Perspectivas sobre

gobierno corporativo,
riesgo y cumplimiento

Crear confianza en
el mundo digital
Encuesta Global sobre Seguridad
de la Información de EY de 2015
Contenido

Bienvenidos 1

Los ataques actuales en el mundo digital 3

¿Cómo se desarrollan los ataques? 10

¿Por qué las empresas continúan siendo tan

vulnerables? 16

El cambio hacia la Defensa Activa 20

Utilizar la ciberseguridad como habilitador digital 28

Metodología del reporte 30

 Bienvenidos

Bienvenidos a Crear confianza en el mundo digital:

Encuesta Global de Seguridad de la Información (GISS,
por sus siglas en inglés) de EY 2015, nuestra 18.a edición
investiga los asuntos de ciberseguridad más importantes
que actualmente enfrentan los negocios.

Este año nos complace contar con la participación de 1,755 compañías en este
informe basado en las perspectivas extraídas de los resultados y de la amplia
John Dix experiencia global que adquirimos al trabajar con nuestros clientes al ayudarlos a
Socio de Asesoría de diseñar sus estrategias de ciberseguridad.
Negocios
El año pasado identificamos las formas en las que las compañías se mantienen
un paso adelante del cibercrimen al seguir el enfoque de tres etapas: Activar,
Adaptar y Anticipar. Este concepto aún es aplicable, pero debido a que los
ciberatacantes cambian constantemente sus tácticas, aumentan su persistencia y
amplían sus habilidades, la naturaleza de las ciberamenazas ha evolucionado. Los
atacantes día con día encuentran nuevas y mejores formas de aprovecharse de la
rápida expansión de la digitalización y la creciente conectividad de los negocios,
así como de las formas en que nuestras vidas personales están cada vez más
entrelazadas con las tecnologías móviles y el internet.
Si les cuesta trabajo entender cómo pueden manejar esta situación, no están solos
– más de una tercera parte de los participantes de esta encuesta aún consideran
que es poco probable que puedan identificar un ciberataque sofisticado – y con base
en nuestro conocimiento, sabemos que solo las empresas que están más alerta
podrán detectar las pequeñas anomalías que son indicadores de una violación a
largo plazo.
La ciberseguridad es más que una cuestión de tecnología y no puede pertenecer
únicamente al ámbito de las Tecnologías de la Información.
Tampoco puede ser responsabilidad solo de la alta Dirección, ya que afecta a todos
los niveles de una compañía y a las diferentes áreas estratégicas que la integran.
Por ello, este reporte analiza cómo deben trabajar conjuntamente las diversas
partes de una empresa e intercambiar experiencias para poder acumular evidencia
a fin de identificar componentes donde los atacantes logran obtener acceso y
acumulan información que pudiera afectar el valor esencial de la organización.
Su objetivo debe continuar siendo mantenerse un paso adelante de los
ciberatacantes, lo cual representa aprender a estar en un estado constante
de Defensa Activa, concepto cuyo significado y aplicación explicamos en este
documento así como las alternativas con las que cuenta EY para apoyarlo en este
rubro.
Agradecemos a nuestros clientes por invertir su tiempo en completar esta encuesta
y esperamos que disfruten leer el informe.

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 1

 Entender los retos de la ciberseguridad
El mundo digital está lleno de oportunidades de innovación y las empresas, gobiernos y
personas han enfocado su atención en los beneficios más significativos. Al crear nuevos
mercados y productos, así como un novedoso entendimiento de los consumidores y
al encontrar formas diferentes de conectarnos con ellos, el mundo digital ofrece un
enorme potencial.

Desafortunadamente, debido a la premura por llevar esto a cabo, varias medidas de

precaución son ignoradas y los riegos subestimados. Por ello, darse cuenta de que hay
un lado negativo y que el mundo digital también plantea posibilidades de explotación
para los criminales y otros individuos que buscan provocar problemas, se convierte
en un mensaje que ha llegado demasiado tarde a las compañías. Además de esto,
comienzan a surgir consecuencias complejas e imprevistas debido a la interconectividad
que hay entre la gente, las organizaciones y las “cosas”.
Para que las organizaciones reconozcan los retos actuales y entiendan lo que
tienen que hacer, deben analizar a fondo cada una de estas cuatro áreas:

¿Por qué las

Los ataques ¿Cómo se empresas continúan El cambio
actuales en el desarrollan los siendo tan hacia la
mundo digital ataques? vulnerables? Defensa Activa
• ¿Cómo cambia el • ¿Cuáles son los peores • No hay suficientes • ¿Qué es la Defensa Activa?
mundo? escenarios? medidas de control en el • ¿Qué debe mejorar con su
• ¿Cuáles son las • ¿Cómo detectar las entorno actual implementación?
principales amenazas señales sutiles? • No hay mecanismos para • ¿Cómo construirla?
y vulnerabilidades? • ¿Por qué el estado de adaptarse al cambio
• ¿Cómo enfrentar los alerta máxima debe • El enfoque proactivo es
ataques? ser constante en una lento para neutralizar los
organización? ciberataques

2 | Encuesta Global sobre Seguridad de la Información de EY de 2015

Los ataques
actuales en el
mundo digital

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 3

Los ataques actuales
en el mundo digital

¿Cómo cambia el mundo?

Las organizaciones no tienen otra opción más que operar en este entorno cambiante,
por lo que los gobiernos y medios de comunicación inevitablemente están enfocando
cada vez más su atención en qué es lo que pasa cuando el ciberespacio se une con
el mundo físico. Es inaceptable que los datos personales de clientes sean robados
y utilizados, y se sabe que el robo de propiedad intelectual es perjudicial para las

88%
empresas, al igual que las pérdidas y los costos de remediación correspondientes. El
hackeo y la manipulación de los medios de comunicación, tecnologías de información,
administración gubernamental y sistemas de defensa son vistos como una amenaza
de los encuestados considera significativa a la seguridad nacional.
que su programa de seguridad
Entonces ¿qué significa para ustedes y sus compañías sobrevivir en el mundo
de la información no cumple
plenamente con las necesidades
digital?
de la compañía. Las empresas deben ser vistas desde una dimensión cibernética y todas estas áreas
deben considerarse:

Utilizar la ciberseguridad para generar oportunidades y sustentabilidad digital

Dimensión de la empresa
Estrategia, Experiencia del Cadena de Tecnología Riesgo y Finanzas, legal Gente y
innovación y cliente suministro y ciberseguridad e impuestos organización
crecimiento operaciones

Establecer Administrar Crear una

Impulsar la una red de el riesgo a cultura diversa
innovación distribución medida que se de la innovación
Mejorar la digital más ágil transforma el y pensamiento
experiencia de los negocio
clientes mediante el Automatizar
Optimizar el
aprovechamiento de los procesos y
ecosistema digital
la tecnología controles
Mantener el
Alinear el modelo Gestionar tanto avance del Rediseñar la
Retos de la empresa

operativo para el los recursos incremento de organización para

mundo digital internos como la privacidad acoplarse a la era
Reunir
los proveedores en los riesgos y digital
inteligencia a Habilitar
terceros ciberataques Digitalizar
través de puntos totalmente
de contacto facturas y
los sistemas
y medios de documentos
digitales
comunicación
Entender los Transformar el
Desarrollar el Utilizar las nuevas
riesgos generales conocimiento
entorno sin límites tecnologías
de las nuevas en toda la
para mejorar las
Equilibrar la tecnologías Evaluar la organización
Profundizar las operaciones
relaciones con y innovación eficacia
perspectivas de digital con el del modelo
los clientes mantenimiento operativo fiscal
de TI digital Integrar las
Entender las Responder Brindar tecnologías
amenazas y rápidamente confianza y digitales para
oportunidades ante cambios en privacidad empoderar a la
Utilizar la el mercado Integrar las digitales gente
tecnología para aplicaciones Dirigir los
obtener una mejor de clientes con requisitos legales
integración entre los sistemas y regulatorios
las funciones administrativos

El Internet de las Cosas Móvil Impresión 3D Nube Ciber

Catalizadores de

626 mil millones de

85% 99% 36% 81%
aceleración

dólares
en gastos de consumidores
a través de medios móviles
antes de 2018.
Fuente: Goldman Sachs 2014
de las relaciones comerciales
manejadas sin interactuar con
un humano antes de 2020.
Fuente: Gartner Group 2011
de todos los dispositivos que algún
día podrían integrarse a la red aún
se encuentran desconectados.
Fuente: Cisco, Rob Soderbury 2013
de las compañías probablemente
no detectarán un ciberataque
sofisticado.
Fuente: Encuesta EY Global Info Sec 2015
de los altos ejecutivos aceptan que
los datos deben estar al centro de
toda toma de decisiones.
Fuente: EY Becoming an analytics-driven
organization to create value 2015

Sensores Analítica Social Inteligencia artificial

4 | Encuesta Global sobre Seguridad de la Información de EY de 2015

 Los ataques actuales
en el mundo digital

Operar en un mundo digital - ¿qué hay de nuevo?

• Los servicios y dispositivos inteligentes dan lugar a consecuencias imprevistas y a una
aglomeración de datos, con lo que aumentan las vulnerabilidades para la explotación;
los humanos a menudo no participan en los procesos de toma de decisiones.
• Mediante las redes sociales y el programa trae tu propio dispositivo (BYOD, por
sus siglas en inglés), los empleados, clientes y ciudadanos siempre están activos y
comparten información, por lo que no toman en cuenta todas las implicaciones que
esto conlleva para la privacidad y confidencialidad.
• Las compañías almacenan más datos en la nube y con terceros; esto es atractivo pero
peligroso, ya que con la pérdida de control, mayores amenazas y una conectividad
inesperada, se crea un ecosistema complejo.
68%
de los encuestados no piensa que
• El comportamiento humano cambia de forma tanto positiva como negativa. monitorear los ecosistemas de sus
negocios sea un reto de seguridad
• La gran cantidad de leyes y regulaciones nuevas generan modificaciones en los
de la información en el Internet de
procesos. Esto a su vez, significa que se crean otras vulnerabilidades, lo cual cambia las Cosas.
el panorama de amenazas y la superficie de ataque de una compañía (a menudo al
ampliar y no reducir el peligro).

¿Cuáles son las principales amenazas y

vulnerabilidades?
Para que su organización pueda ocupar un lugar más seguro y sustentable en el mundo
digital, es necesario contar con una perspectiva de riesgos cibernéticos para todo lo que
hagan.
Las empresas adoptan un enfoque adecuado para administrar sus riesgos y
vulnerabilidades, mismo que no debe exponerlas a amenazas mayores. Ésta no es una

67%
responsabilidad que pueda delegarse a una o dos personas; más bien, debe considerarse
y detallarse como una responsabilidad individual en toda la organización y en su
ecosistema general, en el que las partes interesadas deberán reunirse para formar una
sola perspectiva coherente y accesible. Esta perspectiva será diferente para la Dirección, de los participantes no considera
los altos ejecutivos y para los empleados, así mismo será diferente para los socios, que administrar el crecimiento
proveedores y otros terceros. en los puntos de acceso de
su compañía sea un reto de
El problema es lograr mantenerse a flote entre tantos datos y no crear más trabajo y seguridad de la información en el
riesgos. Por lo tanto, los involucrados deben priorizar, simplificar y planear lo que un Internet de las Cosas.
enfoque de ciberseguridad integral y eficiente significa para su compañía en particular.
Puede que los elementos básicos sean comunes (como se describe en nuestro enfoque de
las tres A – ver www.ey.com/GISS2014), pero únicamente podrán obtener un verdadero
valor al personalizar su enfoque de ciberseguridad con base en su estrategia comercial,
riesgos y prioridades.
Para poder guiar de manera eficiente a su compañía por los diversos niveles de riesgos y
amenazas, los líderes deben tener la confianza para establecer su apetito de riesgo y estar
preparados para implementar medidas decisivas para hacer frente a cualquier desafío.
Por ejemplo, un tema que se ha observado claramente en los últimos dos años es que
el impacto de un incidente es reducido considerablemente por los dirigentes, quienes
aseguran que cuentan con un manejo inteligente y adecuado de los incidentes cibernéticos
y una comunicación eficaz tanto interna como externamente para afrontar los resultados.
Preguntas que deben considerar las compañías:
• ¿Entienden plenamente las amenazas y vulnerabilidades del mundo digital?
• ¿Han hecho el análisis necesario para determinar cómo el panorama de amenazas aplica
para sus compañías y estrategia? ¿Han priorizado las medidas de ciberseguridad en
torno a esto?
• ¿Conoce su apetito de riesgo para determinar las pérdidas y daños aceptables e
inaceptables de los posibles incidentes como parte del diseño de su programa de
administración de respuestas en caso de violaciones cibernéticas?
Su transformación digital solo será sustentable cuando el apetito de riesgo se establezca a
un nivel con el cual la Dirección se sienta cómoda, y que la empresa pueda alcanzar.

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 5

Los ataques actuales
en el mundo digital

¿Qué amenazas* y vulnerabilidades** han aumentado su exposición a riesgos en los

últimos 12 meses? (Calificar los siguientes puntos, en donde uno tiene la prioridad más
alta y cinco la más baja)

Vulnerabilidad

Relacionado con el uso de redes sociales 6% 14% 31% 25% 23%

Relacionado con el uso de la computación en la nube 10% 18% 28% 21% 23%

Relacionado con el uso de la computación móvil 9% 23% 31% 22% 15%

Arquitectura o controles de seguridad de la

15% 19% 31% 19% 16%
información obsoletos

Acceso no autorizado 10% 22% 36% 20% 12%

Empleados descuidados o inconscientes 18% 26% 32% 14% 9%

Amenaza

Desastres naturales (tormentas, inundaciones,

9% 11% 23% 22% 35%
etcétera)

Espionaje (por ejemplo, por la competencia) 9% 14% 24% 22% 31%

Ciberataques para robar propiedad intelectual o datos 13% 17% 26% 22% 21%

Ataques internos (por ejemplo, por empleados

9% 18% 32% 23% 19%
descontentos)

Ciberataques para robar información financiera 15% 18% 25% 19% 23%

Ciberataques para interrumpir o dañar a la empresa 15% 18% 29% 19% 19%

Fraude 12% 22% 28% 19% 19%

Spam 9% 19% 36% 22% 13%

Ataques de día cero 16% 19% 32% 16% 17%

Phishing (suplantación de identidad) 19% 25% 29% 16% 12%

Software malicioso (por ejemplo, virus, gusanos y

16% 27% 30% 18% 9%
troyanos)

Clave: 1 2 3 4 5

*Amenaza: posibilidad de acciones hostiles por parte de terceros del entorno externo.
**Vulnerabilidad: exposición a la posibilidad de sufrir daños o ataques.

6 | Encuesta Global sobre Seguridad de la Información de EY de 2015

 Los ataques actuales
en el mundo digital

Comparación entre 2015 y 2014

Si analizamos las dos vulnerabilidades principales:

• Empleados descuidados o inconscientes
• Arquitectura o controles de seguridad de la información obsoletos
En 2014, estas vulnerabilidades eran consideradas mayores y de la más alta prioridad,
pero las organizaciones indican que el grado de vulnerabilidad ha disminuido en estas
áreas. Actualmente, solo el 44% se siente vulnerable con relación a los empleados
inconscientes, en comparación con el 57% en 2014. Por otro lado, el 34% se siente
vulnerable debido a sus sistemas obsoletos, comparado con el 52% en 2014. Esto
demuestra que las compañías cubren sus vulnerabilidades de manera más eficaz en la
actualidad.
Sin embargo, cuando analizamos las dos principales amenazas actuales:
• Phishing (suplantación de identidad)
• Software malicioso
Estas amenazas ocuparon el quinto y séptimo lugar en 2014 y el robo de información
financiera, de propiedad intelectual, la amenaza de fraude, el espionaje y los ataques de
día cero en ese entonces eran señalados como más altas. Esta percepción exacerbada del
phishing y software malicioso como amenazas demuestra un claro cambio de opinión,
pero ¿es el cambio correcto o un desvío hacia la dirección equivocada?

57% 44% 52% 34%

2014 2015 2014 2015
Actualmente, solo 44% se siente Solamente 34% se siente vulnerable
vulnerable en relación con empleados debido a sistemas obsoletos,
inconscientes, en comparación con 57% comparado con 52% en 2014.
en 2014.

39% 44% 34% 43%

2014 2015 2014 2015
44% considera que el phishing es la 43% indica que el software malicioso es
principal amenaza en la actualidad, en la amenaza primordial en la actualidad,
comparación con 39% en 2014. en comparación con 34% en 2014.

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 7

Los ataques actuales
en el mundo digital

¿Cómo enfrentar los ataques?

Es un hecho que su compañía sufrirá incidentes cibernéticos, esto es parte
del mundo digital.

42%
de los encuestados piensa que conocer
todos sus activos críticos es un reto
clave de la seguridad de la información.
El punto de partida para ganar confianza como compañía es estar al tanto de
la situación; esto es tener un entendimiento de cómo perciben su empresa
los ciberataques.
• ¿Cómo proteger la compañía de un incidente cibernético si no conocemos
cual es el objetivo del atacante?
• ¿Cómo obtendrán acceso y cómo dañaría esto a la organización y a sus
activos críticos?
• ¿Cómo mantener la confianza sin conocer plenamente la capacidad que
tiene la empresa para responder, contener y recuperarse de un ataque?
Las compañías a menudo están familiarizadas con buenos principios de
administración de riesgos, y esto es un punto de partida útil para pensar en
la ciberseguridad:

Principios clave de ... Aplicados a los riesgos

administración de riesgos ... cibernéticos

Conocer sus activos de información críticos

1 Lo más importante es el enfoque
Alinear el negocio y la cultura de riesgo específicamente.
Identificar los activos de negocio críticos que son vulnerables a los
ciberataques.

2
Hacer que los riesgos cibernéticos sean más tangibles
Medir y reportar
Definir claramente los riesgos cibernéticos y las métricas
Incluir declaraciones cualitativas y medidas cuantitativas.
subyacentes.

Naturaleza integral
3 Abarcar todos los tipos de riesgo, tanto actuales como
futuros.
Alinear los esfuerzos con los marcos de riesgo existentes
Financieros, operativos, regulatorios, clientes, reputación, entre otros.

Identificar el apetito de riesgo Otorgar la debida relevancia a los riesgos cibernéticos

4 Establecer el apetito de las unidades de negocio y
determinar tipos de riesgo.
Vincular los riesgos a nivel organizacional a las unidades de negocio
individuales y sus activos de información.

Integrar con la planeación del negocio
5 Los reguladores buscan mayor evidencia de
cumplimiento.
Integrar el apetito de riesgo en las decisiones de inversión
Priorizar las inversiones en los puntos críticos, empoderar a los negocios
para tomar decisiones a nivel local.

8 | Encuesta Global sobre Seguridad de la Información de EY de 2015

 Los ataques actuales
en el mundo digital

Los ciberataques a menudo son anunciados como eventos sensacionalistas y

dramáticos, es decir, violaciones masivas donde los sistemas y sitios se vuelven
inoperables y resultan en inconveniencias o daños repentinos para los consumidores.

20%
Los titulares de la prensa enfocan su atención en los eventos a gran escala en los que
los atacantes extraen la información de millones de cuentas, filtran grandes cantidades
de información confidencial en línea, roban la propiedad intelectual y dañan los
sistemas. de los encuestados no puede
estimar los daños financieros
Sin embargo, la naturaleza repentina de estos titulares puede ser engañosa. La mayoría totales relacionados con incidentes
de estos ataques comenzaron semanas o meses antes, cuando los cibercriminales cibernéticos en los últimos 12 meses.
encontraron su punto de acceso y esperaron pacientemente para explorar, localizar
activos valiosos y hacer sus planes.
Además, los ciberataques no son aislados, sin importar qué tan simples o complejos,
dirigidos o aleatorios sean o parezcan ser. Estas primeras señales sutiles y el impacto
acumulado de ataques repetidos deben entenderse e incluirse en su planeación y
apetito de riesgo.

Apetito Activos críticos Identificar los riesgos reales

organizacional • Definir de arriba hacia abajo el apetito de
Apetito de arriba riesgo y activos de información crítica.
hacia abajo Asignados a las Definidos a nivel • Mapear los activos críticos en todos los
unidades de negocio organización sistemas y negocios (incluye a terceros).

Priorizar lo más importante

• A
► sumir que ocurrirán brechas. Mejorar
Presupuesto Escenarios los controles y procesos para identificar,
proteger, detectar, responder y recuperarse
de ataques.
Priorizaciones con base en • Equilibrar lo fundamental con las amenazas
• Apetito de riesgo emergentes y capacidades de pares.

• Criticidad de los Gobernar y monitorear el desempeño

activos
• E
► valuar con regularidad el desempeño y el
• Alineación de pares riesgo residual.
• M
► edir los principales indicadores para
identificar los problemas cuando aún son
Marco de abajo pequeños.
hacia arriba Entorno de control
Optimizar inversiones
• Requisitos de control alineados con la • A
► ceptar los riesgos manejables cuando no
criticidad de los activos (p. ej., Nivel 1, haya presupuesto.
Nivel 2, etc.) • A
► segurar que el impacto sobre costos y el
negocio habitual sean considerados para
• Equipo rojo, benchmarking, pruebas de toda inversión.
control
• Evaluaciones de riesgo, registros, KRI Habilitar el desempeño del negocio
► omentar que la seguridad sea
• F
responsabilidad de todos.
Equipo rojo: es un grupo que reta abiertamente a una • N
► o limitar el uso de nuevas tecnologías;
compañía para mejorar su seguridad a través de ejercicios utilizar la fuerza del cambio para
específicos, como pruebas de penetración, ingeniería social, implementarlas.
entre otros.

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 9

¿Cómo se desarrollan
los ataques?
 ¿Cómo se desarrollan
los ataques?

¿Cuáles son los peores escenarios?

Para identificar que las cosas no están del todo bien, primero es importante conocer el entorno
al derecho y al revés. Esto permitirá localizar los aspectos críticos para el éxito de la compañía,
así como determinar cuáles podrían ser algunos escenarios de riesgo de negocio cibernético
importantes, y tener una idea de los daños que habría si cierta información se perdiera o se
viera comprometida. Lo anterior ayudará a priorizar las precauciones y crear contramedidas
en torno a las áreas más críticas y contextos de ataque más probables.

Un ejemplo de un escenario de ataque es el siguiente:

Una violación cibernética puede ser muy sutil – varios incidentes

suceden al mismo tiempo
Ingeniería social avanzada (p. ej., estafa focalizada por correo electrónico (spear-phishing), ataques de
espionaje (water-hole attacks)

Recopilación sofisticada de inteligencia durante seis meses

Pleno conocimiento de las debilidades de la empresa – gente, procesos y tecnología

El efecto acumulado sobre una compañía puede ser enorme

Ventas Cadena de Investigación y Cuentas por

suministro desarrollo pagar

La manipulación La manipulación de Las áreas de mayor El fraude periódico de

estratégica de ventas
y sistemas de correo
electrónico dan lugar a una
pérdida de ventas de 2% a
3% antes de los periodos
de reporte trimestrales o
anuales.
cadenas de suministro y del
sistema de pedidos en línea
conlleva a la degradación
de la producción y de la
recaudación de cuentas por
cobrar, lo que representa
una pérdida de ingresos
proyectados de 2% a 3%.
rentabilidad y los esfuerzos
de desarrollo de productos
de crecimiento son
robados, lo cual da como
resultado una pérdida
de ventas y ventaja
competitiva.
cuentas por pagar da lugar
a pérdidas de millones
de dólares por año. La
liberación masiva de datos
de privacidad genera una
pérdida de confianza del
público y costos legales
adicionales.

Impacto de devaluación Las dificultades artificiales resultan en Mercado

Las compañías son abordadas
por posibles benefactores del
ciberataque para adquirir a la entidad
en problemas a valor deteriorado.
pérdidas del valor en libros >30%
Los rumores en las redes sociales resultan en
pérdidas de capital de mercado >50%
El valor de mercado disminuye
artificialmente para obtener
ganancias financieras y permitir la
adquisición de acciones materiales
en compañías que cotizan en la
Bolsa a un valor deteriorado.

Afecta las decisiones de negocio, fusiones y adquisiciones, así como la posición competitiva

Una vez proyectado uno o más de los principales escenarios de riesgo cibernético y
del negocio, es posible identificar qué áreas en la organización deben vigilarse más
de cerca que otras:
• ¿Sospechan que utilizan en su contra propiedad intelectual robada, de acuerdo a
las cifras de ventas en una región específica?
• A medida que se prepara para una fusión y adquisición importante, ¿detectan
una caída en el valor de mercado?
• ¿Existen varias compañías terceras involucradas en un área crítica de su
negocio?

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 11

 ¿Cómo se desarrollan
los ataques?
¿Quién o qué consideran es la fuente
más probable de un ataque?
Organizaciones criminales
Empleados
Hacktivistas
Hacker solitario
Contratistas externos que
trabajan en nuestro sitio
Atacante patrocinado por
el estado
Proveedores
Otro socio de negocios
Clientes
Otros (favor de especificar)
53% 59%
2014 2015
59% considera que las organizaciones
criminales actualmente son la
fuente más probable de ataques, en
comparación con 53% en 2014.
12 | Encuesta Global sobre Seguridad de la Información de EY de 2015
¿Ya están infiltrados?
Debido a que los cibercriminales pueden pasar meses dentro de una compañía,
buscando información que almacenarán para un ataque futuro o reuniéndola para
lograr otro cometido, también crearán medidas para protegerse de los esfuerzos para
59%
detectarlos. En ocasiones crearán tácticas de distracción para despistar la atención
de lo que hacen y del éxito que tuvieron algunas de sus misiones. A menudo estos
56% criminales guardan los datos robados y no los utilizan durante algún tiempo; otras veces
los comparten entre la comunidad cibercriminal (tal vez a cambio de dinero), lo cual
54% significa una amenaza aún más directa para la empresa.
43%
En ocasiones, estas exploraciones criminales dejan rastros y sacudidas que se sentirán,
pero que fácilmente podrán pasar desapercibidas. Por lo general, estas señales son
36%
tan sutiles que los pequeños altercados en las operaciones o las fallas aparentemente
insignificantes en los sistemas a menudo no se mencionan ni se reportan, por lo que no
35%
se logra obtener un panorama amplio de la situación. Aun cuando la ciberseguridad sea
un tema pendiente en la agenda del Consejo Directivo, a menudo no será evidente que
estos pequeños eventos inexplicables que cada ejecutivo enfrenta individualmente en su
14%
área respectiva formen parte de una violación cibernética más grande y sofisticada que
tenga el potencial de causar daños enormes.
13%
12% ¿Cómo detectar las señales sutiles?
3% Prestar más atención, esfuerzos de prevención y contramedidas en torno a las áreas
de mayor valor y riesgo es un paso clave para minimizar el daño de los ciberataques.
El hecho de poder detectar los ciberataques lo antes posible es la siguiente acción
crucial, lo cual únicamente es posible con un radar integral que abarque una variedad
de indicadores y que pueda advertir cuando se crucen ciertos umbrales, los cuales se
determinarán con base en el apetito de riesgo y los tipos de incidentes que le causarán
el mayor daño a la compañía.
Algunos ataques serán repentinos y evidentes, en cuyo caso el enfoque se dirigirá a
tener una respuesta eficaz. Sin embargo, es importante recordar que estos ataques
también pueden ser tácticas de distracción, ya que las empresas necesitan analizar
cada incidente para obtener suficiente información a fin de evaluar cómo surgen estos
patrones con el paso del tiempo.
Hay muchas formas de infiltrarse en una empresa y los cibercriminales encontrarán los
puntos de entrada más vulnerables. Algunas de éstas son obvias, por lo que será fácil
fortalecerlas y deben monitorearse, pero al pensar de manera creativa en un escenario
sobre cómo pudieran operar los atacantes, podrán ser incluidos barreras y monitores
adicionales en lugares menos precisos (p. ej., sitios públicos, sistemas de terceros que
se conectan con los suyos, sistemas industriales de conexión, la nube, entre otros).
27% 35% 46% 54%
2014 2015 2014 2015
35% indica que los atacantes 54% piensa que los hacktivistas son la
patrocinados por el estado son la fuente fuente más probable, en comparación con
más probable, en comparación con 27% 46% en 2014.
en 2014.
 ¿Cómo se desarrollan
los ataques?

Una vez infiltrados, los atacantes encontrarán la forma de llegar a los componentes de
valor. Es en este punto es importante conocer las prioridades de un negocio, aquello
que podría lastimarlo (en mayor medida), y lo que tiene valor para otra parte, es
decir, el eje de intersección donde podrán ser detectados los indicadores o señales más
sutiles.
Los departamentos de Finanzas, Mercadotecnia, Operaciones, Investigación y
Desarrollo y RR.HH. son las áreas clave que deben conocer los riesgos de negocios
cibernéticos para la compañía, incluidos en el rango de los aspectos de responsabilidad
individuales. Deben permanecer alerta para detectar comportamientos raros y
discutirlos con el contacto correspondiente para que pueda incluirlos en los informes.
Tal como sucede con las campañas públicas contra el terrorismo, el mensaje es que no
está de más reportar algo que provoca sospechas. El factor crítico es darlo a conocer a
las partes interesadas para armar el rompecabezas.
7%
de las compañías cuenta con un
Algunos ejemplos de los indicadores que un radar debe detectar son los siguientes: programa de respuesta a incidentes
robusto que incluye a terceros y
• Ataques sumamente visibles sin un propósito evidente; por ejemplo, DDoS;
autoridades y que está integrado con su
información robada que no tenga algún uso evidente para ellos.
función más amplia de administración
• Movimientos inesperados en los precios de las acciones. de amenazas y vulnerabilidades.
• Nuevos productos lanzados por competidores que son demasiado similares a su
investigación, desarrollo y que llegan a los mercados justo antes que los productos de
la compañía, lo cual indica que hubo robo de propiedad intelectual y de conocimiento
de su estrategia de crecimiento y calendario.
• Interrupción en las actividades de fusiones y adquisiciones; licitaciones de la
competencia que muestran similitudes y que podrían demostrar conocimiento de
planes confidenciales, fusiones y adquisiciones que sufren incidentes cibernéticos (p.
ej., robo de su propiedad intelectual).

56% 36%
• Comportamiento inusual de los clientes o de los negocios conjuntos: es importante
recordar que estos no siempre serán clientes o socios genuinos debido a que los
cibercriminales pueden unirse a compañías para tener fácil acceso a sus sistemas y
datos.
2014 2015
• Conducta inusitada de empleados: los responsables del personal deben estar alerta 36% considera que es poco probable
a cambios de comportamiento, sobre todo cuando dicho personal trabaja en áreas detectar un ataque sofisticado. Aunque se
sensibles. observa una mejora considerable respecto
al hallazgo de 56% en 2014, las compañías
• Interrupciones operativas sin un motivo aparente.
deben recordar que el nivel de sofisticación
• Anormalidades en los sistemas de procesamiento de pagos o de pedidos. aumenta continuamente.
• Las bases de datos de clientes o usuarios muestran información incongruente.

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 13

 ¿Cómo se desarrollan
los ataques?

¿Cuáles de las siguientes áreas de seguridad de la información clasificarían como de

prioridad alta, media y baja para sus compañías en los próximos 12 meses?
(Elegir una respuesta para cada tema)

Prevención de fuga de datos/pérdida de datos 56% 33% 11%

Continuidad del negocio/capacidad de recuperación en

55% 33% 12%
caso de desastres

Administración de identidad y acceso 47% 41% 12%

56%
de los encuestados clasificó la
Capacitación y concientización en materia de seguridad 44% 45% 11%

prevención de fuga o pérdida de datos Capacidades de respuesta ante incidentes 44% 44% 12%
como un tema de alta prioridad para
sus compañías en los próximos 12 Operaciones de seguridad (p. ej. antivirus, codificación
41% 44% 15%
de parches, encriptación)
meses.
Pruebas de seguridad (p. ej., ataque y penetración) 38% 46% 15%

Administración de accesos privilegiados 38% 44% 17%

Asegurar las tecnologías emergentes 38% 45% 18%

Administración de eventos de incidentes de seguridad y

38% 42% 21%
Centro de Operaciones de Seguridad (SOC)

Administración de amenazas y vulnerabilidades 37% 45% 18%

49%
de los encuestados catalogó los
Tecnologías móviles

Computación en la nube
33%

32% 34%
47% 21%

34%
riesgos y las amenazas de personas
con información privilegiada como de
prioridad media, a pesar de que 56% Seguridad de TI e integración de tecnología operativa 29% 50% 21%
considera que los empleados son una
de las fuentes más probables de un Medidas de privacidad 29% 44% 27%
ataque, y 36% señala a los contratistas
externos como una fuente factible. Transformación de la seguridad de la información (rediseño
25% 39% 35%
fundamental)

Administración de riesgos de terceros 24% 46% 30%

Riesgos/amenazas de personas con información

23% 49% 28%
privilegiada

Rediseño de la arquitectura de seguridad 22% 46% 32%

Offshoring/outsourcing de actividades de seguridad 21% 37% 42%

50%
de los encuestados señaló a las
Apoyo en caso de fraude

Propiedad intelectual
20%

19%
40%

37%
40%

44%
redes sociales como aspecto de baja
prioridad. Apoyo forense 13% 38% 49%

Redes sociales 11% 39% 50%

Otros (especificar) 30% 21% 50%

Clave: Alto Medio Bajo

14 | Encuesta Global sobre Seguridad de la Información de EY de 2015

 ¿Cómo se desarrollan
los ataques?

¿Por qué estar en alerta máxima debe ser

constante en una organización?
El mundo digital no permite que una compañía esté cómoda en el área de amenazas

49%
y vulnerabilidades de ciberseguridad. Es importante estar alerta en todo momento
para detectar y responder al entorno cambiante. Se requiere un estado de preparación
constante los 365 días al año, las 24 horas del día.
Pero con este grado de supervisión, es entendible que ciertas compañías se sientan considera que requiere un aumento en
el financiamiento de hasta 25% para
fatigadas sobre estas áreas, y que se pregunten ¿cuándo será suficiente?
proteger a la compañía de acuerdo
El bombardeo constante de tres a cuatro años de ataques numerosos, y el hecho de con la tolerancia de riesgo de la
tener que reaccionar a los eventos cibernéticos, fácilmente puede dar lugar a un estado administración.
de complacencia. Un registro sólido de ahuyentar ataques típicos rutinarios (p. ej.,
phishing) y cerrar las brechas evidentes (p. ej., funcionamiento eficaz del programa
de Administración de Identidad y Acceso) hace que las compañías crean que han
“resuelto” el problema de la ciberseguridad, cuando en realidad la situación empeora.
Esto resulta cierto debido a que es muy difícil demostrar el valor de la inversión en
términos reales cuando los presupuestos son limitados.
En realidad, la mayoría de las compañías han sentado las bases para una ciberseguridad
adecuada, sin darse cuenta que es solo el comienzo, y que el mundo digital requiere
un enfoque constante y receptivo hacia la inversión. Una empresa únicamente puede
considerar que tiene suficiente ciberseguridad cuando en todo momento es capaz de
mantenerse dentro de los límites del apetito de riesgo establecido.
Sin embargo, a medida que aumenta la madurez de la ciberseguridad de una compañía,
se vuelve más fácil demostrar el valor de estas inversiones. Proporcionar evaluaciones
84%
invertirá lo mismo o menos en
de costo más precisas por el daño que causarán diversos escenarios de ciberataques seguridad de la información para la
podrá ayudar a justificar la inversión y supervisión continuas. Cada vez que su Centro de propiedad intelectual en el próximo año.
Operaciones de Seguridad (SOC, por sus siglas en inglés) o los analistas de Inteligencia

70%
de Amenazas Internas identifican un ataque en sus primeras etapas, es posible
demostrar el valor que esto tiene para el negocio al extrapolar los daños provocados si
el escenario hubiera llegado al máximo grado.
De igual forma, entre más consciente se esté de la situación, más fácil será personalizar empleará lo mismo o menos en
y priorizar los gastos, ya que se malgasta mucho dinero en controles o equipos operaciones de seguridad (antivirus,
innecesarios que realmente no mejoran la madurez de la ciberseguridad en las áreas codificación de parches, encriptación).
que más lo requieren.

62%
destinará lo mismo o menos en las
habilidades de respuesta a incidentes
en el próximo año.

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 15

 ¿Por qué las
empresas
continúan siendo
tan vulnerables?
En nuestra Encuesta Global sobre Seguridad
de la Información de 2014 identificamos
tres etapas en el camino hacia la madurez en
materia de ciberseguridad - Activar, Adaptar y
Anticipar (las tres A) - que deben ejecutarse
de manera consecutiva con el objetivo
de lograr medidas aún más avanzadas e
integrales en cada una.

Activar Adaptar Anticipar

Las tres A todavía son relevantes y los

hallazgos de nuestra encuesta 2015
demuestran que aún hay avances que deben
realizarse en ellas. Sin embargo, ante las
amenazas actuales, muchas de las acciones
que identificamos como más avanzadas han
cobrado mayor importancia.

16 | Encuesta Global sobre Seguridad de la Información de EY de 2015

 ¿Por qué las empresas
continúan siendo tan
vulnerables?

1. Activar
En esta etapa la compañía debe tener una base sólida de ciberseguridad
para el entorno actual al reunir un conjunto de medidas que permitan
ofrecer una defensa básica, por lo que la organización requiere:
• Realizar una evaluación de seguridad y elaborar un plan de acción
• Obtener apoyo a nivel del Consejo Directivo para una transformación de
seguridad
• Revisar y actualizar las políticas, procedimientos y estándares de apoyo a
la seguridad
• Establecer un Centro de Operaciones de Seguridad
13% 63% 12% 67%
• Probar los planes de continuidad del negocio y los procedimientos de
2014 2015
respuesta a incidentes
Porcentaje de encuestados que
• Diseñar e implemente controles de ciberseguridad considera que su función de seguridad
de la información cumple plenamente
Actualmente, ante la mayor sofisticación de los riesgos y ciberamenazas, con las necesidades de la compañía;
hay dos tareas fundamentales adicionales: porcentaje de encuestados que indica
que cumple parcialmente con las
• Definir el ecosistema de la compañía necesidades pero realizan mejoras.
• Implementar programas de capacitación de ciberseguridad para los
empleados

Entonces, ¿dónde se encuentran los negocios en 2015?

No hay suficientes medidas de control en el

entorno actual
• Solamente el 12% de los encuestados señaló que su función de Seguridad de la 42% 47%
Información cumple plenamente con las necesidades de la compañía, el 67% aún
realiza mejoras. 2014 2015
• Hay una disminución del 1% en los encuestados que considera que las Porcentaje de encuestados que cuentan
necesidades están plenamente completas, pero el número de los que están con un programa de Administración de
haciendo mejoras solamente ha aumentado un 4% desde 2014. Identidad y Acceso.

• El 69% considera que su presupuesto de seguridad de la información debe

aumentar un 50% para proteger a la compañía de acuerdo con la tolerancia de
riesgo de la administración.
• El 47% no cuenta con un SOC, en comparación con el 42% en 2014.
• El 37% no tiene un programa de protección de datos o únicamente cuenta con 12% 18%
políticas o procesos ad hoc, en comparación con un 34% en 2014.
2014 2015
• Un 18% no cuenta con un programa de Administración de Identidad y Acceso,
Porcentaje de encuestados que no
mientras que en 2014, esta cifra era del 12%, lo cual representa una caída cuentan con un Centro de Operaciones
considerable. de Seguridad.
• Solo el 40% cuenta con un inventario preciso de su ecosistema (esto es, todos
los proveedores terceros, conexiones de red y datos).
• El 27% señala que el phishing de usuarios finales fue la falla principal en sus
controles o procesos lo que dio lugar a la violación de ciberseguridad más
significativa en el último año.

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 17

 ¿Por qué las empresas
continúan siendo tan
vulnerables?
54%
de las compañías no cuenta con
un puesto o área en su función
de seguridad de la información
que se enfoque en las tecnologías
emergentes y en su impacto.
25% 64% 28%
2014 2015
Porcentaje de encuestados que tiene
previsto invertir más o lo mismo en la
transformación de la seguridad de la
información.
53% 57%
2014 2015
Porcentaje que considera que la falta
de recursos especializados dificulta la
contribución y el valor de la seguridad
de la información a la compañía.
18 | Encuesta Global sobre Seguridad de la Información de EY de 2015
2. Adaptar
Al aceptar que las medidas de seguridad de la información fundamentales
serán menos eficaces con el paso del tiempo, esta etapa está enfocada en
el entorno cambiante y resalta las acciones necesarias para asegurar que
las compañías puedan adaptarse para mantenerse a la par y sincronizarse
con los requisitos de negocio y la dinámica.
Hoy en día, la etapa de Adaptar requiere:
• Diseñar e implementar un programa de transformación para lograr
mejoras en la madurez de la ciberseguridad, al utilizar ayuda externa
para acelerar o incorporar prácticas líderes para diseñar el programa y
asegurar una buena administración del mismo.
• Decidir qué tareas se realizarán internamente y cuáles se subcontratarán.
• Definir una matriz RACI (Responsable Aprobado Consultado Informado)
para la ciberseguridad.
Entonces ¿dónde se encuentran los negocios en 2015?
No hay mecanismos para al cambio
61% El 54% de las compañías no cuenta con un puesto o área en su función de
seguridad de la información que se enfoque en las tecnologías emergentes y su
impacto, esto incluye al 36% que no tiene planes para implementar uno.
Solo un 34% calificaría el monitoreo de su seguridad como maduro o muy maduro,
lo cual solamente representa un aumento del 4% en comparación con 2014.
Solo un 53% señalaría el monitoreo de su red de seguridad como maduro o muy
maduro, lo cual solamente representa un aumento del 1% desde 2014.
El 57% considera que la falta de recursos especializados dificulta la contribución
y el valor de la seguridad de la información a la compañía, mientras que en 2014
esta cifra era del 53%.
Al preguntarles sobre “en comparación con el año anterior”, el 28% de los
encuestados comentaron que tienen previsto invertir más en la transformación
de la seguridad de la información (un rediseño fundamental): esto representa un
aumento de solo un 3% respecto a las respuestas de la misma pregunta en 2014.
 ¿Por qué las empresas
continúan siendo tan
vulnerables?

3. Anticipar
En la etapa Anticipar, una empresa debe diseñar estrategias para detectar y
neutralizar los posibles ciberataques. Debe enfocarse en el entorno futuro

36%
y confiar más en su habilidad para enfrentar amenazas más predecibles, así
como ataques inesperados.
de los encuestados no
Pocas organizaciones tienen este nivel de capacidad y hoy en día es
cuenta con un programa de
necesario: Inteligencia de Amenazas.

• D
► iseñar e implementar una estrategia de Inteligencia de Ciberamenazas

• Definir y englobar el ecosistema de ciberseguridad general de la

compañía

• Adoptar un enfoque cibereconómico

• Utilizar la analítica de datos forenses y la Inteligencia de Ciberamenazas

• Asegurar que todos entiendan lo que sucede

• Estar preparados para lo peor al diseñar una estrategia integral de

administración de respuestas en caso de violaciones de ciberseguridad

Entonces ¿dónde se encuentran los negocios en 2015?

El enfoque proactivo es lento para neutralizar los

8% 12%
ciberataques
2014 2015
• El 36% no cuenta con un programa de Inteligencia de Amenazas, y un 30% Porcentaje de encuestados que
adicional únicamente tiene un enfoque informal, mientras que el 5% considera que observan más allá de sus proveedores a
su compañía ha logrado una función avanzada de Inteligencia de Amenazas; en cuartas partes.
comparación con 2014, estas cifras no han cambiado, solo hubo una caída del 2%
en aquellas compañías que cuentan con enfoque informal.
• El 63% considera que la administración de amenazas y vulnerabilidades es una
prioridad media o baja, lo que representa una mejora menor comparada con los
resultados de 2014. 66% 63%
• Solo el 12% ve más allá de sus proveedores a los proveedores de su proveedores
(cuartas partes), lo cual representa solo una mejora mínima del 4% en 2014 2015
comparación con 2014. Porcentaje de participantes que
considera que la administración de
• Solamente un 31% de los terceros realizan una evaluación de riesgos, en
amenazas y vulnerabilidades es una
comparación con el 27% en 2014. prioridad media o baja.
• El 79% indica que la falta de concientización o comportamiento negativo por parte
de los usuarios es el riesgo principal relacionado con los dispositivos móviles.

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 19

 El cambio hacia la
Defensa Activa

“Una Defensa Activa no reemplaza las

operaciones de seguridad tradicionales – las
organiza y mejora”.
Ken Allan, Líder Global de Asesoría en Ciberseguridad de EY

20 | Encuesta Global sobre Seguridad de la Información de EY de 2015

¿Qué es la Defensa Activa? El cambio hacia la
Defensa Activa

La ciberseguridad es una capacidad de defensa inherente para las compañías.

Las secretarías de defensa del gobierno (y el ejército) podrán preparar medidas
de ataque al crear armas cibernéticas y al realizar actividades de interrupción
intrusivas, pero para las empresas fuera de ese escenario tan reducido, las
operaciones ofensivas son innecesarias y a menudo se encuentran en una
denominada “zona gris”.
Sin embargo, eso no significa que las organizaciones tienen que ser pasivas y
esperar a ser víctimas.
Como se describió al principio de este informe, entender los riesgos cibernéticos
de negocio críticos y saber lo que los atacantes quieren de las compañías permitirá
establecer una defensa dirigida a través de la priorización (de activos, gente,
24%
de los encuestados no cuenta con
áreas de negocio) y el endurecimiento de las vulnerabilidades. Asimismo, evaluar un programa de identificación de
el panorama específico de amenazas de las empresas (con base en su entorno vulnerabilidades.
operativo, activos críticos y estrategia de negocios) ayudará a entender quiénes son
los protagonistas más probables de las amenazas y los métodos posibles a utilizar,
los cuales se proyectarán en diversos escenarios para medir el nivel de preparación.
Todo lo anterior sirve para informar al SOC y debe ser la base para sustentar
cualquier institución.
Implementar un SOC más avanzado y utilizar una estrategia de Inteligencia de
Ciberamenazas para alinear eficazmente las operaciones permitirá llevar a cabo
una Defensa Activa al utilizar antenas inteligentes para detectar posibles atacantes,
analizar y evaluar la amenaza, así como neutralizar la amenaza antes de que dañe

34%
los activos críticos de la compañía. De igual forma, un SOC avanzado puede operar
de la misma manera y detectar activamente las anomalías no deseadas y los
visitantes o atacantes confirmados que ya se encuentran infiltrados en sus sistemas.
cuenta con un programa de
¿Qué debe mejorar con su implementación? identificación de vulnerabilidades y
lleva a cabo pruebas automatizadas de
manera regular.
Inteligencia de Ciberamenazas Avanzada: los diferentes niveles de evaluación de
perfiles de amenazas que pueden llevarse a cabo, al escalar desde las preguntas
más básicas. Una Inteligencia de Ciberamenazas más avanzada permitirá
administrar proactivamente estas intimidaciones y contramedidas.
¿Es necesario mejorar su Inteligencia de Ciberamenazas?
• ¿
► Qué información sobre la organización está disponible para cualquier atacante?

27%
¿Cómo podría utilizarla?
Preguntas clave para la función de seguridad de la información de una empresa:
¿Cómo podría utilizarla?
dice que sus políticas y procedimientos
• ¿Qué tipo de atacantes o adversarios son más probables (p. ej., hacktivistas, redes de protección de datos son informales o
criminales buscando información que puedan vender, estafadores, atacantes a nivel que tiene políticas adecuadas.
nacional)?
• ¿Cuáles son sus ventajas (p. ej., recursos, tiempo, capacidades técnicas o para
reclutar a personas con información privilegiada)?
• P
► ara cada uno de los atacantes, ¿qué es lo que probablemente les interese más?
(Comparar esto con la lista de lo que realmente le interesa a su negocio, es decir,
sus activos más valiosos).
• ¿Qué tan vulnerables son los objetivos o activos deseados, y cómo podrían ser
explotados?
• ¿Qué caminos específicos podrán tomar los atacantes para llegar a su objetivo
(p. ej., a través de un sistema de aire acondicionado, por medio de un sistema
de pago, al reclutar personas con información privilegiada, al realizar estafas
focalizadas por correo electrónico a los integrantes del Consejo o a empleados que
tienen acceso a la información)?
• ¿Cuáles son las contramedidas más eficaces?
• ¿Qué puedo aprender de mis encuentros anteriores con ciertos adversarios?
Una vez que se tienen las respuestas a estas preguntas, una compañía utilizaría
los hallazgos para tomar decisiones de negocio estratégicas informadas a nivel
ejecutivo y de la alta administración, reenfocar la actividad operativa en el SOC,
y comunicarle los canales información sobre amenazas externas a las áreas más
relevantes en ese momento específico.
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 21
 El cambio hacia la
Defensa Activa
59%
de los encuestados comenta que su
SOC no cuenta con una suscripción
pagada a los canales de información
sobre Inteligencia de Ciberamenazas.
22 | Encuesta Global sobre Seguridad de la Información de EY de 2015
¿Cómo construirla?
La Defensa Activa amplía la capacidad de las operaciones de seguridad tradicional
de dos maneras, aunque primero es guiada por una estrategia de Inteligencia de
Ciberamenazas analizada profesionalmente. Más que solo recibir informes sobre
estas intimidaciones, estos análisis permiten a los profesionales de la Defensa Activa
identificar a los atacantes probables, inferir sobre sus objetivos más probables
dentro de la compañía y crear hipótesis acerca de las formas en que se presentarán
dichos ataques. Estas perspectivas facilitan la implementación de contramedidas
personalizadas.
El segundo diferenciador clave respecto al enfoque estándar de ciberseguridad es el
ciclo operativo de la Defensa Activa. Al repetir un proceso definido y disciplinado para
analizar la información disponible, formular conclusiones relevantes y tomar acción,
los profesionales de la Defensa Activa aportan un elemento dinámico y proactivo a las
operaciones de seguridad existentes de la empresa.
A diferencia de otras ofertas de servicios de seguridad, la Defensa Activa no busca
mejorar un área funcional específica o implementar nuevas tecnologías. Más bien,
integra y mejora las habilidades de seguridad existentes para alcanzar una mayor
eficacia contra atacantes persistentes. Al adecuar y ejecutar un ciclo iterativo
con mecanismos integrados a fin de alcanzar un aprendizaje y mejoras continuas,
la compañía obtiene beneficios en cuanto a la eficiencia, responsabilidad y las
capacidades de su gobierno corporativo, mismos que se traducen en mejores retornos
sobre la inversión para los programas de seguridad al aumentar la efectividad de las
operaciones de seguridad, lo cual a su vez reduce el potencial de los ataques dirigidos.
La Defensa Activa también debe incluir una evaluación de las implicaciones de
riesgo en caso de una violación cibernética significativa y la creación de un marco
de respuesta centralizado como parte de la estrategia de administración de riesgos
empresariales. Este marco para responder a violaciones cibernéticas, con un modelo
de gobierno corporativo claramente definido, debe abarcar el proceso de investigación
de incidentes, recopilación y análisis de evidencia, evaluación de impactos y apoyo en
litigios.
¿Cuándo es apropiado implementar la Defensa Activa en una compañía?
Si la respuesta a cualquiera de estas respuestas es sí, el enfoque de Defensa Activa
debe ser considerado:
• Estamos considerando o trabajando un SOC, pero aún no encontramos evidencia de
atacantes avanzados.
• Contamos con un SOC, no obstante, sufrimos una violación considerable.
• Contamos con un SOC subcontratado, sin embargo, nuestra propiedad intelectual y
sistemas de negocio aún no se encuentran totalmente seguros.
 El cambio hacia la
Defensa Activa

Los pasos a seguir para generar confianza en un mundo digital

Una respuesta sencilla a “¿qué requiere mi compañía?” necesita todos los siguientes
puntos:
• Conocimiento de lo que puede dañar a la organización e interrumpir el logro de su
estrategia
• Una identificación clara de sus activos críticos, o activos más valiosos
• Escenarios de riesgos cibernéticos de negocio que muestren un panorama preciso
de cómo puede darse un ataque
• Un Consejo Directivo y altos ejecutivos que puedan determinar con precisión el
apetito de riesgo para la empresa
66%
de los encuestados que sufrieron
• Una evaluación de la madurez actual de la ciberseguridad y un comparativo del nivel incidentes de ciberseguridad
de madurez que realmente requiere para cumplir con el apetito de riesgo significativos recientes que no fueron
descubiertos por su SOC comenta
• Un plan de acción de mejoras que éste no tiene una suscripción
• Perfiles de riesgo personalizados y una Inteligencia de Ciberamenazas avanzada pagada a los canales de información de
Inteligencia de Ciberamenazas.
• Un SOC más avanzado: interno, conjunto o subcontratado
• Una estrategia proactiva y multifuncional de administración de repuestas en caso de
violaciones cibernéticas
Para poder avanzar en su plan de acción e implementación de ciberseguridad, será
necesario que haya un cambio de mentalidad en su compañía que requerirá claridad
en torno a la función del Consejo Directivo, es decir, una alternativa y marco holísticos
que estén totalmente alineados con el desempeño del negocio. Es probable que la
organización deba contratar recursos externos para conseguir lo anterior. Hoy en día,
una evaluación a nivel de Dirección de su espectro de madurez actual podría ser un
ejercicio inicial y sumamente efectivo para determinar la escala del cambio que se
requiere.
Las siguientes páginas incluyen el espectro completo de los estados de madurez – sobre
la situación actual de la empresa - y ¿en dónde consideran que debe estar? El enfoque
de defensa dirigido no sugiere que el estado ideal sea esencial para cada aspecto.

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 23

El espectro de madurez y dónde se encuentran las compañías actualmente
Pregunta de madurez
¿Cuál es la madurez de su
programa de Inteligencia de
Amenazas?
¿Cuál es la madurez de su
capacidad de identificación de
vulnerabilidades?
¿Cuál es la madurez de su
programa de detección de
violaciones de Ciberseguridad?
¿Cuál es la madurez de su
capacidad de respuesta ante
incidentes informáticos?
¿Cuál es la madurez de su
programa de protección de
datos?
¿Cuál es la madurez de su
programa de administración de
acceso e identidades?
24 | Encuesta Global sobre Seguridad de la Información de EY de 2015
1 – No existe
El 36% de los encuestados no cuenta
con un programa de Inteligencia de
Amenazas.
El 24% de los encuestados no tiene
un programa de identificación de
vulnerabilidades.
El 18% de los encuestados no cuenta
con un programa de detección; un 4%
adicional no implementa procesos de
respuesta y escalamiento formales
implementados.
Un 14% no cuenta con una capacidad
de respuesta ante incidentes
El 10% de los participantes no cuenta
con un programa de protección de
datos.
El 18% de los encuestados aún no tiene
un programa de administración de
acceso e identidades.
2
El 30% cuenta con un programa informal
de Inteligencia de Amenazas que incluye
información de terceros de confianza y
listas de distribución de correo electrónico.
El 34% tiene un programa informal de
identificación de vulnerabilidades y lleva
a cabo pruebas automatizadas de manera
regular.
Un 23% cuenta con dispositivos de
seguridad de redes perimetrales (esto
es, sistema de detección de intrusos);
un 21% adicional utiliza una solución de
administración de seguridad y eventos
(SIEM, por sus siglas en inglés) para
monitorear la red activamente, el sistema
de detección de intrusos/sistema de
prevención de intrusos y bitácoras de
sistemas.
El 21% tiene un plan de respuesta
ante incidentes con el que pueden
recuperarse de un software malicioso y
mal comportamiento de los empleados, sin
embargo, no se realizan investigaciones
más profundas sobre las causas raíz.
Un 27% considera que las políticas y
procedimientos de protección de datos
son informales o que cuenta con políticas
adecuadas.
El 25% cuenta con un equipo que supervisa
los procesos de administración de acceso
y el repositorio central; no se realizan
revisiones formales.

3 4
El 20% cuenta con un programa El 10% cuenta con un equipo de
formal de Inteligencia de Amenazas Inteligencia de Amenazas que recopila
que incluye suscripciones a canales información interna y externa sobre
de información sobre amenazas amenazas y vulnerabilidades para
de proveedores externos y fuentes analizar la credibilidad y relevancia en
internas, como una herramienta su entorno.
de administración de incidentes y
eventos de seguridad.
Un 20% utiliza una variedad de El 18% tiene una función formal de
enfoques de revisión, incluyendo inteligencia de vulnerabilidades con
ingeniería social y pruebas manuales. un programa de evaluaciones basada
en las amenazas del negocio que
utilizan pruebas profundas de ataque y
penetración de proveedores, pruebas
periódicas de procesos de negocio y de
proyectos (p. ej., nuevos sistemas).
El 6% cuenta con procesos informales El 13% cuenta con un programa
de respuesta y escalamiento; un 5% formal de detección que aprovecha
adicional utiliza procesos apropiados las tecnologías modernas (detección
para la recopilación, integración, local y basada en la red del software
respuesta y escalamiento de malicioso, detección de anomalías en
amenazas. el funcionamiento, entre otras) para
monitorear el tráfico interno y externo.
El 43% cuenta con un programa Un 16% cuenta con un programa
formal de respuesta ante incidentes y formal de respuesta ante incidentes
realiza investigaciones después de un y acuerdos establecidos con
incidente. proveedores externos para servicios
de investigaciones de repuesta más
completos.
Un 19% considera que las políticas El 26% indica que las políticas y los
y procedimientos de protección de procedimientos de protección de datos
datos se definen a nivel de la unidad se definen a nivel de grupo.
de negocio.
El 34% cuenta con un equipo formal para supervisar los procesos de
administración de acceso definidos, aunque esto es principalmente manual;
tiene un directorio central, no obstante, interactúa con un número limitado de
aplicaciones y no es revisado con regularidad.
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 25
El cambio hacia la
Defensa Activa
5 — Muy maduro
El 5% cuenta con una función de Inteligencia
de Amenazas avanzada con canales
de información internos y externos, así
como analistas de inteligencia y asesores
externos que evalúan la información para
su credibilidad, relevancia y exposición a los
protagonistas de las intimidaciones.
Un 5% tiene una función avanzada de
inteligencia de vulnerabilidades y realiza
evaluaciones basadas en riesgos, cuyos
resultados y remediaciones son revisados
con la función de riesgo a lo largo del año.
El 11% cuenta con una función de detección
formal y avanzada que reúne todas las
categorías de la tecnología moderna
(detección local de software malicioso,
antivirus, detección basada en la red de
software malicioso, prevención de pérdida
de datos, sistemas de localización de
intrusos, firewalls de la próxima generación,
bitácoras) y utiliza un análisis de datos
sofisticado para identificar anomalías,
tendencias y correlaciones. Sin embargo,
solo el 2% implementa procesos formales
para la recopilación de amenazas,
diseminación, integración, respuesta,
escalamiento y predicción de ataques.
El 7% cuenta con un programa robusto de
respuesta ante incidentes que incluye a
terceros y a las autoridades, y está integrado
con la función más amplia de administración
de amenazas y vulnerabilidades; también
crean registros para posibles incidentes y
realizan pruebas regulares a los mismos a
través de simulacros.
El 17% comenta que las políticas y
procedimientos de protección de datos
se definen a nivel de grupo, se reflejan a
nivel corporativo y se comunican a todo el
negocio; las unidades de negocio específicas
se documentan, monitorean y revisan
anualmente.
Un 23% tiene un equipo formal que
interactúa con las unidades de negocio para
lograr la supervisión de la administración
de acceso e identidades; cuenta con
procesos bien definidos, flujos de trabajo
automatizados limitados, registros de fuente
única para la mayoría de las aplicaciones y
lleva a cabo revisiones regulares.
 El cambio hacia la
Defensa Activa
32%
de los encuestados señaló que la
información de benchmarking acerca
de la madurez de las organizaciones
de pares fue la más útil así como su
prioridad más alta.
26 | Encuesta Global sobre Seguridad de la Información de EY de 2015
El camino para mejorar
Pocas empresas en la actualidad cuentan con las habilidades y recursos adecuados a
nivel interno para asegurar eficazmente sus activos de información y al mismo tiempo
optimizar el desempeño del negocio. Las organizaciones de todos los sectores pueden
beneficiarse de una evaluación objetiva de sus programas y estructuras de seguridad de
la información.
Una evaluación eficaz debe tener como propósito ayudar a la compañía con lo siguiente:
• Entender la exposición de riesgos de su compañía
• Evaluar la madurez de su programa de ciberseguridad actual e identificar áreas de
mejora
• Diseñar un roadmap priorizado para las inversiones en proyectos e iniciativas de
cambio organizacional
• Recopilar información para crear comparativos (Benchmarks) con otras
organizaciones
• D
► eterminar si sus inversiones en seguridad mejoran su nivel de madurez
Esta evaluación debe ser amplia y de alto nivel, así como totalmente enfocada en
áreas y componentes específicos, y aquí es donde EY puede ayudar. Las métricas de
seguridad permiten que una empresa determine lo que se requiere para apoyar la
continua evaluación, transformación y sustentabilidad de la estrategia de seguridad de
la información.
Por otro lado, es un ejemplo de las calificaciones de madurez que pueden ayudar a la
compañía con el espectro relevante en cuanto a su estado actual, competitivo y futuro.
La eficacia de la seguridad de la información
¿Cuáles son los principales obstáculos o razones que cuestionan la aportación y el valor
de la operación de seguridad de la información para la compañía? (Seleccionar todas las
opciones que apliquen)
Restricciones presupuestarias 62%
Falta de recursos especializados 57%
Falta de conocimiento o apoyo por parte de los
32%
ejecutivos
Falta de herramientas de calidad para administrar la
28%
seguridad de la información
Asuntos de administración y gobierno corporativo 28%
Fragmentación de cumplimiento/regulaciones 23%
Otros (favor de especificar) 7%
¿Cuentan con una matriz RACI?
Debido a que el Consejo Directivo marca la pauta y el nivel de expectativa, contar con
la colaboración de toda la compañía es fundamental, así como vigilar de qué forma
los riesgos cibernéticos y ciberataques afectan su función. Una administración de
seguridad eficaz impacta cada una de las funciones y partes de una empresa.
Una matriz RACI, un buen gobierno corporativo y empleados satisfechos son esenciales
desde nuestro enfoque de las tres A, es un elemento clave en el nivel Adaptar.
Analizar cómo debe ser una matriz RACI para su organización, y asegúrense de tener
claro que la ciberseguridad ya no es un tema que le concierne únicamente al área de TI.
aturity benchmarking between X El cambio hacia la
Defensa Activa

Comparativo de madurez de ciberseguridad del estado actual entre la Compañía X y sus

pares

ately onLathe
madurez del estado actual de la compañía X se encuentra aproximadamente en el mismo
same level than in the comparable industries. Defined future state
nivel que la de sus pares comparables. El estado futuro definido aumenta considerablemente
bly. el nivel de madurez.

Organización X versus pares

Arquitectura
Architecture
Administración
Threat and deVulnerability
amenazas y
vulnerabilidades
5.0 Administración de activos
Asset Management
Management
Administración de terceros
Third Party Mgmt Concientización
Awareness
4.0
Plan de continuidad de negocio/recuperación en caso
Estrategia
Strategy 3.0 BCP/DR
de desastres

2.0 Infraestructura
Data de datos
Infrastructure
Seguridad
Software delSecurity
software (eventos/alertas/bitácoras)
(Events/Alerts/ Logs)
1.0

Security de
Monitoreo Monitoring
seguridad 0.0 Data Protection
Protección de Datos

Policy and Standards Gobierno Corporativo

Governance and y
Marco de políticas y Organización
Framework
normas Organization
Estado actual
Privacidad
Privacy Seguridad
Host de la
Security
Computadora Central Estado futuro
(Host)
Identity and Access
Administración de identidad
Operaciones
Operations
Management
y acceso Comparativo
Network Security
Seguridad de la red Incident Management
Administración de
Métricas
Metrics andy reportes
Reporting incidentes

Porcentaje de encuestados que señalaron que su nivel de madurez era “muy maduro”.

Maturity of information security management processes

n-
/
cio

tu ) (eve
de ego

y
a

es
or

ad
s s
so n

nt
str cora dato

id
s

ca d d e

ta

e
tivo

nt

cid
oy

pu

nt esidse
eanct

inf s/bit ra de
a

me de in
m
tiv
DRes ón uid

s
r

se st) Co
to

me ccde
de

ion d
or erna ión pora
em

á
P/str aci tin
en

n
Da
u

at an
uc

ge ióan

n
s ió n

st (Ho e la
o
Da alerttruct
agón

ió
BdCesa uper e con

nt
y
cti
de

v ac or
re

niz ce
ctuura

nao atrnadc

c
es ac

rit
arnaci

Ho tral dad d

ma nt tra
Go niz o C
a

te
n
en tiz

s/ s

ga n

cu
ra
iteect

ció
re an d

to frae
t mist

mccaestiitnyis

ideinis
o

ga r n

ge
anrcien

n i
pr
ec

Ce g u r
se in
chuit

O r b ie
Pl

dm

IncAdm
In

na
AsAdm

ot
ta

ta

a n
ArArq

Go

Se
Co

Pr

IdeA
Aw

Da

7% 5% 6% 10% 8% 7% 8% 10% 9% 8%

4% 12% 7% 10% 7% 7% 5% 8% 3% 7%
nit rdity
me nd

nlaidaabsi y d
rk
ity

cy

ing

eity

gy
g

nt

gedes lity
t
poort d

ge osty
ion

mraablinenrazat an

en
n
rerep an
rteis

urerd

at es

fra ydaad

Pr as

tgeia
wo

iva

me
na cpear r
uarr
mo uercidua
or

m
erion

rm

rtae
fetcw
elac
y cs

ds licci

a
ma eirtedr-
Strta
no
Oeprac

ln vumere
ar PProiva

eS
kdse
as tri

esso

vu e aTh
Es
sy

s
ard
ric e

nTh
aerl
Op

d
de
ét M

wido

ic a

dd
ftaw

e
ció
egtur

d
lít

re

oid

n
ra
po

ito
SNe

ció
nd

ur
gS
M

ist
de

on

ra
sta

Se

in

ist
M
co

Percentage of respondents stating that their processes are ‘very mature’

m
ar

in
Ad

m
M

Ad

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 27

 La ciberseguridad
es un habilitador
digital

28 | Encuesta Global sobre Seguridad de la Información de EY de 2015

La ciberseguridad no debe ser percibida como un
inhibidor sino como una forma de conseguir que
el mundo digital sea operativo y sustentable.

También es un elemento clave para promover

la innovación así como la expansión de una
empresa, y que con un enfoque personalizado,
así como orientado a la compañía y a sus
posibles riesgos permite concentrar la
atención nuevamente en las oportunidades y la
exploración.

De este modo, crea confianza en un negocio que

opera de manera exitosa dentro del Internet de
la Cosas, que apoya y protege plenamente a las
personas y a sus dispositivos móviles personales
(desde un simple teléfono, un dispositivo del
cuidado de la salud, aparatos hasta automóviles
inteligentes) es un diferenciador competitivo
clave y debe ser una prioridad.

Al actuar ahora, las compañías podrán ajustar el

equilibrio del mundo digital con la sustentabilidad
y seguridad a fin de alcanzar un mayor nivel de
protección y fomentar confianza en su marca.

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 29

Metodología de la encuesta
La Encuesta Global sobre Seguridad de la Información de EY 2015 se llevó a cabo
entre junio y septiembre del mismo año. Contó con la participación de más de 1,755
encuestados de 67 países y de todas las principales industrias.
Invitamos a los CIO, CISO, CFO, CEO y otros ejecutivos de seguridad de la información
a participar en esta encuesta. Repartimos un cuestionario a los profesionales de EY
designados en cada país, junto con instrucciones para una administración congruente
del proceso de la misma.
La mayoría de las respuestas fueron recopiladas durante las entrevistas en persona.
Cuando esto no fue posible, el cuestionario fue contestado en línea.
Si desea participar en la Encuesta Global sobre Seguridad de la Información de EY, favor
de contactar al representante o a la oficina local de EY o ingresar a www.ey.com/glss y
completar una breve solicitud.

Encuestados por área (1,755 Encuestados por ingresos totales

Perfil de los participantes encuestados) anuales de la compañía

Menos de USD$10 millones 5%

USD$10 millones a <USD

5%
$250 millones

USD$25 millones a < USD$50

4%
millones

1,755 encuestados
USD$50 millones a <
USD$100 millones

USD$100 millones a <

USD$250 millones
6%

9%

USD$250 millones a <

9%
USD$500 millones

USD$500 millones a < USD$1

11%
mil millones
Región:

EMEIA 51% USD$1.1 mil millones a < USD

10%
$2 mil millones
Américas 29%

67
USD$2 mil millones a <
Asia - Pacífico 15% 7%
USD$3 mil millones
Japón 5% USD$3 mil millones a <
4%
países de todo el mundo USD$4 mil millones

USD$4 mil millones a <

3%
USD$5 mil millones

USD$5 mil millones a <

4%
USD$7.5 mil millones

USD$7.5 mil millones a <

3%
USD$10 mil millones

25
USD$10 mil millones a <
3%
USD$15 mil millones

USD$15 mil millones a <

2%
USD$20 mil millones
sectores de la industria
USD$20 mil millones a <
4%
USD$50 mil millones

USD$50 mil millones o más 3%

Gobierno, no lucrativo 6%

No aplica 4%

30 | Encuesta Global sobre Seguridad de la Información de EY de 2015

Encuestados por industria Encuestados por cantidad de empleados Encuestados por cargo

Director de
Banca y mercados
16% <1,000 31% Seguridad de la 30%
de capital
Información
Ejecutivo de
Tecnología 10% 1,000 — 1,999 14% Seguridad de la 19%
Información
Gobierno y sector Director de
7% 2,000 — 2,999 7% 17%
público Información
Ejecutivo de
Seguros 6% 3,000 — 3,999 5% Tecnologías de la 16%
Información
Productos de Director de
6% 4,000 — 4,999 4% 5%
consumo Seguridad

Electricidad y Director/Gerente de
5% 5,000 — 7,499 7% 3%
servicios públicos Auditoría Interna

Director de
Menudeo y mayoreo 5% 7,500 — 9,999 5% 3%
Tecnología
Ejecutivo/
Telecomunicaciones 5% 10,000 — 14,999 7% Vicepresidente de la 2%
Unidad de Negocios
Productos
Administrador de
industriales 4% 15,000 — 19,999 2% 2%
Red/Sistema
diversificados
Director de
Petróleo y gas 3% 20,000 — 29,999 4% 1%
Operaciones

Cuidados de la salud 3% 30,000 — 39,999 3% Director de Riesgos 1%

Director de
Automotriz 3% 40,000 — 49,999 2% 1%
Cumplimiento

Transporte 3% 50,000 — 74,999 3%

Patrimonio y
administración de 3% 75,000 — 99,999 1%
activos
Por encima de los
Minería y metales 3% 5%
100,000
Medios de
comunicación y 2%
entretenimiento

Ciencias de la vida 2%

Firmas profesionales
2%
y servicios

Productos químicos 1%

Aerolíneas 1%

Aeroespacial y
1%
defensa

Otros 6%

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 31

¿Desean obtener mayor
información?
Perspectivas sobre gobierno corporativo, riesgos y cumplimiento es una serie continua de informes de liderazgo intelectual
enfocada en TI y otros riesgos de negocios, así como en lo relacionado con sus retos y oportunidades. Estas publicaciones oportunas
y con temas específicos están diseñadas para ayudarles a entender estos asuntos y proporcionarles perspectivas valiosas para el
futuro. Consulten esta serie en www.ey.com/GRCinsights.

Insights on
governance, risk
and compliance

December 2014

Achieving resilience in
the cyber ecosystem

Cyber Threat Intelligence − Managed SOC — Achieving resilience in

how to get ahead of cybercrime EY’s Advanced Security Center: the cyber ecosystem
www.ey.com/CTI world-class cybersecurity working for you www.ey.com/cyberecosystem
http://www.ey.com/managedSOC

Insights on Insights on
governance, risk governance, risk
and compliance
and compliance
October 2014
March 2015

Get ahead of cybercrime Cybersecurity

EY’s Global Information and the
Security Survey 2014 Internet of Things

Security Operations Centers — Get ahead of cybercrime: EY’s Global Cybersecurity and
helping you get ahead of cybercrime Infomation Security Survey 2014 the Internet of Things
www.ey.com/SOC www.ey.com/GISS2014 www.ey.com/IoT

Cyber breach response

management
Breaches do happen.
Are you ready?

Using cyber analytics to help you Cyber Program Management: Cyber breach response
get on top of cybercrime: identifying ways to get ahead management — Breaches do
Third-generation Security of cybercrime happen. Are you ready?
Operations Centers www.ey.com/CPM www.ey.com/cyberBRM
www.ey.com/3SOC

32 | EY’s
Encuesta
GlobalGlobal
Information
sobre Seguridad
Security Survey
de la Información
2015 de EY de 2015
¿Reconocerían estar bajo un ciberataque?
Para el área de Asesoría de EY, un mejor entorno de negocios significa resolver
problemas grandes y complejos de la industria, y aprovechar oportunidades para
asegurar resultados que permitan crecer, optimizar y proteger los negocios de nuestros
clientes. Hemos formado un ecosistema global de asesores, profesionales de la industria
y alianzas con una sola idea en la mente: nuestros clientes.
Creemos que anticipar y defenderse activamente de los ciberataques es la única
manera de ir un paso adelante de los cibercriminales. Al enfocarnos en las necesidades
de los clientes hacemos mejores preguntas acerca de sus operaciones, prioridades y
vulnerabilidades. Posteriormente, trabajamos en conjunto para crear respuestas más
innovadoras que brinden las alternativas que requieren. De esta forma, ayudamos a
alcanzar duraderos y mejores resultados, desde la estrategia hasta la ejecución.
Pensamos que a través de impulsar una buena administración de la ciberseguridad,
lograremos construir un mejor entorno de negocios.
Entonces, ¿se percataría en caso de estar bajo un ciberataque? Pregunte a EY.

The better the question. The better the answer. The better the world works.
EY | Aseguramiento | Asesoría de Negocios | Fiscal-Legal | Fusiones y Adquisiciones

Acerca de EY Nuestros Líderes de Asesoría en Riesgos son:

EY es líder global en servicios de
Líder Global de Riesgos
aseguramiento, asesoría, impuestos y
transacciones. Las perspectivas y los Paul van Kessel +31 88 40 71271 paul.van.kessel@nl.ey.com
servicios de calidad que entregamos
ayudan a generar confianza y Líderes de Riesgos del Área
seguridad en los mercados de capital Americas
y en las economías de todo el mundo. Amy Brachio +1 612 371 8537 amy.brachio@ey.com
Desarrollamos líderes extraordinarios
que se unen para cumplir nuestras EMEIA
promesas a todas las partes interesadas.
Jonathan Blackmore +971 4 312 9921 jonathan.blackmore@ae.ey.com
Al hacerlo, jugamos un papel fundamental
en construir un mejor entorno de Asia-Pacific
negocios para nuestra gente, clientes y
Iain Burnet +61 8 9429 2486 iain.burnet@au.ey.com
comunidades.
Japan

Para obtener más información acerca de Yoshihiro Azuma +81 3 3503 1100 azuma-yshhr@shinnihon.or.jp
nuestra organización, visite el sitio
www.ey.com/mx.
Nuestros líderes de ciberseguridad son:

© 2016 Mancera S.C. Líder de Ciberseguridad Global

Integrante de Ernst & Young Global Ken Allan +44 20 795 15769 kallan@uk.ey.com
Derechos Reservados
Líderes de Ciberseguridad del Área
EY se refiere a la organización global de firmas miembro
conocida como Ernst & Young Global Limited, en la que cada Americas
una de ellas actúa como una entidad legal separada. Ernst &
Young Global Limited no provee servicios a clientes Bob Sydow +1 513 612 1591 bob.sydow@ey.com

EMEIA

Scott Gelber +44 207 951 6930 sgelber@uk.ey.com

Asia-Pacific

Paul O’Rourke +65 8691 8635 paul.o’rourke@sg.ey.com

Japan

Shinichiro Nagao +81 3 3503 1100 nagao-shnchr@shinnihon.or.jp

Contacto en México: ciberseguridad@mx.ey.com