SESION 9: Auditoria al Sistema

de Gestión de la Seguridad de
Información
 AGENDA

– Qué es seguridad de la información

– El Porqué de la seguridad de la
información
– Iniciativas en al implementación de
Polìticas de seguridad
– Encuesta Global de Seguridad de la
Información
 Qué es Seguridad?
■ “Calidad o estado de estar seguro – de
estar libre de peligro”
■ Estar protegido de adversarios
■ Una organización exitosa debe tener
múltiples capas de seguridad desplegadas:
– Seguridad Física
– Seguridad del Personal
– Seguridad de la Operaciones
– Seguridad de las Comunicaciones
– Seguridad de la Red
Qué es Seguridad de la Información?
■ La protección de la información y de sus
elementos críticos, incluyendo los sistemas y
hardware que usa, almacena y transmite esa
información
■ Herramientas, tales como políticas,
concientización, entrenamiento, educación, y
tecnología son necesarias
■ El triángulo CID fue el estandar basado en
confidencialidad, integridad, y disponibilidad
■ El triángulo CID se ha expandido hacia una
lista de características críticas de la información
 ¿De quiénes debemos
protegernos?
Potenciales “enemigos” :”

■ Crackers.
■ Vándalos.
■ Usuarios del sistema.
■ Competencia.
■ Ex-empleados.
■ En general, de cualquier insider.
■ Millones de adolescentes
 ¿De qué nos protegemos?
Objetivos de los intrusos sobre un
Sistema Informático:

...? 2002 2003 US $

■ Robo de información confidencial. 20% 21% 70´
■ Fraude financiero. (Cronwel ?) 12% 15% 10´
■ Acceso no autorizado. 38% 45% 0´5
■ Negación del servicio. 40% 42% 66´

■ Sabotaje Corporativo. 8% 21% 5´

■ Infección del Sistema Informático. 85% 82% 27´
Fuente: CSI/FBI – Encuesta 2003 .
¿Qué hace a un sistema inseguro?

"El único sistema seguro es aquel que está

apagado y desconectado, enterrado en un
refugio de concreto, rodeado por gas
venenoso y custodiado por guardianes bien
pagados y muy bien armados. Aun así, yo no
apostaría mi vida por él".

Gene Spafford
¿Qué hace a un sistema inseguro?
■ Huecos de Seguridad Físicos.
■ Huecos de Seguridad en el Software.
■ Falta de Experiencia.
■ Ausencia de un Esquema de Seguridad.
 ¿Cómo se rompe la
seguridad de un sistema?

■ Intrusión Física

■ Intrusión por Sistema

■ Intrusión Remota
 Qué es Seguridad de la Información
Prevenir
Divulgación no autorizada de
Información Activos de Información
• Secreto impuesto de acuerdo con
políticas de seguridad
• SINO: Fugas y filtraciones de
información; accesos no autorizados;
pérdida de confianza de los demás
(incumplimiento de leyes y compromisos)

E Autenticidad de
C quien hace uso de datos o
D servicios

T
E-commerce Trazabilidad del uso
de servicios (quién, cuándo)
o a datos (quien y que hace)

Prevenir Información
Cambios no autorizados en No repudio
(dimensiones)
Activos de Información Confiabilida
d
Prevenir
I 6 D 7x24x365 Destrucción no autorizada de
+=5 Activos de Información

• Validez y Precisión de información y sistemas.

•SINO: Información manipulada, incompleta, corrupta • Acceso en tiempo correcto y confiable a datos y
y por lo tanto mal desempeño de funciones recursos.
• SINO: Interrupción de Servicios o Baja
Productividad
 Qué es Seguridad de la Información
■ ISO13335-1: 2.14 seguridad de información :todos los
aspectos relacionados para definir, alcanzar y mantener la
confidencialidad, integridad, disponibilidad, trazabilidad,
autenticidad de la información o de las instalaciones para su
procesamiento

■ ISO17799 2000:2.1 Seguridad de Información

– preservación de la Confidencialidad, Integridad y
Disponibilidad de la información.

■ ISO17799 2005:2.5 Seguridad de información

– preservación of Confidencialidad,Integridad y Disponibilidad
de la información; adicionalmente, otras dimensiones, tales
como Autenticidad, Trazabilidad, No-repudio, y Confiabilidad
pueden también ser adicionadas
 El Porqué de la Seguridad de la Información

Amenazas Exposiciones
se Expectativas se
incrementa se incrementan
de Virus,n crackers incrementan
Mayor conectividad,
Fraudes, espionaje de Clientes, socios,
Mas dependencia de TI
Auditores, reguladores
 El Porqué de la Seguridad de la Información

En Latinoamérica : 4 % del 11/2003 11/2004 2/2006

Total Norte Am = 48% 39% 36%
445 (MS-DS) 7% Asia = 29% 28% 25%
Europa = 22% 27% 32%
135 (TCP-epmap) 35% Sud Am <1% 3% 4%
6881 (bitorrent – P2P ) 1% Africa <1% 1% 1%
Aust= 1% 2% 2%
139 (netbios - ssn) 1%
 ¿Cuál es la importancia de la seguridad
informática?

Muy Importante Poco Sin

Importante importante importan
cia

Encuesta 2003 56 % 34 % 6% 5%

Encuesta 2004 67 % 26 % 4% 3%

Servicios Financieros 2004 78 % 20 % 2% 1%

Manufactura 2004 52 % 38 % 8% 2%

Encuestados que confían en la 85 % 12 % 2% 1%

seguridad informática.

Encuestados que no confían en la 41 % 44 % 11 % 4%

seguridad informática.
Fuente: Encuesta Ernst & Young.
Nov. 2004
 ¿Cada cuánto se reporta el estado de la
seguridad informática o los incidentes de seguridad?

Mensual Cuatrimestral Semestral Anual A Nunca

pedido

Encuesta 2003
15 % 21 % 12 % 19 % 19 % 14 %

Encuesta 2004
15 % 16 % 8% 10 % 39% 11 %

Servicios Financieros 2004

21 % 24 % 6% 8% 6%
36 %

Manufactura 2004 5% 10 % 9% 14 % 46 % 16 %

CLASE 30/10/06
Qué consideran las organizaciones como sus peligros más
apremiantes

Fuente: Encuesta Ernst & Young.

Nov. 2004
 ¿Qué hacen las organizaciones para contrarrestarlas?

Porcentaje Sí No

¿Tienen un plan de respuesta ante incidentes? 77% 23%

¿Realizan análisis de riesgos, evaluaciones de vulnerabilidad y 63% 37%

penetración en forma regular?

Muy de acuerdo De Neutral En

acuerdo desacuerdo

Están de acuerdo con que su nivel de

protección es adecuado para defenderse 13% 23% 51% 13%
de los ataques externos

Fuente: Encuesta Ernst & Young.

Nov. 2004
 Asociado a las amenazas de seguridad, los siguientes incidentes
ocasionaron una interrupción inesperada o no programada de sus
sistemas:

Incidente Ocurrencia
Interno Externo

Falla de hardware 72%

Virus, Trojan Horse o Worms 68%

Falla de telecomunicaciones 64%

Falla de software 57%

Falla de terceros, ej. proveedor del servicio 47%

Cuestiones de capacidad del sistema 46%

Errores operativos, ej. carga de software erróneo 42%

Falla de infraestructura, ej. incendio, corte de luz 42%

Mala conducta de empleados actuales o anteriores 24%

Ataques de Denegación de Servicio 23%

Fuente: Encuesta Ernst & Young.

Nov. 2004
 Las 5 principales iniciativas en implementación de
políticas de seguridad informática
Global Ingresos > 1 mil Servicios Salud Manufactura
millones Financieros
1 Hacer cumplir la política Hacer cumplir la Cumplir con las Intensificar el Mejorar la seguridad
de seguridad política de exigencias programa de en redes
informática seguridad regulatorias recuperación
informática relacionadas con ante desastres
la seguridad de informáticos
la información

2 Intensificar el Alinear la estrategia Intensificar el Hacer cumplir la Hacer cumplir la

programa de de seguridad programa de política de política de
recuperación ante con las metas y recuperación seguridad seguridad
desastres los objetivos del ante desastres informática informática
informáticos negocio informáticos

3 Mejorar la seguridad en Cumplir con las Hacer cumplir la Alinear la estrategia Intensificar el
redes exigencias política de de seguridad con programa de
regulatorias seguridad las metas y los recuperación
relacionadas informática objetivos del ante desastres
con la seguridad negocio informáticos
de la
información

4 Alinear la estrategia de Homogeneizar la Intensificar el Homogeneizar la Homogeneizar la

seguridad con las tecnología / programa de tecnología / tecnología /
metas y los políticas / continuidad del políticas / políticas /
objetivos del procedimientos negocio procedimientos procedimientos
negocio de seguridad de de seguridad de de seguridad de
la información la información la información

5 Intensificar el Intensificar el Alinear la estrategia Incrementar la Alinear la estrategia

programa de programa de de seguridad con capacitación / de seguridad con
continuidad del recuperación las metas y los concientización las metas y los
negocio ante desastres objetivos del de los empleados objetivos del
informáticos negocio en seguridad negocio
informática

Fuente: Encuesta Ernst & Youn

Nov. 2004
 ¿Qué se debe Garantizar?
Asegura que los
datos y sus métodos
de procesamiento
son exactos y
Integridad
completos

Acceso a los
datos sólo por
Información Acceso a los
datos en el
personal momento en
autorizado que sean
necesarios
Confidencialidad Disponibilidad
 Objetivos de la Seguridad de la
Información
• Minimizar la probabilidad de ocurrencia de
pérdidas económicas debido a deficiencias, fallas o
eventos externos adversos sobre la información y la
tecnología que soportan los procesos críticos de la
Compañía.
Acerca de la Encuesta Global de
Seguridad de la Información de
Ernst & Young
 Encuesta Global de Seguridad de
Información de Ernst & Young
■ En 1993 efectuó primera encuesta de seguridad, en
coordinación con Information Week.
■ En 1997, Ernst & Young decide continuar con este
proyecto bajo su total responsabilidad.
■ Esta encuesta es utilizada como un benchmark de la
industria a nivel local y mundial.
■ Esta encuesta permite mejorar los programas de
seguridad de las organizaciones.
■ Cualquier empresa a nivel global puede participar de
esta encuesta.
 Gestión Efectiva de la
Seguridad IT: Principales
Obstáculos
Resultados
encuesta 1994
Resultados encuesta
2003
Resultados encuesta
2004
Resultados encuesta
2005
1. Carencia de 1. Limitaciones o 1. Concientización en 1. Concientización
recurso restricciones de seguridad de los de la Gerencia y
humano presupuesto usuarios usuarios
2. Limitaciones o 2. Prioridad de 2. Limitaciones o 2. Limitaciones o
restricciones de recursos restricciones de restricciones de
presupuesto presupuesto presupuesto
3. Personal
3.Concientización entrenado 3. Personal 3. Dificultad en
de la Gerencia entrenado asignar valor a la
4. Compromiso de la seguridad de
4. Herramientas y 4. Dificultad en
alta gerencia información
situación asignar valor a la
5. Concientización seguridad de
de la Gerencia información 4. Nuevas
5. Velocidad del tecnologías
cambio en IT

Fuente: Ernst & Young “Global Information Security Survey”

Resultados de la Encuesta Global
de Seguridad de la Información
2005
La brecha continúa
creciendo entre la
aparición de nuevos
riesgos como
consecuencia de
constantes cambios en
los negocios y la
manera cómo la
Seguridad de
 Antecedentes
Demografía de la Encuesta
■ Participaron cerca de 1,300 organizaciones a
nivel mundial.
■ 279 fueron organizaciones latinoamericanas.
■ 59 fueron organizaciones peruanas.
■ 26 industrias representadas (p. ej. Sector
Financiero, Manufactura, Sector Público,
Telecomunicaciones).
■ El 74% de los encuestados fueron CIOs,
CISOs u otros ejecutivos de tecnología de
información.
 Antecedentes (cont.)
Hallazgos de la Encuesta
■ Focalizada en cuatro áreas que indican una
gran brecha en los riesgos relacionados con
Seguridad de Información:
– Regulación vs. Cumplimiento.
– Crecimiento de la interdependencia con otras
empresas.
– Requerimientos del negocio ante la aparición
de nuevas tecnologías.
– Organización de la Seguridad de Información.
■ Los hallazgos resultan constantes para las
26 industrias que participaron en la
encuesta.
Regulación vs. Cumplimiento
 Percepción de la Importancia de la
Seguridad de la Información

2%
Ningún beneficio
2%

13%
Otros
7%

Implementar mejores 77%

prácticas en Seguridad de la
Información 81%

Demostrar a los clientes que

cumplo con buenas 68%
prácticas relacionadas a la 67%
Seguridad de la Información

Ser comparable con otras 43%

compañías 41%

Global
Perú 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

¿Cuáles son los beneficios para su organización al adquirir estándares de seguridad informática?
 Impacto en la Seguridad de
Información Resultados Globales vs.
Locales
Virus y Gusanos 53%
57%

Nuevas Tecnologías 34%

52%

Cumplimiento de Regulaciones 61%

38%

Cumplimiento de los objetivos de negocios 49%

38%

Prioridades de Seguridad Corporativa 52%

34%

Phishing y Spyw are 21%

33%

Requerimientos de Certificación en Seguridad de Información 13%

16%

Publicidad Negativa 10%

16%

Otros 6%
10%
Global
Perú 0% 10% 20% 30% 40% 50% 60% 70%

Aspectos que afectaron significativamente la Seguridad de Información en las

organizaciones en los 12 últimos meses
 Las Oportunidades que Resultan del
Cumplimiento Permanecen Desatendidas
■ Sólo el 41% está Crear o actualizar
utilizando el políticas y
procedimientos
cumplimiento
Capacitar y
como una concientizar
oportunidad para
hacer cambios en Cambiar la
arquitectura
sus arquitecturas
de seguridad. Reorganizar las
funciones de
■ Sólo algunos están Seguridad de
MedidasInformación
de Seguridad de Información que están siendo
utilizando el implementadas por las organizaciones como resultado de tener
cumplimiento que cumplir con las regulaciones de control interno tales como
Sarbanes-Oxley, la 8va. Directiva de la Unión Europea u otras
para hacer equivalentes.
cambios reales en
otras áreas de
Seguridad de
Información.
 Crecimiento de la
Interdependencia con Otras
Empresas
 Procesos Inmaduros e Inadecuados en la
Administración del Riesgo con Proveedores

No la toman en
cuenta
■ Una quinta parte
Procedimientos
no toma en cuenta informales

la administración Procedimientos
formales
del riesgo con Procedimientos formales
proveedores. validados por un tercero

■ Una tercera parte

sólo tiene
implementados ¿Cómo las organizaciones están tomando en cuenta la
procedimientos administración del riesgo con sus proveedores?

informales para
hacerlo.
 Procesos Inmaduros e Inadecuados en la
Administración del Riesgo con Proveedores

■ Tres cuartas partes

Los proveedores tienen la
indican que sus capacidad de soportar sus
propias políticas y
estándares
proveedores cuentan Los proveedores cuentan
con la habilidad de con sus propias políticas y
procedimiento
soportar las políticas,
procedimientos, Los proveedores son
certificados
estándares de sus Terceras partes han
revisado las prácticas de
organizaciones. Seguridad de Información
de los proveedores y las
■ Sólo una sexta parte han comparado con las
mejores prácticas
requiere revisiones de
terceras partes
independientes de Requerimientos de las organizaciones para la administración del
riesgo con proveedores y socios de negocio.
proveedores y socios.
■ Sólo una cuarta parte
requiere que
proveedores y socios
sean certificados.
 El Valor de los Estándares Reconocidos
■ El 25% indica que están
usando ISO 17799 y el ISO 17799/BS 7799
30% está planeando
implementarlo IS Forum

■ Cerca de la cuarta parte

indica que están CobIT

aplicando ITIL y el 22%

está planeando ITIL
implementarlo.
■ Más del 60% reconoce Otros

que la aplicación de
estos estándares Sí No, lo No
muestra a sus clientes planea

un alto compromiso con

¿Cuándo las organizaciones planean adoptar formalmente
las buenas prácticas de o certificarse en uno de los siguientes estándares?
Seguridad de
Información.
 El Valor de los Estándares Reconocidos
Resultados Locales

■ Tanto organizaciones Perú

grandes como ISO 17799/ BS 7799 4% 44% 53%

pequeñas aún tienen

un largo camino en Information Security
Forum
4% 96%

la adopción y
certificación de CobIT 2% 19% 80%

estándares de
Seguridad de ITIL 4% 22% 74%

Información.
Other 12.1% 5% 77%

0% 20% 40% 60% 80% 100%

Yes
Sí- - BU Yes - Enterprise
Sí-Toda la No
No- Plan
lo to No
Unid.Neg. Compañía planea
 Tercerización
Resultados Globales vs. Locales
¿Tienen planeado tercerizar la Seguridad de Información en alguna de las siguientes
áreas?
Soporte de Auditoria y Cum plim iento - Global 20% 64% 16%

Soporte de Auditoria y Cum plim iento - Perú 22% 60% 18%

Adm inistración de Proyectos - Global 10% 83% 7%

Adm inistración de Proyectos - Perú 10% 88% 2%

Entrenam iento y Concientización - Global 24% 66% 10%

Entrenam iento y Concientización - Perú 24% 66% 10%

Respuesta ante incidentes - Global 9% 72% 19%

Respuesta ante incidentes - Perú 16% 70% 14%

Operaciones de Rutina - Global 12% 67% 21%

Operaciones de Rutina - Perú 12% 76% 12%

Ingenieria de Seguridad - Global 13% 72% 15%

Ingenieria de Seguridad - Perú 17% 75% 8%

Estrategia - Global 8% 86% 6%

Si Estrategia - Perú 6% 92% 2%

No
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Actualm ente Tercerizado
Requerimientos del
Negocio Ante la
Aparición de Nuevas
Tecnologías

y #
 Preocupaciones en Seguridad de
Información
■ La mitad de los
encuestados Computación móvil
reconocen a la Dispositivos
tecnología móvil removibles
como una Redes inalámbricas
preocupación de
Seguridad de Telefonía de Voz
sobre IP
Información
Software libre
■ Las
preocupaciones Virtualización
de servidores
bajan para otras
tecnologías en
desarrollo, a pesar
de las serias Las principales nuevas tecnologías que las organizaciones han
amenazas que identificado como preocupaciones en Seguridad de
Información
éstas conllevan.
 Preocupaciones en Seguridad de
Información Resultados globales vs. locales
GLOBAL - Redes Inalámbricas 54% 24% 14% 9%

PERU - Redes Inalámbricas 43% 43% 13% 0%

Actualmente
GLOBAL - Servicios Web 60% 21% 14% 5%
En 6 meses
PERU -Servicios Web 53% 32% 5% 11%
En 12 meses
GLOBAL - Aplicaciones Web 62% 22% 10% 6%
Desconoce
PERU - Aplicaciones Web 48% 19% 26% 7%

GLOBAL -Telefonía de voz sobre IP 34% 31% 26% 10%

PERU - Telefonía de voz sobre IP 36% 28% 28% 8%

GLOBAL - Dispositivos removibles(e.g., USB flash drive, portable drives) 43% 32% 15% 10%

PERU - Dispositivos removibles (e.g., USB flash drive, portable drives) 53% 27% 20% 0%

GLOBAL - Redes punto a punto 61% 22% 12% 6%

PERU - Redes punto a punto 44% 11% 33% 11%

GLOBAL - Software libre 51% 18% 22% 9%

PERU -Software libre 73% 18% 0% 9%

GLOBAL - Nuevos Productos Windows 55% 26% 11% 7%

PERU - Nuevos Productos Windows 40% 28% 20% 12%

GLOBAL - Computación móvil (e.g., PDA, smart phones, Black Berry) 50% 26% 16% 8%

PERU - Computación móvil (e.g., PDA, smart phones, Black Berry) 38% 42% 21% 0%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
No Existen Planes para Manejar los Riesgos de
Seguridad de las Nuevas Tecnologías
■ Entre un cuarto y un
tercio de los
encuestados indican Computación móvil
que no planean, por lo
menos en los próximos Dispositivos
removibles
doce meses, tomar Redes inalámbricas
acción en las
preocupaciones de Telefonía de Voz
sobre IP
seguridad relacionadas
Software libre
con las nuevas
tecnologías. Virtualización
de servidores

Ahora 6-12 meses Más de 12 meses

¿Cuándo las organizaciones planean manejar las

preocupaciones relacionadas con las nuevas tecnologías?
Organización de la Seguridad de
Información
La Seguridad de Información en la
Organización
■ En los resultados globales, dos terceras
partes de los encuestados indican que
cuentan con un puesto de Oficial de
Seguridad de Información.
■ Resultados en el Perú:
¿Su organización cuenta con un puesto de Oficial
Seguridad de Información?

Sí 53%

No 47%

0% 10% 20% 30% 40% 50% 60%

Responsabilidad de la Función de
Seguridad Informática
12%
Gerente General 14%

5%
Gerente Operativo 6%

22%
Gerente Financiero 9%

31%
Gerente de Sistemas 42%

10%
Oficial de Seguridad 7%

0%
Oficial de Privacidad y Riesgo 3%

5%
Asesor Legal 1%

3%
Comité de Seguridad Informática 5%

12%
Otro 13%
Global Peru
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%

¿A quién le reporta la función de Seguridad Informática en su organización?

Frecuencia de Reuniones para Discutir Temas de
Seguridad de Información

Mensualmente o
■ El 40% se reúne frecuentemente
Trimestralmente
con la Junta de
Dos veces al año
Directores y
Anualmente
Comités de
Menos frecuente
Auditoría menos
Nunca
de una vez al
año o nunca.
■ El 44% indica la Junta de Directores/Comité de L
Auditoría ega
misma l

frecuencia al Frecuencia de reuniones entre líderes de Seguridad de

reunirse con su Información y su Junta de Directores/Comité de Auditoría y
Departamento Legal para discutir objetivos del negocio y
Departamento necesidades de Seguridad de Información.
Legal.
Aprobación del Presupuesto de Seguridad
Informática

31%
Gerente General 30%

3%
Gerente Operativo 7%

36%
Gerente Financiero 16%

8%
Gerente de Sistemas 28%

2%
Oficial de Seguridad 2%

0%
Oficial de Privacidad y Riesgo 1%

5%
Asesor Legal 3%

2%
Comité de Seguridad Informática 3%

13%
Otro 10%
Global Peru
0% 5% 10% 15% 20% 25% 30% 35% 40%

¿Quién aprueba el Presupuesto de Seguridad Informática de su organización?

 Procedimientos Formales Implementados
Parcialmente
Resultados Locales
Promoviendo la Seguridad de 8% 24% 66% 2%
Información dentro del proceso de
desarrollo de aplicaciones
Respuesta de incidentes
2% 24% 71% 3%

Plan de continuidad de negocios

5% 15% 73% 7%

Administración del riesgo con proveedores 34% 24% 40% 2%

Convergencia de la seguridad física y 73% 5%

4% 18%
Tecnología de información

Capacitación y Concientización 9% 39% 47% 5%

Procedimient Existen Existen

os informales procedimient procedimientos
os formales formales
validados por
No afrontados un tercero
 Distribución del Tiempo y Presupuesto
Asignados a Actividades de Seguridad

■ Más de la mitad
del tiempo y el Estrategia (incluye desarrollo de políticas y
procedimientos)
22%
25%

presupuesto de
Seguridad de
Operaciones de rutina (administración de cuentas, de 38%
vulnerabilidades, de parches, entre otros) 38%

Información se
Respuesta ante incidentes cuando existe un ataque 15%
asignan a (incluye w orms y virus) 18%

operaciones 18%
rutinarias y a Actividades de cumplimiento o relacionadas a auditoría
14%

responder ante 6%
incidentes. Otros
4%
Global
■ Sólo el 22% del Perú 0% 5% 10% 15% 20% 25% 30% 35% 40%

tiempo del
Asignación del tiempo y presupuesto para actividades de
presupuesto se Seguridad de Información.
asignan a
estrategias.
Responsables de Ejecución de los
Planes de Acción
Resultados Locales

Estrategia Desarrollo de políticas Arquitectura e

y procedimientos Infraestructura
Tecnología de Información

Líderes de Unidades del Negocio

Gerentes Corporativos
Organización de la Seguridad
Auditoría Interna
Área Legal

Oficina de Regulaciones
Otro

Cuando ocurre un cambio significativo en el entorno de la organización, quién

está involucrado en la revisión de las actividades y desarrollo de los planes de
acción de la Seguridad Informática?
 Capacitación y Programas de
Concientización - Resultados Globales
■ Dos terceras partes de
los encuestados
brindan capacitación a Impacto de eventos
la Gerencia sobre temas de seguridad en la
organización
de Seguridad de Políticas y
Información y su procedimientos

respectivo impacto. Respuesta ante

incidentes de
■ Sólo una tercera parte seguridad

de los encuestados
brinda capacitación Grupos generales
Gerencias
para responder ante de usuarios

incidentes de
seguridad.
Capacitación y programas de concientización sobre
■ Menos de la mitad de
Seguridad de Información, ofrecidos a las gerencias de la
los encuestados brinda organización y grupos generales de usuarios.
este entrenamiento a
grupos generales de
usuarios.
 Capacitación y Programas de
Concientización - Resultados Locales
■ Dos terceras partes
de los encuestados
brindan capacitación
a la Gerencia sobre Impacto de eventos de
temas de Seguridad
60%
seguridad en la

de Información y su organización 37%

respectivo impacto.
■ Sólo una tercera Políticas y procedimientos
67%

parte de los 86%

encuestados brinda
capacitación para Respuesta ante
33%

responder ante incidentes de seguridad 37%

incidentes de Gerencias

seguridad. Grupos generales de

usuarios 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

■ Casi la totalidad de
los encuestados Capacitación y programas de concientización sobre
brinda capacitación Seguridad de Información, ofrecidos a las gerencias de la
sobre las Políticas y organización y grupos generales de usuarios.
Procedimientos a los
Usuarios Generales.
 Cerrar la Brecha

Medidas Resultantes de la Encuesta

 Medidas Resultantes de la Encuesta
■ Regulación vs. Cumplimiento
– Considerar que los requerimientos legales, contractuales y
regulatorios son una oportunidad para promover la
Seguridad de Información como parte integral del negocio.
■ Crecimiento de la interdependencia con otras empresas.
– Incrementar el valor de trabajar con terceros y adoptar
estándares de seguridad a fin de aplicar mejores prácticas
globales.
■ Requerimientos del negocio ante la aparición de nuevas
tecnologías
– Tomar medidas que permitan que el negocio sea
conducido de forma más segura ante la aparición de
nuevas tecnologías.
■ Desarrollar la Organización de la Seguridad de Información
– Poner en marcha mejores prácticas para alinear
estrechamente la Seguridad de Información con la
organización.