Post on 18-Jun-2020
`
Inseguridad en impresoras conectadas a la red
Patrocinado por HP
Estudio independiente de Ponemon Institute LLC
Fecha de publicación: octubre de 2015
Informe de investigación de Ponemon Institute©
Informe de investigación de Ponemon Institute© Página 1
Inseguridad en impresoras conectadas a la red Ponemon Institute, octubre de 2015
Parte 1. Introducción En Inseguridad en impresoras conectadas a la red, patrocinado por HP, se indican los riesgos de seguridad que conllevan las impresoras y otros periféricos desprotegidos. El propósito es plantear una serie de acciones estratégicas y recomendaciones para mejorar la seguridad de los dispositivos conectados y los documentos físicos. Para ello, hemos encuestado a más de 2000 empresas de TI que toman medidas de seguridad en Estados Unidos, EMEA, Asia-Pacífico y Latinoamérica. En este informe, se presentan todos los hallazgos a los que se han llegado. Para garantizar la calidad de las respuestas, confirmamos que todos los encuestados estuvieran familiarizados con las estrategias de su empresa en cuanto a seguridad de datos y fueran responsables de proteger información importante o confidencial. Un 65 % de los encuestados afirma que el formato de la información protegida suele ser digital, y un 22% dice que suele ser una combinación de documentos físicos y digitales. Solo un 13 % de los encuestados reconoce que, principalmente, toma medidas de seguridad para proteger documentos impresos. Se ignora el riesgo de seguridad de las impresoras. Como se demuestra en la ilustración 1, el 64 % de los encuestados afirma que su empresa atribuye un mayor riesgo de seguridad para los datos a los ordenadores que a las impresoras. Por este motivo, la mayoría (un 62 % de los encuestados) no cree que sea posible evitar la pérdida de los datos en el área de almacenamiento masivo de la impresora o en los documentos impresos. Estas impresoras se encuentran desprotegidas ante el acceso no autorizado a través de puertos abiertos y protocolos. Solo el 38 % de los encuestados cree que la información contenida en el área de almacenamiento masivo de la impresora se borra durante el proceso de desecho o restauración del dispositivo. Los departamentos de dirección ejecutiva, ventas y recursos humanos son los más expuestos a los riesgos de seguridad en relación con los datos generados o impresos. Si bien las empresas desconocen qué impresoras presentan riesgos, un equipo de seguridad de TI puede identificar qué departamentos o qué cargos requieren las mayores medidas de seguridad para impresoras. La prevención del acceso no autorizado a impresoras conectadas a la red se suele ignorar. Solo el 34 % de los encuestados afirma que su empresa tiene un proceso para restringir el acceso a las impresoras de alto riesgo y a los documentos impresos. Como resultado, una media del 44 % de las impresoras conectadas a la red en su empresa están desprotegidas contra el acceso no autorizado a los datos almacenados en el área de almacenamiento masivo de las impresoras; y una media del 55 %, ante el acceso no autorizado a los documentos impresos. Es probable que se haya producido una vulneración de datos a través de una impresora conectada a la red en las empresas mencionadas en este estudio. Aunque las empresas ignoren el riesgo, un 60 % de los encuestados reconoce que, con total seguridad (10 %), muy probablemente (24 %) o probablemente (26 %), se han producido estas vulneraciones. La mayoría de los encuestados predice una vulneración de datos en los próximos 12 meses por no tener protegidas las impresoras conectadas a la red. Un 57 % de los encuestados cree que se producirán estas vulneraciones, y un 51 % predice que se producirán en ordenadores desprotegidos.
Ilustración 1. Ignorancia del riesgo de seguridad de las
impresoras
38%
62%
64%
0% 15% 30% 45% 60% 75%
Information contained inprinter mass storage isthoroughly wiped clean
during the disposal orrefurbishment process
Unable to prevent the lossof data contained in printer
mass storage and/orprinted hardcopy
documents
Higher data risk isassigned to desktop orlaptop computers than
printers
Se atribuye un mayor riesgo de seguridad para
los datos a los ordenadores que a las
No se puede evitar la pérdida de los datos
contenidos en el área de almacenamiento masivo de
la impresora o en
La información contenida en el área de
almacenamiento masivo de la impresora se borra en el
proceso de desecho o
Informe de investigación de Ponemon Institute© Página 2
Según el 88 % de los encuestados, la característica más importante en cuanto a seguridad de impresoras conectadas a la red es la capacidad de detectar anomalías en cualquiera de las impresoras de la empresa. Otras características importantes son las siguientes: la capacidad de establecer y supervisar políticas para el conjunto de impresoras (73 %), la capacidad de configurar las impresoras para que cumplan las políticas de seguridad específicas de la empresa (71 %), la capacidad de cifrar la comunicación entre las impresoras (68 %), la capacidad de detectar qué impresoras se añaden a la red y cuáles se desconectan (65 %), y la capacidad de instalar y administrar certificados digitales para usar las impresoras (59 %).
Informe de investigación de Ponemon Institute© Página 3
Parte 2. Descubrimientos importantes A continuación, se indican los descubrimientos más significativos de este estudio, clasificados según los siguientes temas: Problemas y falta de seguridad en las impresoras Problemas de proceso y falta de control Problemas tecnológicos Problemas y falta de seguridad en las impresoras Los departamentos de dirección ejecutiva, ventas y recursos humanos son los más expuestos a los riesgos de seguridad en relación con datos importantes y confidenciales en los dispositivos y en papel. Según un 56 % de los encuestados, existe un riesgo significativo en la seguridad de la información importante y confidencial de su empresa porque los empleados no conocen el alto riesgo de seguridad que representan las impresoras y los documentos en papel. Si bien las empresas desconocen qué impresoras presentan riesgos, los encuestados pueden identificar qué departamentos o qué cargos requieren las mayores medidas de seguridad para impresoras. Según la ilustración 2, en función del tipo de datos generados o impresos, se percibe que los departamentos de dirección ejecutiva (65 %), ventas (63 %) y recursos humanos (57 %) son los más expuestos a riesgos de seguridad en la empresa. Además, los departamentos de ventas (93 %) y recursos humanos (76 %) son vulnerables a posibles infracciones relacionadas con los datos, ya que se considera que estos departamentos no implantan las suficientes medidas de seguridad y control de acceso en relación con las impresoras. Ilustración 2. Departamentos o cargos que conllevan el mayor riesgo Se permiten tres respuestas.
14%
3%
38%
6%
76%
93%
14%
11%
23%
26%
31%
57%
63%
65%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Communications and public relations
Information technology
Marketing
Finance & accounting
Human resources
Sales
Executive management
Highest risk based on the type of data generated and/or printed
Highest risk in terms of poor printer-related security practices, lax access controls
Dirección ejecutiva
Ventas
Recursos humanos
Finanzas y contabilidad
Marketing
Tecnología de información
Comunicaciones y relaciones
públicas
Informe de investigación de Ponemon Institute© Página 4
Problemas de proceso y falta de control Las medidas actuales de protección de impresoras y documentos son ineficaces. Las principales medidas de seguridad son establecer políticas, formar a los empleados y usar trituradores de papel para el 49 %, el 46 % y el 39 % de los encuestados respectivamente, tal como se indica en la ilustración 3. ¿Por qué son ineficaces estas medidas? En primer lugar, la mayoría de los encuestados dice que su empresa no conoce o no ha implantado políticas de seguridad que protejan las impresoras conectadas a la red (55 %). La implementación de certificados digitales, el cifrado de datos y las soluciones antivirus y antisoftware malicioso mejorarían la seguridad. Ilustración 3. Medidas que toman las empresas para proteger las impresoras Se permite más de una respuesta.
1%
7%
10%
13%
18%
20%
25%
28%
39%
46%
49%
0% 10% 20% 30% 40% 50% 60%
Other
Automated print restrictions on specific files
Automated print restriction on specific devices
Implementing access control protocols to printersacross the network
Implementing ant-virus/anti-malware solution
Collecting paper documents from outsidecontractors for safe disposal
Deploying digital certificates and encryption whenprinting across network devices
Collecting documents from each office area forcentralized shredding
Shredding documents in each office area
Training of employees
Enforcing a policyAplicación de políticas
Formación de empleados
Trituración de documentos en cada oficina
Recogida de documentos de cada oficina
para triturarlos de forma centralizada
Uso de certificados digitales y cifrado para
imprimir en los dispositivos de la red
Recogida de documentos en papel de contratistas
externos para su eliminación segura
Uso de soluciones antivirus y antisoftware malicioso Implantación de protocolos de control de
acceso a las impresoras de la red
Restricción de impresión automatizada en dispositivos concretos
Restricciones de impresión automatizadas
en archivos concretos
Otras
Informe de investigación de Ponemon Institute© Página 5
Si bien la mayoría de las empresas cuenta con impresoras en el lugar de trabajo, son pocas las que saben decir qué impresoras implican un riesgo de vulneración de datos. Como se indica en la ilustración 4, solo un 30 % de los encuestados afirma que su empresa sigue un proceso para identificar las impresoras de alto riesgo, y solo un 34 % sigue un proceso para restringir el acceso a estas impresoras. Es más, solo un 44 % de los encuestados afirma que la política de seguridad de su empresa contempla la seguridad de las impresoras conectadas a la red. Ilustración 4. ¿Sigue su empresa un proceso para identificar las impresoras o documentos en papel de alto riesgo o para restringir el acceso a estos?
30% 34%
70% 66%
0%
10%
20%
30%
40%
50%
60%
70%
80%
Identifying high-risk printers Restricting access to high-risk printers includingprinted hardcopy documents
Yes No
Identificación de impresoras de alto riesgo
Restricción del acceso a impresoras y documentos impresos de alto riesgo
Sí
Informe de investigación de Ponemon Institute© Página 6
Como se demuestra en la ilustración 5, se admite que no suelen realizarse las siguientes medidas con eficacia: integrar el acceso a la impresora y su uso en un sistema de seguridad para la red o en una solución de gestión de eventos e información de seguridad (77 %), establecer y aplicar políticas de seguridad para impresoras de forma coherente en toda la empresa (66 %), cifrar datos que no se usan en el área de almacenamiento masivo de la impresora o en discos duros (63 %), cifrar datos en uso en las impresoras de la empresa (62 %) y asignar derechos de acceso a las impresoras según la importancia de los documentos que se imprimen (56 %). Ilustración 5. ¿Cómo evaluaría el control que tiene su empresa sobre el uso y la protección de las impresoras? Se ha calificado de "inexistente" en los siguientes casos.
40%
52%
54%
55%
56%
62%
63%
66%
77%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Educate users about the safe and secure use ofprinters and other peripheral devices
Establish monitoring procedures to track the useand physical location of printers
Establish printer ownership and accountability byfunction or role
Maintain logs showing access to datastored/contained within printer mass storage
and/or hard drives
Assign access rights to printers based on thesensitivity of documents printed
Encrypt data in motion across the organization’s fleet of printers
Encrypt data at rest stored within printer massstorage and/or hard drives
Establish and enforce printer security policiesthat are consistently applied across the
enterprise
Integrate printer access and use with networkintelligence and/or SIEM solution
Integrar el acceso a las impresoras en un sistema de seguridad para la red o en una solución de
gestión de eventos e información de seguridad
Establecer y aplicar políticas de seguridad para impresoras de forma coherente en la empresa
Cifrar los datos que no se usan en el área de
almacenamiento masivo de la impresora o en discos duros
Cifrar los datos en uso en las impresoras de la
empresa
Asignar derechos de acceso a las impresoras según la importancia de los documentos que se imprimen
Mantener registros de acceso a los datos en el área
de almacenamiento masivo de la impresora o en discos duros
Establecer propiedad y responsabilidad sobre la
impresora por función o cargo
Establecer procedimientos de supervisión para rastrear el uso y la ubicación física de las
impresoras
Informar a los usuarios sobre el uso seguro de las impresoras y los periféricos
Informe de investigación de Ponemon Institute© Página 7
La prevención del acceso no autorizado a impresoras conectadas a la red se suele ignorar. En promedio, un 55 % de los dispositivos se encuentra desprotegido en cuanto al acceso a los datos de documentos impresos, y un 44 % en cuanto al acceso al área de almacenamiento masivo de la impresora. Sin embargo, solo el 34 % de los encuestados afirma que su empresa tiene un proceso para restringir el acceso a las impresoras de alto riesgo y a los documentos impresos. Problemas tecnológicos Es probable que se haya producido una vulneración de datos a través de una impresora conectada a la red en las empresas mencionadas en este estudio. Como se demuestra en la ilustración 6, aunque las empresas ignoren o no sepan reconocer el riesgo, un 60 % de los encuestados reconoce que, con total seguridad (10 %), muy probablemente (24 %) o probablemente (26 %), se han producido estas vulneraciones, tal como se indica en la ilustración 6. Solo un 24 % de los encuestados afirma que no se ha producido ninguna vulneración de datos a través de impresoras conectadas a la red. Un 67 % de los encuestados dice que, con toda seguridad (35 %), muy probablemente (23 %) o probablemente (9 %) se han producido vulneraciones de datos a través de un ordenador. Ilustración 6. Casos de vulneración de datos a través de impresoras conectadas a la red y de ordenadores
10%
35% 24%
23% 26%
9%
24%
23%
16% 10%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Network-connected printer Desktop or laptop computer
Yes - known with certainty Yes - Very likely Yes - Likely No Unable to determine
Impresora conectada a la red
Ordenador
Sí, seguro
Es muy probable que sí
Es probable que sí
No se sabe
Informe de investigación de Ponemon Institute© Página 8
La mayoría de los encuestados predice una vulneración de datos en los próximos 12 meses por no tener protegidas las impresoras conectadas a la red. Como se indica en la ilustración 7, un 57 % de los encuestados cree que se producirán estas vulneraciones, y un 51 % predice que se producirán en ordenadores desprotegidos. El riesgo aumentará tanto para unos dispositivos como para otros debido al uso cada vez más frecuente de las tecnologías móviles (65 %), al aumento de las infecciones por software malicioso (61 %), al mayor número de trabajadores a distancia (60 %) y al aumento de la cantidad de dispositivos conectados a la red (53 %). Ilustración 7. ¿Predice un aumento del riesgo de vulneración de datos en los próximos 12 meses?
Las tecnologías que permitan detectar cuáles son las impresoras de alto riesgo, por ejemplo, las infectadas por software malicioso, son fundamentales (70 %). Un 60 % de los encuestados afirma que existe riesgo de infección por software malicioso en impresoras y ordenadores. De ellos, un 50 % dice que existe el mismo riesgo en un dispositivo como en otro, y un 10 % dice que existe más riesgo en los ordenadores, tal como se demuestra en la ilustración 8. Ilustración 8. ¿Qué describe el índice de infecciones por software malicioso en los puntos de acceso?
57% 51%
34% 42%
8% 8%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Increased risk from insecure network-connectedprinters
Increased risk from insecure desktop or laptopcomputers
Yes No Unable to determine
19%
22%
50%
10%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Printers are more likely to be infected than desktop or laptop computers
Printers are equally likely to be infected than desktop or laptop computers
Printers are less likely to be infected than desktop or laptop computers
Unable to determine
Las impresoras corren más riesgo de infección que los ordenadores Las impresoras corren el mismo riesgo de infección que los ordenadores Las impresoras corren menos riesgo de infección que los ordenadores No se sabe
Aumento del riesgo a causa de impresoras conectadas a la red poco seguras
Aumento del riesgo a causa de ordenadores poco seguros
Sí
No se sabe
Informe de investigación de Ponemon Institute© Página 9
Entre otros factores importantes, se incluyen la supervisión de dispositivos y usuarios (64 %), las tecnologías para cifrar los documentos importantes o confidenciales que contienen las impresoras (55%), las tecnologías que restringen el acceso a los documentos que se encuentran en al área de almacenamiento masivo de la impresora (52 %) y la aplicación estricta de políticas contra el incumplimiento normativo (50 %). Ilustración 9. Factores de éxito importantes para el control de las impresoras Se permite más de una respuesta.
2%
30%
34%
45%
49%
50%
50%
52%
55%
64%
70%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Other
Executive-level support
Clear, concise and consistent printer securitypolicies.
Ample budget
Access rights assigned using role or function-based methods
Strict enforcement of non-compliance
Employee awareness and training on printerhandling
Technologies that restrict access to documentscontained in printer mass storage
Technologies that encrypt sensitive orconfidential documents contained in printers
Monitoring of devices and users
Technologies that help pinpoint high risk printers(such as those containing malware)
Las tecnologías que permiten detectar cuáles son las impresoras de alto riesgo (como las infectadas
por software malicioso)
Supervisión de dispositivos y usuarios
Tecnologías que cifran documentos importantes o confidenciales en las impresoras
Tecnologías que restringen el acceso a los documentos en el área de almacenamiento masivo de las impresoras
Concienciación y formación de los empleados con respecto al uso de las impresoras
Aplicación de políticas estrictas contra el incumplimiento normativo
Asignación de derechos de acceso mediante métodos basados en el cargo o la función
Presupuesto amplio
Políticas de seguridad para impresoras claras, concisas y coherentes
Apoyo de la dirección ejecutiva
Otros
Informe de investigación de Ponemon Institute© Página 10
Según el 88 % de los encuestados, la característica más importante en cuanto a seguridad de impresoras conectadas a la red es la capacidad de detectar anomalías en cualquiera de las impresoras de la empresa. La mayoría de los encuestados calificó como muy importantes las siete características de la lista relacionadas con tecnologías para la seguridad de las impresoras. Como se indica en la ilustración 10, a la capacidad de detectar anomalías, le sigue la de administrar protocolos de seguridad para el conjunto de impresoras desde una consola centralizada (84 %), la capacidad de establecer y supervisar políticas para el conjunto de impresoras (73 %), la capacidad de configurar las impresoras para que cumplan las políticas de seguridad específicas de la empresa (71 %), la capacidad de cifrar la comunicación entre las impresoras (68 %), la capacidad de detectar qué impresoras se añaden a la red y cuáles se desconectan (65 %), y la capacidad de instalar y administrar certificados digitales para usar las impresoras (59 %). Ilustración 10. Características tecnológicas más importantes para la administración y la seguridad de las impresoras 1 = no es importante, 10 = muy importante, más de 7 respuestas recopiladas
59%
65%
68%
71%
73%
84%
88%
0% 20% 40% 60% 80% 100%
Ability to install and manage digital certificateacross the fleet of printers
Ability to determine printers that are added to orremoved from the network
Ability to enable encrypted communicationamong devices across the fleet of printers
Ability to configure printers to be compliant withspecific corporate security polices
Ability to set and monitor policies for the entirefleet of printers
Ability to manage security protocols for the entirefleet of printers from one centralized console
Ability to spot (pinpoint) anomalies in any givendevice within the fleet of printers
Capacidad de detectar anomalías en cualquier impresora de la red empresarial
Capacidad de administrar protocolos de seguridad
para todas las impresoras desde una consola centralizada
Capacidad para establecer y supervisar políticas para todas las impresoras
Capacidad de configurar las impresoras para el cumplimiento de las políticas de seguridad específicas de la empresa
Capacidad de habilitar la comunicación cifrada entre
dispositivos en todas las impresoras
Capacidad de detectar qué impresoras se conectan o desconectan de la red
Capacidad de instalar y administrar certificados
digitales en todas las impresoras
Informe de investigación de Ponemon Institute© Página 11
Parte 3. Conclusión El uso de las impresoras, como parte integral del entorno de trabajo, se encuentra muy extendido. Sin embargo, tal como se demuestra en este estudio, muchas empresas ignoran los riesgos de seguridad asociados a las impresoras y otros periféricos. En otro estudio de Ponemon Institute, un 53 % de los directores de TI reconoce que las impresoras son vulnerables al delito informático.1 Según el estudio 2015 Global Report on the Cost of Cyber Crime (Estudio del coste global de un delito informático en 2015), el coste medio anual para resolver un ataque cibernético es de 7,7 millones de dólares.2 A continuación, incluimos algunas recomendaciones para reducir el riesgo de amenaza: Las políticas y las medidas de seguridad deberían hacer frente a la pérdida de datos importantes
o confidenciales.
Los programas de formación y concienciación deberían tratar la gestión adecuada de información importante y confidencial al usar impresoras y periféricos conectados a la red.
Debería realizarse una evaluación para determinar qué departamentos y cargos representan un
mayor riesgo de seguridad por el tipo de información que generan o imprimen. Las medidas de seguridad y los controles de acceso en relación con las impresoras deberían incrementarse en esas áreas.
Es posible controlar el acceso físico a las impresoras, pero implementar un sistema de impresión
mediante autorización sería más eficaz y seguro para gestionar documentos importantes.
1 Ibídem
2 Ponemon Institute, “2015 Global Report on the Cost of Cyber Crime” (Estudio del coste global de un
delito informático en 2015), patrocinado por Hewlett Packard Enterprise, septiembre de 2015
Informe de investigación de Ponemon Institute© Página 12
Parte 4. Métodos Se ha seleccionado un segmento aleatorio de una muestra de 60 119 profesionales de la seguridad de TI en Estados Unidos, EMEA, Asia-Pacífico y Latinoamérica para participar en la encuesta. Como se indica en la tabla 1, 2281 encuestados respondieron al cuestionario completo. En el proceso de selección, se descartaron 240 encuestas. En la muestra final se han incluido 2041 encuestas (o un 3,4 % del índice de respuesta).
Tabla 1. Muestra de las respuestas Frecuencia Porcentaje Total del segmento de la muestra 60 119 100,0 % Devoluciones totales 2281 3,8 % Encuestas rechazadas o seleccionadas 240 0,4 % Muestra final 2041 3,4 %
El gráfico circular 1 refleja el cargo actual de los encuestados. Más de la mitad (58 %) tiene un cargo de supervisión como mínimo. Gráfico circular 1. Cargo actual del encuestado
El gráfico circular 2 refleja el sector principal al que se dedican los encuestados. Un 19 % de los encuestados trabaja en el sector de los servicios financieros, y un 11% en el de los servicios médicos y farmacéuticos. Otro 10 % trabaja en el sector público y en la industria y la fabricación. Gráfico circular 2. Distribución de los encuestados por sector principal
3%
16%
21%
18%
34%
7% 2%
Executive/VP
Director
Manager
Supervisor
Technician
Staff
Contractor
Director ejecutivo/vicepresidente Director
Jefe
Supervisor
Técnico
Personal
Contratista
16%
12%
10%
9% 9%
9%
7%
5%
5%
5%
3% 3%
2% 2% 3% Financial services
Public services
Health & pharmaceutical
Services
Industrial
Retail
Technology & software
Consumer products
Hospitality
Energy & utilities
Education & research
Transportation
Entertainment & media
Communications
Other
Servicios financieros
Servicios públicos
Salud y farmacia
Servicios
Industria
Venta minorista
Tecnología y software
Productos de consumo
Hostelería
Energía y suministro público
Educación e investigación
Transporte
Entretenimiento y medios de comunicación
Comunicaciones
Otro
Informe de investigación de Ponemon Institute© Página 13
Un 51 % de los encuestados trabaja en empresas con más de 1000 empleados en todo el mundo, tal como se indica en el gráfico circular 3. Gráfico circular 3. Personal en todo el mundo
Parte 5. Inconvenientes
Existen limitaciones a la hora de realizar una encuesta que deben tenerse en cuenta antes de sacar conclusiones de los datos obtenidos. Las siguientes son limitaciones específicas comunes en la mayoría de las encuestas a través de la Web.
Sesgo de no respuesta: Los descubrimientos actuales se basan en una muestra de cuestionarios devueltos. Enviamos cuestionarios a una muestra de personas representativa, lo que da lugar a una gran cantidad de respuestas devueltas utilizables. A pesar de las pruebas de no respuesta, siempre es posible que la forma de pensar de aquellos que no hayan participado sea considerablemente distinta de los que han completado el cuestionario. Sesgo muestral: La precisión se basa en la información de contacto y en el grado en que la lista represente a los profesionales de la seguridad en TI. Además, reconocemos que puede haber eventos externos que influyan en los resultados, como la cobertura mediática. También reconocemos que los resultados pueden verse influidos por la compensación ofrecida a los participantes por completar este estudio en un determinado plazo. Resultados basados en respuestas de los encuestados: La calidad del estudio se basa en la integridad de las respuestas confidenciales de los encuestados. Si bien se pueden incorporar determinadas comprobaciones y balances durante la encuesta, siempre existe la posibilidad de que el encuestado no respondiera con sinceridad.
11%
14%
24% 26%
12%
8%
5%
< 100
100 to 500
501 to 1,000
1,001 to 5,000
5,001 to 25,000
25,001 to 75,000
> 75,000
Menos de 100
Entre 100 y 500
Entre 501 y 1000
Entre 1001 y 5000
Entre 5001 y 25 000
Entre 25 001 y 75 000
Menos de 75 000
Informe de investigación de Ponemon Institute© Página 14
Apéndice: Resultados detallados de la encuesta Las siguientes tablas indican la frecuencia o la frecuencia de porcentaje de las respuestas a todas las preguntas de la encuesta formuladas para este estudio. Todas las respuestas de la encuesta se recopilaron en septiembre de 2015.
Respuesta de la encuesta Global Segmento de la muestra 60 119 Devoluciones totales 2281 Encuestas rechazadas o seleccionadas 240 Muestra final 2041 Porcentaje de respuesta 3,4 %
Ponderación de la muestra 100,0 % Preguntas de selección S1. ¿Está familiarizado con la estrategia de seguridad de datos de su empresa? Global Bastante 39 % Sí 42 % Más o menos 19 % No (parar) 0 % Total 100 %
S2a. ¿Es responsable de proteger información importante o confidencial? Global
Sí, toda la responsabilidad es mía 25 % Sí, en cierta medida 61 % Sí, aunque mínimamente 14 % No me corresponde (parar) 0 % Total 100 % S2b. En caso afirmativo, ¿qué formato tiene la información protegida? Global Principalmente físico (copia impresa) 13 % Principalmente digital 65 % Físico y digital 22 % Total 100 % Parte 1: Suposiciones (totalmente de acuerdo y de acuerdo) Global
P1. Mi empresa atribuye un mayor riesgo de seguridad para los datos a los ordenadores que a las impresoras. 64 %
P2. La mayoría de los empleados de mi empresa no considera que las impresoras supongan un alto riesgo de seguridad para los datos. 56 %
P3. Mi empresa no puede evitar la pérdida de los datos contenidos en el área de almacenamiento masivo de la impresora o en documentos impresos. 62 %
P4. La información contenida en el área de almacenamiento masivo de la impresora se borra en el proceso de desecho o renovación del dispositivo. 38 % Parte 2: Antecedentes
P5. ¿Las políticas de seguridad de su empresa afectan explícitamente a la seguridad de las impresoras conectadas a la red? Global Sí 44 % No 47 % No lo sé 8 % Total 100 %
Informe de investigación de Ponemon Institute© Página 15
P6a. ¿Se ha producido alguna vulneración de datos en su empresa a través de una impresora conectada a la red? Global Sí, seguro 10 % Es muy probable que sí 24 % Es probable que sí 26 % No 24 % No lo sé 17 % Total 100 %
P6b. ¿Se ha producido alguna vulneración de datos en su empresa a través de un ordenador? Global
Sí, seguro 35 % Es muy probable que sí 23 % Es probable que sí 9 % No 23 % No lo sé 10 % Total 100 %
P7a. ¿Predice un aumento del riesgo de vulneración de datos en los próximos 12 meses a consecuencia de la falta de seguridad en las impresoras conectadas a la red? Global Sí 57 % No 34 % No lo sé 8 % Total 100 %
P7b. ¿Predice un aumento del riesgo de vulneración de datos en los próximos 12 meses a consecuencia de la falta de seguridad en los ordenadores? Global Sí 51 % No 42 % No lo sé 8 % Total 100 %
P7c. Si ha respondido que sí a las preguntas P7a o P7b, ¿por qué aumentaría el riesgo? Elija las tres respuestas con las que esté más de acuerdo. Global Mayor número de dispositivos conectados a la red 53 % Uso más frecuente de las tecnologías móviles 65 % Mayor número de trabajadores a distancia 60 % Aumento de la capacidad de almacenamiento de datos 13 % Mayor índice de infecciones por software malicioso 61 % Software malicioso más sofisticado 17 % Normas de protección de datos nuevas o emergentes 9 % Mayor acceso de los usuarios 20 % Otros motivos (especificar) 2 % Total 300 %
Informe de investigación de Ponemon Institute© Página 16
P8. ¿Qué porcentaje de impresoras conectadas a la red en su empresa están desprotegidas en algún momento frente al acceso no autorizado a los datos del área de almacenamiento masivo de estas? Global Ninguno 6 % Menos del 5 % 7 % Del 5 al 10 % 8 % Del 11 al 25 % 13 % Del 26 al 50 % 23 % Del 51 al 75 % 25 % Del 76 al 99 % 13 % Todo 6 % Total 100 % Valor extrapolado 44 %
P9. ¿Qué porcentaje de impresoras conectadas a la red en su empresa están desprotegidas en algún momento frente al acceso no autorizado a los documentos impresos?
Global Ninguno 3 % Menos del 5 % 3 % Del 5 al 10 % 9 % Del 11 al 25 % 11 % Del 26 al 50 % 15 % Del 51 al 75 % 24 % Del 76 al 99 % 26 % Todo 10 % Total 100 % Valor extrapolado 55 %
P10. ¿Cuál de las respuestas describe mejor el índice de infecciones de software malicioso en los puntos de acceso de su empresa en algún momento? Global Las impresoras corren menos riesgo de infección por software malicioso que los ordenadores 22 % Las impresoras corren el mismo riesgo de infección por software malicioso que los ordenadores 50 % Las impresoras corren más riesgo de infección por software malicioso que los ordenadores 10 % No lo sé 19 % Total 100 %
P11. En su opinión, ¿qué departamentos o cargos en su empresa están más expuestos a riesgos de seguridad por el tipo de datos generados o impresos? Seleccione las tres respuestas con las que esté más de acuerdo. Global Ventas 63 % Recursos humanos 57 % Dirección ejecutiva 65 % Finanzas y contabilidad 31 % Comunicaciones y relaciones públicas 11 % Asesoría jurídica y cumplimiento de la normativa 4 % Logística/distribución 5 % Marketing 26 % Adquisiciones 8 % Tecnología de información 23 % Investigación y desarrollo 2 % Fabricación 6 % Total 300 %
Informe de investigación de Ponemon Institute© Página 17
P12. En su opinión, ¿qué departamentos o cargos en su empresa están más expuestos a riesgos de seguridad por no implantar las suficientes medidas de seguridad y control de acceso en relación con las impresoras? Seleccione las tres respuestas con las que esté más de acuerdo. Global Ventas 93 % Recursos humanos 76 % Dirección ejecutiva 14 % Finanzas y contabilidad 6 % Comunicaciones y relaciones públicas 14 % Asesoría jurídica y cumplimiento de la normativa 3 % Logística/distribución 6 % Marketing 38 % Adquisiciones 32 % Tecnología de información 3 % Investigación y desarrollo 1 % Fabricación 15 % Total 300 %
P13. ¿Sigue su empresa algún proceso para identificar las impresoras de alto riesgo (por ejemplo, las que se usan para imprimir documentos importantes o confidenciales)? Global Sí 30 % No 70 % Total 100 %
P14. ¿Sigue su empresa un proceso para restringir el acceso a las impresoras o a los documentos impresos de alto riesgo? Global Sí 34 % No 66 % Total 100 %
P15. ¿Qué medidas toma su empresa para proteger las impresoras y los documentos impresos? Global Formación de empleados 46 % Aplicación de políticas 49 % Trituración de documentos en cada oficina 39 % Uso de soluciones antivirus y antisoftware malicioso 18 % Implantación de protocolos de control de acceso a las impresoras de la red 13 % Recogida de documentos de cada oficina para triturarlos de forma centralizada 28 % Recogida de documentos en papel de contratistas externos para su eliminación segura 20 % Uso de certificados digitales y cifrado para imprimir en los dispositivos de la red 25 % Restricción de impresión automatizada en dispositivos concretos 10 % Restricciones de impresión automatizadas en archivos concretos 7 % Otras (especificar) 1 % Total 255 %
Informe de investigación de Ponemon Institute© Página 18
P16-1 ¿Cómo evaluaría el control que tiene su empresa sobre el uso y la protección de las impresoras? Utilice la siguiente escala para puntuar cada una de las medidas indicadas: 1 = excelente, 2 = bueno, 3 = aceptable, 4 = insuficiente, 5 = inexistente. Combinación de respuestas con puntuación de "excelente" y "bueno". Global Asignar derechos de acceso a las impresoras según la importancia de los documentos que se imprimen 29 % Establecer propiedad y responsabilidad sobre la impresora por función o cargo 28 %
Establecer y aplicar políticas de seguridad para impresoras de forma coherente en la empresa 18 %
Cifrar los datos que no se usan en el área de almacenamiento masivo de la impresora o en discos duros 22 % Cifrar los datos en uso en las impresoras de la empresa 21 %
Mantener registros de acceso a los datos en el área de almacenamiento masivo de la impresora o en discos duros 27 % Informar a los usuarios sobre el uso seguro de las impresoras y los periféricos 42 % Establecer procedimientos de supervisión para rastrear el uso y la ubicación física de las impresoras 32 % Integrar el acceso a las impresoras en un sistema de seguridad para la red o en una solución de gestión de eventos e información de seguridad 12 % Total 232 % P16-2 ¿Cómo evaluaría el control que tiene su empresa sobre el uso y la protección de las impresoras? Utilice la siguiente escala para puntuar cada una de las medidas indicadas: 1 = excelente, 2 = bueno, 3 = aceptable, 4 = insuficiente, 5 = inexistente. Se ha calificado de "inexistente" en los siguientes casos. Global Asignar derechos de acceso a las impresoras según la importancia de los documentos que se imprimen 56 % Establecer propiedad y responsabilidad sobre la impresora por función o cargo 54 %
Establecer y aplicar políticas de seguridad para impresoras de forma coherente en la empresa 66 %
Cifrar los datos que no se usan en el área de almacenamiento masivo de la impresora o en discos duros 63 % Cifrar los datos en uso en las impresoras de la empresa 62 %
Mantener registros de acceso a los datos en el área de almacenamiento masivo de la impresora o en discos duros 55 % Informar a los usuarios sobre el uso seguro de las impresoras y los periféricos 40 % Establecer procedimientos de supervisión para rastrear el uso y la ubicación física de las impresoras 52 % Integrar el acceso a las impresoras en un sistema de seguridad para la red o en una solución de gestión de eventos e información de seguridad 77 % Total 525 %
P17. ¿Qué factores son importantes para un control de impresoras eficaz en las redes de la empresa? Seleccione las cinco respuestas con las que esté más de acuerdo. Global Apoyo de la dirección ejecutiva 30 % Presupuesto amplio 45 % Tecnologías que cifran documentos importantes o confidenciales en las impresoras 55 % Tecnologías que restringen el acceso a los documentos en el área de almacenamiento masivo de las impresoras 52 % Las tecnologías que permiten detectar cuáles son las impresoras de alto riesgo (como las infectadas por software malicioso) 70 % Políticas de seguridad para impresoras claras, concisas y coherentes 34 % Concienciación y formación de los empleados con respecto al uso de las impresoras 50 % Asignación de derechos de acceso mediante métodos basados en el cargo o la función 49 % Aplicación de políticas estrictas contra el incumplimiento normativo 50 % Supervisión de dispositivos y usuarios 64 % Otras (especificar) 2 % Total 500 %
Informe de investigación de Ponemon Institute© Página 19
P18. A continuación, indicamos siete características específicas relacionadas con tecnologías que permiten a las empresas gestionar y proteger las impresoras, así como los documentos impresos. Puntúe cada característica según la escala de 10 puntos proporcionada debajo de cada elemento. 1 = no es importante, 10 = muy importante. P18a. Capacidad para establecer y supervisar políticas para todas las impresoras Global 1 o 2 1 % 3 o 4 4 % 5 o 6 21 % 7 u 8 42 % 9 o 10 31 % Total 100 % Valor extrapolado 7,46 P18b. Capacidad de detectar qué impresoras se conectan o desconectan de la red Global 1 o 2 1 % 3 o 4 4 % 5 o 6 30 % 7 u 8 39 % 9 o 10 26 % Total 100 % Valor extrapolado 7,22
P18c. Capacidad de configurar las impresoras para el cumplimiento de las políticas de seguridad específicas de la empresa Global 1 o 2 0 % 3 o 4 2 % 5 o 6 27 % 7 u 8 41 % 9 o 10 30 % Total 100 % Valor extrapolado 7,47 P18d. Capacidad de instalar y administrar certificados digitales en todas las impresoras Global 1 o 2 3 % 3 o 4 7 % 5 o 6 32 % 7 u 8 36 % 9 o 10 23 % Total 100 % Valor extrapolado 6,88
P18e. Capacidad de habilitar la comunicación cifrada entre dispositivos en todas las impresoras Global 1 o 2 1 % 3 o 4 4 % 5 o 6 27 % 7 u 8 39 % 9 o 10 29 % Total 100 % Valor extrapolado 7,33
Informe de investigación de Ponemon Institute© Página 20
P18f. Capacidad de administrar protocolos de seguridad para todas las impresoras desde una consola centralizada Global 1 o 2 0 % 3 o 4 1 % 5 o 6 16 % 7 u 8 37 % 9 o 10 47 % Total 100 % Valor extrapolado 8,10 P18g. Capacidad de detectar anomalías en cualquier impresora de la red empresarial Global 1 o 2 0 % 3 o 4 0 % 5 o 6 11 % 7 u 8 39 % 9 o 10 49 % Total 100 % Valor extrapolado 8,23 Parte 3. Datos sobre su función y la empresa D1. ¿Qué nivel empresarial describe mejor su cargo actual? Global Director ejecutivo/vicepresidente 3 % Director 16 % Jefe 21 % Supervisor 18 % Técnico 34 % Personal 7 % Contratista 2 % Otro 0 % Total 100 % D2. ¿Qué sector describe mejor su empresa? Global Agricultura y servicios alimentarios 1 % Comunicaciones 2 % Productos de consumo 5 % Defensa e ingeniería aeroespacial 1 % Educación e investigación 3 % Energía y suministro público 5 % Entretenimiento y medios de comunicación 2 % Servicios financieros 16 % Salud y farmacia 10 % Hostelería 5 % Industria 9 % Servicios públicos 12 % Venta minorista 9 % Servicios 9 % Tecnología y software 7 % Transporte 3 % Otro 1 % Total 100 %
Informe de investigación de Ponemon Institute© Página 21
D3. ¿Cuántos empleados tiene su empresa en todo el mundo? Global Menos de 100 11 % Entre 100 y 500 14 % Entre 501 y 1000 24 % Entre 1001 y 5000 26 % Entre 5001 y 25 000 12 % Entre 25 001 y 75 000 8 % Menos de 75 000 5 % Total 100 % Valor extrapolado 10 933
Ponemon Institute Gestión de información fiable
Ponemon Institute se dedica a la investigación y a la educación independiente, y proporciona información fiable, así como recomendaciones de gestión privada, a empresas y organismos gubernamentales. Nuestra misión es realizar estudios empíricos de gran calidad sobre temas importantes que afectan a la gestión y a la seguridad de información importante, tanto personal como empresarial. Como miembros del Consejo de Organizaciones de Investigación y Encuestas de Estados Unidos (CASRO), seguimos estrictos estándares de confidencialidad de datos, privacidad e investigación ética. No recopilamos información que pueda identificar a alguna persona (o a empresas en nuestros estudios empresariales). Es más, cumplimos estándares estrictos de calidad para garantizar que a los encuestados se les haga preguntas pertinentes y adecuadas.