Resultados de la Encuesta Global de Seguridad de la Información
Transcripción
Resultados de la Encuesta Global de Seguridad de la Información
www.pwc.com/ar Resultados de la Encuesta Global de Seguridad de la Información Advisory 2016 Introducción Nos complace presentarles los resultados de la Encuesta Global de Seguridad de la Información 2015 de PwC. Comprende un estudio mundial realizado por PwC y las revistas CIO Magazine y CSO Magazine. La investigación se llevó a cabo del 7 de Mayo al 12 de Junio de 2015. Los resultados presentados en este informe se basan en la respuesta de más de 10.000 ejecutivos incluyendo CEOs, CFOs, CIOs, CISOs, SCOs, VPs y directores de IT y seguridad. En cuanto al nivel de participación, el 37% de los encuestados son de América del Norte, 30% de Europa, 16% de Asia y el Pacífico, 14% de América del Sur y el 3% del Medio Oriente y África. De los encuestados a nivel global el 3,43% fue de Argentina, representando un total de 345 respuestas. Este año los resultados muestran que los ejecutivos están poniendo especial foco en la necesidad de financiar las actividades de seguridad de la información y han mejorado medidas de protección tecnológicas, procesos y estrategias. 2 Nivel de participación 3% 14% América del Norte 37% 16% Europa Asía y el Pacífico América del Sur Medio Oriente y África 30% Aumento de riesgos Año tras año los ataques cibernéticos continúan creciendo en términos de frecuencia, severidad e impacto, resultando cada vez más ineficientes, los métodos para la prevención y detección. Muchas organizaciones no saben qué hacer o no cuentan con los recursos necesarios para combatirlos. 16% 38% Aumento de incidentes detctados que afecta a la seguridad de la información 2016 - Resultados de la encuesta global sobre Seguridad de la Información 3 91% Los beneficios de la utilización de frameworks Un programa de ciberseguridad efectivo, comienza con una estrategia y fundamentos basados en riesgos. Es por ello que la mayoría de las compañías ha adoptado la implementación de uno o varios frameworks. Ha adoptado un marco de ciberseguridad basado en el riesgo Los frameworks permiten a las organizaciones, identificar y priorizar riesgos, evaluar la madurez de sus prácticas en ciberseguridad y mejorar la comunicación tanto interna como externa. Los dos frameworks más utilizados dentro del marco de la ciberseguridad son, la norma ISO 27001 y el Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology). Beneficios de la ciberseguridad basada en frameworks Capacidad de identificar y priorizar riesgos Capacidad de detectar y mitigar incidentes de seguridad rápidamente 49% Capacidad de identificar y priorizar riesgos 4 47% 49% Capacidad de detectar y mitigar incidentes de seguridad rápidamente 47% Datos sensibles resguardados de forma segura 45% Comprensión de las brechas de seguridad y cómo mejorarlas 37% Mejora tanto en la colaboración interna como en la externa y la comunicación de incidentes 32% Datos sensibles resguardados de forma segura 45% 69% Utiliza servicios de ciberseguridad basados en la nuve El poder de la ciberseguridad en la nube Los sistemas basados en la nube han surgido en los últimos años y se han convertido en una herramienta, ya que los proveedores de dichos servicios, han invertido en tecnologías avanzadas para la protección de datos, privacidad, conectividad segura y un mejor control de accesos. Para la mayoría de los encuestados, estos servicios sirven para proteger los datos sensibles y reforzar la privacidad, incluyendo el monitoreo y análisis en “real time” de posibles vulnerabilidades, y comportamientos anómalos, entre otros. Adopción de servicios cloud basados en la ciberseguridad 56% 55% 48% Monitoreo y análisis en tiempo real Autenticación avanzada Administración de identidad y acceso 47% 44% Inteligencia frente a amenazas Protección de “End of point” 2016 - Resultados de la encuesta global sobre Seguridad de la Información 5 El impacto de “Big Data” Muchas organizaciones están aprovechando el análisis que proporciona “Big Data” para modelar y monitorear problemas de ciberseguridad, responder ante incidentes y auditar y revisar los datos para comprender cómo y cuándo utilizarlos. Beneficios de la ciberseguridad 61% Mejor comprensión de las amenazas externas 6 49% 41% Mejor comprensión Mejor comprensión de las amenazas del comportamiento internas de los usuarios 40% 39% Mayor facilidad Mejora en la capacidad para identificar y para la detección responder de anomalías en las redes rápidamente 91% Reemplazo de contraseñas por sistemas de autenticación avanzados Utiliza autenticación avanzada Hoy en día, la mayoría de las contraseñas son consideradas poco seguras. Es por esto que muchas organizaciones están recurriendo a mecanismos de autenticación avanzada para ayudar a controlar el acceso y así, aumentar la confianza de sus clientes. Particularmente los bancos están adoptando los conceptos “one-timepassword” (se le envía a sus clientes contraseñas que son válidas una única vez) y el “two-factor-authentication”, basado en la generación de códigos numéricos de manera aleatoria para el acceso a sus cuentas. Beneficios de la autenticación avanzada 50% 45% Mejora en la confianza cliente/ empresa en términos de seguridad y privacidad 50% Protección premium contra posibles fraudes 45% Transacciones online más seguras 44% Mejoras en la experiencia de los clientes 39% Mejoras en el cumplimiento normativo 38% 44% 2016 - Resultados de la encuesta global sobre Seguridad de la Información 7 1 ISACs: Information Sharing and Analysis Center: es una organización sin fines de lucro que procesa y brinda información acerca de ciber crímenes. Socios en ciberseguridad A medida que las empresas comparten datos con socios, clientes y otras organizaciones resulta indispensable que acudan a la colaboración de terceros para evitar amenazas de ciberseguridad. De hecho, el número de organizaciones que colaboran con otras organizaciones ha aumentado durante los últimos 3 años debido a sus múltiples beneficios. Beneficios de la ciberseguridad basados en datos 56% Comparte y recibe información de otras empresas del sector 8 46% Comparte y recibe información del ISACs1 42% Mejora de la inteligencia sobre las amenazas 40% 37% Comparte y recibe información de entes gubernamentales Comparte y recibe información de entes judiciales Aquello que no puede ser protegido, puede ser asegurado Compartir información e implementar tecnologías avanzadas de ciberseguridad no va a detener todos los ciber ataques, debido a que siempre se encuentran nuevas maneras para evadir la protección. Es por eso que, muchas empresas están contratando seguros para poder mitigar el impacto financiero. De hecho, el seguro de ciberseguridad es uno de los sectores que más ha creciendo dentro de la industria aseguradora. Los seguros de ciberseguridad cubren destrucción de datos, ataques de negación de servicios, robos y extorsión, respuesta a incidentes y remediación, investigación y auditoría de ciberseguridad. La industria está haciendo esfuerzos por ampliar su servicio e incluir seguros que cubran el valor de pérdida de la propiedad intelectual, reputación e imagen de marca. Además de la mitigación de los riesgos financieros, las compañías que adquieren un seguro frente a ciber delitos, están comenzando a obtener una mejor comprensión acerca del tema. Esto es porque las aseguradoras requieren una cuidadosa evaluación de las capacidades y riesgos actuales como condición previa al establecimiento de la póliza. Estas evaluaciones pueden ayudar a las empresas a predecir mejor sus riesgos legales y jurídicos, los costos de respuesta y el potencial daño a la marca. 59% Ha contratado seguro de ciberseguridad Incidentes cubiertos por seguros de ciberseguridad Información de la identificación personal 47% Datos de tarjetas de pago 41% Propiedad intelectual/ Secretos de negocio 38% Daños a la reputación de la marca 36% Respuesta a incidentes 31% 47% “Las empresas deben entender que no serán capaces de asegurar todo el riesgo de pérdida debido a que el mercado aún no cuenta con la oferta necesaria”. 2016 - Resultados de la encuesta global sobre Seguridad de la Información 9 2 “Hoy, un líder en seguridad es un administrador general con experiencia en comunicación, presentación y negocios, en resumen, todas las habilidades que se esperan de un director de operaciones”. Involucramiento de ejecutivos y directorio en ciberseguridad Los avances tecnológicos que se avecinan prometen contener ciber amenazas que, hoy en día, son inmanejables. Poner el foco sólo en los avances técnicos, puede desviar la atención que requiere el desarrollo de las competencias y la formación de las personas sobre la materia. CISO (Chief Information Security officer): oficial principal de seguridad de la información Es más probable alcanzar dicho nivel de responsabilidad cuando el líder en seguridad de la información de la empresa reporta directamente al CEO u otro ejecutivo encargado de supervisar y gestionar el riesgo y la estrategia. 54% Tiene un CISO2 a cargo del programa de seguridad Habilidades y competencias de los líderes de seguridad de la información 43% Comunica directamente a los líderes ejecutivos información acerca de la seguridad de los riesgos y estrateguas 10 43% Enfoque de la seguridad de la información como un tema de gestión de riesgos de la empresa 41% Entiende los problemas del negocio de la organización y el entorno 36% 35% Colabora con grupos de interés para entender problemas y necesidades del negocio Proporciona actualizaciones sobre riesgos de seguridad de la información al Directorio, al menos, cuatro veces al año 45% Directorio participa en la estrategia general de seguridad Otro punto importante a destacar es que los ataques de seguridad informática producen daños que afectan a toda la empresa, ya sea en las operaciones, reputación y, por lo tanto a los ingresos. Es por ello, que los directores lo han definido como un tema de riesgo altamente estratégico. En cuanto al presupuesto de seguridad informática, alcanzó un incremento del 24%. Otros resultados notables, citado por los encuestados, son la identificación de los principales riesgos, el fomento de una cultura organizacional basada en la seguridad y una mejor alineación de la seguridad cibernética con los objetivos del negocio Participación del Directorio en la seguridad de la información 40% 46% Presupuesto de seguridad 2014 42% 45% 36% 41% Estrategia global de seguridad Políticas de seguridad 30% 37% Tecnologías de seguridad 25% 32% Revisión de riesgos de seguridad y privacidad 2015 2016 - Resultados de la encuesta global sobre Seguridad de la Información 11 Due diligence de seguridad informática ante fusiones y adquisiciones Un modo que escogen los atacantes para lograr su objetivo es burlar la seguridad informática de pequeñas compañías debido a su estructura generalmente sencilla. Luego esperan el momento en que éstas sean adquiridas por organizaciones de mayor volumen para lanzar su principal ataque. Es por eso que realizar un Due Diligence acerca de la seguridad informática de las compañías está cobrando un rol protagónico. Durante la evaluación de los riesgos de seguridad informática, tres áreas deben ser consideradas: 1 Países donde las compañías tienen sede y operan 2 Industrias en las que opera la organización 3 12 Prácticas de seguridad individuales de la compañía y el historial de incidentes El futuro de la seguridad informática A medida que las tecnologías evolucionan, los atacantes mejoran sus habilidades. Las vidas personales serán cada vez más digitalizadas, creando una mayor avalancha de datos que puede ser recopilada, analizada y potencialmente comprometida. Las empresas seguirán generando y compartiendo más información acerca de las personas. Es por eso que deben estar mejor preparadas para afrontar estos riesgos, y aún más para el fenómeno “Internet of Things (IoT)” que se avecina. 2016 - Resultados de la encuesta global sobre Seguridad de la Información 13 14 Apéndice A: Respuesta al aumento de ciber riesgos Apéndice A 15 Aumento de incidentes de seguridad detectados en 2015 38% 109% 7% Aumento del impacto a causa de incidentes de seguridad en 2015 50% 18% 21% Aumento del presupuesto en seguridad de la información en 2015 24% 58% 137% Aumento de pérdidas financieras a causa de incidentes de seguridad -5% 44% 56% Global 16 América del Sur Argentina 39% Argentina 2015 Ex empleados Argentina 2014 Proveedores de servico actuales América del Sur 2015 Ex proveedores de servicio América del Sur 2014 16% 13% 10% 11% Empleados actuales 17% 17% 15% 19% 18% 19% 22% 24% 22% 18% 24% 23% 22% 23% 29% 25% 30% 33% 35% 35% 34% 29% 35% 37% 46% Fuentes de los incidentes de seguridad Global 2015 Socios del negocio Global 2014 Apéndice A 17 Muchas organizaciones están incorporando iniciativas estratégicas para mejorar la seguridad y reducir riesgos. Adopción de iniciativas estratégicas en seguridad 59% 69 % 91% Análisis de Big Data 59 Ciberseguridad basada en la nube 65% Framework de seguridad basada en el riesgo % Colabora formalmente con otros Seguro de ciberseguridad Implementación de garantías de seguridad 48% 34% 43% 53% 49% 46% 56% 52% 52% 53% 44% 53% 42% 48% 49% 54% Argentina 58% América del Sur 56% Global Estrategia de seguridad de la información 18 Capacitación en seguridad Normas de seguridad para terceros Ciso a cargo del programa de seguridad Estrategia de seguridad de información Capacitación en seguridad Acerca de nuestros servicios en Seguridad de la Información Forrester Research reconoció en 2009 a PwC como líder mundial en áreas de Seguridad de la Información y Consultoría de Riesgos de Tecnología: “PwC ofrece una práctica de seguridad madura, que se encuentra integrada con la privacidad y la gestión de los riesgos en una sola estructura. La compañía tiene una fuerte presencia global de empleados y clientes, focalizándose generalmente en emprendimientos de gran escala. En nuestra evaluación, PwC también ha obtenido los mejores puntajes en materia de administración de clientes y cuentas”. The Forrester Wave™: Security Consulting. En PwC Argentina, contamos con una práctica que tiene más de 15 años en el mercado. La misma está compuesta por profesionales con vasta experiencia y diversidad de conocimientos en materia de seguridad de la información, especializados por industria, plataforma y aplicación. Contamos además con un laboratorio de seguridad especialmente diseñado para llevar a cabo estudios de seguridad y análisis. Asimismo, asistimos a nuestros clientes en: • Cyber-security: Modelado de ciber-amenazas, Ejecución de Cyber-ejercicios, Cyber-intelligence • Pruebas de intrusión (Ethical Hacking) • Implantación de soluciones de gestión de identidades y accesos • Investigaciones forenses en el campo de la seguridad informática • Cumplimiento normativas: PCI DSS, SOX, Ley de protección de datos personales y BCRA 4609/A • Implantación de esquemas de seguridad para diversas tecnologías y plataformas • Simulación de ambientes informáticos • Pruebas de software y herramientas de seguridad • Medición de Audiencia Online • Desarrollo de infraestructuras PKI • Implantación de VPNs • Definición de planes de respuesta ante incidentes • Desarrollo e implantación de planes de continuidad del negocio • Elaboración de estrategia y plan de seguridad • Alineación con estándares ISO 27001, BS25999, ISO22301, COBIT e ITIL • Revisiones de seguridad de sitios web, aplicaciones, tecnologías de base, seguridad física y patrimonial • Estudios de vulnerabilidades de plataformas • Testeo de seguridad de soluciones específicas Apéndice A 19 Contactos Enzo Taibi | Socio (54 11) 4850 - 6819 [email protected] Diego Taich | Director (54 11) 4850-6811 [email protected] Oficinas Buenos Aires Bouchard 557, Piso 7° (C1106ABG) Buenos Aires Tel.: (54 11) 4850-0000 Fax: (54 11) 4850-1800 Córdoba Av. Colón 610, Piso 8° (X5000EPT) Córdoba Tel.: (54-351) 420-2300 Fax: (54-351) 420-2332 Mendoza 9 de Julio 921, Piso 1° (M5500DOX) Mendoza Tel.: (54-261) 429-5300 Fax: (54-261) 429-5300 (int. 1116) Rosario Madres de Plaza 25 de Mayo 3020, Piso 3° (S2013SWJ ) Rosario Tel.: (54-341) 446-8000 Fax: (54-341) 446-8016 © 2016 En Argentina, las firmas miembro de la red global de PricewaterhouseCoopers International Limited son las sociedades Price Waterhouse & Co. S.R.L, Price Waterhouse & Co. Asesores de Empresas S.R.L. y PwC Legal S.R.L, que en forma separada o conjunta son identificadas como PwC Argentina.