Tendencias en Cyber Riesgos y Seguridad de la Información · de la Información en Latinoamérica...

Tendencias en Cyber Riesgos y Seguridad

de la Información

Agosto 2016

Estudio de Tendencias en Latinoamérica 2016

1. Introducción al Estudio de Deloitte sobre Cyber Riesgos y Seguridad

de la Información en Latinoamérica en 2016

2. Resumen de las Tendencias Identificadas

3. Principales Resultados y Hallazgos

4. Conclusiones Finales

Agenda

© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016 2


Introducción al Estudio

Introducción al Estudio de Deloitte sobre Cyber Riesgos y Seguridad

de la Información en Latinoamérica en 2016

4

Iniciativa Regional que permite identificar las tendencias en Cyber Riesgos y

Seguridad de la Información

• Realizado entre Enero y Abril de 2016.

• Reuniones y Entrevistas con CISOs, Líderes

y responsables de gestionar Cyber Riesgos y

Seguridad de la Información de

organizaciones de múltiples industrias.

• Las organizaciones participantes reciben un

reporte de benchmarking personalizado

© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016

El Estudio 2016 en números

5

Gobierno Presupuesto e

Inversiones Amenazas

SOC

Mejores

Prácticas

Tecnologías

Se relevaron

tendencias

generales y

particulares 1 Información

obtenida de

forma directa

de los

responsables

de Gestionar

la Seguridad

2

89/ 14/

Organizaciones

participantes

Países

La Encuesta

Incluyó 41

preguntas

3


6

Consumo Masivo y Manufactura

23%

Energia y Recursos Naturales

8%

Servicios Financieros 10%

Ciencias de la Vida y Cuidado de la Salud

1%

Banca 43%

Sector Público 6%

Tecnología, Medios Y telecomunicaciones

9%


Industrias y Sectores Económicos Participantes


Resumen de las Tendencias

Identificadas

Principales Tendencias

8

2 A PESAR DE QUE LAS ORGANIZACIONES

INCREMENTAN SUS PRESUPUESTOS, LA

PRINCIPAL BARRERA QUE ENFRENTAN LOS

CISOs SIGUE SIENDO LA FALTA DE

PRESUPUESTO Y/O DE RECURSOS SUFICIENTES

MENOS DEL 10% DE LAS

ORGANIZACIONES CUENTAN CON

INDICADORES (KPIs) Y/O TABLERO DE

GESTION INTEGRAL DE RIESGOS DE

SEGURIDAD 3

4 DE CADA 10 ORGANIZACIONES SUFRIERON UNA

BRECHA DE SEGURIDAD EN LOS ULTIMOS 24 MESES

MENOS DEL 20% DE LAS ORGANIZACIONES

CUENTAN CON UN SOC (Security Operation Center) 1

LA CAPACITACIÓN Y CONCIENTIZACIÓN ES

LA INICIATIVA DE SEGURIDAD QUE MAYOR

CANTIDAD DE ORGANIZACIONES

EJECUTARAN EN 2016 4 © 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016


Principales Resultados y

Hallazgos

Conformación del área de Seguridad de la Información

10

Ejecutivo responsable de Gestionar Cyber Riesgos y

la Seguridad de la Información

Existe un ejecutivo asignado

[PERCENTAGE] Si, más de uno 5%

[CATEGORY NAME] se cuenta

con ejecutivo asignado

[PERCENTAGE]


Conformación del área de Seguridad de la Información (cont.)

11

Nivel de Reporte de la Función

Auditoria Interna 1%

Chief Operations Officer (COO)

4% Junta directiva

2%

Comité de Seguridad 3%

Ejecutivo de TI 11%

No Aplica / No Sabe 11%

Chief Executive Officer (CEO) 12% Chief Technology Officer

(CTO) 3%

Otro: 21%

Chief Risk Officer (CRO) 15%

Chief Information Officer (CIO) 17%


Estrategia de Cyber Riesgos y Seguridad de la Información

12

Documentada y Aprobada

[PERCENTAGE]

Documentada pero no aprobada

16%

A desarrollar y aprobar en los próximos 12

meses 26%

Sin documentar [PERCENTAGE]

Documentación y formalización


Principales obstáculos y barreras que enfrenta el CISO

13 © 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016

#1/

#2 /

Falta de Presupuesto y/o Recursos

Suficientes (50%)

Falta de Visibilidad y/o Influencia en la

Organización (37%)

• Menos del 25% de las Organizaciones consideran que la complejidad de las

amenazas hace más difícil gestionar la seguridad

• Sólo un 15% considera que las nuevas tecnologías dificultan la gestión de seguridad

Responsabilidades del CISO

14

+ 50%

6%

9%

15%

20%

21%

29%

33%

34%

38%

43%

44%

46%

54%

56%

57%

61%

61%

61%

64%

65%

65%

66%

66%

71%

73%

76%

76%

78%

No conoce

Comprobación de antecedentes

Administración de fraude

Administración de continuidad de negocio

Seguridad física

Plan de recuperación ante desastres

Seguridad de terceras partes y socios de negocio

Monitoreo de marcas y riesgos externos que afecten a la…

Arquitectura de SI

Investigaciones

Administración del riesgo de TI (tecnología de la…

Administración de programa de riesgos en SI

Seguridad del perímetro de la red (ej. Firewall)

Seguridad de la infraestructura (ej. Antivirus)

Presupuesto de SI

Administración de usuarios

Seguridad de las aplicaciones

Seguridad de los datos

Evaluación del riesgo de SI

Administración de accesos

Cumplimiento y control de SI

Indicadores, métricas y reportes de SI

Administración de vulnerabilidades

Respuesta ante incidentes

Estrategia y planificación de SI

Gobierno de SI (políticas, normas, estándares)

Monitoreo de eventos de SI

Concientización y capacitación en SI


60%

38%

2%

Presupuesto de Seguridad de la Información

15

Presupuesto de SI en relación al % Presupuesto TI

Distribución del presupuesto

36%

17%

3%

35%

3%

6%

No Sabe

4-6%

0%

1-3%

10-11%

Mayor al 11%

No responde

47%

71%

59%

58%

7%

Sueldos del personal propio

Contrataciones de Servicios yTercerización de Funciones

Licencias de Softwareespecífico de SI

Infraestructura de SI

Otros

Cuenta con un presupuesto

definido No Informa

El presupuesto de

Seguridad está bajo

otras funciones

Ej. IT


Evolución del Presupuesto respecto 2015

16

20%

29%

20%

3%

9%

18%

Reducción del presupuesto

Mantenimiento del mismo presupuesto

Incremento de entre 1% y 5%

Incremento de entre 6% y 10%

Incremento mayor al 10%

No aplica /No conoce


Principales iniciativas para el 2016

17

1

2

3

4

5

Capacitación y concientización en Seguridad de la

Información

Gobierno de Seguridad de la Información (SI)

Alineación de la SI con el negocio

Protección de datos sensibles

Generación de indicadores, medición y reporte de SI


Tecnologías de Seguridad

18

Antivirus (100%)

Firewalls (99%)

Antispam (82%)

Anti spyware (71%)

Filtro de contenido (60 %)

Sistema de Detección o Prevención de

Intrusos (IDS/IPS) (64%)

Vulnerability management (52%)

Network access control (42%)

Más Utilizadas

Administración de identidades

federada (12%)

Cifrado de almacenamiento /

dispositivos móviles (17%)

Enterprise Single Sign On (19%)

Incident management workflow (22%)

Seguridad / Cifrado de datos en

reposo (22%)

Menos Utilizadas


Brechas de Seguridad

19

Vectores:

• Software malicioso (malware, troyano,

virus, ransomware) que ingresa desde

fuera de la organización

• Incidente causados por un ataque físico

(ej. laptop robada)

• Incidente de seguridad ocasionado por

un empleado (utilización de privilegios

excesivos)

Impacto Económico/Financiero:

• La mayoría No sabe o No aplica (+57%)

• Para aquellos que han evaluado, el 38%

informa que el incidente no ha tenido

impacto financiero

• El 20% sufrió perdidas inferiores a los

USD 250,000 y un 5% pérdidas

superiores a dicho monto.

Ha sufrido una brecha externa y/o interna de seguridad en los últimos 24 meses?


Si [PERCEN

TAGE]

No [PERCENTAGE]

Capacidades de Monitoreo y Respuesta ante Incidentes


No se cuentan con capacidades de loggeo de información de eventos de

seguridad 14%

Se cuenta con capacidades de loggeo de información de eventos de seguridad pero no se monitorean dichos

eventos, sólo se cuenta con capacidades para realizar

análisis forense post-evento 41%

Se realizar un monitoreo 7-24 de información de eventos técnicos de

seguridad (ej. Logs de firewalls, logs de Active

Directory, etc) 28%

Se cuenta con capacidades de monitoreo de eventos técnicos y de negocio (ej. Correlación de eventos de intentos fallidos de acceso

con geolocalización de browser del usuario y con logs transaccionales de

aplicaciones) 15%

No Conoce 2%

Utilización de un SOC (“Security Operation Center”)

21

Sin Respuesta [PERCENTAGE]

[CATEGORY NAME]

[VALUE]%

A ser implementado durante 2016

16%

Si, se cuenta con un Centro de

Operaciones de Seguridad

25%


Debilidades en Controles de Seguridad – Hallazgos de Auditoría

22

01

02

03

04

05

Inadecuada segregación de funciones

Privilegios de acceso excesivos

Continuidad de negocio y recuperación

ante desastres

Las políticas y estándares de seguridad

no han sido implementados

Eliminación de privilegios de acceso ante

cambios en la función o desvinculación


Prácticas de Administración de Usuarios y Accesos


En el 55% de las

Organizaciones

el proceso de

administración de

usuarios y

accesos es

totalmente

manual

1

Sólo el 25% de las

organizaciones ha

implementado una

herramienta Word-

class para

provisionar

usuarios,

menos del 15%

para administrar

roles y perfiles

2

Sólo 1 de cada 4

organizaciones

revisa y certifica

periódicamente

los accesos y

permisos

existentes en

sistemas

3

Protección de Datos Personales


+80% de las

Organizaciones

deben cumplir con

regulaciones o leyes

de protección de

datos personales

Sólo la mitad han

asignado recursos con

dedicación a proteger

datos personales

1 de cada 4

organizaciones han

sufrido brechas de

seguridad con impacto

en datos personales


Conclusiones Finales

Consideraciones finales


Si bien existe conciencia sobre la importancia de la seguridad de la

información, los CISOs en América Latina aún luchan por convencer a la

organización para que inviertan en Seguridad 1

2

Los CISOs en Latinoamérica tienen bastante claridad y acuerdo

en el alcance de sus responsabilidades y procesos. En ese

alcance generalmente no se incluye la seguridad física ni la

continuidad de negocio.

4

El desarrollo de capacidades para monitorear y responder a las

cyber amenazas representa una necesidad urgente, las

organizaciones aún se encuentran en un estado temprano de

madurez en prácticas de Monitoreo y SOC

3

En un contexto de nuevas y más sofisticadas cyber amenazas, las

Auditorías de Seguridad siguen identificando debilidades básicas de

seguridad en segregación de funciones y administración de usuarios.

Estos aspectos continúan siendo un área a mejorar por los CISOs


Muchas Gracias!!

Acerca de Deloitte

Deloitte presta servicios profesionales en auditoría, impuestos, consultoría y asesoramiento financiero a organizaciones públicas y privadas de diversas industrias.

Con una red global de firmas miembro en 140 países, Deloitte brinda su experiencia y profesionalismo de clase mundial para ayudar a sus clientes a alcanzar el éxito

desde cualquier lugar del mundo en el que éstos operen.

Los 165.000 profesionales de la Firma están comprometidos con la visión de ser modelo de excelencia; están unidos por una cultura de cooperación basada en la

integridad y el valor excepcional a los clientes y mercados, en el compromiso mutuo y en la fortaleza de la diversidad. Disfrutan de un ambiente de aprendizaje

continuo, experiencias retadoras y oportunidades de lograr una carrera en Deloitte. Sus profesionales están dedicados al fortalecimiento de la responsabilidad

empresarial, a la construcción de la confianza y al logro de un impacto positivo en sus comunidades.

Deloitte se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente. Por favor, vea en

www.deloitte.com/about la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro.

Tendencias en Cyber Riesgos y Seguridad de la Información · de la Información en Latinoamérica...

Documents

Transcript of Tendencias en Cyber Riesgos y Seguridad de la Información · de la Información en Latinoamérica...