Académique Documents
Professionnel Documents
Culture Documents
gobierno corporativo,
riesgo y cumplimiento
Crear confianza en
el mundo digital
Encuesta Global sobre Seguridad
de la Información de EY de 2015
Contenido
Bienvenidos 1
Este año nos complace contar con la participación de 1,755 compañías en este
informe basado en las perspectivas extraídas de los resultados y de la amplia
John Dix experiencia global que adquirimos al trabajar con nuestros clientes al ayudarlos a
Socio de Asesoría de diseñar sus estrategias de ciberseguridad.
Negocios
El año pasado identificamos las formas en las que las compañías se mantienen
un paso adelante del cibercrimen al seguir el enfoque de tres etapas: Activar,
Adaptar y Anticipar. Este concepto aún es aplicable, pero debido a que los
ciberatacantes cambian constantemente sus tácticas, aumentan su persistencia y
amplían sus habilidades, la naturaleza de las ciberamenazas ha evolucionado. Los
atacantes día con día encuentran nuevas y mejores formas de aprovecharse de la
rápida expansión de la digitalización y la creciente conectividad de los negocios,
así como de las formas en que nuestras vidas personales están cada vez más
entrelazadas con las tecnologías móviles y el internet.
Si les cuesta trabajo entender cómo pueden manejar esta situación, no están solos
– más de una tercera parte de los participantes de esta encuesta aún consideran
que es poco probable que puedan identificar un ciberataque sofisticado – y con base
en nuestro conocimiento, sabemos que solo las empresas que están más alerta
podrán detectar las pequeñas anomalías que son indicadores de una violación a
largo plazo.
La ciberseguridad es más que una cuestión de tecnología y no puede pertenecer
únicamente al ámbito de las Tecnologías de la Información.
Tampoco puede ser responsabilidad solo de la alta Dirección, ya que afecta a todos
los niveles de una compañía y a las diferentes áreas estratégicas que la integran.
Por ello, este reporte analiza cómo deben trabajar conjuntamente las diversas
partes de una empresa e intercambiar experiencias para poder acumular evidencia
a fin de identificar componentes donde los atacantes logran obtener acceso y
acumulan información que pudiera afectar el valor esencial de la organización.
Su objetivo debe continuar siendo mantenerse un paso adelante de los
ciberatacantes, lo cual representa aprender a estar en un estado constante
de Defensa Activa, concepto cuyo significado y aplicación explicamos en este
documento así como las alternativas con las que cuenta EY para apoyarlo en este
rubro.
Agradecemos a nuestros clientes por invertir su tiempo en completar esta encuesta
y esperamos que disfruten leer el informe.
88%
empresas, al igual que las pérdidas y los costos de remediación correspondientes. El
hackeo y la manipulación de los medios de comunicación, tecnologías de información,
administración gubernamental y sistemas de defensa son vistos como una amenaza
de los encuestados considera significativa a la seguridad nacional.
que su programa de seguridad
Entonces ¿qué significa para ustedes y sus compañías sobrevivir en el mundo
de la información no cumple
plenamente con las necesidades
digital?
de la compañía. Las empresas deben ser vistas desde una dimensión cibernética y todas estas áreas
deben considerarse:
dólares
en gastos de consumidores de las relaciones comerciales de todos los dispositivos que algún de las compañías probablemente de los altos ejecutivos aceptan que
a través de medios móviles manejadas sin interactuar con día podrían integrarse a la red aún no detectarán un ciberataque los datos deben estar al centro de
antes de 2018. un humano antes de 2020. se encuentran desconectados. sofisticado. toda toma de decisiones.
Fuente: Goldman Sachs 2014 Fuente: Gartner Group 2011 Fuente: Cisco, Rob Soderbury 2013 Fuente: Encuesta EY Global Info Sec 2015 Fuente: EY Becoming an analytics-driven
organization to create value 2015
67%
responsabilidad que pueda delegarse a una o dos personas; más bien, debe considerarse
y detallarse como una responsabilidad individual en toda la organización y en su
ecosistema general, en el que las partes interesadas deberán reunirse para formar una
sola perspectiva coherente y accesible. Esta perspectiva será diferente para la Dirección, de los participantes no considera
los altos ejecutivos y para los empleados, así mismo será diferente para los socios, que administrar el crecimiento
proveedores y otros terceros. en los puntos de acceso de
su compañía sea un reto de
El problema es lograr mantenerse a flote entre tantos datos y no crear más trabajo y seguridad de la información en el
riesgos. Por lo tanto, los involucrados deben priorizar, simplificar y planear lo que un Internet de las Cosas.
enfoque de ciberseguridad integral y eficiente significa para su compañía en particular.
Puede que los elementos básicos sean comunes (como se describe en nuestro enfoque de
las tres A – ver www.ey.com/GISS2014), pero únicamente podrán obtener un verdadero
valor al personalizar su enfoque de ciberseguridad con base en su estrategia comercial,
riesgos y prioridades.
Para poder guiar de manera eficiente a su compañía por los diversos niveles de riesgos y
amenazas, los líderes deben tener la confianza para establecer su apetito de riesgo y estar
preparados para implementar medidas decisivas para hacer frente a cualquier desafío.
Por ejemplo, un tema que se ha observado claramente en los últimos dos años es que
el impacto de un incidente es reducido considerablemente por los dirigentes, quienes
aseguran que cuentan con un manejo inteligente y adecuado de los incidentes cibernéticos
y una comunicación eficaz tanto interna como externamente para afrontar los resultados.
Preguntas que deben considerar las compañías:
• ¿Entienden plenamente las amenazas y vulnerabilidades del mundo digital?
• ¿Han hecho el análisis necesario para determinar cómo el panorama de amenazas aplica
para sus compañías y estrategia? ¿Han priorizado las medidas de ciberseguridad en
torno a esto?
• ¿Conoce su apetito de riesgo para determinar las pérdidas y daños aceptables e
inaceptables de los posibles incidentes como parte del diseño de su programa de
administración de respuestas en caso de violaciones cibernéticas?
Su transformación digital solo será sustentable cuando el apetito de riesgo se establezca a
un nivel con el cual la Dirección se sienta cómoda, y que la empresa pueda alcanzar.
Vulnerabilidad
Relacionado con el uso de la computación en la nube 10% 18% 28% 21% 23%
Amenaza
Ciberataques para robar propiedad intelectual o datos 13% 17% 26% 22% 21%
Ciberataques para robar información financiera 15% 18% 25% 19% 23%
Ciberataques para interrumpir o dañar a la empresa 15% 18% 29% 19% 19%
Clave: 1 2 3 4 5
*Amenaza: posibilidad de acciones hostiles por parte de terceros del entorno externo.
**Vulnerabilidad: exposición a la posibilidad de sufrir daños o ataques.
42%
de los encuestados piensa que conocer
El punto de partida para ganar confianza como compañía es estar al tanto de
la situación; esto es tener un entendimiento de cómo perciben su empresa
los ciberataques.
todos sus activos críticos es un reto • ¿Cómo proteger la compañía de un incidente cibernético si no conocemos
clave de la seguridad de la información. cual es el objetivo del atacante?
• ¿Cómo obtendrán acceso y cómo dañaría esto a la organización y a sus
activos críticos?
• ¿Cómo mantener la confianza sin conocer plenamente la capacidad que
tiene la empresa para responder, contener y recuperarse de un ataque?
Las compañías a menudo están familiarizadas con buenos principios de
administración de riesgos, y esto es un punto de partida útil para pensar en
la ciberseguridad:
2
Hacer que los riesgos cibernéticos sean más tangibles
Medir y reportar
Definir claramente los riesgos cibernéticos y las métricas
Incluir declaraciones cualitativas y medidas cuantitativas.
subyacentes.
Naturaleza integral
3 Abarcar todos los tipos de riesgo, tanto actuales como
futuros.
Alinear los esfuerzos con los marcos de riesgo existentes
Financieros, operativos, regulatorios, clientes, reputación, entre otros.
Integrar con la planeación del negocio Integrar el apetito de riesgo en las decisiones de inversión
5 Los reguladores buscan mayor evidencia de
cumplimiento.
Priorizar las inversiones en los puntos críticos, empoderar a los negocios
para tomar decisiones a nivel local.
20%
Los titulares de la prensa enfocan su atención en los eventos a gran escala en los que
los atacantes extraen la información de millones de cuentas, filtran grandes cantidades
de información confidencial en línea, roban la propiedad intelectual y dañan los
sistemas. de los encuestados no puede
estimar los daños financieros
Sin embargo, la naturaleza repentina de estos titulares puede ser engañosa. La mayoría totales relacionados con incidentes
de estos ataques comenzaron semanas o meses antes, cuando los cibercriminales cibernéticos en los últimos 12 meses.
encontraron su punto de acceso y esperaron pacientemente para explorar, localizar
activos valiosos y hacer sus planes.
Además, los ciberataques no son aislados, sin importar qué tan simples o complejos,
dirigidos o aleatorios sean o parezcan ser. Estas primeras señales sutiles y el impacto
acumulado de ataques repetidos deben entenderse e incluirse en su planeación y
apetito de riesgo.
Afecta las decisiones de negocio, fusiones y adquisiciones, así como la posición competitiva
Una vez proyectado uno o más de los principales escenarios de riesgo cibernético y
del negocio, es posible identificar qué áreas en la organización deben vigilarse más
de cerca que otras:
• ¿Sospechan que utilizan en su contra propiedad intelectual robada, de acuerdo a
las cifras de ventas en una región específica?
• A medida que se prepara para una fusión y adquisición importante, ¿detectan
una caída en el valor de mercado?
• ¿Existen varias compañías terceras involucradas en un área crítica de su
negocio?
Una vez infiltrados, los atacantes encontrarán la forma de llegar a los componentes de
valor. Es en este punto es importante conocer las prioridades de un negocio, aquello
que podría lastimarlo (en mayor medida), y lo que tiene valor para otra parte, es
decir, el eje de intersección donde podrán ser detectados los indicadores o señales más
sutiles.
Los departamentos de Finanzas, Mercadotecnia, Operaciones, Investigación y
Desarrollo y RR.HH. son las áreas clave que deben conocer los riesgos de negocios
cibernéticos para la compañía, incluidos en el rango de los aspectos de responsabilidad
individuales. Deben permanecer alerta para detectar comportamientos raros y
discutirlos con el contacto correspondiente para que pueda incluirlos en los informes.
Tal como sucede con las campañas públicas contra el terrorismo, el mensaje es que no
está de más reportar algo que provoca sospechas. El factor crítico es darlo a conocer a
las partes interesadas para armar el rompecabezas.
7%
de las compañías cuenta con un
Algunos ejemplos de los indicadores que un radar debe detectar son los siguientes: programa de respuesta a incidentes
robusto que incluye a terceros y
• Ataques sumamente visibles sin un propósito evidente; por ejemplo, DDoS;
autoridades y que está integrado con su
información robada que no tenga algún uso evidente para ellos.
función más amplia de administración
• Movimientos inesperados en los precios de las acciones. de amenazas y vulnerabilidades.
• Nuevos productos lanzados por competidores que son demasiado similares a su
investigación, desarrollo y que llegan a los mercados justo antes que los productos de
la compañía, lo cual indica que hubo robo de propiedad intelectual y de conocimiento
de su estrategia de crecimiento y calendario.
• Interrupción en las actividades de fusiones y adquisiciones; licitaciones de la
competencia que muestran similitudes y que podrían demostrar conocimiento de
planes confidenciales, fusiones y adquisiciones que sufren incidentes cibernéticos (p.
ej., robo de su propiedad intelectual).
56% 36%
• Comportamiento inusual de los clientes o de los negocios conjuntos: es importante
recordar que estos no siempre serán clientes o socios genuinos debido a que los
cibercriminales pueden unirse a compañías para tener fácil acceso a sus sistemas y
datos.
2014 2015
• Conducta inusitada de empleados: los responsables del personal deben estar alerta 36% considera que es poco probable
a cambios de comportamiento, sobre todo cuando dicho personal trabaja en áreas detectar un ataque sofisticado. Aunque se
sensibles. observa una mejora considerable respecto
al hallazgo de 56% en 2014, las compañías
• Interrupciones operativas sin un motivo aparente.
deben recordar que el nivel de sofisticación
• Anormalidades en los sistemas de procesamiento de pagos o de pedidos. aumenta continuamente.
• Las bases de datos de clientes o usuarios muestran información incongruente.
56%
de los encuestados clasificó la
Capacitación y concientización en materia de seguridad 44% 45% 11%
prevención de fuga o pérdida de datos Capacidades de respuesta ante incidentes 44% 44% 12%
como un tema de alta prioridad para
sus compañías en los próximos 12 Operaciones de seguridad (p. ej. antivirus, codificación
41% 44% 15%
de parches, encriptación)
meses.
Pruebas de seguridad (p. ej., ataque y penetración) 38% 46% 15%
49%
de los encuestados catalogó los
Tecnologías móviles
Computación en la nube
33%
32% 34%
47% 21%
34%
riesgos y las amenazas de personas
con información privilegiada como de
prioridad media, a pesar de que 56% Seguridad de TI e integración de tecnología operativa 29% 50% 21%
considera que los empleados son una
de las fuentes más probables de un Medidas de privacidad 29% 44% 27%
ataque, y 36% señala a los contratistas
externos como una fuente factible. Transformación de la seguridad de la información (rediseño
25% 39% 35%
fundamental)
50%
de los encuestados señaló a las
Apoyo en caso de fraude
Propiedad intelectual
20%
19%
40%
37%
40%
44%
redes sociales como aspecto de baja
prioridad. Apoyo forense 13% 38% 49%
49%
y vulnerabilidades de ciberseguridad. Es importante estar alerta en todo momento
para detectar y responder al entorno cambiante. Se requiere un estado de preparación
constante los 365 días al año, las 24 horas del día.
Pero con este grado de supervisión, es entendible que ciertas compañías se sientan considera que requiere un aumento en
el financiamiento de hasta 25% para
fatigadas sobre estas áreas, y que se pregunten ¿cuándo será suficiente?
proteger a la compañía de acuerdo
El bombardeo constante de tres a cuatro años de ataques numerosos, y el hecho de con la tolerancia de riesgo de la
tener que reaccionar a los eventos cibernéticos, fácilmente puede dar lugar a un estado administración.
de complacencia. Un registro sólido de ahuyentar ataques típicos rutinarios (p. ej.,
phishing) y cerrar las brechas evidentes (p. ej., funcionamiento eficaz del programa
de Administración de Identidad y Acceso) hace que las compañías crean que han
“resuelto” el problema de la ciberseguridad, cuando en realidad la situación empeora.
Esto resulta cierto debido a que es muy difícil demostrar el valor de la inversión en
términos reales cuando los presupuestos son limitados.
En realidad, la mayoría de las compañías han sentado las bases para una ciberseguridad
adecuada, sin darse cuenta que es solo el comienzo, y que el mundo digital requiere
un enfoque constante y receptivo hacia la inversión. Una empresa únicamente puede
considerar que tiene suficiente ciberseguridad cuando en todo momento es capaz de
mantenerse dentro de los límites del apetito de riesgo establecido.
Sin embargo, a medida que aumenta la madurez de la ciberseguridad de una compañía,
se vuelve más fácil demostrar el valor de estas inversiones. Proporcionar evaluaciones
84%
invertirá lo mismo o menos en
de costo más precisas por el daño que causarán diversos escenarios de ciberataques seguridad de la información para la
podrá ayudar a justificar la inversión y supervisión continuas. Cada vez que su Centro de propiedad intelectual en el próximo año.
Operaciones de Seguridad (SOC, por sus siglas en inglés) o los analistas de Inteligencia
70%
de Amenazas Internas identifican un ataque en sus primeras etapas, es posible
demostrar el valor que esto tiene para el negocio al extrapolar los daños provocados si
el escenario hubiera llegado al máximo grado.
De igual forma, entre más consciente se esté de la situación, más fácil será personalizar empleará lo mismo o menos en
y priorizar los gastos, ya que se malgasta mucho dinero en controles o equipos operaciones de seguridad (antivirus,
innecesarios que realmente no mejoran la madurez de la ciberseguridad en las áreas codificación de parches, encriptación).
que más lo requieren.
62%
destinará lo mismo o menos en las
habilidades de respuesta a incidentes
en el próximo año.
1. Activar
En esta etapa la compañía debe tener una base sólida de ciberseguridad
para el entorno actual al reunir un conjunto de medidas que permitan
ofrecer una defensa básica, por lo que la organización requiere:
• Realizar una evaluación de seguridad y elaborar un plan de acción
• Obtener apoyo a nivel del Consejo Directivo para una transformación de
seguridad
• Revisar y actualizar las políticas, procedimientos y estándares de apoyo a
la seguridad
• Establecer un Centro de Operaciones de Seguridad
13% 63% 12% 67%
• Probar los planes de continuidad del negocio y los procedimientos de
2014 2015
respuesta a incidentes
Porcentaje de encuestados que
• Diseñar e implemente controles de ciberseguridad considera que su función de seguridad
de la información cumple plenamente
Actualmente, ante la mayor sofisticación de los riesgos y ciberamenazas, con las necesidades de la compañía;
hay dos tareas fundamentales adicionales: porcentaje de encuestados que indica
que cumple parcialmente con las
• Definir el ecosistema de la compañía necesidades pero realizan mejoras.
• Implementar programas de capacitación de ciberseguridad para los
empleados
2. Adaptar
Al aceptar que las medidas de seguridad de la información fundamentales
serán menos eficaces con el paso del tiempo, esta etapa está enfocada en
el entorno cambiante y resalta las acciones necesarias para asegurar que
54%
las compañías puedan adaptarse para mantenerse a la par y sincronizarse
con los requisitos de negocio y la dinámica.
2014 2015 El 57% considera que la falta de recursos especializados dificulta la contribución
Porcentaje que considera que la falta y el valor de la seguridad de la información a la compañía, mientras que en 2014
de recursos especializados dificulta la esta cifra era del 53%.
contribución y el valor de la seguridad
de la información a la compañía.
Al preguntarles sobre “en comparación con el año anterior”, el 28% de los
encuestados comentaron que tienen previsto invertir más en la transformación
de la seguridad de la información (un rediseño fundamental): esto representa un
aumento de solo un 3% respecto a las respuestas de la misma pregunta en 2014.
3. Anticipar
En la etapa Anticipar, una empresa debe diseñar estrategias para detectar y
neutralizar los posibles ciberataques. Debe enfocarse en el entorno futuro
36%
y confiar más en su habilidad para enfrentar amenazas más predecibles, así
como ataques inesperados.
de los encuestados no
Pocas organizaciones tienen este nivel de capacidad y hoy en día es
cuenta con un programa de
necesario: Inteligencia de Amenazas.
• D
► iseñar e implementar una estrategia de Inteligencia de Ciberamenazas
34%
los activos críticos de la compañía. De igual forma, un SOC avanzado puede operar
de la misma manera y detectar activamente las anomalías no deseadas y los
visitantes o atacantes confirmados que ya se encuentran infiltrados en sus sistemas.
cuenta con un programa de
¿Qué debe mejorar con su implementación? identificación de vulnerabilidades y
lleva a cabo pruebas automatizadas de
manera regular.
Inteligencia de Ciberamenazas Avanzada: los diferentes niveles de evaluación de
perfiles de amenazas que pueden llevarse a cabo, al escalar desde las preguntas
más básicas. Una Inteligencia de Ciberamenazas más avanzada permitirá
administrar proactivamente estas intimidaciones y contramedidas.
¿Es necesario mejorar su Inteligencia de Ciberamenazas?
• ¿
► Qué información sobre la organización está disponible para cualquier atacante?
27%
¿Cómo podría utilizarla?
Preguntas clave para la función de seguridad de la información de una empresa:
¿Cómo podría utilizarla?
dice que sus políticas y procedimientos
• ¿Qué tipo de atacantes o adversarios son más probables (p. ej., hacktivistas, redes de protección de datos son informales o
criminales buscando información que puedan vender, estafadores, atacantes a nivel que tiene políticas adecuadas.
nacional)?
• ¿Cuáles son sus ventajas (p. ej., recursos, tiempo, capacidades técnicas o para
reclutar a personas con información privilegiada)?
• P
► ara cada uno de los atacantes, ¿qué es lo que probablemente les interese más?
(Comparar esto con la lista de lo que realmente le interesa a su negocio, es decir,
sus activos más valiosos).
• ¿Qué tan vulnerables son los objetivos o activos deseados, y cómo podrían ser
explotados?
• ¿Qué caminos específicos podrán tomar los atacantes para llegar a su objetivo
(p. ej., a través de un sistema de aire acondicionado, por medio de un sistema
de pago, al reclutar personas con información privilegiada, al realizar estafas
focalizadas por correo electrónico a los integrantes del Consejo o a empleados que
tienen acceso a la información)?
• ¿Cuáles son las contramedidas más eficaces?
• ¿Qué puedo aprender de mis encuentros anteriores con ciertos adversarios?
Una vez que se tienen las respuestas a estas preguntas, una compañía utilizaría
los hallazgos para tomar decisiones de negocio estratégicas informadas a nivel
ejecutivo y de la alta administración, reenfocar la actividad operativa en el SOC,
y comunicarle los canales información sobre amenazas externas a las áreas más
relevantes en ese momento específico.
Encuesta Global sobre Seguridad de la Información de EY de 2015 | 21
El cambio hacia la
Defensa Activa
¿Cómo construirla?
La Defensa Activa amplía la capacidad de las operaciones de seguridad tradicional
de dos maneras, aunque primero es guiada por una estrategia de Inteligencia de
Ciberamenazas analizada profesionalmente. Más que solo recibir informes sobre
estas intimidaciones, estos análisis permiten a los profesionales de la Defensa Activa
identificar a los atacantes probables, inferir sobre sus objetivos más probables
dentro de la compañía y crear hipótesis acerca de las formas en que se presentarán
59%
dichos ataques. Estas perspectivas facilitan la implementación de contramedidas
personalizadas.
El segundo diferenciador clave respecto al enfoque estándar de ciberseguridad es el
de los encuestados comenta que su
ciclo operativo de la Defensa Activa. Al repetir un proceso definido y disciplinado para
SOC no cuenta con una suscripción
pagada a los canales de información analizar la información disponible, formular conclusiones relevantes y tomar acción,
sobre Inteligencia de Ciberamenazas. los profesionales de la Defensa Activa aportan un elemento dinámico y proactivo a las
operaciones de seguridad existentes de la empresa.
A diferencia de otras ofertas de servicios de seguridad, la Defensa Activa no busca
mejorar un área funcional específica o implementar nuevas tecnologías. Más bien,
integra y mejora las habilidades de seguridad existentes para alcanzar una mayor
eficacia contra atacantes persistentes. Al adecuar y ejecutar un ciclo iterativo
con mecanismos integrados a fin de alcanzar un aprendizaje y mejoras continuas,
la compañía obtiene beneficios en cuanto a la eficiencia, responsabilidad y las
capacidades de su gobierno corporativo, mismos que se traducen en mejores retornos
sobre la inversión para los programas de seguridad al aumentar la efectividad de las
operaciones de seguridad, lo cual a su vez reduce el potencial de los ataques dirigidos.
La Defensa Activa también debe incluir una evaluación de las implicaciones de
riesgo en caso de una violación cibernética significativa y la creación de un marco
de respuesta centralizado como parte de la estrategia de administración de riesgos
empresariales. Este marco para responder a violaciones cibernéticas, con un modelo
de gobierno corporativo claramente definido, debe abarcar el proceso de investigación
de incidentes, recopilación y análisis de evidencia, evaluación de impactos y apoyo en
litigios.
¿Cuál es la madurez de su El 36% de los encuestados no cuenta El 30% cuenta con un programa informal
programa de Inteligencia de con un programa de Inteligencia de de Inteligencia de Amenazas que incluye
Amenazas? Amenazas. información de terceros de confianza y
listas de distribución de correo electrónico.
¿Cuál es la madurez de su El 24% de los encuestados no tiene El 34% tiene un programa informal de
capacidad de identificación de un programa de identificación de identificación de vulnerabilidades y lleva
vulnerabilidades? vulnerabilidades. a cabo pruebas automatizadas de manera
regular.
¿Cuál es la madurez de su El 18% de los encuestados no cuenta Un 23% cuenta con dispositivos de
programa de detección de con un programa de detección; un 4% seguridad de redes perimetrales (esto
violaciones de Ciberseguridad? adicional no implementa procesos de es, sistema de detección de intrusos);
respuesta y escalamiento formales un 21% adicional utiliza una solución de
implementados. administración de seguridad y eventos
(SIEM, por sus siglas en inglés) para
monitorear la red activamente, el sistema
de detección de intrusos/sistema de
prevención de intrusos y bitácoras de
sistemas.
¿Cuál es la madurez de su Un 14% no cuenta con una capacidad El 21% tiene un plan de respuesta
capacidad de respuesta ante de respuesta ante incidentes ante incidentes con el que pueden
incidentes informáticos? recuperarse de un software malicioso y
mal comportamiento de los empleados, sin
embargo, no se realizan investigaciones
más profundas sobre las causas raíz.
¿Cuál es la madurez de su El 10% de los participantes no cuenta Un 27% considera que las políticas y
programa de protección de con un programa de protección de procedimientos de protección de datos
datos? datos. son informales o que cuenta con políticas
adecuadas.
¿Cuál es la madurez de su El 18% de los encuestados aún no tiene El 25% cuenta con un equipo que supervisa
programa de administración de un programa de administración de los procesos de administración de acceso
acceso e identidades? acceso e identidades. y el repositorio central; no se realizan
revisiones formales.
3 4 5 — Muy maduro
El 20% cuenta con un programa El 10% cuenta con un equipo de El 5% cuenta con una función de Inteligencia
formal de Inteligencia de Amenazas Inteligencia de Amenazas que recopila de Amenazas avanzada con canales
que incluye suscripciones a canales información interna y externa sobre de información internos y externos, así
de información sobre amenazas amenazas y vulnerabilidades para como analistas de inteligencia y asesores
de proveedores externos y fuentes analizar la credibilidad y relevancia en externos que evalúan la información para
internas, como una herramienta su entorno. su credibilidad, relevancia y exposición a los
de administración de incidentes y protagonistas de las intimidaciones.
eventos de seguridad.
Un 20% utiliza una variedad de El 18% tiene una función formal de Un 5% tiene una función avanzada de
enfoques de revisión, incluyendo inteligencia de vulnerabilidades con inteligencia de vulnerabilidades y realiza
ingeniería social y pruebas manuales. un programa de evaluaciones basada evaluaciones basadas en riesgos, cuyos
en las amenazas del negocio que resultados y remediaciones son revisados
utilizan pruebas profundas de ataque y con la función de riesgo a lo largo del año.
penetración de proveedores, pruebas
periódicas de procesos de negocio y de
proyectos (p. ej., nuevos sistemas).
El 6% cuenta con procesos informales El 13% cuenta con un programa El 11% cuenta con una función de detección
de respuesta y escalamiento; un 5% formal de detección que aprovecha formal y avanzada que reúne todas las
adicional utiliza procesos apropiados las tecnologías modernas (detección categorías de la tecnología moderna
para la recopilación, integración, local y basada en la red del software (detección local de software malicioso,
respuesta y escalamiento de malicioso, detección de anomalías en antivirus, detección basada en la red de
amenazas. el funcionamiento, entre otras) para software malicioso, prevención de pérdida
monitorear el tráfico interno y externo. de datos, sistemas de localización de
intrusos, firewalls de la próxima generación,
bitácoras) y utiliza un análisis de datos
sofisticado para identificar anomalías,
tendencias y correlaciones. Sin embargo,
solo el 2% implementa procesos formales
para la recopilación de amenazas,
diseminación, integración, respuesta,
escalamiento y predicción de ataques.
El 43% cuenta con un programa Un 16% cuenta con un programa El 7% cuenta con un programa robusto de
formal de respuesta ante incidentes y formal de respuesta ante incidentes respuesta ante incidentes que incluye a
realiza investigaciones después de un y acuerdos establecidos con terceros y a las autoridades, y está integrado
incidente. proveedores externos para servicios con la función más amplia de administración
de investigaciones de repuesta más de amenazas y vulnerabilidades; también
completos. crean registros para posibles incidentes y
realizan pruebas regulares a los mismos a
través de simulacros.
Un 19% considera que las políticas El 26% indica que las políticas y los El 17% comenta que las políticas y
y procedimientos de protección de procedimientos de protección de datos procedimientos de protección de datos
datos se definen a nivel de la unidad se definen a nivel de grupo. se definen a nivel de grupo, se reflejan a
de negocio. nivel corporativo y se comunican a todo el
negocio; las unidades de negocio específicas
se documentan, monitorean y revisan
anualmente.
El 34% cuenta con un equipo formal para supervisar los procesos de Un 23% tiene un equipo formal que
administración de acceso definidos, aunque esto es principalmente manual; interactúa con las unidades de negocio para
tiene un directorio central, no obstante, interactúa con un número limitado de lograr la supervisión de la administración
aplicaciones y no es revisado con regularidad. de acceso e identidades; cuenta con
procesos bien definidos, flujos de trabajo
automatizados limitados, registros de fuente
única para la mayoría de las aplicaciones y
lleva a cabo revisiones regulares.
32%
de los encuestados señaló que la
• Entender la exposición de riesgos de su compañía
• Evaluar la madurez de su programa de ciberseguridad actual e identificar áreas de
mejora
información de benchmarking acerca
• Diseñar un roadmap priorizado para las inversiones en proyectos e iniciativas de
de la madurez de las organizaciones
de pares fue la más útil así como su
cambio organizacional
prioridad más alta. • Recopilar información para crear comparativos (Benchmarks) con otras
organizaciones
• D
► eterminar si sus inversiones en seguridad mejoran su nivel de madurez
Esta evaluación debe ser amplia y de alto nivel, así como totalmente enfocada en
áreas y componentes específicos, y aquí es donde EY puede ayudar. Las métricas de
seguridad permiten que una empresa determine lo que se requiere para apoyar la
continua evaluación, transformación y sustentabilidad de la estrategia de seguridad de
la información.
Por otro lado, es un ejemplo de las calificaciones de madurez que pueden ayudar a la
compañía con el espectro relevante en cuanto a su estado actual, competitivo y futuro.
ately onLathe
madurez del estado actual de la compañía X se encuentra aproximadamente en el mismo
same level than in the comparable industries. Defined future state
nivel que la de sus pares comparables. El estado futuro definido aumenta considerablemente
bly. el nivel de madurez.
Arquitectura
Architecture
Administración
Threat and deVulnerability
amenazas y
vulnerabilidades
5.0 Administración de activos
Asset Management
Management
Administración de terceros
Third Party Mgmt Concientización
Awareness
4.0
Plan de continuidad de negocio/recuperación en caso
Estrategia
Strategy 3.0 BCP/DR
de desastres
2.0 Infraestructura
Data de datos
Infrastructure
Seguridad
Software delSecurity
software (eventos/alertas/bitácoras)
(Events/Alerts/ Logs)
1.0
Security de
Monitoreo Monitoring
seguridad 0.0 Data Protection
Protección de Datos
Porcentaje de encuestados que señalaron que su nivel de madurez era “muy maduro”.
tu ) (eve
de ego
y
a
es
or
ad
s s
so n
nt
str cora dato
id
s
ca d d e
ta
e
tivo
nt
cid
oy
pu
nt esidse
eanct
inf s/bit ra de
a
me de in
m
tiv
DRes ón uid
s
r
se st) Co
to
me ccde
de
ion d
or erna ión pora
em
á
P/str aci tin
en
n
Da
u
at an
uc
ge ióan
n
s ió n
st (Ho e la
o
Da alerttruct
agón
ió
BdCesa uper e con
nt
y
cti
de
v ac or
re
niz ce
ctuura
nao atrnadc
c
es ac
rit
arnaci
Ho tral dad d
ma nt tra
Go niz o C
a
te
n
en tiz
s/ s
ga n
cu
ra
iteect
ció
re an d
to frae
t mist
mccaestiitnyis
ideinis
o
ga r n
ge
anrcien
n i
pr
ec
Ce g u r
se in
chuit
O r b ie
Pl
dm
IncAdm
In
na
AsAdm
ot
ta
ta
a n
ArArq
Go
Se
Co
Pr
IdeA
Aw
Da
7% 5% 6% 10% 8% 7% 8% 10% 9% 8%
4% 12% 7% 10% 7% 7% 5% 8% 3% 7%
nit rdity
me nd
nlaidaabsi y d
rk
ity
cy
ing
eity
gy
g
nt
gedes lity
t
poort d
ge osty
ion
mraablinenrazat an
en
n
rerep an
rteis
urerd
at es
fra ydaad
Pr as
tgeia
wo
iva
me
na cpear r
uarr
mo uercidua
or
m
erion
rm
rtae
fetcw
elac
y cs
ds licci
a
ma eirtedr-
Strta
no
Oeprac
ln vumere
ar PProiva
eS
kdse
as tri
esso
vu e aTh
Es
sy
s
ard
ric e
nTh
aerl
Op
d
de
ét M
wido
ic a
dd
ftaw
e
ció
egtur
d
lít
re
oid
n
ra
po
ito
SNe
ció
nd
ur
gS
M
ist
de
on
ra
sta
Se
in
ist
M
co
in
Ad
m
M
Ad
1,755 encuestados
USD$50 millones a <
USD$100 millones
9%
67
USD$2 mil millones a <
Asia - Pacífico 15% 7%
USD$3 mil millones
Japón 5% USD$3 mil millones a <
4%
países de todo el mundo USD$4 mil millones
25
USD$10 mil millones a <
3%
USD$15 mil millones
Gobierno, no lucrativo 6%
No aplica 4%
Director de
Banca y mercados
16% <1,000 31% Seguridad de la 30%
de capital
Información
Ejecutivo de
Tecnología 10% 1,000 — 1,999 14% Seguridad de la 19%
Información
Gobierno y sector Director de
7% 2,000 — 2,999 7% 17%
público Información
Ejecutivo de
Seguros 6% 3,000 — 3,999 5% Tecnologías de la 16%
Información
Productos de Director de
6% 4,000 — 4,999 4% 5%
consumo Seguridad
Electricidad y Director/Gerente de
5% 5,000 — 7,499 7% 3%
servicios públicos Auditoría Interna
Director de
Menudeo y mayoreo 5% 7,500 — 9,999 5% 3%
Tecnología
Ejecutivo/
Telecomunicaciones 5% 10,000 — 14,999 7% Vicepresidente de la 2%
Unidad de Negocios
Productos
Administrador de
industriales 4% 15,000 — 19,999 2% 2%
Red/Sistema
diversificados
Director de
Petróleo y gas 3% 20,000 — 29,999 4% 1%
Operaciones
Director de
Automotriz 3% 40,000 — 49,999 2% 1%
Cumplimiento
Patrimonio y
administración de 3% 75,000 — 99,999 1%
activos
Por encima de los
Minería y metales 3% 5%
100,000
Medios de
comunicación y 2%
entretenimiento
Ciencias de la vida 2%
Firmas profesionales
2%
y servicios
Productos químicos 1%
Aerolíneas 1%
Aeroespacial y
1%
defensa
Otros 6%
Insights on
governance, risk
and compliance
December 2014
Achieving resilience in
the cyber ecosystem
Insights on Insights on
governance, risk governance, risk
and compliance
and compliance
October 2014
March 2015
Security Operations Centers — Get ahead of cybercrime: EY’s Global Cybersecurity and
helping you get ahead of cybercrime Infomation Security Survey 2014 the Internet of Things
www.ey.com/SOC www.ey.com/GISS2014 www.ey.com/IoT
Using cyber analytics to help you Cyber Program Management: Cyber breach response
get on top of cybercrime: identifying ways to get ahead management — Breaches do
Third-generation Security of cybercrime happen. Are you ready?
Operations Centers www.ey.com/CPM www.ey.com/cyberBRM
www.ey.com/3SOC
32 | EY’s
Encuesta
GlobalGlobal
Information
sobre Seguridad
Security Survey
de la Información
2015 de EY de 2015
¿Reconocerían estar bajo un ciberataque?
Para el área de Asesoría de EY, un mejor entorno de negocios significa resolver
problemas grandes y complejos de la industria, y aprovechar oportunidades para
asegurar resultados que permitan crecer, optimizar y proteger los negocios de nuestros
clientes. Hemos formado un ecosistema global de asesores, profesionales de la industria
y alianzas con una sola idea en la mente: nuestros clientes.
Creemos que anticipar y defenderse activamente de los ciberataques es la única
manera de ir un paso adelante de los cibercriminales. Al enfocarnos en las necesidades
de los clientes hacemos mejores preguntas acerca de sus operaciones, prioridades y
vulnerabilidades. Posteriormente, trabajamos en conjunto para crear respuestas más
innovadoras que brinden las alternativas que requieren. De esta forma, ayudamos a
alcanzar duraderos y mejores resultados, desde la estrategia hasta la ejecución.
Pensamos que a través de impulsar una buena administración de la ciberseguridad,
lograremos construir un mejor entorno de negocios.
Entonces, ¿se percataría en caso de estar bajo un ciberataque? Pregunte a EY.
The better the question. The better the answer. The better the world works.
EY | Aseguramiento | Asesoría de Negocios | Fiscal-Legal | Fusiones y Adquisiciones
Para obtener más información acerca de Yoshihiro Azuma +81 3 3503 1100 azuma-yshhr@shinnihon.or.jp
nuestra organización, visite el sitio
www.ey.com/mx.
Nuestros líderes de ciberseguridad son:
EMEIA
Asia-Pacific
Japan