes




                                                                 ...
Participantes por tipo de industria


                Servicios financieros                                               ...
Participantes por ingreso (USD)


    menos de $100 million
    Less than     millones                                    ...
Gobierno de Seguridad & Medición                                                                            Global
       ...
Gobierno de Seguridad & Medición                                                                           Global
        ...
Gobierno de Seguridad & Medición                                                                        Global
           ...
Gobierno de Seguridad & Medición                                                      Global
                             ...
Gobierno de Seguridad & Medición                                                                                          ...
Gobierno de Seguridad & Medición                                                                                          ...
Gobierno de Seguridad & Medición                                                                          Global
         ...
Gobierno de Seguridad & Medición


De la preocupación a la conciencia


                  Preocupación
                   ...
Gobierno de Seguridad & Medición                                                            Global
                       ...
Organización                                                                                             Global
          ...
Organización                                                                                                              ...
Organización                                                                                                       Global
...
Organización                                                                                                         Globa...
Organización                                                                                                 Global
      ...
Organización                                                                                                          Glob...
Organización                                                                                                Global
       ...
Habilitadores                                                                                                         Glob...
Habilitadores                                                                                      Global
                ...
Habilitadores                                                                                 Global
                     ...
Habilitadores                                                                                               Global
       ...
Estándares                                                                                                               G...
Actividades                                                                                      Global
                  ...
Actividades                                                                                                               ...
Actividades                                                                                                               ...
Actividades                                                                                                               ...
Actividades                                                                                                              G...
Actividades                                                                                                               ...
CONCLUSIONES

► A diferencia de años anteriores, los resultados de éste año para México nos
   muestran una alineación cas...
CONCLUSIONES

► Más de la mitad de las organizaciones mexicanas asignan a TI la
   responsabilidad sobre la continuidad de...
RECOMENDACIONES

► Fortalecer las habilidades y conocimientos de negociación, comunicación,
   gestión, análisis, procesos...
Otras iniciativas



                                                                    Information Security Day
        ...
Levantamiento de información para la XII Encuesta Global
de Seguridad de la Información
BENEFICIOS POR PARTICIPAR

a) Desc...
¡GRACIAS!
                                 Carlos Chalico
                         LI, CISA, CISSP, CISM, CGEIT
          ...
Ernst & Young

Auditoría | Asesoría | Fiscal | Legal | Transacciones

Acerca de Ernst & Young
Ernst & Young (www.ey.com) e...
Upcoming SlideShare
Loading in …5
×

Giss 2009 Final

501 views
451 views

Published on

Presentación de Resultados de la 11a. Encuesta de Seguridad de Ernst & Young

Published in: Technology, News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
501
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Giss 2009 Final

  1. 1. Alcanzando metas, acortando distancias Junio 2009 Página 0 XI Encuesta Global de Seguridad de la Información
  2. 2. XI Encuesta Global de Seguridad de la Información Alcanzando metas, acortando distancias El reto aún sigue por delante Análisis de resultados: México Junio 2009 t
  3. 3. Contenido ► Antecedentes ► Participantes ► Gobierno de Seguridad & Medición ► Organización ► Habilitadores ► Estándares ► Actividades ► Conclusiones ► Recomendaciones ► Otras iniciativas Alcanzando metas, acortando distancias Junio 2009 Página 2 XI Encuesta Global de Seguridad de la Información
  4. 4. Antecedentes ► Cumplimos 11 años consecutivos aplicando nuestra Encuesta Global de Seguridad de la Información. ► La encuesta fue aplicada a 1392 organizaciones en todo el mundo, pertenecientes a diferentes sectores industriales. ► México ocupó el tercer lugar en número de participantes, después de Estados Unidos e India con un total de 95 organizaciones encuestadas. ► El perfil de los participantes es principalmente ejecutivos de: finanzas, auditoria, seguridad y tecnología de información. Alcanzando metas, acortando distancias Junio 2009 Página 3 XI Encuesta Global de Seguridad de la Información
  5. 5. Participantes por país En total 1,392 participantes * 21 países más con 10 o menos respuestas Alcanzando metas, acortando distancias Junio 2009 Página 4 XI Encuesta Global de Seguridad de la Información
  6. 6. Participantes por tipo de industria Servicios financieros 31% Manufactura 13% Telecomunicaciones, Medios 8% y Entretenimiento Energía y Servicios públicos 7% Detallistas, Mayoristas y Distribución 6% 6% Tecnología 6% 6% Sector publico, Organizaciones 6% 6% no lucrativas Otras 21% Alcanzando metas, acortando distancias Junio 2009 Página 5 XI Encuesta Global de Seguridad de la Información
  7. 7. Participantes por ingreso (USD) menos de $100 million Less than millones 26% 26% $100 million y $250 million Entre $100 - $250 millones 14% 14% $250 million to $500 millones Entre $250 y million 9% 9% $500 million - $1 billion Entre $500 y $1000 millones 9% 9% $1 billion y $10 billion Entre $1 - $10 billones 23% 23% $10 billion y $25 billion Entre $10 - $25 billones 6% 6% More than $25 billion Mas de billones 6% 6% Not applicable No aplica 7% 7% 0.00% 5.00% 10.00% 15.00% 20.00% 25.00% 30.00% Alcanzando metas, acortando distancias Junio 2009 Página 6 XI Encuesta Global de Seguridad de la Información
  8. 8. Gobierno de Seguridad & Medición Global México ¿Cuál de las siguientes afirmaciones describe mejor su inversión anual en seguridad de la información dentro de su organización? Se incrementó como parte del porcentaje total 50% de los gastos 38% Se mantuvo relativamente constante como 45% parte del porcentaje total de los gastos 56% Se redujo como parte del 5% porcentaje total de los gastos 5% Solamente en el 5% de las organizaciones hubo una reducción en el porcentaje total de las inversiones en seguridad de la información Alcanzando metas, acortando distancias Junio 2009 Página 7 XI Encuesta Global de Seguridad de la Información
  9. 9. Gobierno de Seguridad & Medición Global México ¿Su organización realiza un análisis de riesgos para priorizar las actividades e inversiones en seguridad de la información? 46% Si, a través de proceso formal y definido 44% 45% Si, a través de un análisis a la medida (ad hoc) 38% 9% No 18% El 82% de las organizaciones ejecutan análisis de riesgos (formal o informalmente) Alcanzando metas, acortando distancias Junio 2009 Página 8 XI Encuesta Global de Seguridad de la Información
  10. 10. Gobierno de Seguridad & Medición Global México ¿Su organización cuenta con una estrategia documentada de seguridad de la información para los próximos 1-3 años? Si, está integrada con la estrategia de TI de la 33% organización 37% 29% No 22% Si, específicamente para la seguridad de la 20% información 29% 18% Si, está integrada con la estrategia de negocio de la organización 12% Solamente el 12% de los encuestados respondieron tener una estrategia de seguridad de la información alineada al negocio Alcanzando metas, acortando distancias Junio 2009 Página 9 XI Encuesta Global de Seguridad de la Información
  11. 11. Gobierno de Seguridad & Medición Global México ¿Cuál de las siguientes iniciativas de seguridad de la información representa el mayor reto? 1 = mayor reto, 6 = menor reto 1 Concientización organizacional 1 2 Disponibilidad de los recursos humanos capacitados 2 3 Presupuesto adecuado 5 4 Evaluación de nuevas amenazas y vulnerabilidades 4 5 Patrocinio de la administración 6 6 Entendimiento de tecnologías emergentes 3 A diferencia de otros años el patrocinio de la administración está dejando de ser el mayor reto Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 10
  12. 12. Gobierno de Seguridad & Medición Global México ¿Cómo evalúa su organización la calidad y la efectividad de la seguridad de la información? Evaluaciones internas a través del Departamento de 77% TI ó de la función de seguridad de la información 64% Evaluaciones realizadas por la función de 67% auditoría interna 50% 61% Evaluaciones de proveedores 37% externos En conjunto con las auditorías financieras 53% externas 55% 23% Benchmarking entre iguales/Competidores 7% 4% No se realizan evaluaciones 9% * Se permitieron respuestas múltiples En México todavía no se aprovechan los beneficios de contratar a terceros para llevar a cabo evaluaciones de seguridad Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 11
  13. 13. Gobierno de Seguridad & Medición Global México ¿Cuáles de las siguientes pruebas de ataque y penetración realiza su organización regularmente? Pruebas desde Internet 85% 77% Pruebas de Infraestructura 73% 70% Acceso remoto 49% 48% Acceso físico en áreas restringidas 46% 40% Un alto porcentaje de encuestados (77%) confirmó Pruebas desde accesos Wireless 38% que ejecuta regularmente 45% pruebas desde Internet, Revisiones de código fuente de 29% pero muy pocas llevan 35% aplicaciones a cabo revisiones de código 19% fuente y pruebas de Pruebas de ingeniería social 21% ingeniería social a Otros 7% sus empleados. 7% * Se permitieron respuestas múltiples Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 12
  14. 14. Gobierno de Seguridad & Medición Global México En su organización, ¿Qué tan a menudo los responsables de seguridad de la información sostienen reuniones con los siguientes grupos ó individuos para discutir necesidades y/o actividades referentes a la seguridad? Mensual Trimestral Semestral Anual Nunca A nivel global el 51% 7% 14% 9% 23% 47% Junta de Directores de las compañías 17% 8% 14% 26% 35% Comité de Auditoría 7% 20% 12% 24% 36% reportan a niveles C 13% 19% 16% 21% 31% por lo menos mensual 28% 23% 14& 16% 19% o trimestralmente Oficial Corporativo (CEO, CFO, COO) 15% 16% 24% 19% 26% mientras que en México 25% 22% 15% 14% 24% Líder de la unidad de negocio 21% 17% 21% 14% 27% sólo el 31% 71% 13% 6% 5% 5% Tecnología de Información 52% 20% 11% 11% 6% 30% 24% 13% 18% 15% Auditoría Interna 24% 17% 15% 20% 24% Las necesidades 22% 21% 10% 12% 35% Cumplimiento Corporativo 12% 21% 23% 12% 33% de seguridad siguen 17% 16% 12% 15% 40% discutiéndose con TI y Consejero General/Legal 3% 21% 13% 16% 46% no con las áreas 27% 19% 10% 15% 29% de negocio Administración de riesgos 18% 18% 14% 13% 36% 22% 18% 13% 15% 32% Recursos Humanos 12% 14% 11% 14% 48% Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 13
  15. 15. Gobierno de Seguridad & Medición De la preocupación a la conciencia Preocupación Transición Conciencia Año Anual, poco frecuente o Trimestral y semestral Mensual nunca 2003 59% 25% 16% 2004 60% 22% 18% 2005 61% 24% 15% 2006 62% 31% 15% 2007 49% 32% 19% 2008 45% 40% 15% Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 14
  16. 16. Gobierno de Seguridad & Medición Global México ¿Su organización ha implementado un sistema de gestión de la seguridad de la información (SGSI o Information Security Management System, ISMS) que abarque todos sus aspectos de administración? 8% Si, formalmente implementado y 7% certificado 20% Si, pero sin objetivo de certificación 16% 21% Si, actualmente en proceso de 24% implementación 34% No, pero se está considerando 36% 17% No, y no se está considerando 16% En general, tanto en México como a nivel global, existe una tendencia hacia la adopción/implementación de un sistema de gestión de seguridad de la información Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 15
  17. 17. Organización Global México ¿Cuál de las siguientes afirmaciones describe mejor la integración de la seguridad de la información dentro de su empresa? 57% La seguridad de la información esta parcialmente integrada al negocio 55% La seguridad de la 27% información esta totalmente 26% integrada al negocio 16% La integración es limitada o inexistente Tanto en México 19% como a nivel global únicamente 1 de cada 4 organizaciones reconoce que la seguridad de la información está totalmente integrada al negocio Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 16
  18. 18. Organización Global México ¿De cuáles de las siguientes áreas/actividades se responsabiliza, de manera parcial o total, la función de la seguridad de la información dentro de su organización? Fraude, investigación y cómputo forense 54% 39% 60% Seguridad en desarrollo de aplicaciones 60% Administración de riesgos con proveedores 43% 17% Administración de activos 42% 33% Administración de riesgos de TI 85% 87% Entrega de programas y proyectos 48% 34% 75% Recuperación de desastres y continuidad del 68% negocio Privacidad 65% 53% 58% Seguridad física 60% Las áreas/actividades principales de la función de seguridad * Se permitieron respuestas múltiples de la información tanto en México como a nivel global son: 1. Administración de riesgos de TI 2. Recuperación de desastres y continuidad del negocio 3. Seguridad física / Seguridad en desarrollo de aplicaciones Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 17
  19. 19. Organización Global México ¿En cuáles de los siguientes temas la función de la seguridad de la información se involucra para definir o evaluar lo referente a seguridad? 84% Sistemas administrativos 83% 82% Telecomunicaciones 87% 69% Sistemas de Recursos Humanos 53% 52% Sistemas de automatización de procesos 51% 47% Sistemas de cómputo incrustados 44% 44% Sistemas de construcción y utilerías 40% * Se permitieron respuestas múltiples Existe una relación cercana entre seguridad de la Información y los sistemas administrativos y telecomunicaciones, pero en aquellos temas relacionados con soluciones para ayudar a eficientar el negocio como automatización de procesos su involucramiento es escaso. Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 18
  20. 20. Organización Global México ¿Cuáles de las siguientes estrategias ha utilizado su organización para satisfacer las necesidades de personal sobre seguridad de la información? Entrenamiento ó redistribución de 75% personal de TI 63% 61% Contratación de 50% externos Reclutamiento de profesionales con 51% experiencia en seguridad de la información 36% 39% Outsourcing de actividades especificas 24% Entrenamiento ó redistribución de personal 27% de auditoría interna 28% Reclutamiento en campus y universidades 15% 11% * Se permitieron respuestas múltiples Principalmente las organizaciones están atendiendo sus necesidades de personal en seguridad a través de: • Entrenamiento • Contratación de externos • Reclutamiento de profesionales con experiencia en seguridad de la información Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 19
  21. 21. Organización Global México ¿Cuáles de las siguientes actividades específicas de seguridad se han considerado ó se han tercerizado en su organización? En En Sin planes evaluación/ outsourcing de Planeado (Completo ó outsourcing en parcial) outsourcing 35% 50% 15% Auditorías/Evaluaciones de seguridad 51% 36% 13% 23% 59% 18% Pruebas de ataque y penetración Existe una tendencia generalizada 37% 42% 21% por no tercerizar actividades de 56% 30% 14% Pruebas de aplicación (revisión de código) seguridad incluso aquellas rutinarias 63% 23% 15% Concientización y entrenamiento de 62% 21% 17% seguridad 60% 22& 18% Sólo se salvan, medianamente, las 67% 24% 9% pruebas de ataque y penetración Administración de parches/vulnerabilidades 64% 23% 14% y auditorias/evaluaciones Administración de la continuidad del 65% 22% 13% de seguridad negocio/Recuperación de desastres 58% 24% 18% eDiscovery, cómputo forense/soporte en 66% 19% 15% fraudes 72% 14% 14% 77% 15% 8% Respuesta a incidentes 72% 11% 16% Mesa de ayuda (Problemas de 66% 27% 7% restablecimiento de contraseña/acceso) 58% 28% 14% Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 20
  22. 22. Organización Global México ¿Cómo se asegura que sus socios de negocio, proveedores y contratistas protejan la información de su organización? Evaluaciones realizadas por la función de 39% auditoría interna de la organización 40% Revisión de auto-evaluaciones realizadas 36% por los socios, proveedores y contratistas 33% Revisión de evaluaciones externas independientes 32% de socios, proveedores y contratistas 20% 29% No se han revisado ó ejecutado 29% evaluaciones * Se permitieron respuestas múltiples 1 de cada 3 organizaciones no lleva a cabo revisiones/evaluaciones del manejo de terceros sobre su información. Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 21
  23. 23. Organización Global México ¿Qué área funcional de su organización tiene la responsabilidad principal de la administración de la continuidad del negocio? Tecnologías de Información 41% 53% Administración de Riesgos 20% 10% Seguridad de la información 11% 15% Finanzas 5% 6% Cumplimiento Corporativo 4% El 53% de las organizaciones 6% mexicanas señalan que TI Consejero Legal/General 1% tiene la responsabilidad principal 1% de la gestión de la continuidad del negocio Recursos Humanos 1% 2% Otro 17% 6% Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 22
  24. 24. Habilitadores Global México ¿Qué tan importante es el apoyo de la seguridad de la información para las siguientes actividades en su organización? 1 = más importante, 10 = menos importante Facilitar las fusiones, adquisiciones y des-inversiones 10 (separaciones) 10 7 Examinar tecnologías nuevas y emergentes 8 Las tres actividades más 9 importantes de seguridad Administrar proveedores externos 9 de la información en México: 2 Preservar la reputación y la marca 2 1) Cumplimiento con políticas 6 2) Preservar la reputación y Mejorar la confianza de los inversionistas y otros interesados 6 la marca 5 3) Cumplimiento con Mejorar la eficiencia de TI y la operacional 4 regulaciones 3 Lograr el cumplimiento de políticas corporativas 1 1 Lograr el cumplimiento de regulaciones 3 8 Mejorar el lanzamiento de nuevos servicios y productos 7 4 Proteger la propiedad intelectual •Se permitieron respuestas múltiples 5 Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 23
  25. 25. Habilitadores Global México ¿Qué impacto ha tenido el cumplimiento regulatorio sobre el costo anual en seguridad de la información para su organización? 21% Incremento significativo en el costo 26% 44% Incremento moderado en el costo 42% 33% El costo no cambio 31% 3% El costo se redujo 1% El costo anual del cumplimiento regulatorio continúa incrementado de forma moderada e incluso en 1 de cada 4 organizaciones el incremento en costo es significativo Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 24
  26. 26. Habilitadores Global México ¿Qué porcentaje del total de su presupuesto anual de seguridad de la información está relacionado directamente con actividades de cumplimiento regulatorio? 37% 0–5% 41% 20% 5 – 10 % 26% 19% 10 – 20 % 18% 15% 20 – 50 % 6% 8% > 50 % 9% En la mayoría de las organizaciones mexicanas (67%) la inversión dedicada al cumplimiento regulatorio representa entre el 1 y el 10% del presupuesto anual de seguridad. Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 25
  27. 27. Habilitadores Global México ¿Qué nivel de importancia tienen las siguientes consecuencias si la información de su organización es comprometida, perdida o no se encuentra disponible? 1 = más importante, 7 = menos importante 1 Daño a la reputación y marca 1 El daño a la reputación y a 2 la marca es la consecuencia Pérdida de confianza del inversionista 4 más importante en México y 3 a nivel global Pérdida de ingreso 3 4 Pérdida de clientes Se empieza a reconocer 2 que la pérdida de información 5 Sanciones/acciones regulatorias afecta directamente a los 5 ingresos 6 Acción legal/litigación 6 7 Daño a la relación con los empleados 7 •Se permitieron respuestas múltiples Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 26
  28. 28. Estándares Global México ¿Cuál de los siguientes estándares o marcos normativos han sido utilizados por su organización? CMMI 16% 20% ITIL 52% 54% COSO 18% 16% COBIT 48% 54% Foros en Seguridad de la información (ISF) 15% Estándares de buenas practicas 7% ISO/IEC 27001:2005 34% 21% ISO/IEC 27002:2005 44% 35% Ninguno ó no sabe 18% 21% Otro 11% 14% * Se permitieron respuestas múltiples Los estándares o marcos de referencia más utilizados son: 1. ITIL 2. COBIT 3. ISO 27002:2005 Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 27
  29. 29. Actividades Global México ¿Su organización ha inventariado y clasificado sus activos de información? 62% Si, parcialmente pero no completamente 56% 24% Si, todos los activos 29% 14% No, en los absoluto 15% Tan sólo 1 de cada 3 organizaciones mexicanas ha inventariado y clasificado sus activos de información Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 28
  30. 30. Actividades Global México ¿Cuáles de los siguientes temas están incluidos en los planes de administración de crisis de su organización? Identificación de procesos críticos de negocio 77% 72% Procedimientos para la administración de incidentes, 72% desastres y crisis 58% Plazos de recuperación acordados con el negocio 63% 45% Procedimientos de escalamiento aceptados 62% 44% Estrategia de comunicación interna/externa 61% 47% Roles y responsabilidades aceptados para todos los 61% miembros del equipo 52% Ejercicios de respuesta a emergencia 53% 48% Ejercicios de manejo de crisis 42% 28% Sociedades establecidas con grupos locales de En México, solo el 28% 41% respuesta a emergencias (bomberos, policía, etc.) 24% de las organizaciones Cuartos de comando equipados con capacidades de 40% llevan comunicación 26% a cabo ejercicios de Ninguna ó no sabe 12% manejo de crisis 15% * Se permitieron respuestas múltiples Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 29
  31. 31. Actividades Global México ¿Cómo evalúa su organización el programa de administración de continuidad del negocio? Pruebas de simulación de recuperación 51% de desastres 38% Checklist de pruebas 46% 49% Recorridos de prueba de escritorio del 36% área de TI 28% Simulaciones de prueba de continuidad 34% del negocio (simulación de desastres) 32% Recorridos de prueba de escritorio del 31% área de negocio 27% Pruebas paralelas (Llevadas a cabo en 29% sites alternos de recuperación) 21% Pruebas de interrupción completa de TI y del 26% negocio (prueba real de cambio de site) 18% Simulaciones de administración de crisis 24% (negocio y gerencia ejecutiva) 17% No se han realizado evaluaciones 24% * Se permitieron respuestas múltiples 27% Más del 51% de las El 27% de las organizaciones organizaciones mexicanas no ejecuta ningún tipo carecen de de evaluación de su plan un checklist de pruebas de continuidad del negocio Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 30
  32. 32. Actividades Global México ¿Cuáles de las siguientes afirmaciones pueden ser hechas por su organización respecto a la privacidad? Hemos implementado controles para proteger la 67% 55% información personal Tenemos un claro entendimiento de las leyes y regulaciones de 66% 44% privacidad que pueden impactar a la organización Hemos incluido requerimientos de privacidad en contratos 62% 50% con socios externos, proveedores y contratistas Hemos establecido procesos de notificación 39% 34% para incidentes de privacidad 31% Hemos realizado un inventario de activos de información 30% cubiertos por requerimientos de privacidad Hemos llevado a cabo una valoración del ciclo de vida de los datos 27% 21% personales (recolección, uso, almacenamiento y eliminación) Hemos implementado un proceso para monitorear y 26% 27% mantener controles relacionados a la privacidad 10% Ninguna ó no sabe 15% •Se permitieron respuestas múltiples Solo 1 de cada 3 organizaciones tanto en México como a nivel global ha realizado un inventario de activos de información cubiertos por requerimientos de privacidad Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 31
  33. 33. Actividades Global México ¿Cuáles de las siguientes acciones ha tomado su organización para controlar la fuga de información sensitiva? Ha implementado mecanismos de seguridad para la 61% protección de información (cifrado) 44% Ha definido una política especifica respecto a la 57% clasificación y manejo de información sensitiva 44% Ha implementado herramientas de monitoreo/filtrado 53% de contenido 40% Ha utilizado herramientas de 50% revisión de logs/auditoría interna 44% Ha restringido/prohibido el de uso de mensajería y correo 47% electrónico para la transmisión de datos sensitivos 45% Ha cerrado ó restringido el uso de ciertos componentes 43% de hardware (puertos USB/Firewire, etc.) 32% Ha restringido el acceso a información sensitiva en 40% periodos de tiempo especifico. 40% Ha prohibido el uso de dispositivos con cámara 29% dentro de áreas restringidas ó sensitivas 36% Ninguna ó no sabe 7% 14% * Se permitieron respuestas múltiples En general, todavía son pocas las acciones para prevenir y detectar la fuga de información sensible Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 32
  34. 34. Actividades Global México ¿Qué elementos de seguridad se cubren actualmente en los programas de concientización dentro de su organización? Concientización en tópicos generales de seguridad 74% 64% Revisión y acuerdo de cumplimento con políticas 58% y estándares actuales de seguridad 50% 44% Información actualizada sobre nuevos temas 38% Alertas y actualizaciones frecuentes sobre 44% amenazas actuales en la organización 33% Ninguno ó no sabe 10% 19% Otros 5% 0% * Se permitieron respuestas múltiples Todavía el 19% de las organizaciones mexicanas no tiene un programa, aunque sea básico, de concientización de seguridad Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 33
  35. 35. CONCLUSIONES ► A diferencia de años anteriores, los resultados de éste año para México nos muestran una alineación casi total en la mayoría de los resultados con los globales. Sin embargo todavía existe rezago en temas prioritarios como: ► Manejo de crisis ► Protección de datos personales y privacidad ► Fuga de información sensible ► Además del cumplimiento regulatorio se empiezan a considerar otros habilitadores para la seguridad de la información como el daño a la reputación y la marca y la pérdida de clientes ► Muy pocas organizaciones han integrado su estrategia de seguridad de la información a la estrategia del negocio ► La comunicación hacia los altos directivos de las organizaciones para informales el estado de la seguridad es todavía muy escasa Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 34
  36. 36. CONCLUSIONES ► Más de la mitad de las organizaciones mexicanas asignan a TI la responsabilidad sobre la continuidad del negocio, por lo que temas como el manejo de crisis continúa siendo un tema poco considerado dentro de las estrategias de administración de la continuidad de negocio ► Cada día la dependencia de proveedores externos (terceros) es mayor, sin embargo, la mayoría de las organizaciones no se vigila el cumplimiento de políticas y estándares de seguridad por parte de ellos. ► Aunque la protección de datos personales es prioritario, e incluso clave para muchas organizaciones, existe todavía un importante rezago en este tema en la mayoría de las organizaciones mexicanas. Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 35
  37. 37. RECOMENDACIONES ► Fortalecer las habilidades y conocimientos de negociación, comunicación, gestión, análisis, procesos de negocio y administración de riesgos de los responsables de la función de seguridad de la información, para lograr hablar el mismo idioma que los altos directivos y por tanto lograr demostrar el valor, importancia del tema y ganar espacio en sus agendas ► Mostrar a los altos directivos el estado actual que guarda la seguridad de la información en las organizaciones a través de la ejecución de un análisis de riesgos ► Alinear la estrategia de seguridad con las necesidades y objetivos de negocio Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 36
  38. 38. Otras iniciativas Information Security Day Noviembre 2009 Del 28 de septiembre al 2 de octubre de 2009 Ciudad de México Ciudad de México http://www.ey.com/MX/es/Issues/Operational-effectiveness/IT-effectiveness Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 37
  39. 39. Levantamiento de información para la XII Encuesta Global de Seguridad de la Información BENEFICIOS POR PARTICIPAR a) Descuento del 15% en eXtreme Hacking que se llevará a cabo del 28 de septiembre al 2 de octubre, 2009 Precio del curso: 25,000 pesos. Descuento de: 3750 pesos b) Descuento del 50% en los “E&Y Information Security Day” – octubre o noviembre 2009 Precio del seminario: 3,900 pesos. Descuento de: 1,950 pesos c) Invitación a la presentación de resultados de la encuesta Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 38
  40. 40. ¡GRACIAS! Carlos Chalico LI, CISA, CISSP, CISM, CGEIT Socio Asesoría en TI (55) 1101-6414 carlos.chalico@mx.ey.com Ricardo Lira Erika Saucedo IEC, M. en C., CISSP, PMP LCC, M. en C., CISSP Gerente Senior Gerente Senior Seguridad de la Información Seguridad de la Información (55) 5283-1326 (55) 5283-1238 ricardo.lira@mx.ey.com erika.saucedo@mx.ey.com Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 39
  41. 41. Ernst & Young Auditoría | Asesoría | Fiscal | Legal | Transacciones Acerca de Ernst & Young Ernst & Young (www.ey.com) es un líder global en auditoría y asesoría de negocios, impuestos y transacciones. Nuestros 130,000 colaboradores alrededor del mundo compartimos los mismos valores y el compromiso con la calidad. Marcamos la diferencia ayudando a nuestra gente, clientes y comunidades para lograr maximizar su potencial. Para mayor información por favor visite www.ey.com/mx © 2008 Mancera, S.C. Integrante Ernst & Young Global Derechos reservados Ernst & Young se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes. NUESTRAS OFICINAS CLAVE TELÉFONO NUESTRAS OFICINAS CLAVE TELÉFONO AGUASCALIENTES 449 912-82-01 MEXICALI 686 568-45-53 CANCÚN 998 884-98-75 MÉXICO, D.F. 55 5283-13-00 CHIHUAHUA 614 425-35-70 MONTERREY 81 8152-18-00 CIUDAD JUÁREZ 656 648-16-10 NAVOJOA 642 422-70-77 CIUDAD OBREGÓN 644 413-32-30 PUEBLA 222 237-99-22 CULIACÁN 667 714-90-88 QUERÉTARO 442 216-64-29 GUADALAJARA 33 3884-61-00 REYNOSA 899 929-57-07 HERMOSILLO 662 260-83-60 SAN LUIS POTOSÍ 444 825-72-75 LEÓN 477 717-70-62 TIJUANA 664 681-78-44 LOS MOCHIS 668 818-40-33 TORREÓN 871 713-89-01 MÉRIDA 999 926-14-50 VERACRUZ 229 922-57-55 Alcanzando metas, acortando distancias Junio 2009 Página XI Encuesta Global de Seguridad de la Información 40

×