Estudio Delito Digital 2008 Ernst & Young Resumen (2008)

t

Estudio Sobre Delito Digital - 2008 Ernst & Young, Argentina

Resumen de Resultados17 de Diciembre 2008

tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina

I.- Introducción.

Contenido

II.- Objeto.

III.- Hallazgos Clave.

V.- Anexo: Resumen de Participantes.

IV.- Hallazgos Colaterales y Otras Referencias.


I.- Introducción

Con un enfoque desde las nuevas normas incluidas recientemente en el Código Penal Argentino (Ley 26.388), el Estudio sobre Delito Digital 2008 -Ernst & Young Argentina, comprende un relevamiento dinámico sobre :- la situación actual del Delito Digital en la comunidad de los negocios, sus

características, los perjuicios que ocasiona, y el modo en que se procuracontrarrestarlo;

- las implicancias que las organizaciones entienden que esta nueva Ley les transfiere;

- la percepción que existe en las distintas industrias sobre posibles riesgos de delitos digitales.

Este Estudio fue realizado entre Noviembre y Diciembre, desarrollando un temario limitado con el que se encuestó a Organizaciones de variadas industrias.

Para difundir los hallazgos clave se elaboró el presente Resumen, a cuenta del correspondiente Reporte que se comunicará a la brevedad.


II.- Objeto

Este Estudio tiene por finalidad elaborar rápidamente un concepto genérico y muy aproximado de esta particular realidad, obteniéndose datos suficientes para:

1. dimensionar la magnitud de estos fenómenos;

3. estar en condiciones de compartir a la brevedad, con la comunidad de los negocios, con las autoridades y organizaciones a las que pueda resultarle de interés, y con la sociedad en general :

2. analizar sus características;

• las modalidades más comunes,

• los bienes en riesgo,

• la prevención necesaria,

• la percepción y las preocupaciones de las diferentes organizaciones.

Estudio Sobre Delito Digital – 2008 - Ernst & Young, ArgentinaPage 4

III.- Hallazgos Clave


III.- Hallazgos Clave

1. Se considera que la ley genera implicancias para las Organizaciones, pero no se estiman cambios importantes.

2. Se identificó un alto porcentaje de delitos digitales en las Organizaciones.

3. Los Accesos Ilegítimos, la sustracción de dispositivos móviles y la defraudación son los principales delitos digitales.

4. Las pérdidas en las Organizaciones por delitos digitales son significativas en relación a la facturación anual.

5. Los Accesos Ilegítimos y la sustracción de dispositivos móviles generan la mayor cantidad de pérdidas.

6. En pocos casos que fueron investigados se identificó a los autores de los delitos digitales.

7. Las personas con mayor conocimiento sobre la Organización aparecen recurrentemente como autores del delito digital.

8. Pese a su valor crítico, no está generalizada como práctica formal el aseguramiento y resguardo apropiados de la evidencia digital.


1. Se considera que la ley genera implicancias para las Organizaciones, pero no se estiman cambios importantes.

Nuestra Perspectiva:

Hallazgos Clave:4El 63 % de los consultados tiene una conocimiento

medio de la ley y solo el 9 % tiene un alto entendimiento de la misma.

4El 28% tiene un bajo conocimiento de la nueva ley.

4El 33 % de los consultados considera que la nueva ley genera un alto grado de implicancias en la Organización.

4El 72 % de los consultados entiende que habrá solo un nivel medio de cambios en la organización a partir de la sanción de la ley.

28 %

13 %

15 %

63 % 54 %72 %

9 %

33 %

13 %

¿Cuál es suconocimiento de la

nueva ley?

¿Considera que lanueva ley genera

implicancias para laOrganización?

¿Estima que serealizaran cambios a

nivel organización a raízde la sanción de la ley?

BajoMedio Alto

¿Cómo considera usted que es el riesgo de que otras organizaciones en su industria se vean afectadas por incidentes del tipo "Delito

Digital"?Bajo21%

Medio 69%

Alto10%4Se insinúa como necesaria una mayor difusión y

concientización en relación a algunas pautas de la ley, como por ejemplo las referidas a Protección de Datos Personales, que imponen implicancias importantes para las organizaciones (implementaciones eficientes para seguridad y confidencialidad)


2. Se identificó un alto porcentaje de delitos digitales en las Organizaciones

Ha sufrido su Organización durante el ultimo año algún delito digital?

SI73%

NO11%

NO SABE16%

Otros

Contra la PropiedadIntelectual

Contra el CorreoElectrónico

Delitos extorsivos osimilares

Defraudaciones

Sustracción deDispositivos Móviles

Accesos ilegítimos

10%

19%

24%

29%

8%

6%

4%

De que tipo fueron los Delitos Digitales?

Hallazgos Clave:

4En consideración a los tipos que sanciona ahora el Código Penal, los delitos digitales que hoy ocurren en las organizaciones abarcan una amplia variedad.

4 84 de las 115 Organizaciones encuestadas, sufrieron delitos digitales en el último año.

4Casi todos los encuestados refieren no conocer si ha habido tráfico de pornografía infantil mediante uso ilegítmo de sus recursos tecnológicos. Muy pocos afirman categóricamente que no lo hubo.

Nuestra Perspectiva:4Algunas irregularidades perjudicaban a las

organizaciones recurrentemente aún con anterioridad a ser calificadas como delitos. Tales los casos de los Accesos Ilegítimos, o algunos modos de Defraudación, cuyas figuras han sido recientemente incluidas en el Código Penal.

4Se precisa una acción más efectiva contra la pornografía infantil. Incluso en salvaguarda de los riesgos para la propia organización.


3. Los Accesos Ilegítimos, la sustracción de dispositivos móviles y la defraudación son los principales delitos digitales.

Nuestra Perspectiva:4Se evidencia un alto riesgo, el cual también se

percibe en las distintas industrias, según refieren las propias organizaciones encuestadas.

4Se impone una atención especial sobre los Accesos Ilegítimos y la Sustracción de Dispositivos Móviles, para su análisis y la definición de los emprendimientos necesarios para contrarrestarlos.

Otros - 4%

Contra la Propiedad Intelectual - 6% Contra el Correo Electrónico - 8%

Delitos extorsivos o similares - 10%

Hallazgos Clave:4El 72% de los casos de Delitos Digitales corresponden a

Accesos Ilegítimos, Sustracción de Dispositivos Móviles y Defraudación..

4Es muy importante la cantidad de Sustracción de Dispositivos Móviles (59 casos), del que obviamente debe deducirse el impacto por la pérdida de información.

4La mayor proporción de los casos de fraude involucra manipulación y/o acceso a datos.

Accesos Ilegítimos - 29%

14%

Datos Personales 10%

Otros Datos40%Denegación de Servicio

Virus o Malware 36%

Sustracción de Dispositivos Móviles - 24%

Notebooks/laptops58%

Dispositivos Externos de

almacenamiento22%

BlackBerry, iPhone o PDA 20%

Defraudaciones - 19%

Phishing33% Pharming

12%

Acceso ilegitimo a datos 43%

Alteración de la transmisión de datos 12%


4. Las pérdidas en las Organizaciones por delitos digitales son significativas en relación a la facturación anual.

Hallazgos Claves: 4Un gran número de empresas encuestadas no ha estado en posibilidad de informar la relación entre las pérdidas y la facturación.

4Algunas empresas sufren pérdidas que están en el rango del 20 al 29% .

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

0 a 9 0 a 9 %% 10 a 19 10 a 19 %%

20 a 29 20 a 29 %:%:

NO SABE NO SABE Pérdidas en relación a la Facturación:

Casos de Organizaciones que han sufrido Delitos Digitales

Cant. de Respuestas : 45 de las 84 organizaciones que han sufrido delitos digitales dan una referencia sobre la cuantificación de las pérdidas.

Promedio : 0 a 9 % de la Facturación Anual

4No siempre es sencilla la rápida valoración de las pérdidas cuando el perjuicio para la compañía no se ha reducido solamente al monto de lo defraudado. Frecuentemente suelen involucrar aspectos relacionados con la imagen y otros bienes intangibles que son de difícil cuantificación “a priori”.

4El impacto en cuanto a la continuidad de la operaciones es más grave en las Organizaciones medianas y pequeñas.



0 A 9 % 10 a 19 %0

5

10

15

20

25

30

35

40

45

50%

20 a 29 %

Pérdidas en relación a la Facturación

OTROS

CONTRA LA PROPIEDAD INTELECTUAL

EXTORSIVOS O SIMILARES

CONTRA CORREO ELECTRÓNICO

DEFRAUDACION

SUSTRAC. DE DISPOSIT. MÓVILES (Laptops)

ACCESOS ILEGITIMOS

DELITOS


4Podrían contrarrestarse estos delitos con acciones más eficientes destinadas a la prevención, alerta, investigación, etc.

4Las proporciones referidas a Defraudación mediante utilización de tecnología, guardan relación con otros relevamientos que se efectuaran sobre Fraude del tipo general en las organizaciones.

4Hay riesgos colaterales que imponen otros perjuicios no abarcados en las pérdidas cuantificadas al inicio de los incidentes detectados.

5. Los Accesos Ilegítimos y la sustracción de dispositivos móviles generan la mayor cantidad de pérdidas.

Hallazgos Clave:4Los accesos ilegítimos (a datos personales, otros datos, sistemas y programas), la sustracción de

dispositivos móviles y las distintas defraudaciones, no solo son los delitos digitales que más se repiten, sino que también son los que más pérdidas ocasionan a las organizaciones.

4Los Delitos contra la Propiedad Intelectual también aparecen con un índice relevante.


Nuestra Perspectiva:4Al ser desbordados los controles de prevención,

detección y alertas tempranas por parte de los autores de delitos digitales, el éxito de las investigaciones depende de un conjunto de circunstancias (oportunidad, eficaz manejo de la situación crítica, tratamiento adecuado de la evidencia digital, etc.).

4Es necesario establecer previamente planes y cursos de acción para respuesta eficaz a este tipo de incidentes.

Hallazgos Claves:4Es alto el porcentaje de casos en que las

organizaciones disponen no emprender investigaciones por delitos digitales que las afectan.

4Entre los delitos digitales no investigados, principalmente se destacan los más repetidos y que más pérdidas ocasionan (Accesos Ilegítimos a datos, sistemas, programas; Sustracción de Dispositivos Móviles).

4Solo el 25% de los casos investigados corresponde a los delitos en que se identificara a los responsables.

SINONO SABE:

54%54%32 %

14%

0

10

20

30

40

50

60

70

Profesionales Especializados Externos

Justicia / Policía

Ejecutivos o Profesionales de la Compañía

NO se Identificóa los autores

Se Identificó a los autores

Se lograron indicios para sospechas fundadas sobre la identidad de los autores

%

¿Se investigaron los delitos digitales ocurridos en la organización?

6. En pocos casos que fueron investigados se identificaron los autores de los delitos digitales.


Hallazgos Claves:4Estudiados varios tipos de delitos según la

tipificación del Código Penal, hay una proporción significativa de los que sus responsables son o han sido miembros de las Organizaciones afectadas.

02468

101214161820

DEFRAUDACIONES:

CONTRA CORREO

ELECTRÓNICO

DELITOS EXTORSIVOS

O SIMILARES

SUSTRAC. DISPOSIT.

MOVILES

(Laptops, otros)

CONTRA PROPIEDAD

INTELECTUAL

SE IGNORA PROCEDENCIA

TERCEROS IDENTIFICADOS

EX - MIEMBROS DE LA COMPAÑÍA

MIEMBROS DE LA COMPAÑÍA

DATOS

PERSONALES

OTROS DATOS

SISTEMAS

Y PROGRAMAS

OTROS DELITOS

ACCESOS ILEGÍTIMOS

%

7. Las personas con mayor conocimiento sobre la Organización aparecen recurrentemente como autores del delito digital.

Nuestra Perspectiva:4La alta proporción de delitos de los cuales se ignora la

pertenencia de sus autores, guarda relación con la gran cantidad de casos que no se han resuelto en una investigación.


NO61%

SI39%

¿se formalizó denuncia policial o judicial?

31,11%31,11%

26,67%26,67%42,22%42,22% NO SABE

SISINONO

¿Se dispuso búsqueda y resguardo formal de los indicios, procurando asegurar su valor probatorio?

Si, con asesoramiento tecnolSi, con asesoramiento tecnolóógicogicoexterno.externo.

Si, con recursos de la Compañía.

Si, con asesoramiento JurSi, con asesoramiento JuríídicodicoExterno. 5%

47%

49%

¿Qué recursos se utilizaron para asegurar el valor probatorio de los indicios?

8. Pese a su valor crítico, no esta generalizada como práctica formal el aseguramiento y resguardo apropiados de la evidencia digital.

4No se aprecia una cultura sobre el tratamiento adecuado que corresponde a la evidencia digital, para que pueda ser luego considerada con valor probatorio suficiente en un proceso judicial.

Hallazgos Claves:

4Se precisa difundir el conocimiento de que la práctica forense sobre la materia es de rigurosa necesidad, y que condicionan severamente la evolución de las investigaciones de estos delitos.


4Pocos casos se denuncian ante la justicia o policía.


IV.- Hallazgos Colaterales y Otras Referencias


IV.- Hallazgos Colaterales y otras Referencias

Durante el presente estudio se han evidenciado algunas otras circunstancias relacionadas directa o indirectamente con el fenómeno del Delito Digital:

I.- Insuficiente difusión sobre el contenido de la reforma al Código Penal, y las implicancias para las organizaciones:

Algunos aspectos referidos a la Protección de Datos Personales, en que se configura alguno de los delitos condicionándolo a la conducta previa de violación de implementaciones de seguridad y confidencialidad.

Adicionalmente, no deben dejar de considerarse las normas vigentes sobre la materia, que obligan a las organizaciones a la eficiencia en tales implementaciones.

Ej.:


IV.- Hallazgos Colaterales y otras Referencias (Cont.)

II.- Necesidad de mayores emprendimiento para la prevención en general:

Seguridad Física Patrimonial, tanto en el ambiente de tecnología de la información, como en otros controles, tales como los de acceso de la Compañía y/o sectores internos restringidos (en relación a los riesgos de sustracción de dispositivos móviles, uno de los delitos más recurrentes).

Ej.:


III.- El resultado exitoso que es dable esperar de las investigaciones por Delitos Digitales depende de un conjunto de condiciones que no siempre pueden lograrse:

Son muchas las investigaciones que no permiten identificar a los autores de los Delitos Digitales, o bien, no logran reunirse en ellas las pruebas para acreditar las responsabilidades de los mismos, y que convenzan de ello suficientemente al Juez.

- la detección o descubrimiento en forma oportuna;Ej.:

- el hallazgo de evidencia suficiente;

- el valor probatorio de la evidencia;

- en muchas ocasiones, la intervención de la autoridad judicial, en razón de que determinada información que es necesaria, está abarcada por la debida protección legal a la privacidad, y por ello solo un Juez puede requerirla;

- la idoneidad de quienes protagonicen la investigación;

- otros condicionamientos de tipo jurídico.

Tal frustración inevitablemente condiciona la posibilidad de que la Organización afectada reciba el oportuno resarcimiento por las pérdidas que ha sufrido.

Mejor es Prevenir

IV.- Hallazgos Colaterales y otras Referencias (Cont.)


V.- Anexo: Resumen de Participantes.

Ciento quince Organizaciones de diferentes industrias, se prestaron a ser encuestadas para este Estudio.

16

14

11

11

10

9

6

5

5

28 Otros

Salud - Educación

Industrial – Productos de consumo

Servicios financieros – Bancos

Servicios profesionales

Tecnología y Telecomunicaciones

Industrial – Productos industriales

Energía y servicios públicos

Seguros

Industrial – Automotriz

(Inmobiliaria y construcción, Mayoristas y Distribución, Agropecuaria, Compañías de productos farmacéuticos,

Medios y entretenimiento, Transporte, Sin fines de lucro)

INDUSTRIAS

6

2

9

19

14

7

119

5

10

5 5

13

Otros

Directo

r de aud

itoría

interna

Administrado

r de red/s

istema

Ejecutivo

de segu

ridad infor

mática

Ejecutivo

de tecn

ología

informáti

ca

Princip

al resp

onsable

de riesg

os

Princip

al resp

onsa

blede t

ecnolog

ía(C

TO)

Princip

al resp

onsable

de seguri

dad(C

SO)

Princip

al resp

onsable

de seguri

dadde la

inform

ación (C

ISO)

Princip

al resp

onsable

de inform

ación (C

IO)

Princip

al resp

onsa

blefin

ancie

ro(C

FO)

Princip

al resp

onsable

operativ

o (COO)

Princip

al resp

onsa

bleejec

utivo(C

EO)

POSICIÓN DEL ENCUESTADO

>$AR 1.000 a millones

2424

1515

1923

212113

<$AR 100 millones

$AR 100 a $AR 250 millones



NO MENCIONA

FACTURACION ANUAL

3535

29292323

2020

88 Menos de 250

Entre 250 y 499

Entre 500 y 999

Entre 1.000 y 4.999

Más de 5.000

CANTIDAD DE EMPLEADOS


Ernst & Young

Assurance | Tax | Transactions | Advisory

About Ernst & YoungErnst & Young is a global leader in assurance, tax, transaction and advisory services. Worldwide, our 130,000 people are united by our shared values and an unwavering commitment to quality. We make a difference by helping our people, our clients and our wider communities achieve potential.

For more information, please visit www.ey.com

Ernst & Young refers to the global organization of member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients.

About Ernst & Young’s Technology Risk and Security Services Information technology is one of the key enablers for modern organizations to compete. It gives the opportunity to get closer, more focused and faster in responding to customers, and can redefine both the effectiveness and efficiency of operations. But as opportunity grows, so does risk. Effective information technology risk management helps you to improve the competitive advantage of your information technology operations, to makethese operations more cost efficient and to manage down the risks related to running your systems. Our 6,000 information technology risk professionals draw on extensive personal experience to give you fresh perspectives and open, objective advice – wherever you are in the world. We work with you to develop an integrated, holistic approach to your information technology risk or to deal with a specific risk and security issue. And because we understand that, to achieve your potential, you need a tailored service as much as consistent methodologies, we work to give you the benefit of our broad sector experience, our deep subject matter knowledge and the latest insights from our work worldwide. It’s how Ernst & Young makes a difference.

www.ey.com

© 2008 EYGM Limited. All Rights Reserved.

This publication contains information in summary form and is therefore intended for general guidance only. It is not intended to be a substitute for detailed research or the exercise of professional judgment. Neither EYGM Limited nor any other member of the global Ernst & Young organization can accept any responsibility for loss occasioned to any person acting or refraining from action as a result of any material in this publication. On any specific matter, reference should be made to the appropriate advisor.

http://www.ey.com

http://www.ey.com

Estudio Delito Digital 2008 Ernst & Young Resumen (2008)

Business

Transcript of Estudio Delito Digital 2008 Ernst & Young Resumen (2008)