Encuesta Sai v4

Prcticas de Seguridad de Informacin
de las Empresas en Venezuela

Edicin 2011
Resultados de
Encuesta 2010
www.pwc.com/ve
Espieira, Sheldon y Asociados
4 Inicio
2 Prcticas de Seguridad de Informacin de las empresas en Venezuela
Indice Imprimir Salir
La Gestin de la Seguridad de la
Informacin busca establecer y mantener
programas, controles y polticas que
tengan como nalidad conservar la
condencialidad, integridad y
disponibilidad de la informacin. El
incumplimiento de cualquiera de estos
objetivos expone a la organizacin a
riesgos de diversa ndole, que pueden
afectar el patrimonio y reputacin de la
organizacin.
Por otro lado, la seguridad de informacin
no es un hito, sino ms bien un estado que
requiere un proceso continuo de
renovacin y mantenimiento que
determina la necesidad de inversin,
planicacin y medicin de los objetivos
cumplidos.
Las dos aseveraciones anteriormente
mencionadas nos llevan entonces a una
conclusin: La seguridad de la
informacin, debe estar inmersa en la
estrategia del negocio y en la cultura de la
organizacin.
Atrs qued la poca que la seguridad era
una mejor prctica o algo que pudiese
diferirse; ante situaciones de crisis como
las que afrontamos, las organizaciones son
menos tolerantes a fallas o prdidas
nancieras y ambas reas son de inters
de la gestin de seguridad de informacin.
En este escenario surge la necesidad de
establecer un enfoque estratgico de la
seguridad de informacin, y es por ello
que el entendimiento de lo que ocurre en
el mercado y sus tendencias, son
fundamentales para establecer una
gestin de seguridad de informacin
eciente y en sintona con los objetivos del
negocio.
Introduccin
Hoy tenemos el agrado de presentarles
nuestra octava (8
va
) edicin de la Encuesta
sobre la prctica de la seguridad de
informacin en las empresas venezolanas.
Como es habitual, hemos incorporado al
anlisis de los resultados, cifras
comparativas de las ediciones anteriores y
de la encuesta global de PwC, lo cual
permitir al lector ahondar en la opinin
de los encuestados con una retrospectiva
en los avances y retrocesos que la
seguridad de la informacin ha sufrido a lo
largo de este ao, y una comparacin con
el mercado internacional.
Agradecemos a todas las empresas que
dieron respuesta a nuestra encuesta y que
nos permitieron establecer una visin de
las tendencias y estrategias de las
organizaciones en Venezuela en materia de
seguridad, as como los principales
incidentes, obstculos y aplicacin de las
mejores prcticas de seguridad y TI, as
como observar el nivel de madurez sobre la
forma en el cual se percibe la privacidad de
la informacin en las diferentes
organizaciones.
Introduccin
En la octava Encuesta Anual Prcticas de
Seguridad de Informacin de las Empresas
en Venezuela desarrollada por Espieira,
Sheldon y Asociados, fueron convocadas
empresas de diversos sectores de la
actividad econmica del pas, tanto del
sector pblico como privado, las cuales se
encuentran distribuidas porcentualmente
de acuerdo a lo que se especica en la
Figura N 1.
La informacin recabada corresponde al
ltimo trimestre del ao 2010 y su
procesamiento y anlisis se llev a cabo
durante el primer trimestre del 2011.
Participacin
Del total de empresas venezolanas
participantes, se destaca como el sector
de mayor participacin este ao, el de
Banca/Seguros/Servicios Financieros
con el 34%. El sector Manufactura se
encuentra en el segundo lugar (28%) y
en tercer lugar se encuentra el sector
Ventas y Distribucin (12%).
Figura N 1. Distribucin de las empresas venezolanas participantes por sector
P. A cul de los siguientes sectores pertenece su empresa?
Otros
Laboratorios /
Farmacuticos
Servicios
Tecnologa y
Telecomunicaciones
Ventas y
Distribucin
Banca/
Seguros
Entretenimiento y Medios
2%
2%
34%
12%
7%
7%
28%
4%
4%
Manufactura Servicios de salud
Esta edicin est orientada a conocer la
aplicacin efectiva de la seguridad de
activos de informacin en las empresas
venezolanas, as como tambin reejar las
prcticas actuales, tendencias, obstculos
de aplicacin y uso de mejores prcticas.
La encuesta fue distribuida en formato
electrnico a nuestros clientes y
relacionados para su participacin; y
estuvo conformada por un total de treinta y
cinco preguntas agrupadas en diferentes
secciones.
Este ao se adicionan una nueva seccin a
la encuesta referente a la Inversin en
Seguridad de la Informacin.
Los temas considerados en este estudio
estn divididos en cinco grandes secciones
que agrupan las consultas, a saber:
Seccin I: Organizacin y Planicacin
de la Seguridad de la
Informacin
Seccin II: Alineacin y Estrategias de
Seguridad de la Informacin
Seccin III: Brechas e Incidentes de
Seguridad
Seccin IV: Inversin en Seguridad de la
Informacin
Seccin V: Mejores prcticas y estndares
internacionales
Introduccin
Ficha tcnica
Organizacin y planicacin de la
Seguridad de la Informacin (SI)
Seccin I
Resultados
Seccin I:
Organizacin y planicacin de la Seguridad de la Informacin (SI)
Los resultados obtenidos de la presente
encuesta, indican que apenas un 5% de los
encuestados no poseen una estructura
encargada de dirigir y supervisar los
procesos de la FSAI
1
, esta es una tendencia
esperada si lo comparamos con los aos
anteriores y se toma en cuenta las
regulaciones locales e internacionales,
como es el caso de la Normativa de
Tecnologa de Informacin, Servicios
Financieros Desmaterializados, Banca
Electrnica, Virtual y el Lnea para los
Entes Sometidos a Control, Regulacin y
Supervisin de la Superintendencia de
Bancos y Otras Instituciones Financieras,
que indica que para el sector bancario
debe existir una funcin o unidad de
seguridad de la informacin,
independiente del rea de Tecnologa de
Informacin, Auditora y Riesgo.
Estructura Organizativa
En cuanto a la lnea de autoridad o
reporte, el 62% de las empresas
encuestadas manifestaron que las
actividades de la FSAI dependen de la
unidad de Tecnologa de Informacin,
mostrando un decrecimiento de 6 puntos
porcentuales en relacin al ao anterior,
lo cual puede explicarse por la tendencia
a la adopcin de regulaciones locales e
internacionales y una eventual
maduracin de la FSAI.
Asimismo, se observa un incremento de
seis puntos porcentuales de las empresas
que reportan al rea de Riesgo
Operacional y se mantiene la proporcin
de aquellas que se encuentran adscritas
a la Gerencia General/Comit. Por otra
parte, tambin se muestra el aumento de
otras unidades de reporte, tal como se
muestra en la Figura N 2.
Figura N 2. Estructura de Reporte de la FSAI
P. De qu Departamento/Unidad depende la Funcin de Seguridad de la Informacin en su empresa?
n 2009 n 2010
0
10
20
30
40
50
60
70
80
Otro Auditora
Interna
Riesgo
operacional
Contralora Gerencia
General
/Comit
Tecnologa de
Informacin
68%
62%
12% 12%
2%
4%
7%
1%
0%
3%
12%
3%
1
Funcin de Seguridad de Activos de Informacin
Resultados
Seccin I:
n 2008 n 2009 n 2010
En las organizaciones donde existe una
FSAI formalmente constituida, ste
estudio indica que al igual que en aos
anteriores existe un alto porcentaje donde
la estructura organizativa est conformada
por menos de cinco personas (52%).
Estructura Organizativa y nivel de reporte
Por otro lado, la categora Entre 10 y 20
personas aument trece puntos
porcentuales en relacin al ao anterior,
mientras que la categora Menos de 5
personas disminuy diecinueve puntos
en relacin al ao anterior, lo que puede
interpretarse como un incremento en la
complejidad de las estructuras de la
FSAI.
Figura N 3: Nmero de personas que conforman la FSAI en las empresas venezolanas
P. Indique el nmero de personas que conforman la Funcin de Seguridad de la Informacin en su empresa.
52%
71%
68%
19%
13%
23%
13%
0% 0%
16%
15%
9%
0
10
20
30
40
50
60
70
80
Mas de 20 personas Entre 10 y 20 personas Entre 5 y 10 personas Menos de 5 personas
52%
Ms de la mitad de las estructuras
FSAI encuestadas est formada por
menos de cinco personas
Resultados
Seccin I:
Uno de los aspectos que recurrentemente
se incluye en la encuesta, est relacionado
con la existencia de polticas y
procedimientos de Seguridad, su nivel de
formalizacin, divulgacin, monitoreo y
cumplimiento de los procedimientos.
Es as como este ao la interrogante est
enfocada en conocer no slo de la
existencia de las polticas y procedimientos
sino a conocer el nivel de administracin
de stos por parte de la Organizacin.
Polticas y Procedimientos: Gestin de la Funcin de Seguridad de la Informacin
Como se observa en la Figura N 4, un
total de 94% de las empresas ha
desarrollado polticas y procedimientos
de Seguridad de la Informacin, sin
embargo slo el 39% de stas empresas
las mantienen formalizadas y difundidas,
y tan solo un 7% de ste grupo
monitorea y mide su cumplimiento.
Esto puede explicarse considerando que
el ciclo de vida de la seguridad de
informacin plantea como primeras
acciones la denicin de las
mencionadas polticas, y luego la
adopcin de medidas de monitoreo y
mejora continua. Bajo esta premisa, los
resultados de esta pregunta sugieren que
para la mayora de las empresas
participantes, la FSAI se encuentra en
una etapa temprana de su
estructuracin.
Figura N 4: Nivel de madurez en la adopcin de Polticas y Procedimientos en las empresas
P. Cmo considera se encuentra actualmente la Funcin de Seguridad de la Informacin en su Organizacin?
94% de las empresas encuestadas
ha desarrollado polticas y
procedimientos de
Seguridad de la Informacin.
0 10 20 30 40 50
Se han desarrollado algunos
procesos de Seguridad
de la Informacin, sin embargo
no se han formalizado
ni comunicado los
procedimientos estndar
48%
Los procedimientos de
se han estandarizado y
documentado formalmente.
Los procedimientos han
sido difundidos a
travs de entrenamiento
39%
Es posible monitorear y medir
el cumplimiento de los
procedimientos y corregir
cuando no funcionan
de forma efectiva
7%
No existen procesos
definidos de Seguridad
de la Informacin
4%
La administracin de la
es informal y reactiva
2%
94%
Resultados
Seccin I:
El Plan Estratgico de Seguridad de la
Informacin permite a las organizaciones
orientar las estrategias de seguridad para
mitigar los riesgos derivados por el uso de
la tecnologa, siendo cada vez de mayor
relevancia establecer metas de mediano y
largo plazo para la seguridad de
informacin.
Sin embargo, la existencia de un plan
estratgico de SI permanece con una baja
prioridad de organizaciones venezolanas.
As lo demuestra, la respuesta de los
encuestados al consultarle sobre la
existencia de un Plan Estratgico de
Seguridad, donde se seala que slo 21%
no posee la denicin del Plan,
disminuyendo en 4 puntos en relacin al
ao anterior.
Denicin del Plan Estratgico de Seguridad de la Informacin (SI)
Por otra parte, se mantiene con mayor
porcentaje en relacin al ao anterior el
rea de participacin en la denicin del
Plan Estratgico de Seguridad de la
Informacin, representado por el rea de
Tecnologa de Informacin con un 35%,
dos puntos adicionales versus la encuesta
pasada.
Es importante recordar que la ausencia
de un Plan Estratgico de Seguridad,
diculta la determinacin de las
actividades de seguridad que permitan
identicar, crear y agregar valor a los
procesos de negocio y por ende diculta
el cumplimiento de los objetivos de la
FSAI y de la organizacin.
Fig.N 5: Distribucin de las unidades que participan en la denicin del Plan Estratgico de Seguridad
P. Qu reas de la Organizacin participan en la Definicin del Plan Estratgico de Seguridad de la Informacin?
35%
33%
21%
25%
13% 13%
11%
7%
8%
11%
5%
7% 7%
4%
Otro Contralora Seguridad
Integral
Riesgo
Operacional
Auditora
Interna
No existe
un Plan
Estratgico
de Seguridad
formalmente
documentado
Tecnologa de
informacin
0
5
10
15
20
25
30
35
n 2009 n 2010
Slo el 21% de las empresas encuestadas indic no poseer un
Plan Estratgico de Seguridad de Informacin
21%
Resultados
Seccin I:
La participacin de la alta gerencia en
temas de SI es clave para alcanzar los
objetivos y uno de los principales
indicadores de su nivel de involucramiento
es la conformacin o incorporacin de SI
en reuniones de alto nivel y la frecuencia
de estas reuniones.
Este ao se percibe un incremento en la
ejecucin y frecuencia de reuniones
orientadas a abordar temas de SI. Solo
28% de los encuestados respondi no
ejecutar este tipo de reuniones, lo que
representa siete puntos porcentuales
menos que el ao anterior, armando la
tendencia acumulada de un descenso.
El otro aspecto resaltante es que la
prctica con mayor aceptacin es la
reunin mensual, y la reduccin sensible
en la ejecucin de reuniones semestrales.
En la Figura N 6 se muestra la
distribucin de las respuestas para sta
pregunta.
Frecuencia de reuniones
Figura N 6: Frecuencia de reuniones para el anlisis de los temas de SI
P. Con qu frecuencia la Alta Gerencia, Comit de Seguridad, Riesgo o Tecnologa se renen para discutir las
necesidades de la Seguridad de la Informacin y objetivos del negocio?
24%
19%
18%
17%
10%
9%
14%
19%
12%
17% 17%
19%
28%
35%
42%
0
10
20
30
40
50
No se renen Anualmente Semestralmente Trimestralmente Mensualmente
o menos
n 2008 n 2009 n 2010
Resultados
Seccin I:
Entre los principales obstculos que
presentan las organizaciones para la
prctica de la SI, los resultados indican que
el mayor de ellos es la falta de cultura y
adiestramiento de los usuarios (34%),
seguido de la poca participacin entre los
departamentos (30%) y la falta de tiempo
dedicado a la seguridad (27%).
El cuarto mayor obstculo est
representado por la restriccin de
presupuesto (21%), sin embargo, el 45%
indic que aumentara en relacin al ao
anterior y slo un 7% indic que
disminuir.
Estas cifras parecieran indicar que el
tema presupuestario pierde relevancia
como inhibidor de la SI, dando paso a
temas relacionados con la organizacin y
las personas. Ver Figura N 7 con los
resultados.
Principales retos en la Estrategia de Seguridad de la Informacin (SI)
Figura N 7: Principales obstculos para la implantacin de un Plan Estratgico de SI
P. Cules son los principales obstculos que presenta su negocio para la prctica de seguridad de activos de
informacin e indique en qu medida?
0 20 40 60 80 100
Falta de personal
especializado en seguridad
Diseo inadecuado
de la estrategia de SI
Complejidad de los productos
/ cambios tcnicos
7 52 41
14 24 62
Falta de polticas de
seguridad de informacin
14 34 52
Falta de apoyo por
parte de la Alta Gerencia
17 31 52
Falta de herramientas
o tecnologas estables
17 34 49
18 41 41
Restricciones de presupuesto 21 52 27
Falta de tiempo dedicado
a la seguridad
27 49 24
Poca participacin
entre departamentos
30 49 21
Falta de cultura /
adiestramiento de usuarios
34 59 7
%
n Es un gran obstculo n Medianamente un obstculo n No es un obstculo
Resultados
Seccin I:
Alineacin y estrategias de
Seccin II

Resultados
Seccin II:
Alineacin y Estrategias de Seguridad de la Informacin
La adopcin de soluciones en SI, implica
no slo la identicacin de la mejor
herramienta o proveedor que cumpla con
los objetivos de negocio sino tambin el
establecimiento de un ambiente de control
que haga un uso efectivo de estos recursos.
Esta seccin recoge informacin sobre
las soluciones estratgicas de seguridad
que las empresas venezolanas consideran
de importancia. De nuestra pregunta
a los encuestados sobre las principales
estrategias de seguridad y su prioridad,
el primer lugar lo ocupa la denicin /
mejora de la gestin de usuarios y perles
de acceso basado en roles (RBAC) (58%),
seguido de soluciones para la redundancia
de equipos y telecomunicaciones para
mejorar la disponibilidad de los servicios
(51%) y el diseo u optimizacin del Plan
de Continuidad de Negocio (51%).
Por el contrario, entre las soluciones
con menor porcentaje en cuanto a
importancia se encuentra el diseo u
optimizacin del Plan Estratgico de
Seguridad (30%) y la implantacin de de
controles de seguridad en la plantaforma
tecnolgica (41%). La distribucin de
las respuestas pueden observarse en la
Figura N 8.
Comparando estas cifras con las de
aos anteriores, las tres principales
prioridades han permanecido en esta
posicin. Pareciera entonces que son
proyectos que por sus caractersticas
resultasen difciles de concretar, pese
a la necesidad que SI identica en su
ejecucin. En la siguiente pregunta se
ahonda sobre la puesta en marcha de
dichas iniciativas.
Prioridad en soluciones de SI para la Organizacin
Figura N 8: Principales soluciones estratgicas de SI e importancia en su adopcin
P. Indique la importancia de las siguientes soluciones estratgicas en su organizacin:
Definicin / mejora de la
gestin de usuariosy perfiles de
acceso basado en roles (RBAC)
58 4 34 4
0 20 40 60 80 100
Redundancia de equipos
y telecomunicaciones /
Alta disponibilidad
51 4 30 15
Diseo / Optimizacin del
Plan de Continuidad
del Negocio
51 4 35 10
Optimizacin / implantacin
del proceso de gestin de
incidentes y logs de auditora
45 34 21
Definicin / mejora de
la estructura de la Funcin de
Seguridad de Informacin
41 8 34 17
Implantacin de controles
de seguridad en
la Plataforma Tecnolgica
41 4 45 10
Diseo / mejora del
Plan Estratgico
de Seguridad
30 54 16
%
n Alta n Media n Baja n No es prioridad
Resultados
Seccin II:
Para complementar el anlisis anterior,
se consult sobre el nivel de adopcin de
las soluciones estratgicas descritas en la
Figura N 9 en las empresas venezolanas.
La implantacin de controles de seguridad
en la plataforma tecnolgica se presenta
con amplio margen como la primera
iniciativa adoptada (71%) y de las que
presenta menos ndice de inexistencia.
La conformacin de la funcin de
seguridad de la informacin (58%) y
gestin de usuarios y perles de acceso
basado en roles (RBAC) (55%) se
presenta muy cerca en los resultados
obtenidos, sin embargo es notable que
RBAC supere a la conformacin del FSAI
si consideramos tambin la respuesta
de aquellas empresas que manifestaron
tenerlo en proyecto.
Recordemos que esta iniciativa tambin
se present como una de las prioridades
para las organizaciones durante el ao
2010, lo que apunta a sugerir que la
gestin de identidades es una tendencia
del mercado, pero a su vez un proyecto
complejo que se extiende en su ejecucin.
Nivel de adopcin de soluciones estratgicas
Figura N 9: Nivel de adopcin de las soluciones estratgicas de SI
P. Indique el nivel de adopcin de las siguientes soluciones estratgicas en su Organizacin
n Activo / Funcionando n Diseado / Estructurado n En Proyecto n No existe
0 20 40 60 80 100
Adopcin / Certificacin
en estndares
Clasificacin
de la informacin
Plan Estratgico
de Seguridad
Adopcin de leyes sobre
privacidad y regulaciones que
impacten a la Organizacin
Optimizacin de
procesos de TI
Plan de Continuidad
del Negocio
Gestin de incidentes
y logs de auditora
Gestin de
usuarios y perfiles
de acceso basado
en roles (RBAC)
Conformacin de la Funcin
de Seguridad de Informacin
Implantacin de
controles de seguridad
en la Plataforma Tecnolgica
71 3 17 9
58 17 17 8
55 3 25 17
48 3 21 28
31 17 31 21
31 10 38 21
31 16 22 31
28 23 21 28
28 8 31 33
8 16 21 55
%
Resultados
Seccin II:
Por segundo ao consecutivo se consult
sobre la frecuencia de los adiestramientos
impartidos al personal de la FSAI: Slo
el 12% de los entrevistados indic no
recibir adiestramiento, lo cual representa
una disminucin en quince puntos
porcentuales con respecto al ao anterior.
Se puede apreciar cmo este resultado
es consistente con la frecuencia de los
adiestramientos, donde adems se
identica un mayor incremento en la
planicacin anual o semestral de cursos
de formacin al personal de la FSAI, con
respecto al ao anterior.
Adiestramiento de Personal
Figura N 10: Frecuencia en el adiestramiento del personal de la FSAI
P. Cul es la frecuencia de los adiestramientos del personal encargado de la seguridad de los activos de informacin?
0
10
20
30
40
50
No se reciben adiestramientos Eventualmente Semestralmente Anualmente
24%
19% 19%
13%
42%
40%
12%
27%
n 2009 n 2010
Resultados
Seccin II:
La tcnica ms utilizada por las empresas
venezolanas para evaluar la efectividad del
ambiente de control interno y Seguridad
de Informacin, son las Auditoras de
Seguridad ejecutadas por organizaciones
externas a la Compaa(35%) que,
seguida de las Auditoras de Seguridad
realizadas por personal interno de la
Compaa(27%), agrupan al 62% de los
encuestados.
Este resultado guarda relacin con
los hallazgos de aos anteriores, pero
observando una disminucin de las
auditoras internas a favor de tercerizar
estas evaluaciones, y un leve repunte
de dos puntos porcentuales en el uso de
herramientas automatizadas. Ver Figura
N 11.
Tcnicas usadas
Figura N 11: Tcnicas utilizadas para evaluar la efectividad del ambiente de control y la gestin de SI
P. Cules tcnicas son usadas en la Organizacin para evaluar la efectividad del ambiente de control interno y
Seguridad de Informacin? (Puede seleccionar ms de una respuesta)
0
5
10
15
20
25
30
35
Ninguna Herramientas
automatizadas
Pruebas
de penetracin
Auditoras de
Seguridad
realizadas por
organizaciones externas
Auditoras de
Seguridad realizadas
por personal interno
27%
35%
62%
16%
19%
3%
Resultados
Seccin II:
Se consult a las empresas venezolanas
sobre el uso de servicios de terceros
(outsourcing) en procesos o actividades
relacionadas con servicios de SI.
De acuerdo con los resultados se obtiene
que los ms servicios ms utilizados
son: Desarrollo e implementacin de
aplicaciones (71%), Mesa de Ayuda y
Soporte Tcnico (55%) y Hosting (52%),
tal y como se muestra en la Figura N 12.
En general, en la totalidad de las reas
consultadas se observ crecimiento,
particularmente en la Mesa de Ayuda y
Soporte Tcnico, ocupando el segundo
lugar de las opciones de tercerizacin
ms utilizadas.
Servicios tercerizados
Figura N 12: Servicios de TI que usualmente son tercerizados en las empresas venezolanas
P. Cul es el alcance de los servicios prestados por terceros en procesos o actividades de tecnologa y/o seguridad?
(Puede marcar ms de una respuesta)
0
10
20
30
40
50
60
70
80
Operaciones
de Seguridad
Otros Operaciones
de datos
Gestin
de Redes
Hosting Mesa de
Ayuda y
Soporte
Tcnico
Desarrollo e
Implementacin
de Aplicaciones
71%
55%
52%
12%
7% 7%
2%
Resultados
Seccin II:
Es importante recordar que en los procesos
o actividades que son tercerizados, se est
transriendo no slo un servicio sino que
tambin se transeren los riesgos que se
derivan de este, sin obviar que los riesgos
impactaran no slo a la contratista sino
tambin a la contratante.
As lo considera, por ejemplo, la
normativa emitida por la SUDEBAN
denominada Normativa de Tecnologa
de Informacin, Servicios Financieros
Desmaterializados, Banca Electrnica,
Virtual y el Lnea para los Entes
Sometidos a Control, Regulacin y
Supervisin de la Superintendencia de
Bancos y Otras Instituciones Financieras,
que indica que para el sector bancario
las obligaciones que impone esta norma
deben ser igualmente transferidas a sus
proveedores.
Ahora bien, los principales riesgos que las
empresas han identicado al transferir
procesos o actividades a un tercero, son
la Condencialidad (86%), seguido de
Incumplimiento de Niveles de Servicios
(74%) y la Propiedad Intelectual,
Integridad de Datos y la Auditabilidad de
la Gestin.
Riesgos derivados de la tercerizacin
Figura N 13: Riesgos derivados de la delegacin de funciones y servicios a terceros
P. Cules son los riesgos que usted considera existen con la delegacin de funciones a terceros?
0 20 40 60 80 100
Confidencialidad
86%
Incumplimiento de
Niveles de Servicios
74%
Propiedad
intelectual
43%
Integridad
de datos
43%
Auditabilidad
de la gestin
43%
Continuidad
de Negocio
33%
Otro 5%
Resultados
Seccin II:
Brechas e incidentes de seguridad
Seccin III
Resultados
Seccin III:
En cuanto a las principales preocupaciones
en relacin a los temas de seguridad de la
informacin de las empresas encuestadas,
se indag sobre cules tecnologas han sido
identicadas como una preocupacin de
seguridad de la informacin.
El resultado que muestra la Figura N
14, revela como la mayor preocupacin
a los medios extrables (66%) y los
equipos mviles (56%), tecnologas que
si las comparamos con los resultados
obtenidos de las dos ltimas encuestas de
Seguridad de la Informacin, continan
siendo las principales preocupaciones,
pero notndose una disminucin de diez
puntos porcentuales en medios extrables
y un crecimiento equivalente en equipos
mviles.
Otro aspecto que destaca es el
crecimiento de las soluciones de Cloud
Computing y SaaS
2
como segunda
mayor preocupacin, as como la sensible
reduccin en los temas de virtualizacin,
lo que podra interpretarse como un
crecimiento en el inters y uso de las
organizaciones en soluciones en la nube,
y la conanza ganada por virtualizacin
durante el ao.
Tecnologas bajo la atencin de la FSAI
Figura N 14: Nivel de riesgo en tecnologas segn las empresas encuestadas
P. Indique, segn una escala del 1 al 5, Cul de las siguientes tecnologas ha identificado como una preocupacin en la
seguridad de la informacin en su Organizacin? (5 representa la mxima atencin y 1 la mnima)
0 20 40 60 80 100
Virtualizacin
de Servidores
Medios Extrables 66 66 66 6 6
Equipos Mviles 56 7 17 10 10
Aplicaciones
de cdigo abierto
10 14 21 28 28
Cloud Computing /
SaaS (Software
como Servicio) / Hosting
7 28 17 17 31
3 10 31 35 21
Telefona de
Voz sobre IP
10 7 24 28 31
%
2
Software como servicio (software as a service)
n Mxima n 4 n 3 n 2 n Mnima
Resultados
Seccin III:
En relacin con los incidentes de
seguridad que han afectado a las empresas
venezolanas en ste ltimo ao, se
evidencia un reordenamiento en relacin
con los principales incidentes: Nuevamente
aparece la infeccin por virus como la
primera causa, seguida este ao por la
falla en servicio, que sube del cuarto al
segundo lugar de los principales incidentes
en las organizaciones. El robo de porttiles
retrocede a un tercer lugar y robo o acceso
a la informacin se ubica como el cuarto
incidente de mayor ocurrencia en las
organizaciones.
Es importante destacar que los
resultados presentados en la Figura N
15 evidencian que al menos 69% de las
organizaciones encuestadas ha tenido al
menos un evento de seguridad de cada
tipo de los ubicados en los primeros tres
lugares.
Incidentes de Seguridad: impacto, causas y efectos
Figura N 15: Nmero de incidentes de seguridad de SI en el ltimo ao
Cmo se ha visto afectada su Compaa con relacin a incidentes de seguridad en el ltimo ao?
0 20 40 60 80 100
Infeccin
por Virus
Modificacin
de informacin
7 3 21 69
Modificacin no
autorizada
a programas
7 14 79
Falla en
servicio
14 28 41 17
Robo de
equipos
14 10 45 31
Robo / Acceso
a la informacin
14 3 17 66
14 14 62 10
%
n Ms de 10 n 6 - 10 n 1 - 5 n No hubo
Resultados
Seccin III:
Sobre las acciones realizadas, se le
consult a las empresas venezolanas Cul
ha sido la accin tomada al detectar un
incidente de seguridad de la informacin
y el nivel de dicultad de su ejecucin?,
siendo los rubros con mayor porcentaje
la accin de reporte al departamento de
seguridad (67%), sanciones disciplinarias
al personal (25%), cambio de polticas
organizacionales (25%). En la gura
N 16 se describe la distribucin de las
respuestas.
En comparacin con los resultados del
ao anterior, se evidencia un crecimiento
importante en la participacin de la
FSAI en la reaccin ante el evento, y una
disminucin en el nmero de respuestas
que indican como imposible ejecutar
cualquiera de las acciones all planteadas.
Acciones tomadas para la gestin de incidentes
Figura N 16: Acciones tomadas para gestionar los incidentes de seguridad
P. Cul ha sido la accin tomada al detectar un incidente de seguridad de la informacin y el nivel de dificultad de
su ejecucin?
%
0 20 40 60 80 100
Reportar al
departamento
de seguridad
Sanciones
disciplinarias
al personal
Cambio de
polticas
organizacionales
Contratar una
consultora
de seguridad
Instalar
soluciones
de seguridad
adicionales
Identificar
causa /
responsable
17 54 29
21 41 38
21 43 29 7
25 34 34 7
67 17 13 3
25 58 17
Nivel de dicultad de la accin: n Fcil n Medio n Difcil n Imposible
Resultados
Seccin III:
En relacin con las causas que
permitieron el incidente, encontramos
un comportamiento consistente con las
respuestas de preguntas anteriores, con
ligeras variaciones con respecto a los
resultados de aos anteriores.
Las principales causas permanecen siendo
el Uso abusivo de los recursos / Privilegios
y Falla o deciencia en el proceso de
actualizacin del software / Hardware,
seguido de conguraciones de seguridad
inadecuadas.
La principal variacin con respecto
al ao pasado -y que parece ser una
tendencia, ya que se repite por tercer
ao consecutivo- es la disminucin
de Conguraciones de seguridad
inadecuadas, como causa del incidente,
la cual es desplazada al tercer lugar este
ao.
Principales causas de ocurrencia de incidentes
Figura N 17: Principales causas de la ocurrencia de incidentes de SI
P. Cules fueron las causas de la ocurrencia de los incidentes de seguridad? (Puede marcar ms de una respuesta)
0
10
20
30
40
50
60
70
80
Otro Ingeniera
social
Vulnerabilidades
en el software
base / hardware
Vulnerabilidades
en aplicaciones
o procesos
Configuraciones
de seguridad
inadecuadas
Falla o
deficiencia
en el proceso
de actualizacin del
software / hardware
Uso abusivo
de los recursos
/ privilegios
67%
64%
55%
52%
45%
26%
2%
Resultados
Seccin III:
Aunado al resultado anterior, tenemos
que los encuestados maniestan que
stos incidentes fueron imputados a
personal empleado (88%), doce puntos
porcentuales por encima que los dos
ltimos aos, muy distanciado del resto del
resto de los grupos causantes.
Este resultado es recurrente con
respecto a aos anteriores y ratica
que las empresas siguen siendo
vctimas principalmente de su
personal, situacin que se ha visto
incrementado notablemente en este
ao, reforzando de esta forma el criterio
que que las personas que conocen a las
organizaciones son potencialmente ms
riesgosos. Ver Figura N 18.
Origen de los incidentes reportados
Figura N 18: Origen de los incidentes de SI reportados entre los aos 2008 y 2010
P. Cul considera Ud. fue el origen de los incidentes de seguridad de informacin reportado en su organizacin?
0
20
40
60
80
100
Otros Ex-empleado Hackers / Atacantes Proveedores
/ Contratados /
Consultores
Empleado
88%
24% 24%
17%
2%
Resultados
Seccin III:
Las consecuencias pueden ser diversas,
desde la prdida de operatividad de
la plataforma tecnolgica, hasta la
afectacin de la imagen y reputacin
de la organizacin. En este contexto, se
consult a las empresas las potenciales
consecuencias de perder o comprometer
informacin sensible de su Organizacin,
donde 5 representa la mxima atencin y 1
la mnima.
El 66% de los encuestados coincide en
sealar que la prdida de ingresos es
la principal consecuencia, seguida de
la prdida de conanza por parte de
clientes y relacionados (59%) y daos a
la reputacin y a la marca (59%).
En la Figura N 19 se puede observar la
distribucin de los resultados.
Incidentes de Seguridad: impacto, causas y efectos (continuacin)
Figura N 19: Consecuencias de la prdida, falta de integridad y disponibilidad de informacin
P. Enumere, en orden de prioridad, en una escala del 1 al 5, las consecuencias si se perdiera, comprometiera o no
estuviese disponible informacin sensible de su Organizacin. (5 representa la mxima atencin y 1 la mnima)
0 20 40 60 80 100
Prdida
de ingresos
Prdida de
confianza
de clientes
y relacionados
Daos a
la reputacin
y a la marca
Prdida
de Clientes
Sanciones o
Acciones
regulatorias
Dao en la
relacin
con los
empleados
17 29 31 10 13
34 29 17 13 7
48 29 13 7 3
59 21 13 3 3
59 21 17 3
66 17 11 3 3
%
n Mxima n 4 n 3 n 2 n Mnima
Resultados
Seccin III:
Inversin en Seguridad de Informacin (SI)
Seccin IV
Resultados
Seccin IV:
Inversin en Seguridad de Informacin
Con relacin a la inversin de Seguridad
de la Informacin, en la Figura N 20 se
muestra el comportamiento de la inversin
de Seguridad de la Informacin en las
empresas venezolanas para los prximos
12 meses.
Es as que el 45% de las organizaciones,
estima que habr un aumento de la
inversin, incremento de dos puntos
porcentuales en relacin al ao anterior.
A pesar de la crisis econmica, slo
un 7% de los encuestados estima
que ocurrir una disminucin del
presupuesto de inversin en relacin al
ao anterior, lo que sigue raticando
el compromiso de las empresas en
mantener controles de seguridad
ecientes que garanticen la proteccin de
la informacin.
Inversin en Seguridad de la Informacin
Figura N 20: Nivel de inversin en SI para el ao 2011
P. En su opinin Cmo considera usted que ser la inversin en Seguridad de la Informacin para los prximos doce
(12) meses comparado con el ltimo ao?
0
10
20
30
40
50
Se cancelar Se diferir Disminuir Se incrementar
45%
Se mantendr igual
48%
7%
0% 0%
Resultados
Seccin IV:
En el caso de una eventual disminucin
en el presupuesto de Seguridad de la
Informacin, el 86% de las organizaciones
encuestadas manifest que tal accin
traera como consecuencia un incremento
en los riesgos de seguridad, seguido de
un 74% que considera que tal accin
propiciara un incremento en las
amenazas a los activos de informacin
y un 60% preve incumplimiento de
los Acuerdos de Nivel de Servicio
relacionados con la Seguridad de la
Informacin.
Impacto de una reduccin del presupuesto de SI
Figura N 21: Impacto de una posible reduccin del presupuesto de SI
P. Cmo cree usted que puede impactar la reduccin de la inversin en Seguridad de la Informacin? (Puede marcar
ms de una respuesta)
0
20
40
60
80
100
Otros Un adecuado
nivel de seguridad
ser ms difcil
de alcanzar
El cumplimiento
regulatorio
se har
ms complejo
Incumplimiento
de los
Acuerdos de
Nivel de Servicio
relacionados con la
Seguridad
de la Informacin
Incremento
en las amenazas
a los activos
de informacin
Incrementar
los riesgos
de seguridad
86%
74%
60%
55% 55%
2%
Resultados
Seccin IV:
Si se compara la porcin del presupuesto
de Seguridad de la Informacin con
relacin al presupuesto de Tecnologa de
Informacin, se observa que la mayora
de los encuestados coincide en que esta
representa menos del 5% del presupuesto
de TI.
Sin embargo, resulta interesante
analizar que para el 26% de las empresas
encuestadas el presupuesto se ubica
entre un 5% y 10%, aumentando este
grupo en nueve puntos porcentuales en
relacin al ao anterior.
Proporcin de presupuesto de SI en relacin al presupuesto de TI
Figura N 22: Proporcin de presupuesto de SI en relacin al presupuesto de TI
P. Cul es la proporcin porcentual, en promedio, del presupuesto de Seguridad de la Informacin con relacin al
presupuesto de Tecnologa de Informacin?
0
5
10
15
20
25
30
No sabe/ No contesta Ninguno% Mayor de 15% Entre 10 y 15% Entre 5 y 10% Menos de 5%
29% 29%
26%
17% 17% 17%
21%
23%
0%
6%
7%
8%
n 2010 n 2009
Resultados
Seccin IV:
La distribucin y uso del presupuesto
se concentra en el cumplimiento de
polticas internas (76%), capacitacin y
adiestramiento (69%) y la Continuidad
de Negocio / Recuperacin ante desastres
(67%).
Slo un 7% por ciento de las empresas
estima utilizar el presupuesto para
la tercerizacin de las actividades de
Seguridad, lo cual parece una respuesta
cnsona con las opiniones sobre que la
conabilidad de la informacin pudiera
verse afectada por la tercerizacin de
los procesos o actividades de la FSAI
segn se reporta en la Seccin II de esta
encuesta, Figura N
o
13.
Distribucin y uso del presupuesto de SI
Figura N 23: Distribucin y utilizacin del presupuesto de SI
P. Hacia dnde considera usted que est orientada la inversin de Seguridad de la Informacin en su Organizacin?
0
10
20
30
40
50
60
70
80
Otros Tercerizacin
de las
actividades
de Seguridad
Incremento
de la
Estructura
de Personal
Certificacin
en Estndares
de Seguridad
Consultora Cumplimiento
de
regulaciones
Continuidad
de
Negocio/
Recuperacin
ante desastres
Capacitacin
y
adiestramiento
Cumplimiento
de
polticas
internas
76%
69%
67%
62%
33% 33%
21%
7% 7%
Resultados
Seccin IV:
Al consultar a las organizaciones Cul
de las siguientes estrategias ha sido
considerada por su Organizacin con
el n de reducir los costos asociados a
Tecnologa de Informacin?, respondieron
que la virtualizacin de ambientes (55%)
es la estrategia mayormente empleada,
seguida de un 38% de la optimizacin de
procesos y un 34% con la estandarizacin
de plataformas.
Contrario a lo que se pudiera pensar,
la ltima estrategia que consideran
los encuestados para la reduccin de
costos en Seguridad y Tecnologa de
Informacin es la reduccin de personal
con un 86%, lo que nos lleva a pensar que
las estructuras actuales de se encuentran
optimizadas o reducidas a su menor
tamao, requiriendo evaluar otras
alternativas.
Estrategias para la reduccin de costos
Figura N 24: Estrategias utilizadas por las empresas para reducir los costos asociados a TI
P. Cul de las siguientes estrategias ha sido considerada por su Organizacin con el fin de reducir los costos asociados
a Tecnologa de Informacin?
0 20 40 60 80 100
Virtualizacin
de ambientes
Optimizacin
de procesos
Estandarizacin
de plataformas
Consolidacin de
centros y procesos
Incorporacin de
aplicaciones de
cdigo abierto
Adopcin de modelos
de centros de servicios
compartidos
Reduccin
de Personal
3 11 86
55 38 7
38 55 7
34 53 13
21 62 17
21 7 72
11 34 55
%
n Implementado n Planicado n No se considera
Resultados
Seccin IV:
Mejores prcticas de seguridad
Seccin V
Resultados
Seccin V:
Al indagar sobre el estatus de adopcin
e implantacin de estndares y mejores
prcticas, se observa que el 34% de las
empresas venezolanas cuentan con la
adopcin y operacin de ITIL
3
, nueve
puntos porcentuales por encima del ao
anterior.
Implantacin de estndares y mejores prcticas
Figura N 25: Estatus de implantacin de estndares y mejores prcticas de TI
P. Indique el estatus de implantacin de los siguientes estndares y mejores prcticas en su organizacin
n Est implementado y operativo n Est planicado n No est planicado
3
ITIL: Information Technology Infraestructure Library
Figura N 26: Benecios de la adopcin de estndares y mejorares prcticas
P. Cun efectivo ha sido la adopcin de estos estndares en la atencin de los siguientes requerimientos?
n Efectivo n Neutral n Inecaz n No sabe / No Contesta
Benecios de la adopcin
de mejores prcticas
Al consultar a los encuestados sobre
los benecios de la adopcin de estos
estndares, los resultados indican
que el mayor de los benecios est
representado por la estandarizacin
de los procesos de TI y la continuidad
del negocio con un 70% cada una,
seguido de la mejora en la calidad de
los servicios de TI (53%), tal como se
muestra en la Figura N 26.
Esto arma la efectividad de
los esfuerzos en cuanto a la
implementacin de mejores prcticas.
Reduccin
de costos en TI
Mejora en la percepcin
de los usuarios
Mejora en la
calidad del servicio de TI
Continuidad
del negocio
Estandarizacin
de los procesos de TI
3
70
48
70 53 38
24
20 17 20 20 28
10 13
24
10
32
BS25999:
Business Continuity
Management Standard
ISO27000:
Information Security
Stardard Series
45
48
7
COBIT:
Control Objective
for Information and
related technology
42
48
10
ITIL:
Information
Technology
Infraestructure Library
24
42
34
PCI:
Payment
Card Industry

10
13 70
3 7
90
Resultados
Seccin V:
Consideraciones nales
Los resultados obtenidos este ao con
esta encuesta a las organizaciones
venezolanas sobre la Seguridad de
la Informacin, reejan avances en
la Gestin de la Seguridad, as como
tambin, la consolidacin de la FSAI
como un participante importante dentro
de las organizaciones, que agrega valor
al negocio. Es importante mencionar
que cada ao se hace mayor la necesidad
de la denicin y normalizacin de un
Plan Estratgico de Seguridad de la
Informacin, con lo que sin duda alguna,
se puede armar que existe un apoyo real a
la consecucin de las metas y objetivos del
negocio.
Cada da las empresas se enfrentan a
nuevos retos en donde salvaguardar
la privacidad, condencialidad y
disponibilidad de la informacin se hace
ms arduo, y donde la preparacin ante
la ocurrencia de eventos es cada vez
ms exigente. Es por ello que existe la
necesidad de incorporar una FSAI que
dena y dirija ecientemente estrategias
y controles que garanticen una gestin
segura de los procesos de negocio.
Consideraciones nales
Buscando respuestas
Para alcanzar los objetivos y metas que de
acuerdo a su estrategia mantienen muchas
de las Organizaciones, stas realizan
esfuerzos a travs de la denicin de una
FSAI, organizar de forma adecuada sus
recursos con base al entendimiento que
hoy en da en lo que respecta a Seguridad
de Informacin se tiene de acuerdo a las
mejores prcticas, aplicacin de estndares
y experiencias en la aplicacin de stos a
nivel global.
Es por esto que un enfoque apropiado
implica el tratamiento de la seguridad
desde un rol estratgico en los procesos de
negocio, buscando el equilibrio adecuado
entre la proteccin y la habilitacin de
acceso a los activos de informacin en lnea
con los objetivos estratgicos del Negocio.
La nocin de Seguridad de Informacin
como un habilitador de negocios es, en la
actualidad, un concepto esencial para las
organizaciones de cualquier sector de la
economa nacional.
Espieira Sheldon y Asociados ha realizado las comprobaciones necesarias para asegurar que toda la informacin utilizada para la elaboracin de este informe, procede de fuentes ables y rene un grado de precisin adecuado.
An aceptando la premisa anterior, Espieira Sheldon y Asociados, no garantiza en ningn modo la plena veracidad y exactitud de la informacin que contiene este informe. Por ello, aunque el trabajo y las conclusiones que se derivan del mismo
cumplan con los mximos estndares de calidad, esta publicacin no pretende ofrecer, en ningn caso, las cifras denitivas de los tpicos aqu tratados.
Caracas
Ocina Principal
Avenida Principal de Chuao
Edicio del Ro
Apartado Postal 1789
Caracas 1010-A
Telfonos: 58 212 700-6666
Fax: 58 212 991-5210
Barquisimeto
Urbanizacin El Parque
Calle Los Comuneros
Centro Ejecutivo Los Leones
Piso 5, PH 5-2
Telfonos: 58 251 255-4983
58 251 255-0061
58 251 255-0404
Fax: 58 251 254-6284
Maracaibo
Avenida 9B entre Boulevard 5 de
Julio y Avenida Dr. Portillo
Edif. Banco Industrial, Piso 6
Apartado Postal 490
Telfonos: 58 261 797-9805
58 261 797-9806
58 261 798-3869
Fax: 58 261 798-8194
Maracay
Avenida Las Delicias,
Urbanizacin El Bosque
Edicio Banvenez, Centro
Financiero, Piso 2
Telfonos: 58 243 232-2742
58 243 232-2745
Fax: 58 243 232-2742
Puerto La Cruz
Av. Intercomunal Andrs Bello
Sector Las Garzas
Centro Comercial MT (CCMT)
Piso1, local 39
Lecheras
Telfonos: 58 281 267-0845
58 281 418-7935 al 38
Fax: 58 281 286-9616

Puerto Ordaz
Avenida Guayana
Sector Alta Vista
Torre Coln
Piso 6, ocinas 2, 3 y 4
Telfonos: 58 286 962-6451
58 286 962-4995
58 286 962-5926
Fax: 58 286 962-6875

Valencia
Avenida Bolvar Norte
Centro Comercial y Profesional
El Camoruco
Piso 21
Apartado Postal 541
Telfonos: 58 241 823-2321
58 241 824-1383
Fax: 58 241 824-4905
Espieira, Sheldon y Asociados
Pgina web:
www.pwc.com/ve
Consultora Gerencial
consultoria.gerencial@ve.pwc.com

Contactos
Si est conectado a internet, haga click sobre el nombre o el icono
Facebook
(http://facebook.com/
pwcVenezuela)
Twitter
(http://twitter.com/pwc_
venezuela)
LinkedIn
(www.linkedin.com/companies/
pwc-venezuela)
www.pwc.com/ve
Espieira, Sheldon y Asociados es Firma miembro de PricewaterhouseCoopers (www.pwc.com) presta servicios profesionales de asesora gerencial, auditora y asesoramiento tributario, con foco en las diferentes industrias, destinado a clientes del
sector pblico y privado. Ms de 163.000 personas, en 151 pases, conectan su conocimiento, experiencia y soluciones para acrecentar la conanza pblica y generar mayor valor para sus clientes y quienes invierten en ellos.
2011 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se reere a Espieira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de rmas miembro de
PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada rma miembro es una entidad separada e independiente y Espieira, Sheldon y Asociados no ser responsable por los actos u
omisiones de cualquiera de sus rmas miembro ni podr ejercer control sobre su juicio profesional ni tampoco podr comprometerlas de manera alguna. Ninguna rma miembro ser responsable por los actos u omisiones de cualquier otra rma miembro
ni podr ejercer control sobre el juicio profesional de otra rma miembro ni tampoco podr comprometer de manera alguna a otra rma miembro o a PwCIL. R.I.F.: J-00029977-3
Al editar este informe nicamente en formato digital, contribuimos con:
Los estimados de la conservacin de recursos fueron realizados utilizando la Calculadora de Uso de Papel del Environmental Defense Fund.
Para mayor informacin visite http://www.papercalculator.org.
6 rboles preservados para el futuro 798 kilos netos de gases de
efecto invernadero (C02) no emitidos
25.316 litros de agua salvados
2.344 kW no consumidos
300 kilos de desechos slidos no
generados

Encuesta Sai v4

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Encuesta Sai v4

Uploaded by

Copyright:

Available Formats

Prcticas de Seguridad de Informacin

de las Empresas en Venezuela

You might also like