Aud Uni 08
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Aud Uni 08 as PDF for free.
More details
- Words: 3,811
- Pages: 54
SESION 9: Auditoria al Sistema de Gestión de la Seguridad de Información
AGENDA – Qué es seguridad de la información – El Porqué de la seguridad de la información – Iniciativas en al implementación de Polìticas de seguridad – Encuesta Global de Seguridad de la Información
Qué es Seguridad? ■
■ ■
“Calidad o estado de estar seguro – de estar libre de peligro” Estar protegido de adversarios Una organización exitosa debe tener múltiples capas de seguridad desplegadas: – – – – –
Seguridad Física Seguridad del Personal Seguridad de la Operaciones Seguridad de las Comunicaciones Seguridad de la Red
Qué es Seguridad de la Información? ■
■
■ ■
La protección de la información y de sus elementos críticos, incluyendo los sistemas y hardware que usa, almacena y transmite esa información Herramientas, tales como políticas, concientización, entrenamiento, educación, y tecnología son necesarias El triángulo CID fue el estandar basado en confidencialidad, integridad, y disponibilidad El triángulo CID se ha expandido hacia una lista de características críticas de la información
¿De quiénes debemos protegernos? Potenciales “enemigos” :” ■ ■ ■ ■ ■ ■
■
Crackers. Vándalos. Usuarios del sistema. Competencia. Ex-empleados. En general, de cualquier insider.
Millones de adolescentes
¿De qué nos protegemos? Objetivos de los intrusos sobre un Sistema Informático: ...? ■ ■ ■ ■ ■ ■
Robo de información confidencial. Fraude financiero. (Cronwel ?) Acceso no autorizado. Negación del servicio.
2002
2003 US $
20% 12% 38% 40%
21% 15% 45% 42%
70´ 10´ 0´5 66´
Sabotaje Corporativo. 8% 21% 5´ Infección del Sistema Informático. 85% 82% 27´ Fuente: CSI/FBI – Encuesta 2003
.
¿Qué hace a un sistema inseguro?
"El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él". Gene Spafford
¿Qué hace a un sistema inseguro? ■
Huecos de Seguridad Físicos. ■
■
Huecos de Seguridad en el Software.
Falta de Experiencia. ■
Ausencia de un Esquema de Seguridad.
¿Cómo se rompe la seguridad de un sistema?
■
Intrusión Física ■
Intrusión por Sistema ■
Intrusión Remota
Qué es Seguridad de la Información Prevenir Divulgación no autorizada de Activos de Información
Información E
C D
T
de servicios (quién, cuándo) o a datos (quien y que hace)
Información (dimensiones)
I
6 += 5
Autenticidad de quien hace uso de datos o servicios Trazabilidad del uso
E-commerce Prevenir Cambios no autorizados en Activos de Información
• Secreto impuesto de acuerdo con políticas de seguridad • SINO: Fugas y filtraciones de información; accesos no autorizados; pérdida de confianza de los demás (incumplimiento de leyes y compromisos)
No repudio Confiabilida d
D 7x24x365
Prevenir Destrucción no autorizada de Activos de Información
• Validez y Precisión de información y sistemas. •SINO: Información manipulada, incompleta, corrupta • Acceso en tiempo correcto y confiable a datos y recursos. y por lo tanto mal desempeño de funciones • SINO: Interrupción de Servicios o Baja Productividad
Qué es Seguridad de la Información ■
ISO13335-1: 2.14 seguridad de información :todos los aspectos relacionados para definir, alcanzar y mantener la confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad de la información o de las instalaciones para su procesamiento
■
ISO17799 2000:2.1 Seguridad de Información – preservación de la Confidencialidad, Integridad y Disponibilidad de la información.
■
ISO17799 2005:2.5 Seguridad de información – preservación of Confidencialidad,Integridad y Disponibilidad de la información; adicionalmente, otras dimensiones, tales como Autenticidad, Trazabilidad, No-repudio, y Confiabilidad pueden también ser adicionadas
El Porqué de la Seguridad de la Información
Amenazas se incrementa Virus,n crackers
Expectativas se incrementan
Exposiciones se incrementan
de Mayor conectividad, Fraudes, espionaje de Clientes, socios, Mas dependencia de TI Auditores, reguladores
El Porqué de la Seguridad de la Información
En Latinoamérica : Total 445 (MS-DS) 7% 135 (TCP-epmap) 35% 6881 (bitorrent – P2P ) 1% 139 (netbios - ssn) 1%
4 % del
11/2003 11/2004 2/2006 Norte Am = 48% 39% Asia = 29% 28% Europa = 22% 27% Sud Am <1% 3% Africa <1% 1% Aust= 1% 2%
36% 25% 32% 4% 1% 2%
¿Cuál es la importancia de la seguridad informática? Muy Importante
Importante
Poco importante
Sin
importan cia
Encuesta 2003
56 %
34 %
6%
5%
Encuesta 2004
67 %
26 %
4%
3%
Servicios Financieros 2004
78 %
20 %
2%
1%
Manufactura 2004
52 %
38 %
8%
2%
la
85 %
12 %
2%
1%
Encuestados que no confían en la seguridad informática.
41 %
44 %
11 %
4%
Encuestados que confían seguridad informática.
en
Fuente: Encuesta Ernst & Young. Nov. 2004
¿Cada cuánto se reporta el estado de la seguridad informática o los incidentes de seguridad?
Encuesta 2003
Encuesta 2004
Servicios Financieros 2004
Manufactura 2004
Mensual
Cuatrimestral
Semestral
Anual
A pedido
Nunca
15 %
21 %
12 %
19 %
19 %
14 %
15 %
16 %
8%
10 %
39%
11 %
21 %
24 %
6%
8%
36 %
6%
5%
10 %
9%
14 %
46 %
16 %
CLASE 30/10/06
Qué consideran las organizaciones como sus peligros más apremiantes
Fuente: Encuesta Ernst & Young. Nov. 2004
¿Qué hacen las organizaciones para contrarrestarlas?
Porcentaje
Sí
No
¿Tienen un plan de respuesta ante incidentes?
77%
23%
¿Realizan análisis de riesgos, evaluaciones de vulnerabilidad y penetración en forma regular?
63%
37%
Están de acuerdo con que su nivel de protección es adecuado para defenderse de los ataques externos
Muy de acuerdo
De acuerdo
Neutral
En desacuerdo
13%
23%
51%
13%
Fuente: Encuesta Ernst & Young. Nov. 2004
Asociado a las amenazas de seguridad, los siguientes incidentes ocasionaron una interrupción inesperada o no programada de sus sistemas: Incidente
Ocurrencia
Interno
Externo
Falla de hardware
72%
Virus, Trojan Horse o Worms
68%
Falla de telecomunicaciones
64%
Falla de software
57%
Falla de terceros, ej. proveedor del servicio
47%
Cuestiones de capacidad del sistema
46%
Errores operativos, ej. carga de software erróneo
42%
Falla de infraestructura, ej. incendio, corte de luz
42%
Mala conducta de empleados actuales o anteriores
24%
Ataques de Denegación de Servicio
23%
Fuente: Encuesta Ernst & Young. Nov. 2004
Las 5 principales iniciativas en implementación de políticas de seguridad informática Global
Ingresos > 1 mil millones
Servicios Financieros
Salud
Manufactura
1
Hacer cumplir la política de seguridad informática
Hacer cumplir política seguridad informática
Cumplir con las exigencias regulatorias relacionadas con la seguridad de la información
Intensificar el programa de recuperación ante desastres informáticos
Mejorar la seguridad en redes
2
Intensificar el programa de recuperación ante desastres informáticos
Alinear la estrategia de seguridad con las metas y los objetivos del negocio
Intensificar el programa de recuperación ante desastres informáticos
Hacer cumplir política seguridad informática
Hacer cumplir política seguridad informática
3
Mejorar la seguridad en redes
Cumplir con las exigencias regulatorias relacionadas con la seguridad de la información
Hacer cumplir la política de seguridad informática
Alinear la estrategia de seguridad con las metas y los objetivos del negocio
Intensificar el programa de recuperación ante desastres informáticos
4
Alinear la estrategia de seguridad con las metas y los objetivos del negocio
Homogeneizar la tecnología / políticas / procedimientos de seguridad de la información
Intensificar el programa de continuidad del negocio
Homogeneizar la tecnología / políticas / procedimientos de seguridad de la información
Homogeneizar la tecnología / políticas / procedimientos de seguridad de la información
5
Intensificar el programa de continuidad del negocio
Intensificar el programa de recuperación ante desastres informáticos
Alinear la estrategia de seguridad con las metas y los objetivos del negocio
Incrementar la capacitación / concientización de los empleados en seguridad informática
Alinear la estrategia de seguridad con las metas y los objetivos del negocio
la de
la de
la de
Fuente: Encuesta Ernst & Youn Nov. 2004
¿Qué se debe Garantizar? Asegura que los datos y sus métodos de procesamiento son exactos y completos
Integridad
Acceso a los datos sólo por personal autorizado
Información
Confidencialidad
Acceso a los datos en el momento en que sean necesarios
Disponibilidad
Objetivos de la Seguridad de la Información •
Minimizar la probabilidad de ocurrencia de pérdidas económicas debido a deficiencias, fallas o eventos externos adversos sobre la información y la tecnología que soportan los procesos críticos de la Compañía.
Acerca de la Encuesta Global de Seguridad de la Información de Ernst & Young
Encuesta Global de Seguridad de Información de Ernst & Young
■
■
■
■
■
En 1993 efectuó primera encuesta de seguridad, en coordinación con Information Week. En 1997, Ernst & Young decide continuar con este proyecto bajo su total responsabilidad. Esta encuesta es utilizada como un benchmark de la industria a nivel local y mundial. Esta encuesta permite mejorar los programas de seguridad de las organizaciones. Cualquier empresa a nivel global puede participar de esta encuesta.
Gestión Efectiva de la Seguridad IT: Principales Obstáculos
Resultados encuesta 1994 1. Carencia de recurso humano 2. Limitaciones o restricciones de presupuesto 3.Concientización de la Gerencia
4. Herramientas y situación
Resultados encuesta 2003 1. Limitaciones o restricciones de presupuesto 2. Prioridad de recursos 3. Personal entrenado
4. Compromiso de la alta gerencia 5. Concientización de la Gerencia
Resultados encuesta 2004 1. Concientización en seguridad de los usuarios 2. Limitaciones o restricciones de presupuesto 3. Personal entrenado 4. Dificultad en asignar valor a la seguridad de información 5. Velocidad del cambio en IT
Fuente: Ernst & Young “Global Information Security Survey”
Resultados encuesta 2005 1. Concientización de la Gerencia y usuarios 2. Limitaciones o restricciones de presupuesto 3. Dificultad en asignar valor a la seguridad de información 4. Nuevas tecnologías
Resultados de la Encuesta Global de Seguridad de la Información 2005
La brecha continúa creciendo entre la aparición de nuevos riesgos como consecuencia de constantes cambios en los negocios y la manera cómo la Seguridad de
Antecedentes Demografía de la Encuesta
■
■ ■ ■
■
Participaron cerca de 1,300 organizaciones a nivel mundial. 279 fueron organizaciones latinoamericanas. 59 fueron organizaciones peruanas. 26 industrias representadas (p. ej. Sector Financiero, Manufactura, Sector Público, Telecomunicaciones). El 74% de los encuestados fueron CIOs, CISOs u otros ejecutivos de tecnología de información.
Antecedentes (cont.) Hallazgos de la Encuesta
■
Focalizada en cuatro áreas que indican una gran brecha en los riesgos relacionados con Seguridad de Información: – Regulación vs. Cumplimiento. – Crecimiento de la interdependencia con otras empresas. – Requerimientos del negocio ante la aparición de nuevas tecnologías. – Organización de la Seguridad de Información.
■
Los hallazgos resultan constantes para las 26 industrias que participaron en la encuesta.
Regulación vs. Cumplimiento
Percepción de la Importancia de la Seguridad de la Información 2%
Ningún beneficio
2%
13%
Otros
7%
Implementar mejores prácticas en Seguridad de la Información
77% 81%
Demostrar a los clientes que cumplo con buenas prácticas relacionadas a la Seguridad de la Información
68% 67%
43%
Ser comparable con otras compañías
41%
Global Perú
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
¿Cuáles son los beneficios para su organización al adquirir estándares de seguridad informática?
Impacto en la Seguridad de Información Resultados Globales vs. Locales
53%
Virus y Gusanos
34%
Nuevas Tecnologías Cumplimiento de Regulaciones
38%
Cumplimiento de los objetivos de negocios
38%
Prioridades de Seguridad Corporativa 21%
10%
Publicidad Negativa 6%
Otros Perú
0%
61% 49% 52%
33%
13% 16%
Requerimientos de Certificación en Seguridad de Información
Global
52%
34%
Phishing y Spyw are
57%
16%
10%
10%
20%
30%
40%
50%
60%
Aspectos que afectaron significativamente la Seguridad de Información en las organizaciones en los 12 últimos meses
70%
Las Oportunidades que Resultan del Cumplimiento Permanecen Desatendidas ■ Sólo el 41% está
utilizando el cumplimiento como una oportunidad para hacer cambios en sus arquitecturas de seguridad. ■ Sólo algunos están utilizando el cumplimiento para hacer cambios reales en otras áreas de Seguridad de Información.
Crear o actualizar políticas y procedimientos Capacitar y concientizar Cambiar la arquitectura Reorganizar las funciones de Seguridad de MedidasInformación de Seguridad
de Información que están siendo implementadas por las organizaciones como resultado de tener que cumplir con las regulaciones de control interno tales como Sarbanes-Oxley, la 8va. Directiva de la Unión Europea u otras equivalentes.
Crecimiento de la Interdependencia con Otras Empresas
Procesos Inmaduros e Inadecuados en la Administración del Riesgo con Proveedores
No la toman en cuenta
■ Una quinta parte
no toma en cuenta la administración del riesgo con proveedores. ■ Una tercera parte sólo tiene implementados procedimientos informales para hacerlo.
Procedimientos informales Procedimientos formales Procedimientos formales validados por un tercero
¿Cómo las organizaciones están tomando en cuenta la administración del riesgo con sus proveedores?
Procesos Inmaduros e Inadecuados en la Administración del Riesgo con Proveedores ■ Tres cuartas partes
indican que sus proveedores cuentan con la habilidad de soportar las políticas, procedimientos, estándares de sus organizaciones. ■ Sólo una sexta parte requiere revisiones de terceras partes independientes de proveedores y socios. ■ Sólo una cuarta parte requiere que proveedores y socios sean certificados.
Los proveedores tienen la capacidad de soportar sus propias políticas y estándares Los proveedores cuentan con sus propias políticas y procedimiento Los proveedores son certificados Terceras partes han revisado las prácticas de Seguridad de Información de los proveedores y las han comparado con las mejores prácticas
Requerimientos de las organizaciones para la administración del riesgo con proveedores y socios de negocio.
El Valor de los Estándares Reconocidos ■ El 25% indica que están
usando ISO 17799 y el 30% está planeando implementarlo ■ Cerca de la cuarta parte indica que están aplicando ITIL y el 22% está planeando implementarlo. ■ Más del 60% reconoce que la aplicación de estos estándares muestra a sus clientes un alto compromiso con las buenas prácticas de Seguridad de Información.
ISO 17799/BS 7799 IS Forum
CobIT
ITIL
Otros
Sí
No, lo planea
No
¿Cuándo las organizaciones planean adoptar formalmente o certificarse en uno de los siguientes estándares?
El Valor de los Estándares Reconocidos Resultados Locales ■ Tanto organizaciones
grandes como pequeñas aún tienen un largo camino en la adopción y certificación de estándares de Seguridad de Información.
Perú ISO 17799/ BS 7799
4%
44%
Information Security Forum
4%
CobIT
2%
ITIL
4%
96%
19%
12.1%
Other 0%
53%
80%
22%
74%
5%
20%
77%
40% Yes Sí- - BU
60% Yes - Enterprise Sí-Toda la
Unid.Neg. Compañía
80% No No- Plan lo to
planea
100% No
Tercerización Resultados Globales vs. Locales ¿Tienen planeado tercerizar la Seguridad de Información en alguna de las siguientes áreas? Soporte de Auditoria y Cum plim iento - Global
20%
64%
Soporte de Auditoria y Cum plim iento - Perú
22%
60%
Adm inistración de Proyectos - Global
10%
Adm inistración de Proyectos - Perú
10%
16% 18%
83%
7%
88%
2%
Entrenam iento y Concientización - Global
24%
66%
10%
Entrenam iento y Concientización - Perú
24%
66%
10%
Respuesta ante incidentes - Global
9%
Respuesta ante incidentes - Perú
72%
16%
Operaciones de Rutina - Global
12%
Operaciones de Rutina - Perú
12%
Ingenieria de Seguridad - Global
13%
Ingenieria de Seguridad - Perú Estrategia - Global Si No Actualm ente Tercerizado
Estrategia - Perú
70%
14%
67%
21%
76%
12%
72%
17%
15%
75%
8%
8%
86%
6% 0%
19%
6%
92% 10%
20%
30%
40%
50%
2% 60%
70%
80%
90%
100%
Requerimientos del Negocio Ante la Aparición de Nuevas Tecnologías
y
#
Preocupaciones en Seguridad de Información ■ La mitad de los
encuestados reconocen a la tecnología móvil como una preocupación de Seguridad de Información ■ Las preocupaciones bajan para otras tecnologías en desarrollo, a pesar de las serias amenazas que éstas conllevan.
Computación móvil Dispositivos removibles Redes inalámbricas Telefonía de Voz sobre IP Software libre Virtualización de servidores
Las principales nuevas tecnologías que las organizaciones han identificado como preocupaciones en Seguridad de Información
Preocupaciones en Seguridad de Información Resultados globales vs. locales GLOBAL - Redes Inalámbricas
54%
PERU - Redes Inalámbricas
Actualmente En 6 meses En 12 meses Desconoce
24%
43% 60%
GLOBAL - Aplicaciones Web
13% 21%
53%
19%
34%
PERU - Telefonía de voz sobre IP
36%
GLOBAL - Dispositivos removibles(e.g., USB flash drive, portable drives)
28%
20% 22%
11%
51%
18%
PERU - Nuevos Productos Windows
22%
26%
40%
GLOBAL - Computación móvil (e.g., PDA, smart phones, Black Berry)
28%
PERU - Computación móvil (e.g., PDA, smart phones, Black Berry)
26%
38%
0%
10%
20%
40%
50%
0% 9% 11%
60%
7% 12%
16%
42%
30%
9%
20%
50%
6% 11%
18%
55%
0%
12%
33%
73%
GLOBAL - Nuevos Productos Windows
10%
27%
44%
PERU -Software libre
8% 15%
61%
GLOBAL - Software libre
7% 10%
32%
GLOBAL - Redes punto a punto
6%
28%
53%
PERU - Redes punto a punto
10%
26%
43%
PERU - Dispositivos removibles (e.g., USB flash drive, portable drives)
11%
26%
31%
0% 5%
5% 22%
48%
GLOBAL -Telefonía de voz sobre IP
14%
32% 62%
PERU - Aplicaciones Web
9%
43%
GLOBAL - Servicios Web PERU -Servicios Web
14%
70%
80%
8% 21%
0%
90%
100%
No Existen Planes para Manejar los Riesgos de Seguridad de las Nuevas Tecnologías ■ Entre un cuarto y un
tercio de los encuestados indican que no planean, por lo menos en los próximos doce meses, tomar acción en las preocupaciones de seguridad relacionadas con las nuevas tecnologías.
Computación móvil Dispositivos removibles Redes inalámbricas Telefonía de Voz sobre IP Software libre Virtualización de servidores Ahora
6-12 meses
Más de 12 meses
¿Cuándo las organizaciones planean manejar las preocupaciones relacionadas con las nuevas tecnologías?
Organización de la Seguridad de Información
La Seguridad de Información en la Organización ■
■
En los resultados globales, dos terceras partes de los encuestados indican que cuentan con un puesto de Oficial de Seguridad de Información. Resultados en el Perú: ¿Su organización cuenta con un puesto de Oficial Seguridad de Información?
Sí
53%
No
0%
47%
10%
20%
30%
40%
50%
60%
Responsabilidad de la Función de Seguridad Informática 12%
Gerente General
14%
5% 6%
Gerente Operativo Gerente Financiero
22%
9%
31%
Gerente de Sistemas Oficial de Seguridad Oficial de Privacidad y Riesgo
7% 0%
Asesor Legal
10%
3% 5%
1% 3%
Comité de Seguridad Informática
5% 12% 13%
Otro Global
42%
Peru 0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
¿A quién le reporta la función de Seguridad Informática en su organización?
Frecuencia de Reuniones para Discutir Temas de Seguridad de Información ■ El 40% se reúne
con la Junta de Directores y Comités de Auditoría menos de una vez al año o nunca. ■ El 44% indica la misma frecuencia al reunirse con su Departamento Legal.
Mensualmente o frecuentemente Trimestralmente Dos veces al año Anualmente Menos frecuente Nunca
Junta de Directores/Comité de Auditoría
L ega l
Frecuencia de reuniones entre líderes de Seguridad de Información y su Junta de Directores/Comité de Auditoría y Departamento Legal para discutir objetivos del negocio y necesidades de Seguridad de Información.
Aprobación del Presupuesto de Seguridad Informática
31% 30%
Gerente General 3%
Gerente Operativo
7%
Gerente Financiero 8%
Gerente de Sistemas
0% 1%
Asesor Legal
3%
Comité de Seguridad Informática
2% 3%
5%
Otro Global
28%
2% 2%
Oficial de Seguridad Oficial de Privacidad y Riesgo
36%
16%
10%
13%
Peru 0%
5%
10%
15%
20%
25%
30%
35%
40%
¿Quién aprueba el Presupuesto de Seguridad Informática de su organización?
Procedimientos Formales Implementados Parcialmente Resultados Locales Promoviendo la Seguridad de 8% Información dentro del proceso de desarrollo de aplicaciones 2% Respuesta de incidentes Plan de continuidad de negocios 5% Administración del riesgo con proveedores Convergencia de la seguridad física y 4% Tecnología de información Capacitación y Concientización 9%
66%
24%
2%
71%
24%
3%
73%
15%
34%
7%
40%
24%
73%
18%
39% Procedimient os informales No afrontados
2%
5%
47% Existen procedimient os formales
5% Existen procedimientos formales validados por un tercero
Distribución del Tiempo y Presupuesto Asignados a Actividades de Seguridad ■ Más de la mitad
del tiempo y el presupuesto de Seguridad de Información se asignan a operaciones rutinarias y a responder ante incidentes. ■ Sólo el 22% del tiempo del presupuesto se asignan a estrategias.
22%
Estrategia (incluye desarrollo de políticas y procedimientos)
25%
Operaciones de rutina (administración de cuentas, de vulnerabilidades, de parches, entre otros)
38% 38%
15%
Respuesta ante incidentes cuando existe un ataque (incluye w orms y virus)
18%
18%
Actividades de cumplimiento o relacionadas a auditoría
14%
6%
Otros
4%
Global Perú
0%
5%
10%
15%
20%
25%
30%
35%
Asignación del tiempo y presupuesto para actividades de Seguridad de Información.
40%
Responsables de Ejecución de los Planes de Acción Resultados Locales Estrategia Tecnología de Información
Desarrollo de políticas y procedimientos
Arquitectura e Infraestructura
Líderes de Unidades del Negocio Gerentes Corporativos Organización de la Seguridad Auditoría Interna Área Legal Oficina de Regulaciones Otro
Cuando ocurre un cambio significativo en el entorno de la organización, quién está involucrado en la revisión de las actividades y desarrollo de los planes de acción de la Seguridad Informática?
Capacitación y Programas de Concientización - Resultados Globales ■ Dos terceras partes de
los encuestados brindan capacitación a la Gerencia sobre temas de Seguridad de Información y su respectivo impacto. ■ Sólo una tercera parte de los encuestados brinda capacitación para responder ante incidentes de seguridad. ■ Menos de la mitad de los encuestados brinda este entrenamiento a grupos generales de usuarios.
Impacto de eventos de seguridad en la organización Políticas y procedimientos Respuesta ante incidentes de seguridad
Gerencias
Grupos generales de usuarios
Capacitación y programas de concientización sobre Seguridad de Información, ofrecidos a las gerencias de la organización y grupos generales de usuarios.
Capacitación y Programas de Concientización - Resultados Locales ■ Dos terceras partes
de los encuestados brindan capacitación a la Gerencia sobre temas de Seguridad de Información y su respectivo impacto. ■ Sólo una tercera parte de los encuestados brinda capacitación para responder ante incidentes de seguridad. ■ Casi la totalidad de los encuestados brinda capacitación sobre las Políticas y Procedimientos a los Usuarios Generales.
Impacto de eventos de seguridad en la organización
60% 37%
67%
Políticas y procedimientos 86%
33%
Respuesta ante incidentes de seguridad
37%
Gerencias Grupos generales de usuarios
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Capacitación y programas de concientización sobre Seguridad de Información, ofrecidos a las gerencias de la organización y grupos generales de usuarios.
Cerrar la Brecha Medidas Resultantes de la Encuesta
Medidas Resultantes de la Encuesta ■
■
■
■
Regulación vs. Cumplimiento – Considerar que los requerimientos legales, contractuales y regulatorios son una oportunidad para promover la Seguridad de Información como parte integral del negocio. Crecimiento de la interdependencia con otras empresas. – Incrementar el valor de trabajar con terceros y adoptar estándares de seguridad a fin de aplicar mejores prácticas globales. Requerimientos del negocio ante la aparición de nuevas tecnologías – Tomar medidas que permitan que el negocio sea conducido de forma más segura ante la aparición de nuevas tecnologías. Desarrollar la Organización de la Seguridad de Información – Poner en marcha mejores prácticas para alinear estrechamente la Seguridad de Información con la organización.
AGENDA – Qué es seguridad de la información – El Porqué de la seguridad de la información – Iniciativas en al implementación de Polìticas de seguridad – Encuesta Global de Seguridad de la Información
Qué es Seguridad? ■
■ ■
“Calidad o estado de estar seguro – de estar libre de peligro” Estar protegido de adversarios Una organización exitosa debe tener múltiples capas de seguridad desplegadas: – – – – –
Seguridad Física Seguridad del Personal Seguridad de la Operaciones Seguridad de las Comunicaciones Seguridad de la Red
Qué es Seguridad de la Información? ■
■
■ ■
La protección de la información y de sus elementos críticos, incluyendo los sistemas y hardware que usa, almacena y transmite esa información Herramientas, tales como políticas, concientización, entrenamiento, educación, y tecnología son necesarias El triángulo CID fue el estandar basado en confidencialidad, integridad, y disponibilidad El triángulo CID se ha expandido hacia una lista de características críticas de la información
¿De quiénes debemos protegernos? Potenciales “enemigos” :” ■ ■ ■ ■ ■ ■
■
Crackers. Vándalos. Usuarios del sistema. Competencia. Ex-empleados. En general, de cualquier insider.
Millones de adolescentes
¿De qué nos protegemos? Objetivos de los intrusos sobre un Sistema Informático: ...? ■ ■ ■ ■ ■ ■
Robo de información confidencial. Fraude financiero. (Cronwel ?) Acceso no autorizado. Negación del servicio.
2002
2003 US $
20% 12% 38% 40%
21% 15% 45% 42%
70´ 10´ 0´5 66´
Sabotaje Corporativo. 8% 21% 5´ Infección del Sistema Informático. 85% 82% 27´ Fuente: CSI/FBI – Encuesta 2003
.
¿Qué hace a un sistema inseguro?
"El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él". Gene Spafford
¿Qué hace a un sistema inseguro? ■
Huecos de Seguridad Físicos. ■
■
Huecos de Seguridad en el Software.
Falta de Experiencia. ■
Ausencia de un Esquema de Seguridad.
¿Cómo se rompe la seguridad de un sistema?
■
Intrusión Física ■
Intrusión por Sistema ■
Intrusión Remota
Qué es Seguridad de la Información Prevenir Divulgación no autorizada de Activos de Información
Información E
C D
T
de servicios (quién, cuándo) o a datos (quien y que hace)
Información (dimensiones)
I
6 += 5
Autenticidad de quien hace uso de datos o servicios Trazabilidad del uso
E-commerce Prevenir Cambios no autorizados en Activos de Información
• Secreto impuesto de acuerdo con políticas de seguridad • SINO: Fugas y filtraciones de información; accesos no autorizados; pérdida de confianza de los demás (incumplimiento de leyes y compromisos)
No repudio Confiabilida d
D 7x24x365
Prevenir Destrucción no autorizada de Activos de Información
• Validez y Precisión de información y sistemas. •SINO: Información manipulada, incompleta, corrupta • Acceso en tiempo correcto y confiable a datos y recursos. y por lo tanto mal desempeño de funciones • SINO: Interrupción de Servicios o Baja Productividad
Qué es Seguridad de la Información ■
ISO13335-1: 2.14 seguridad de información :todos los aspectos relacionados para definir, alcanzar y mantener la confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad de la información o de las instalaciones para su procesamiento
■
ISO17799 2000:2.1 Seguridad de Información – preservación de la Confidencialidad, Integridad y Disponibilidad de la información.
■
ISO17799 2005:2.5 Seguridad de información – preservación of Confidencialidad,Integridad y Disponibilidad de la información; adicionalmente, otras dimensiones, tales como Autenticidad, Trazabilidad, No-repudio, y Confiabilidad pueden también ser adicionadas
El Porqué de la Seguridad de la Información
Amenazas se incrementa Virus,n crackers
Expectativas se incrementan
Exposiciones se incrementan
de Mayor conectividad, Fraudes, espionaje de Clientes, socios, Mas dependencia de TI Auditores, reguladores
El Porqué de la Seguridad de la Información
En Latinoamérica : Total 445 (MS-DS) 7% 135 (TCP-epmap) 35% 6881 (bitorrent – P2P ) 1% 139 (netbios - ssn) 1%
4 % del
11/2003 11/2004 2/2006 Norte Am = 48% 39% Asia = 29% 28% Europa = 22% 27% Sud Am <1% 3% Africa <1% 1% Aust= 1% 2%
36% 25% 32% 4% 1% 2%
¿Cuál es la importancia de la seguridad informática? Muy Importante
Importante
Poco importante
Sin
importan cia
Encuesta 2003
56 %
34 %
6%
5%
Encuesta 2004
67 %
26 %
4%
3%
Servicios Financieros 2004
78 %
20 %
2%
1%
Manufactura 2004
52 %
38 %
8%
2%
la
85 %
12 %
2%
1%
Encuestados que no confían en la seguridad informática.
41 %
44 %
11 %
4%
Encuestados que confían seguridad informática.
en
Fuente: Encuesta Ernst & Young. Nov. 2004
¿Cada cuánto se reporta el estado de la seguridad informática o los incidentes de seguridad?
Encuesta 2003
Encuesta 2004
Servicios Financieros 2004
Manufactura 2004
Mensual
Cuatrimestral
Semestral
Anual
A pedido
Nunca
15 %
21 %
12 %
19 %
19 %
14 %
15 %
16 %
8%
10 %
39%
11 %
21 %
24 %
6%
8%
36 %
6%
5%
10 %
9%
14 %
46 %
16 %
CLASE 30/10/06
Qué consideran las organizaciones como sus peligros más apremiantes
Fuente: Encuesta Ernst & Young. Nov. 2004
¿Qué hacen las organizaciones para contrarrestarlas?
Porcentaje
Sí
No
¿Tienen un plan de respuesta ante incidentes?
77%
23%
¿Realizan análisis de riesgos, evaluaciones de vulnerabilidad y penetración en forma regular?
63%
37%
Están de acuerdo con que su nivel de protección es adecuado para defenderse de los ataques externos
Muy de acuerdo
De acuerdo
Neutral
En desacuerdo
13%
23%
51%
13%
Fuente: Encuesta Ernst & Young. Nov. 2004
Asociado a las amenazas de seguridad, los siguientes incidentes ocasionaron una interrupción inesperada o no programada de sus sistemas: Incidente
Ocurrencia
Interno
Externo
Falla de hardware
72%
Virus, Trojan Horse o Worms
68%
Falla de telecomunicaciones
64%
Falla de software
57%
Falla de terceros, ej. proveedor del servicio
47%
Cuestiones de capacidad del sistema
46%
Errores operativos, ej. carga de software erróneo
42%
Falla de infraestructura, ej. incendio, corte de luz
42%
Mala conducta de empleados actuales o anteriores
24%
Ataques de Denegación de Servicio
23%
Fuente: Encuesta Ernst & Young. Nov. 2004
Las 5 principales iniciativas en implementación de políticas de seguridad informática Global
Ingresos > 1 mil millones
Servicios Financieros
Salud
Manufactura
1
Hacer cumplir la política de seguridad informática
Hacer cumplir política seguridad informática
Cumplir con las exigencias regulatorias relacionadas con la seguridad de la información
Intensificar el programa de recuperación ante desastres informáticos
Mejorar la seguridad en redes
2
Intensificar el programa de recuperación ante desastres informáticos
Alinear la estrategia de seguridad con las metas y los objetivos del negocio
Intensificar el programa de recuperación ante desastres informáticos
Hacer cumplir política seguridad informática
Hacer cumplir política seguridad informática
3
Mejorar la seguridad en redes
Cumplir con las exigencias regulatorias relacionadas con la seguridad de la información
Hacer cumplir la política de seguridad informática
Alinear la estrategia de seguridad con las metas y los objetivos del negocio
Intensificar el programa de recuperación ante desastres informáticos
4
Alinear la estrategia de seguridad con las metas y los objetivos del negocio
Homogeneizar la tecnología / políticas / procedimientos de seguridad de la información
Intensificar el programa de continuidad del negocio
Homogeneizar la tecnología / políticas / procedimientos de seguridad de la información
Homogeneizar la tecnología / políticas / procedimientos de seguridad de la información
5
Intensificar el programa de continuidad del negocio
Intensificar el programa de recuperación ante desastres informáticos
Alinear la estrategia de seguridad con las metas y los objetivos del negocio
Incrementar la capacitación / concientización de los empleados en seguridad informática
Alinear la estrategia de seguridad con las metas y los objetivos del negocio
la de
la de
la de
Fuente: Encuesta Ernst & Youn Nov. 2004
¿Qué se debe Garantizar? Asegura que los datos y sus métodos de procesamiento son exactos y completos
Integridad
Acceso a los datos sólo por personal autorizado
Información
Confidencialidad
Acceso a los datos en el momento en que sean necesarios
Disponibilidad
Objetivos de la Seguridad de la Información •
Minimizar la probabilidad de ocurrencia de pérdidas económicas debido a deficiencias, fallas o eventos externos adversos sobre la información y la tecnología que soportan los procesos críticos de la Compañía.
Acerca de la Encuesta Global de Seguridad de la Información de Ernst & Young
Encuesta Global de Seguridad de Información de Ernst & Young
■
■
■
■
■
En 1993 efectuó primera encuesta de seguridad, en coordinación con Information Week. En 1997, Ernst & Young decide continuar con este proyecto bajo su total responsabilidad. Esta encuesta es utilizada como un benchmark de la industria a nivel local y mundial. Esta encuesta permite mejorar los programas de seguridad de las organizaciones. Cualquier empresa a nivel global puede participar de esta encuesta.
Gestión Efectiva de la Seguridad IT: Principales Obstáculos
Resultados encuesta 1994 1. Carencia de recurso humano 2. Limitaciones o restricciones de presupuesto 3.Concientización de la Gerencia
4. Herramientas y situación
Resultados encuesta 2003 1. Limitaciones o restricciones de presupuesto 2. Prioridad de recursos 3. Personal entrenado
4. Compromiso de la alta gerencia 5. Concientización de la Gerencia
Resultados encuesta 2004 1. Concientización en seguridad de los usuarios 2. Limitaciones o restricciones de presupuesto 3. Personal entrenado 4. Dificultad en asignar valor a la seguridad de información 5. Velocidad del cambio en IT
Fuente: Ernst & Young “Global Information Security Survey”
Resultados encuesta 2005 1. Concientización de la Gerencia y usuarios 2. Limitaciones o restricciones de presupuesto 3. Dificultad en asignar valor a la seguridad de información 4. Nuevas tecnologías
Resultados de la Encuesta Global de Seguridad de la Información 2005
La brecha continúa creciendo entre la aparición de nuevos riesgos como consecuencia de constantes cambios en los negocios y la manera cómo la Seguridad de
Antecedentes Demografía de la Encuesta
■
■ ■ ■
■
Participaron cerca de 1,300 organizaciones a nivel mundial. 279 fueron organizaciones latinoamericanas. 59 fueron organizaciones peruanas. 26 industrias representadas (p. ej. Sector Financiero, Manufactura, Sector Público, Telecomunicaciones). El 74% de los encuestados fueron CIOs, CISOs u otros ejecutivos de tecnología de información.
Antecedentes (cont.) Hallazgos de la Encuesta
■
Focalizada en cuatro áreas que indican una gran brecha en los riesgos relacionados con Seguridad de Información: – Regulación vs. Cumplimiento. – Crecimiento de la interdependencia con otras empresas. – Requerimientos del negocio ante la aparición de nuevas tecnologías. – Organización de la Seguridad de Información.
■
Los hallazgos resultan constantes para las 26 industrias que participaron en la encuesta.
Regulación vs. Cumplimiento
Percepción de la Importancia de la Seguridad de la Información 2%
Ningún beneficio
2%
13%
Otros
7%
Implementar mejores prácticas en Seguridad de la Información
77% 81%
Demostrar a los clientes que cumplo con buenas prácticas relacionadas a la Seguridad de la Información
68% 67%
43%
Ser comparable con otras compañías
41%
Global Perú
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
¿Cuáles son los beneficios para su organización al adquirir estándares de seguridad informática?
Impacto en la Seguridad de Información Resultados Globales vs. Locales
53%
Virus y Gusanos
34%
Nuevas Tecnologías Cumplimiento de Regulaciones
38%
Cumplimiento de los objetivos de negocios
38%
Prioridades de Seguridad Corporativa 21%
10%
Publicidad Negativa 6%
Otros Perú
0%
61% 49% 52%
33%
13% 16%
Requerimientos de Certificación en Seguridad de Información
Global
52%
34%
Phishing y Spyw are
57%
16%
10%
10%
20%
30%
40%
50%
60%
Aspectos que afectaron significativamente la Seguridad de Información en las organizaciones en los 12 últimos meses
70%
Las Oportunidades que Resultan del Cumplimiento Permanecen Desatendidas ■ Sólo el 41% está
utilizando el cumplimiento como una oportunidad para hacer cambios en sus arquitecturas de seguridad. ■ Sólo algunos están utilizando el cumplimiento para hacer cambios reales en otras áreas de Seguridad de Información.
Crear o actualizar políticas y procedimientos Capacitar y concientizar Cambiar la arquitectura Reorganizar las funciones de Seguridad de MedidasInformación de Seguridad
de Información que están siendo implementadas por las organizaciones como resultado de tener que cumplir con las regulaciones de control interno tales como Sarbanes-Oxley, la 8va. Directiva de la Unión Europea u otras equivalentes.
Crecimiento de la Interdependencia con Otras Empresas
Procesos Inmaduros e Inadecuados en la Administración del Riesgo con Proveedores
No la toman en cuenta
■ Una quinta parte
no toma en cuenta la administración del riesgo con proveedores. ■ Una tercera parte sólo tiene implementados procedimientos informales para hacerlo.
Procedimientos informales Procedimientos formales Procedimientos formales validados por un tercero
¿Cómo las organizaciones están tomando en cuenta la administración del riesgo con sus proveedores?
Procesos Inmaduros e Inadecuados en la Administración del Riesgo con Proveedores ■ Tres cuartas partes
indican que sus proveedores cuentan con la habilidad de soportar las políticas, procedimientos, estándares de sus organizaciones. ■ Sólo una sexta parte requiere revisiones de terceras partes independientes de proveedores y socios. ■ Sólo una cuarta parte requiere que proveedores y socios sean certificados.
Los proveedores tienen la capacidad de soportar sus propias políticas y estándares Los proveedores cuentan con sus propias políticas y procedimiento Los proveedores son certificados Terceras partes han revisado las prácticas de Seguridad de Información de los proveedores y las han comparado con las mejores prácticas
Requerimientos de las organizaciones para la administración del riesgo con proveedores y socios de negocio.
El Valor de los Estándares Reconocidos ■ El 25% indica que están
usando ISO 17799 y el 30% está planeando implementarlo ■ Cerca de la cuarta parte indica que están aplicando ITIL y el 22% está planeando implementarlo. ■ Más del 60% reconoce que la aplicación de estos estándares muestra a sus clientes un alto compromiso con las buenas prácticas de Seguridad de Información.
ISO 17799/BS 7799 IS Forum
CobIT
ITIL
Otros
Sí
No, lo planea
No
¿Cuándo las organizaciones planean adoptar formalmente o certificarse en uno de los siguientes estándares?
El Valor de los Estándares Reconocidos Resultados Locales ■ Tanto organizaciones
grandes como pequeñas aún tienen un largo camino en la adopción y certificación de estándares de Seguridad de Información.
Perú ISO 17799/ BS 7799
4%
44%
Information Security Forum
4%
CobIT
2%
ITIL
4%
96%
19%
12.1%
Other 0%
53%
80%
22%
74%
5%
20%
77%
40% Yes Sí- - BU
60% Yes - Enterprise Sí-Toda la
Unid.Neg. Compañía
80% No No- Plan lo to
planea
100% No
Tercerización Resultados Globales vs. Locales ¿Tienen planeado tercerizar la Seguridad de Información en alguna de las siguientes áreas? Soporte de Auditoria y Cum plim iento - Global
20%
64%
Soporte de Auditoria y Cum plim iento - Perú
22%
60%
Adm inistración de Proyectos - Global
10%
Adm inistración de Proyectos - Perú
10%
16% 18%
83%
7%
88%
2%
Entrenam iento y Concientización - Global
24%
66%
10%
Entrenam iento y Concientización - Perú
24%
66%
10%
Respuesta ante incidentes - Global
9%
Respuesta ante incidentes - Perú
72%
16%
Operaciones de Rutina - Global
12%
Operaciones de Rutina - Perú
12%
Ingenieria de Seguridad - Global
13%
Ingenieria de Seguridad - Perú Estrategia - Global Si No Actualm ente Tercerizado
Estrategia - Perú
70%
14%
67%
21%
76%
12%
72%
17%
15%
75%
8%
8%
86%
6% 0%
19%
6%
92% 10%
20%
30%
40%
50%
2% 60%
70%
80%
90%
100%
Requerimientos del Negocio Ante la Aparición de Nuevas Tecnologías
y
#
Preocupaciones en Seguridad de Información ■ La mitad de los
encuestados reconocen a la tecnología móvil como una preocupación de Seguridad de Información ■ Las preocupaciones bajan para otras tecnologías en desarrollo, a pesar de las serias amenazas que éstas conllevan.
Computación móvil Dispositivos removibles Redes inalámbricas Telefonía de Voz sobre IP Software libre Virtualización de servidores
Las principales nuevas tecnologías que las organizaciones han identificado como preocupaciones en Seguridad de Información
Preocupaciones en Seguridad de Información Resultados globales vs. locales GLOBAL - Redes Inalámbricas
54%
PERU - Redes Inalámbricas
Actualmente En 6 meses En 12 meses Desconoce
24%
43% 60%
GLOBAL - Aplicaciones Web
13% 21%
53%
19%
34%
PERU - Telefonía de voz sobre IP
36%
GLOBAL - Dispositivos removibles(e.g., USB flash drive, portable drives)
28%
20% 22%
11%
51%
18%
PERU - Nuevos Productos Windows
22%
26%
40%
GLOBAL - Computación móvil (e.g., PDA, smart phones, Black Berry)
28%
PERU - Computación móvil (e.g., PDA, smart phones, Black Berry)
26%
38%
0%
10%
20%
40%
50%
0% 9% 11%
60%
7% 12%
16%
42%
30%
9%
20%
50%
6% 11%
18%
55%
0%
12%
33%
73%
GLOBAL - Nuevos Productos Windows
10%
27%
44%
PERU -Software libre
8% 15%
61%
GLOBAL - Software libre
7% 10%
32%
GLOBAL - Redes punto a punto
6%
28%
53%
PERU - Redes punto a punto
10%
26%
43%
PERU - Dispositivos removibles (e.g., USB flash drive, portable drives)
11%
26%
31%
0% 5%
5% 22%
48%
GLOBAL -Telefonía de voz sobre IP
14%
32% 62%
PERU - Aplicaciones Web
9%
43%
GLOBAL - Servicios Web PERU -Servicios Web
14%
70%
80%
8% 21%
0%
90%
100%
No Existen Planes para Manejar los Riesgos de Seguridad de las Nuevas Tecnologías ■ Entre un cuarto y un
tercio de los encuestados indican que no planean, por lo menos en los próximos doce meses, tomar acción en las preocupaciones de seguridad relacionadas con las nuevas tecnologías.
Computación móvil Dispositivos removibles Redes inalámbricas Telefonía de Voz sobre IP Software libre Virtualización de servidores Ahora
6-12 meses
Más de 12 meses
¿Cuándo las organizaciones planean manejar las preocupaciones relacionadas con las nuevas tecnologías?
Organización de la Seguridad de Información
La Seguridad de Información en la Organización ■
■
En los resultados globales, dos terceras partes de los encuestados indican que cuentan con un puesto de Oficial de Seguridad de Información. Resultados en el Perú: ¿Su organización cuenta con un puesto de Oficial Seguridad de Información?
Sí
53%
No
0%
47%
10%
20%
30%
40%
50%
60%
Responsabilidad de la Función de Seguridad Informática 12%
Gerente General
14%
5% 6%
Gerente Operativo Gerente Financiero
22%
9%
31%
Gerente de Sistemas Oficial de Seguridad Oficial de Privacidad y Riesgo
7% 0%
Asesor Legal
10%
3% 5%
1% 3%
Comité de Seguridad Informática
5% 12% 13%
Otro Global
42%
Peru 0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
¿A quién le reporta la función de Seguridad Informática en su organización?
Frecuencia de Reuniones para Discutir Temas de Seguridad de Información ■ El 40% se reúne
con la Junta de Directores y Comités de Auditoría menos de una vez al año o nunca. ■ El 44% indica la misma frecuencia al reunirse con su Departamento Legal.
Mensualmente o frecuentemente Trimestralmente Dos veces al año Anualmente Menos frecuente Nunca
Junta de Directores/Comité de Auditoría
L ega l
Frecuencia de reuniones entre líderes de Seguridad de Información y su Junta de Directores/Comité de Auditoría y Departamento Legal para discutir objetivos del negocio y necesidades de Seguridad de Información.
Aprobación del Presupuesto de Seguridad Informática
31% 30%
Gerente General 3%
Gerente Operativo
7%
Gerente Financiero 8%
Gerente de Sistemas
0% 1%
Asesor Legal
3%
Comité de Seguridad Informática
2% 3%
5%
Otro Global
28%
2% 2%
Oficial de Seguridad Oficial de Privacidad y Riesgo
36%
16%
10%
13%
Peru 0%
5%
10%
15%
20%
25%
30%
35%
40%
¿Quién aprueba el Presupuesto de Seguridad Informática de su organización?
Procedimientos Formales Implementados Parcialmente Resultados Locales Promoviendo la Seguridad de 8% Información dentro del proceso de desarrollo de aplicaciones 2% Respuesta de incidentes Plan de continuidad de negocios 5% Administración del riesgo con proveedores Convergencia de la seguridad física y 4% Tecnología de información Capacitación y Concientización 9%
66%
24%
2%
71%
24%
3%
73%
15%
34%
7%
40%
24%
73%
18%
39% Procedimient os informales No afrontados
2%
5%
47% Existen procedimient os formales
5% Existen procedimientos formales validados por un tercero
Distribución del Tiempo y Presupuesto Asignados a Actividades de Seguridad ■ Más de la mitad
del tiempo y el presupuesto de Seguridad de Información se asignan a operaciones rutinarias y a responder ante incidentes. ■ Sólo el 22% del tiempo del presupuesto se asignan a estrategias.
22%
Estrategia (incluye desarrollo de políticas y procedimientos)
25%
Operaciones de rutina (administración de cuentas, de vulnerabilidades, de parches, entre otros)
38% 38%
15%
Respuesta ante incidentes cuando existe un ataque (incluye w orms y virus)
18%
18%
Actividades de cumplimiento o relacionadas a auditoría
14%
6%
Otros
4%
Global Perú
0%
5%
10%
15%
20%
25%
30%
35%
Asignación del tiempo y presupuesto para actividades de Seguridad de Información.
40%
Responsables de Ejecución de los Planes de Acción Resultados Locales Estrategia Tecnología de Información
Desarrollo de políticas y procedimientos
Arquitectura e Infraestructura
Líderes de Unidades del Negocio Gerentes Corporativos Organización de la Seguridad Auditoría Interna Área Legal Oficina de Regulaciones Otro
Cuando ocurre un cambio significativo en el entorno de la organización, quién está involucrado en la revisión de las actividades y desarrollo de los planes de acción de la Seguridad Informática?
Capacitación y Programas de Concientización - Resultados Globales ■ Dos terceras partes de
los encuestados brindan capacitación a la Gerencia sobre temas de Seguridad de Información y su respectivo impacto. ■ Sólo una tercera parte de los encuestados brinda capacitación para responder ante incidentes de seguridad. ■ Menos de la mitad de los encuestados brinda este entrenamiento a grupos generales de usuarios.
Impacto de eventos de seguridad en la organización Políticas y procedimientos Respuesta ante incidentes de seguridad
Gerencias
Grupos generales de usuarios
Capacitación y programas de concientización sobre Seguridad de Información, ofrecidos a las gerencias de la organización y grupos generales de usuarios.
Capacitación y Programas de Concientización - Resultados Locales ■ Dos terceras partes
de los encuestados brindan capacitación a la Gerencia sobre temas de Seguridad de Información y su respectivo impacto. ■ Sólo una tercera parte de los encuestados brinda capacitación para responder ante incidentes de seguridad. ■ Casi la totalidad de los encuestados brinda capacitación sobre las Políticas y Procedimientos a los Usuarios Generales.
Impacto de eventos de seguridad en la organización
60% 37%
67%
Políticas y procedimientos 86%
33%
Respuesta ante incidentes de seguridad
37%
Gerencias Grupos generales de usuarios
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Capacitación y programas de concientización sobre Seguridad de Información, ofrecidos a las gerencias de la organización y grupos generales de usuarios.
Cerrar la Brecha Medidas Resultantes de la Encuesta
Medidas Resultantes de la Encuesta ■
■
■
■
Regulación vs. Cumplimiento – Considerar que los requerimientos legales, contractuales y regulatorios son una oportunidad para promover la Seguridad de Información como parte integral del negocio. Crecimiento de la interdependencia con otras empresas. – Incrementar el valor de trabajar con terceros y adoptar estándares de seguridad a fin de aplicar mejores prácticas globales. Requerimientos del negocio ante la aparición de nuevas tecnologías – Tomar medidas que permitan que el negocio sea conducido de forma más segura ante la aparición de nuevas tecnologías. Desarrollar la Organización de la Seguridad de Información – Poner en marcha mejores prácticas para alinear estrechamente la Seguridad de Información con la organización.
Related Documents
Aud Uni 08
October 2019 7
Aud Uni 09
October 2019 4
Aud Uni 03
October 2019 8
Aud Uni 07
October 2019 3
Aud Uni 06
October 2019 4