Your SlideShare is downloading. ×
6ta Encuesta Anual de Seguridad Global en la Industria Financiera (2009 - Deloitte)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

6ta Encuesta Anual de Seguridad Global en la Industria Financiera (2009 - Deloitte)

1,732
views

Published on

El Informe Anual de Seguridad en Instituciones Financieras, realizado por Deloitte analiza el estado de las entidades financieras en materia de seguridad de la información. …

El Informe Anual de Seguridad en Instituciones Financieras, realizado por Deloitte analiza el estado de las entidades financieras en materia de seguridad de la información.
Principales factores en materia de seguridad durante 2008:
1. Cumplimiento regulatorio
2. Gestión de accesos e identidades
3. Protección de información y prevención de fugas
4. Mejoras en las infraestructuras de seguridad
5. Gobierno de la seguridad

Published in: Business

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,732
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
83
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 6ta Encuesta Anual de Seguridad Global en la Industria Financiera Proteger lo importante Abril 2009
  • 2. Introducción y metodología 1 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 3. Introducción y metodología Encuestas Globales de Seguridad & Privacidad de Deloitte 2 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 4. Introducción y metodología Informe Anual de Seguridad en Instituciones Financieras • El Informe Anual de Seguridad en Instituciones Financieras, realizado por Deloitte analiza el estado de las entidades financieras en materia de seguridad de la información. • El informe, que cumple este año su sexta edición, profundiza en la estrategia de las entidades financieras respecto a: • La seguridad de la información, la figura del CISO (Chief Information Security Officer) y la relación de la función de seguridad con la estrategia de negocio de la organización. • El presupuesto destinado a seguridad de la información en entidades financieras y el destino de las inversiones. • Las principales amenazas y ataques que sufren las entidades y las tecnologías y soluciones más destacadas para combatirlas. • Más de 200 instituciones financieras, bancos y compañías aseguradoras de todo el mundo han participado en el informe. Fuente: Deloitte • Los datos han sido recopilados durante el segundo semestre de 2008. 3 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 5. Tendencias clave Nota: Hemos resaltado los casos en los que los resultados de Argentina sean significativamente diferentes con respecto a los resultados globales 4 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 6. Tendencias clave en el mundo Seguridad en el sector financiero Principales factores en materia de seguridad durante 2008: 1. Cumplimiento regulatorio 2. Gestión de accesos e identidades 3. Protección de información y prevención de fugas 4. Mejoras en las infraestructuras de seguridad 5. Gobierno de la seguridad 5 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 7. Tendencias clave en el mundo Seguridad en el sector financiero • Evolución del CISO (Chief Information Security Officer): 1. Incremento de la presencia del CISO en las organizaciones. 2. Incremento de la frecuencia de reporting del CISO a la Alta Dirección. En Argentina, este incremento es más leve y se sigue reportando al Director de Operaciones y Sistemas. 3. El rol del CISO está más focalizado en temas de gobierno de seguridad, estrategia y planificación de la seguridad. • Evolución de la función de seguridad de la información: 1. El cumplimiento regulatorio continúa siendo el principal impulsor de la función. 2. Mayor peso de la función de seguridad en el Comité de Riesgos. En Argentina, no hubo cambios con respecto a este punto. 6 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 8. Tendencias clave en el mundo Seguridad en el sector financiero • Estrategia en seguridad de la información: 1. El 61% de las organizaciones a nivel global posee ya una estrategia de seguridad. El 63% sostiene que los objetivos de la seguridad se alinean con los del negocio y el 40% emplea métricas para evaluar la performance y efectividad de las medidas de seguridad tomadas. 2. En Argentina, los porcentajes varían significativamente, señal que las buenas intenciones no siempre se concretan, ya que el 85% manifiesta poseer una estrategia, sólo el 40% sostiene que está alineada con el negocio y apenas un 15% emplea métricas para evaluar la gestión y rendimiento de las medidas de seguridad. • Inversión en seguridad 1. El presupuesto que las entidades dedican a seguridad de la información pareciera ser escaso. El 49% de las organizaciones consultadas destina entre un 1% y un 6% de su presupuesto de tecnología, mientras que sólo un 5% destina más del 10% del presupuesto. En Argentina, los números son levemente inferiores (41%). 2. El principal obstáculo o barrera que se menciona para lograr cumplir con las estrategias planteadas son “Restricciones presupuestarias” y en Argentina, además se hace mención a un bajo involucramiento de la Alta Gerencia. 7 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 9. Tendencias clave en el mundo Seguridad en el sector financiero • El “factor humano” y ataques informados 1. En relación con los proyectos e iniciativas de seguridad, se menciona a “la escasez de recursos y de profesionales especializados en seguridad” como los principales causantes de fallas/incumplimiento de metas previstas en los mismos. Finalmente, el error humano se describe como el principal motivo de las fallas de seguridad en los sistemas. 2. El año pasado, la frecuencia de ataques externos en las entidades financieras se redujo respecto a la encuesta anterior (47% frente al 65%), pero el nivel de sofisticación de los ataques hace que éstos sean más críticos. Si bien el 20% de las entidades (24% en Argentina.) afirma no haber sufrido ataques externos durante el último año, el 22% de las organizaciones reportó ataques de “phishing” en repetidas ocurrencias; (en Argentina, el 11% de las entidades también reportó este tipo de ataque). • Gestión de accesos: 1. Este tema se ha convertido en la principal prioridad durante el pasado año y la segunda en la presente edición. En Argentina, aún sigue siendo la principal prioridad, señal de que todavía hay un gap por cubrir. 2. La mayor movilidad de los empleados, el uso de dispositivos remotos, las crecientes regulaciones y las principales preocupaciones en cuanto a excesivos accesos son los drivers que impulsan este tema. 8 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 10. Tendencias clave en el mundo Principales resultados por regiones (I) Asia Norte Global Global La función de seguridad… Japón EMEA LACRO Argentina Pacífico* América actual anterior Ha llegado a ser un tema impuesto y 77% 79% 70% 63% 78% 72% 81% 40% liderado por la Dirección. Cree que tiene los recursos necesarios (rol y presupuesto) para cubrir los 69% 65% 56% 58% 63% 59% 73% 76% requerimientos regulatorios. Ha elaborado formalmente un documento sobre la estrategia de 62% 50% 64% 62% 68% 61% 63% 76% seguridad. Está alineada con las iniciativas del 31% 30% 32% 28% 40% 32% 38% 41% negocio. Cuenta con un presupuesto que se ha 54% 25% 60% 65% 75% 60% 98% 47% ido incrementando año tras año. Tiene plan y presupuesto suficiente. 31% 5% 50% 26% 59% 43% 52% 50% Valores más bajos Valores más altos Fuente: Deloitte *Excluye Japón • El número de entidades financieras que incrementó el presupuesto destinado a seguridad se redujo considerablemente en esta encuesta respecto a la anterior, producto de la crisis. Argentina no estuvo ajena: sólo el 47% de las organizaciones pudo incrementar su presupuesto de seguridad en el 2008. 9 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 11. Tendencias clave en el mundo Principales resultados por regiones (II) Asia Norte Global Global La función de seguridad Japón EMEA LACRO Argentina Pacífico* América actual anterior Ha incorporado conceptos de seguridad y privacidad como parte del desarrollo 38% 40% 26% 32% 41% 31% 32% 35% habitual de su software. Cuenta con las competencias para gestionar las necesidades actuales y 23% 25% 41% 33% 33% 34% 30% 29% futuras. Ha ofrecido cursos a sus empleados 58% 90% 64% 82% 82% 72% 78% 76% sobre seguridad y privacidad. Tiene un responsable de privacidad a 23% 85% 58% 82% 24% 57% 66% 18% nivel ejecutivo. Dispone de un programa para gestionar 38% 84% 43% 76% 18% 48% 70% 24% la normativa sobre privacidad. Ha tenido de forma repetida ataques 33% 17% 26% 24% 30% 27% 30% 41% internos en el último año. Ha tenido de forma repetida ataques 58% 17% 49% 51% 50% 47% 65% 53% externos en el último año. Valores más altos Valores más bajos Fuente: Deloitte *Excluye Japón • LACRO (y Argentina en particular) reportan % mayores de incidentes y ataques de seguridad que otras regiones; esto podría demostrar que nuestra región es cada vez más buscada como objetivo en ataques y que todavía quedan temas por mejorar en prevención de ataques. Los países donde tradicionalmente se originan más ataques continúan siendo Rusia, China, países latinoamericanos y de Europa del Este. 10 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 12. Resultados Detallados Globales
  • 13. ¿Tiene su organización un puesto de CISO o equivalente? • 80% de los encuestados tienen un puesto de Chief Information Security Officer (CISO) o equivalente • 7% tienen más de un ejecutivo de seguridad • 12% no poseen 12 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 14. Reporte Directo (%) ¿A quién reporta el CISO? Directorio Dirección TI • Los cuatro puestos principales a los que reporta el CISO –El CIO, el Directorio, Dirección TI y el CEO- Comité de seguridad muestran un leve incremento desde el año pasado o se mantuvieron igual. El rol del CISO no parece haberse alejado de reportar a las Gerencias. Consejo general • La mayoría de los CISO (33%) siguen reportando a un CIO. 13% reportan al Directorio, y el mismo porcentaje reporta a la Dirección de TI. 9% reportan a un Comité de Seguridad, Encuesta 7% al CRO y 6% al CTO. Encuesta Anterior Actual Reporte Indirecto (%) • La mayoría de los encuestados Directorio indican que el principal puesto Comité de seguridad indirecto al que reportan los CISO’s es el Directorio (7%), demostrando que, Auditoría interna como era el año pasado, el tema de la Seguridad de la información sigue siendo una preocupación de la Alta Consejo general Gerencia y el Directorio. 13 Encuesta © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados Actual
  • 15. Capacidad del personal de seguridad Capacidad del personal de seguridad (%) La organización • Sólo el 34% indican que su tiene todas las organización tiene todas las competencias competencias requeridas para requeridas para responder efectiva y tratar los requerimientos de eficientemente seguridad existentes y los previsibles. A la organización le faltan competencias pero está • 36% están de acuerdo con la reduciendo la declaración “A la organización brecha le faltan competencias pero adecuadamente está reduciendo la brecha La organización adecuadamente”. tiene grandes brechas de competencias Se contrata staff suplementario o se terceriza Todos Encuestados Encuesta Encuesta Anterior Actual 14 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 16. Estrategia de Seguridad de la Información (SI) definida Presencia de una estrategia de Seguridad de la Información (SI) definida (%) • 61% indican poseer una estrategia Sí, formalmente de SI definida y formalmente documentada documentada. • 21% tiene una estrategia de SI en “borrador”. Sí, en formato borrador • 10% pretende tener una dentro de los 12 meses. • Estos datos están en línea con los Se pretende tener una dentro de los del año pasado. 12 meses. No Encuesta Encuesta Anterior Actual 15 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 17. Participación de las Áreas de Negocios en la estrategia de Seguridad de la Información Participación del área de Negocios en la estrategia de Seguridad de la Información (%) Aprobar la estrategia de • Las Áreas de Negocios tienen más seguridad participación en la estrategia de seguridad de la información este año. Aportar y apoyar la estrategia de seguridad • Según las respuestas, 9% dicen que las áreas de negocios son las que dirigen realmente la estrategia de Liderar la seguridad. estrategia de • 33% aprueban la definición de la seguridad estrategia de seguridad de información, 26% apoyan y 58% Brindar aportes proveen aportes. • 15% dicen que las áreas de negocios no están involucradas. No involucrado Área de Negocio Ejecutivos Funcionales 16 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 18. Alineamiento de las iniciativas de negocio y las de seguridad de la información Participación del área de Negocios en la estrategia de • La percepción de que los objetivos de Seguridad de la Información (%) negocio y los de seguridad están de “alguna manera alineados” parece estar creciendo (58% este año), pero aquellos que sienten que están “apropiadamente alineados” experimentaron una leve caída al 32%. • “Para nada alineados” es bajo; sólo el 5%. • Cuando las iniciativas de negocio y de la seguridad están alineadas, la seguridad de la información será reconocida por su valor verdadero y dará un giro completo. De alguna No alineada Apropiadamente manera alineada alineada Encuesta Encuesta Actual Anterior 17 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 19. Principales obstáculos para lograr la seguridad de la información • Presupuestos limitados (56%) y el Principales obstáculos para lograr la seguridad de la información aumento de la sofisticación de las (%) amenazas (38%) ocupan los dos Limitados presupuestos y/o falta de recursos primeros puestos. Aumento de sofisticación de amenazas. • Pero, “Aumento de la sofisticación de las amenazas” y Tecnologías emergentes. “tecnologías emergentes” son menos vistas como obstáculos en Inadecuada disponibilidad de profesionales de seg. esta encuesta que en la anterior; esto podría indicar que las Temas y preocupaciones sobre privacidad. organizaciones se sienten mejor Inadecuada disponibilidad, preparadas para enfrentar nuevas funcionalidad y/o amenazas de seguridad. interoperabilidad de productos de seguridad. Falta de estrategia de • La falta de soporte de la seguridad de información. Gerencia, la mayor queja en los Falta de soporte de la primeros años de esta encuesta, Gerencia. está muy baja en la lista de obstáculos en la encuesta Encuesta Encuesta Actual Anterior actual(15%). 18 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 20. Frecuencia de reporte del estado de la Seguridad de la Información o incidentes de seguridad Comité de Gerencia Directorio CEO auditoría Ejecutiva Semanal Mensual Trimestral Semestral Anual Ad hoc Nunca Solo cuando ocurre un incidente Decidió no ser informado • El modo más común de reportar es “ad hoc” (Directorio –19%, Comité de Auditoría –24%, CEO – 23%, Gerencia Ejecutiva –24%). • Reportes mensuales están en el segundo lugar para el Directorio (19%), CEO (20%), y en primer lugar para la Gerencia Ejecutiva (30%). 19 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 21. Principales hallazgos de auditoría interna/externa durante los últimos 12 meses Derechos de acceso excesivos • Los “Accesos excesivos” Segregación de funciones son el hallazgo de auditoría Cumplimiento de procedimientos más común (31%), seguido de control acceso por el incumplimiento de Falta de Log de auditoría procedimientos de control Falta de documentación de controles de acceso (30%) y Acceso excesivo de desarrolladores a conflictos en segregación datos y sistemas de producción. de funciones (30%). Falta de revisión de Logs Falta de actualización de reglas de acceso • Esto es un reflejo directo luego de una transferencia o desvinculación. de las preocupaciones de Uso de datos de producción en ambiente de prueba. las organizaciones sobre la Pruebas de DRP/BCP administración de Documentación/Actualización de identidades y accesos, y el DRP/BCP cumplimiento y protección Falta de políticas de seguridad documentadas y procedimientos/guías soporte de fuga de datos. Servidores no configurados de acuerdo a los estándares. Falta de programas de concientización sobre seguridad Falta de ambiente de prueba separado Uso de parámetros débiles para contraseñas Falta de estándares de servidores Falta de autorización de cambios previa a la implementación Encuesta 20 Encuesta © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados Actual Anterior
  • 22. Gasto en Seguridad de la Información como porcentaje del presupuesto total de TI Porcentaje del presupuesto de TI dedicado a la Seguridad de la Información (%) • El porcentaje del presupuesto de TI dedicado a la Seguridad de la 1 a 3% Información no ha cambiado significativamente desde el año pasado. 4 a 6% • El porcentaje más bajo del presupuesto de TI (1% al 3%) es la categoría 7 a 9% dominante (29%). • La segunda categoría más alta (19%) 10 a 11% es “4% al 6%” seguido de “7% al 9%” con 6% de los encuestados. Mayor al 11% • Un 57% de las compañías no separan el presupuesto de seguridad del presupuesto total de TI, lo que reconfirma que la seguridad se sigue viendo como predominantemente relacionada a TI. 21 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 23. Segmentación del presupuesto de Seguridad Segmentación del presupuesto de seguridad (%) Consultores de Seguridad Productos de control de acceso lógico Dispositivos/productos de protección de infraestructura Costos de concientización/comunicación Antivirus de estaciones de trabajo/gateway Hardware e infraestructura Costos de personal y organización Administración de cumplimiento y riesgo Respuesta ante incidentes Plan de recuperación ante desastres Investigación y desarrollo en Seguridad Administración de la continuidad del negocio Costos de investigación y estudios Costos de auditoría o certificaciones Control de acceso físico Costos de seguros • Las principales prioridades de inversión y gastos de este año son consultores de seguridad (61%), productos de control de acceso lógico (58%), y dispositivos de protección de infraestructura (54%). • Estas iniciativas son seguidas por planes de concientización/comunicación (46%), antivirus de estaciones de trabajo y Gateways (45%), y hardware/infraestructura (36%). • Dos iniciativas clave del último año –administración de la continuidad del negocio y recuperación en caso de desastres- no sólo han sido descartadas de las 5 principales, sino que también están muy abajo en la lista. 22 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 24. Principales causas de incumplimiento de requerimientos/fallas de proyectos de Seguridad de Información Principales causas de las fallas de proyectos de Seguridad de Información (%) • El 28% de los encuestados reportó que no miden la cantidad de proyectos Falta de recursos de seguridad que fallan en entregar lo Cambio de prioridades prometido/cumplir con requerimientos y por ende, tampoco miden los Problemas de integración proyectos exitosos. Falta de soporte por parte de los dueños del negocio • La “Falta de recursos” es citado como la causa número uno de las fallas de Expectativas poco realistas los proyectos (33%). Esto soporta el hallazgo de que lo limitado de los Falta de soporte ejecutivo presupuestos es la principal barrera de Falta de habilidad para ejecutar efectivamente la seguridad de la información. Falta de competencias / • “Cambio de prioridades” ha caído al capacidades 27%, indicando que las organizaciones están ahora identificando, Encuesta Encuesta Actual Anterior comunicando y acordando prioridades. • También mencionan problemas de integración en un 22%; y falta de soporte por parte de los dueños de negocio en un 14%. 23 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 25. Amenazas externas previstas para los próximos 12 meses Exposición a Pérdida de datos de Inadecuada datos Virus/Ataques de cliente y temas de administración de sensitivos gusanos privacidad (fuga de parches y control de por ataques información) cambios vía web Fraude Phishing Robo o pérdida de Redes zombis financiero propiedad externo en intelectual sistemas de información Uso inapropiado de Mala conducta de Cyber-terrorismo Brechas en datos sensitivos empleados redes inalámbricas Fraude financiero Acceso remoto Ingeniería social Adware interno en sistemas malicioso (publicidad) de información Baja calidad de Spyware (espías) Cambio de imagen Extorsión en desarrollo de software de sitios web línea Contraseñas débiles Denegación de Ataques a email Amenazas Servicios (ejemplo: spam) físicas 4-5 2-3 0-1 “La pérdida de datos de clientes y temas de privacidad” se encuentra en el primer lugar con 48% de encuestados, marcándola como la amenaza de máxima preocupación para ellos. Phishing y Pharming están en el segundo lugar con el 46%, también se mantiene como la amenaza externa más citada para el futuro. Uso inapropiado de datos sensitivos se ubica en el 3er puesto, con 39% de encuestados seleccionándola como la máxima preocupación. 24 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 26. Causas originarias de las fallas de los sistemas de información Causas originarias de las fallas de los sistemas de información (%) • Como en años anteriores, se indica que la gente (empleados, clientes, Error humano (errores y omisiones) terceros, proveedores, etc.) son el Tecnología (software, activo más importante y también el hardware) eslabón más débil. Operaciones • El error humano es, de manera abrumadora (86%) la razón de falla Falta de procesos documentados más elegida, seguido de la tecnología (un distante 63%). Terceros Actos maliciosos • Las operaciones están en 37%, por externos seguidas de “Falta de procesos Otros documentados” (31%) y “terceros” (23%). “Actos maliciosos por atacantes Estructura de reporte externos” es bajo; (sólo un 13%). Encuesta Encuesta Actual Anterior 25 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 27. Experiencias de ataques externos Una ocurrencia (%) Varias ocurrencias (%) Virus/gusanos Ataques por mail (ej: spam) Spyware Redes zombis Denegación de servicio Adulteración de sitios webs Accesos remotos maliciosos Extorsión online Ataques por redes inalámbricas Phishing/Pharming Ingeniería social Mala conducta de empleados Robo de propiedad intelectual Fraude financiero externo involucrando sistemas de información Exposición de datos sensitivos a través de ataques por web Amenazas físicas Casos accidentales Otras formas de ataques externos No hemos sido afectados por ataques externos • Virus/gusanos y ataques por mail son los dos ataques externos más significativos citados por los encuestados. • Un porcentaje mucho mayor de encuestados respecto al año pasado (20%) indica no haber tenido inconvenientes de ataques externos. 26 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 28. Experiencias de ataques internos Una ocurrencia (%) Varias ocurrencias (%) Virus/gusanos Ataques por redes inalámbricas Pérdida de datos de clientes / temas de privacidad Fraude financiero interno involucrando sistemas de información Robo de propiedad intelectual Casos accidentales Otras formas de ataques internos No hemos sido afectados por ataques externos • Virus/gusanos y ataques por redes inalámbricas son los dos más grandes peligros internos citados por los encuestados. • Transmisión de datos no encriptados fue la causa del problema en el más grande ataque a tarjetas de crédito, en la Encuesta anterior. 27 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 29. Tecnologías de seguridad implementadas, Antivirus probadas y planificadas Firewalls Soluciones de filtrado de spam Redes privadas virtuales (VPN) Monitoreo/Filtrado de contenido web • La gran mayoría de los encuestados indican Sistema de detección de intrusos (IDS) que sus organizaciones emplean antivirus Software anti-spyware Directorios (96%), firewalls (94%), soluciones de filtrado Encriptación de spam (87%) y redes privadas virtuales Sistema de prevención de intrusiones (IPS) (85%). Herramienta de evaluación de redes activas Tockens • Las tecnologías menos mencionadas fueron Voz sobre IP (VoIP) Sistemas de gestión de vulnerabilidades RFID (6%), acceso federado (9%), Listas de control de acceso basadas en servidores biométricos (10%), y tarjetas inteligentes Sistemas de gestión de accesos webs (13%). Soluciones anti-phishing Software de administración de Logs • Dentro de las tecnologías que la mayoría de Logs de seguridad y sistemas de administración de eventos (SIM, SEM) las organizaciones planea aplicar o probar a Control de acceso a redes Herramienta pasiva de evaluación de redes. corto plazo son: Herramientas de detección Infraestructura de clave pública (PKI) de pérdida o filtrado de información y Seguridad de servicios web amenazas internas (32%), y Logs de Detección/Prevención de fraude Soluciones de seguridad de redes inalámbricas seguridad y sistemas de administración de Herramientas de workflow para la administración de incidentes eventos (27%). Encripción/Seguridad de datos almacenados en medios removibles Herramientas de detección de filtrado de información y amenazas internas • Otras tecnologías que vale notar son las Firewall a nivel de aplicaciones soluciones anti-phishing (39% implementadas Herramientas de cumplimiento de seguridad y 11% planea implementar o probar), Sistemas de aprovisionamiento de usuario Herramientas forenses seguridad/encriptación de metadatos/datos Sistemas de administración de amenazas activas almacenados en medios removibles (28% y Sistemas de administración de acceso a nodos de red (validación local) Single Sign On a nivel Empresas 14%, respectivamente), y sistemas activos de Soluciones de seguridad para mensajería instantánea gestión de amenazas (21% y 17%, Tarjetas inteligentes respectivamente). Sistemas Biométricos Acceso federado Tags de identificación de radio frecuencia 28 Completamente aplicado Etapa de prueba © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados Plan para aplicar o probar en los próximos 12 meses
  • 30. Frecuencia de revisiones de seguridad Trimestral Semestral Anual Ad hoc Nunca Escaneo de vulnerabilidades 43% 9% 13% 27% 6% Pruebas de penetración interna 16% 12% 23% 33% 14% Pruebas de penetración externa 19% 13% 33% 24% 10% Pruebas de penetración realizadas por terceros 13% 14% 34% 26% 10% Revisión de código de seguridad de aplicaciones 6% 5% 8% 41% 29% • En 5 tipos de pruebas, desde escaneos de vulnerabilidades hasta revisiones de códigos de seguridad de aplicaciones, los números son relativamente consistentes con los del año pasado. 29 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 31. Nivel de preocupación referido a malas conductas de personas internas/externas a la empresa, que involucran sistemas de información Nivel de preocupación referido a malas conductas de personas internas/externas a la empresa, que involucran sistemas de información (%) • Mientras que un gran número (38%) indica igual preocupación por la mala Mayor nivel de conducta tanto interna como externa, preocupación sobre personas es claro que solo el personal interno internas es la mayor preocupación –36% vs. sólo 13% para personas ajenas a la Mayor nivel de preocupación compañía. sobre personas externas • “Ninguna preocupación en absoluto” es bajo, 4% Igual nivel de preocupación Ninguna preocupación 30 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 32. Capacitación ofrecida adaptada según el rol y la función del puesto Capacitación ofrecida adaptada según el rol y la función del puesto (%) N/A – No se ofrece No Sí, regularmente Sí, ad hoc capacitación Ejecutivos Personal que maneja información sensitiva Desarrolladores y programadores de aplicaciones de TI Administradores de sistemas Infraestructura de TI Contratistas • La capacitación adaptada por puesto es baja, con el máximo foco puesto en administradores de sistemas, quienes reciben en forma regular (30%) o ad hoc (38%). • De manera previsible, los contratistas, son los que menos capacitación reciben (15% en forma regular o 21% ad hoc); esto puede ser peligroso en tiempos económicos difíciles, donde se suele priorizar la tercerización por sobre la contratación de recursos propios. 31 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 33. Sobre la práctica de Seguridad y Privacidad de Deloitte • Nuestra práctica de servicios de Seguridad y Privacidad tiene como misión ayudar a los clientes a lograr niveles de seguridad adecuados, a través de un porfolio integral de servicios y soluciones, utilizando metodologías y herramientas probadas, aplicadas de forma consistente, por profesionales y especialistas de clase mundial. • A nivel global, Deloitte cuenta con más de 10,000 profesionales y especialistas a nivel global que ayudan a nuestros clientes a administrar riesgos, desde aquellos que enfrentan el Directorio y el Comité de Auditoría hasta los riesgos técnicos con los que batallan los administradores en el día a día. • En Argentina, Deloitte es líder en el mercado brindando servicios de administración de riesgos, con un equipo local de más de 120 profesionales y especialistas en riesgos y seguridad. • Existen múltiples reconocimientos internacionales de nuestra posición de liderazgo en el mercado. 32 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 34. Otros Recursos • Otras Encuestas Disponibles – Encuesta Global de Seguridad para la Industria de Ciencias de la Salud y Medicina – Encuesta Global de Seguridad para la Industria de Energía • Encuestas en Curso – Encuesta Global de Seguridad para la Industria de Consumo Masivo: https://www.dexsurvey.deloitte.com/anondirect.asp?XID=18827 – Encuesta Global de Seguridad para la Industria de Tecnología, Medios y Telecomunicaciones: https://www.dexsurvey.deloitte.com/anondirect.asp?xid=18785 – Encuesta Global de Alineamiento/Balance entre el área de TI y las Gerencias de Negocio: www.itbusinessbalance.com/es – Encuesta Global de Continuidad de Negocio: A ser lanzada a la brevedad 33 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 35. Contactos Alberto Allemand Claudio Fiorillo Socio Líder de Consultoría Socio Líder de la Industria para región LATCO Financiera para región LATCO 4320-2750 4320-4018 aallemand@deloitte.com cfiorillo@deloitte.com Martín Carmuega Andrés Gil Socio Líder de Seguridad y Privacidad Socio de la Práctica de para región LATCO Seguridad y Privacidad 4320-4003 4320-2779 mcarmuega@deloitte.com angil@deloitte.com Claudia Minzi Gerente de la Práctica de Seguridad y Privacidad 4320-4025 cminzi@deloitte.com 34 © Deloitte & Co. SRL 2009. Todos los Derechos Reservados 6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados
  • 36. © 2009. Deloitte & Touche LLP and affiliated entities. Deloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, its member firms, and their respective subsidiaries and affiliates. As a Swiss Verein (association), neither Deloitte Touche Tohmatsu nor any of its member firms has any liability for each other's acts or omissions. Each of the member firms is a separate and independent legal entity operating under the names quot;Deloitte,quot; quot;Deloitte & Touche,quot; quot;Deloitte Touche Tohmatsu,quot; or other related names. Services are provided by the member firms or their subsidiaries or affiliates and not by the Deloitte Touche Member of Tohmatsu Verein. Deloitte Touche Tohmatsu