Edicin 2011 Resultados de Encuesta 2010 www.pwc.com/ve Espieira, Sheldon y Asociados 4 Inicio 2 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir La Gestin de la Seguridad de la Informacin busca establecer y mantener programas, controles y polticas que tengan como nalidad conservar la condencialidad, integridad y disponibilidad de la informacin. El incumplimiento de cualquiera de estos objetivos expone a la organizacin a riesgos de diversa ndole, que pueden afectar el patrimonio y reputacin de la organizacin. Por otro lado, la seguridad de informacin no es un hito, sino ms bien un estado que requiere un proceso continuo de renovacin y mantenimiento que determina la necesidad de inversin, planicacin y medicin de los objetivos cumplidos. Las dos aseveraciones anteriormente mencionadas nos llevan entonces a una conclusin: La seguridad de la informacin, debe estar inmersa en la estrategia del negocio y en la cultura de la organizacin. Atrs qued la poca que la seguridad era una mejor prctica o algo que pudiese diferirse; ante situaciones de crisis como las que afrontamos, las organizaciones son menos tolerantes a fallas o prdidas nancieras y ambas reas son de inters de la gestin de seguridad de informacin. En este escenario surge la necesidad de establecer un enfoque estratgico de la seguridad de informacin, y es por ello que el entendimiento de lo que ocurre en el mercado y sus tendencias, son fundamentales para establecer una gestin de seguridad de informacin eciente y en sintona con los objetivos del negocio. Introduccin Hoy tenemos el agrado de presentarles nuestra octava (8 va ) edicin de la Encuesta sobre la prctica de la seguridad de informacin en las empresas venezolanas. Como es habitual, hemos incorporado al anlisis de los resultados, cifras comparativas de las ediciones anteriores y de la encuesta global de PwC, lo cual permitir al lector ahondar en la opinin de los encuestados con una retrospectiva en los avances y retrocesos que la seguridad de la informacin ha sufrido a lo largo de este ao, y una comparacin con el mercado internacional. Agradecemos a todas las empresas que dieron respuesta a nuestra encuesta y que nos permitieron establecer una visin de las tendencias y estrategias de las organizaciones en Venezuela en materia de seguridad, as como los principales incidentes, obstculos y aplicacin de las mejores prcticas de seguridad y TI, as como observar el nivel de madurez sobre la forma en el cual se percibe la privacidad de la informacin en las diferentes organizaciones. 3 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Introduccin En la octava Encuesta Anual Prcticas de Seguridad de Informacin de las Empresas en Venezuela desarrollada por Espieira, Sheldon y Asociados, fueron convocadas empresas de diversos sectores de la actividad econmica del pas, tanto del sector pblico como privado, las cuales se encuentran distribuidas porcentualmente de acuerdo a lo que se especica en la Figura N 1. La informacin recabada corresponde al ltimo trimestre del ao 2010 y su procesamiento y anlisis se llev a cabo durante el primer trimestre del 2011. Participacin Del total de empresas venezolanas participantes, se destaca como el sector de mayor participacin este ao, el de Banca/Seguros/Servicios Financieros con el 34%. El sector Manufactura se encuentra en el segundo lugar (28%) y en tercer lugar se encuentra el sector Ventas y Distribucin (12%). Figura N 1. Distribucin de las empresas venezolanas participantes por sector P. A cul de los siguientes sectores pertenece su empresa? Otros Laboratorios / Farmacuticos Servicios Tecnologa y Telecomunicaciones Ventas y Distribucin Banca/ Seguros Entretenimiento y Medios 2% 2% 34% 12% 7% 7% 28% 4% 4% Manufactura Servicios de salud 4 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Esta edicin est orientada a conocer la aplicacin efectiva de la seguridad de activos de informacin en las empresas venezolanas, as como tambin reejar las prcticas actuales, tendencias, obstculos de aplicacin y uso de mejores prcticas. La encuesta fue distribuida en formato electrnico a nuestros clientes y relacionados para su participacin; y estuvo conformada por un total de treinta y cinco preguntas agrupadas en diferentes secciones. Este ao se adicionan una nueva seccin a la encuesta referente a la Inversin en Seguridad de la Informacin. Los temas considerados en este estudio estn divididos en cinco grandes secciones que agrupan las consultas, a saber: Seccin I: Organizacin y Planicacin de la Seguridad de la Informacin Seccin II: Alineacin y Estrategias de Seguridad de la Informacin Seccin III: Brechas e Incidentes de Seguridad Seccin IV: Inversin en Seguridad de la Informacin Seccin V: Mejores prcticas y estndares internacionales Introduccin Ficha tcnica 5 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Organizacin y planicacin de la Seguridad de la Informacin (SI) Seccin I 6 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin I: Organizacin y planicacin de la Seguridad de la Informacin (SI) Los resultados obtenidos de la presente encuesta, indican que apenas un 5% de los encuestados no poseen una estructura encargada de dirigir y supervisar los procesos de la FSAI 1 , esta es una tendencia esperada si lo comparamos con los aos anteriores y se toma en cuenta las regulaciones locales e internacionales, como es el caso de la Normativa de Tecnologa de Informacin, Servicios Financieros Desmaterializados, Banca Electrnica, Virtual y el Lnea para los Entes Sometidos a Control, Regulacin y Supervisin de la Superintendencia de Bancos y Otras Instituciones Financieras, que indica que para el sector bancario debe existir una funcin o unidad de seguridad de la informacin, independiente del rea de Tecnologa de Informacin, Auditora y Riesgo. Estructura Organizativa En cuanto a la lnea de autoridad o reporte, el 62% de las empresas encuestadas manifestaron que las actividades de la FSAI dependen de la unidad de Tecnologa de Informacin, mostrando un decrecimiento de 6 puntos porcentuales en relacin al ao anterior, lo cual puede explicarse por la tendencia a la adopcin de regulaciones locales e internacionales y una eventual maduracin de la FSAI. Asimismo, se observa un incremento de seis puntos porcentuales de las empresas que reportan al rea de Riesgo Operacional y se mantiene la proporcin de aquellas que se encuentran adscritas a la Gerencia General/Comit. Por otra parte, tambin se muestra el aumento de otras unidades de reporte, tal como se muestra en la Figura N 2. Figura N 2. Estructura de Reporte de la FSAI P. De qu Departamento/Unidad depende la Funcin de Seguridad de la Informacin en su empresa? n 2009 n 2010 0 10 20 30 40 50 60 70 80 Otro Auditora Interna Riesgo operacional Contralora Gerencia General /Comit Tecnologa de Informacin 68% 62% 12% 12% 2% 4% 7% 1% 0% 3% 12% 3% 1 Funcin de Seguridad de Activos de Informacin 7 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin I: Organizacin y planicacin de la Seguridad de la Informacin (SI) n 2008 n 2009 n 2010 En las organizaciones donde existe una FSAI formalmente constituida, ste estudio indica que al igual que en aos anteriores existe un alto porcentaje donde la estructura organizativa est conformada por menos de cinco personas (52%). Estructura Organizativa y nivel de reporte Por otro lado, la categora Entre 10 y 20 personas aument trece puntos porcentuales en relacin al ao anterior, mientras que la categora Menos de 5 personas disminuy diecinueve puntos en relacin al ao anterior, lo que puede interpretarse como un incremento en la complejidad de las estructuras de la FSAI. Figura N 3: Nmero de personas que conforman la FSAI en las empresas venezolanas P. Indique el nmero de personas que conforman la Funcin de Seguridad de la Informacin en su empresa. 52% 71% 68% 19% 13% 23% 13% 0% 0% 16% 15% 9% 0 10 20 30 40 50 60 70 80 Mas de 20 personas Entre 10 y 20 personas Entre 5 y 10 personas Menos de 5 personas 52% Ms de la mitad de las estructuras FSAI encuestadas est formada por menos de cinco personas 8 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin I: Organizacin y planicacin de la Seguridad de la Informacin (SI) Uno de los aspectos que recurrentemente se incluye en la encuesta, est relacionado con la existencia de polticas y procedimientos de Seguridad, su nivel de formalizacin, divulgacin, monitoreo y cumplimiento de los procedimientos. Es as como este ao la interrogante est enfocada en conocer no slo de la existencia de las polticas y procedimientos sino a conocer el nivel de administracin de stos por parte de la Organizacin. Polticas y Procedimientos: Gestin de la Funcin de Seguridad de la Informacin Como se observa en la Figura N 4, un total de 94% de las empresas ha desarrollado polticas y procedimientos de Seguridad de la Informacin, sin embargo slo el 39% de stas empresas las mantienen formalizadas y difundidas, y tan solo un 7% de ste grupo monitorea y mide su cumplimiento. Esto puede explicarse considerando que el ciclo de vida de la seguridad de informacin plantea como primeras acciones la denicin de las mencionadas polticas, y luego la adopcin de medidas de monitoreo y mejora continua. Bajo esta premisa, los resultados de esta pregunta sugieren que para la mayora de las empresas participantes, la FSAI se encuentra en una etapa temprana de su estructuracin. Figura N 4: Nivel de madurez en la adopcin de Polticas y Procedimientos en las empresas P. Cmo considera se encuentra actualmente la Funcin de Seguridad de la Informacin en su Organizacin? 94% de las empresas encuestadas ha desarrollado polticas y procedimientos de Seguridad de la Informacin. 0 10 20 30 40 50 Se han desarrollado algunos procesos de Seguridad de la Informacin, sin embargo no se han formalizado ni comunicado los procedimientos estndar 48% Los procedimientos de Seguridad de la Informacin se han estandarizado y documentado formalmente. Los procedimientos han sido difundidos a travs de entrenamiento 39% Es posible monitorear y medir el cumplimiento de los procedimientos y corregir cuando no funcionan de forma efectiva 7% No existen procesos definidos de Seguridad de la Informacin 4% La administracin de la Seguridad de la Informacin es informal y reactiva 2% 94% 9 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin I: Organizacin y planicacin de la Seguridad de la Informacin (SI) El Plan Estratgico de Seguridad de la Informacin permite a las organizaciones orientar las estrategias de seguridad para mitigar los riesgos derivados por el uso de la tecnologa, siendo cada vez de mayor relevancia establecer metas de mediano y largo plazo para la seguridad de informacin. Sin embargo, la existencia de un plan estratgico de SI permanece con una baja prioridad de organizaciones venezolanas. As lo demuestra, la respuesta de los encuestados al consultarle sobre la existencia de un Plan Estratgico de Seguridad, donde se seala que slo 21% no posee la denicin del Plan, disminuyendo en 4 puntos en relacin al ao anterior. Denicin del Plan Estratgico de Seguridad de la Informacin (SI) Por otra parte, se mantiene con mayor porcentaje en relacin al ao anterior el rea de participacin en la denicin del Plan Estratgico de Seguridad de la Informacin, representado por el rea de Tecnologa de Informacin con un 35%, dos puntos adicionales versus la encuesta pasada. Es importante recordar que la ausencia de un Plan Estratgico de Seguridad, diculta la determinacin de las actividades de seguridad que permitan identicar, crear y agregar valor a los procesos de negocio y por ende diculta el cumplimiento de los objetivos de la FSAI y de la organizacin. Fig.N 5: Distribucin de las unidades que participan en la denicin del Plan Estratgico de Seguridad P. Qu reas de la Organizacin participan en la Definicin del Plan Estratgico de Seguridad de la Informacin? 35% 33% 21% 25% 13% 13% 11% 7% 8% 11% 5% 7% 7% 4% Otro Contralora Seguridad Integral Riesgo Operacional Auditora Interna No existe un Plan Estratgico de Seguridad formalmente documentado Tecnologa de informacin 0 5 10 15 20 25 30 35 n 2009 n 2010 Slo el 21% de las empresas encuestadas indic no poseer un Plan Estratgico de Seguridad de Informacin 21% 10 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin I: Organizacin y planicacin de la Seguridad de la Informacin (SI) La participacin de la alta gerencia en temas de SI es clave para alcanzar los objetivos y uno de los principales indicadores de su nivel de involucramiento es la conformacin o incorporacin de SI en reuniones de alto nivel y la frecuencia de estas reuniones. Este ao se percibe un incremento en la ejecucin y frecuencia de reuniones orientadas a abordar temas de SI. Solo 28% de los encuestados respondi no ejecutar este tipo de reuniones, lo que representa siete puntos porcentuales menos que el ao anterior, armando la tendencia acumulada de un descenso. El otro aspecto resaltante es que la prctica con mayor aceptacin es la reunin mensual, y la reduccin sensible en la ejecucin de reuniones semestrales. En la Figura N 6 se muestra la distribucin de las respuestas para sta pregunta. Frecuencia de reuniones Figura N 6: Frecuencia de reuniones para el anlisis de los temas de SI P. Con qu frecuencia la Alta Gerencia, Comit de Seguridad, Riesgo o Tecnologa se renen para discutir las necesidades de la Seguridad de la Informacin y objetivos del negocio? 24% 19% 18% 17% 10% 9% 14% 19% 12% 17% 17% 19% 28% 35% 42% 0 10 20 30 40 50 No se renen Anualmente Semestralmente Trimestralmente Mensualmente o menos n 2008 n 2009 n 2010 11 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin I: Organizacin y planicacin de la Seguridad de la Informacin (SI) Entre los principales obstculos que presentan las organizaciones para la prctica de la SI, los resultados indican que el mayor de ellos es la falta de cultura y adiestramiento de los usuarios (34%), seguido de la poca participacin entre los departamentos (30%) y la falta de tiempo dedicado a la seguridad (27%). El cuarto mayor obstculo est representado por la restriccin de presupuesto (21%), sin embargo, el 45% indic que aumentara en relacin al ao anterior y slo un 7% indic que disminuir. Estas cifras parecieran indicar que el tema presupuestario pierde relevancia como inhibidor de la SI, dando paso a temas relacionados con la organizacin y las personas. Ver Figura N 7 con los resultados. Principales retos en la Estrategia de Seguridad de la Informacin (SI) Figura N 7: Principales obstculos para la implantacin de un Plan Estratgico de SI P. Cules son los principales obstculos que presenta su negocio para la prctica de seguridad de activos de informacin e indique en qu medida? 0 20 40 60 80 100 Falta de personal especializado en seguridad Diseo inadecuado de la estrategia de SI Complejidad de los productos / cambios tcnicos 7 52 41 14 24 62 Falta de polticas de seguridad de informacin 14 34 52 Falta de apoyo por parte de la Alta Gerencia 17 31 52 Falta de herramientas o tecnologas estables 17 34 49 18 41 41 Restricciones de presupuesto 21 52 27 Falta de tiempo dedicado a la seguridad 27 49 24 Poca participacin entre departamentos 30 49 21 Falta de cultura / adiestramiento de usuarios 34 59 7 % n Es un gran obstculo n Medianamente un obstculo n No es un obstculo 12 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin I: Organizacin y planicacin de la Seguridad de la Informacin (SI) Alineacin y estrategias de Seguridad de la Informacin Seccin II
13 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin II: Alineacin y Estrategias de Seguridad de la Informacin La adopcin de soluciones en SI, implica no slo la identicacin de la mejor herramienta o proveedor que cumpla con los objetivos de negocio sino tambin el establecimiento de un ambiente de control que haga un uso efectivo de estos recursos. Esta seccin recoge informacin sobre las soluciones estratgicas de seguridad que las empresas venezolanas consideran de importancia. De nuestra pregunta a los encuestados sobre las principales estrategias de seguridad y su prioridad, el primer lugar lo ocupa la denicin / mejora de la gestin de usuarios y perles de acceso basado en roles (RBAC) (58%), seguido de soluciones para la redundancia de equipos y telecomunicaciones para mejorar la disponibilidad de los servicios (51%) y el diseo u optimizacin del Plan de Continuidad de Negocio (51%). Por el contrario, entre las soluciones con menor porcentaje en cuanto a importancia se encuentra el diseo u optimizacin del Plan Estratgico de Seguridad (30%) y la implantacin de de controles de seguridad en la plantaforma tecnolgica (41%). La distribucin de las respuestas pueden observarse en la Figura N 8. Comparando estas cifras con las de aos anteriores, las tres principales prioridades han permanecido en esta posicin. Pareciera entonces que son proyectos que por sus caractersticas resultasen difciles de concretar, pese a la necesidad que SI identica en su ejecucin. En la siguiente pregunta se ahonda sobre la puesta en marcha de dichas iniciativas. Prioridad en soluciones de SI para la Organizacin Figura N 8: Principales soluciones estratgicas de SI e importancia en su adopcin P. Indique la importancia de las siguientes soluciones estratgicas en su organizacin: Definicin / mejora de la gestin de usuariosy perfiles de acceso basado en roles (RBAC) 58 4 34 4 0 20 40 60 80 100 Redundancia de equipos y telecomunicaciones / Alta disponibilidad 51 4 30 15 Diseo / Optimizacin del Plan de Continuidad del Negocio 51 4 35 10 Optimizacin / implantacin del proceso de gestin de incidentes y logs de auditora 45 34 21 Definicin / mejora de la estructura de la Funcin de Seguridad de Informacin 41 8 34 17 Implantacin de controles de seguridad en la Plataforma Tecnolgica 41 4 45 10 Diseo / mejora del Plan Estratgico de Seguridad 30 54 16 % n Alta n Media n Baja n No es prioridad 14 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin II: Alineacin y Estrategias de Seguridad de la Informacin Para complementar el anlisis anterior, se consult sobre el nivel de adopcin de las soluciones estratgicas descritas en la Figura N 9 en las empresas venezolanas. La implantacin de controles de seguridad en la plataforma tecnolgica se presenta con amplio margen como la primera iniciativa adoptada (71%) y de las que presenta menos ndice de inexistencia. La conformacin de la funcin de seguridad de la informacin (58%) y gestin de usuarios y perles de acceso basado en roles (RBAC) (55%) se presenta muy cerca en los resultados obtenidos, sin embargo es notable que RBAC supere a la conformacin del FSAI si consideramos tambin la respuesta de aquellas empresas que manifestaron tenerlo en proyecto. Recordemos que esta iniciativa tambin se present como una de las prioridades para las organizaciones durante el ao 2010, lo que apunta a sugerir que la gestin de identidades es una tendencia del mercado, pero a su vez un proyecto complejo que se extiende en su ejecucin. Nivel de adopcin de soluciones estratgicas Figura N 9: Nivel de adopcin de las soluciones estratgicas de SI P. Indique el nivel de adopcin de las siguientes soluciones estratgicas en su Organizacin n Activo / Funcionando n Diseado / Estructurado n En Proyecto n No existe 0 20 40 60 80 100 Adopcin / Certificacin en estndares Clasificacin de la informacin Plan Estratgico de Seguridad Adopcin de leyes sobre privacidad y regulaciones que impacten a la Organizacin Optimizacin de procesos de TI Plan de Continuidad del Negocio Gestin de incidentes y logs de auditora Gestin de usuarios y perfiles de acceso basado en roles (RBAC) Conformacin de la Funcin de Seguridad de Informacin Implantacin de controles de seguridad en la Plataforma Tecnolgica 71 3 17 9 58 17 17 8 55 3 25 17 48 3 21 28 31 17 31 21 31 10 38 21 31 16 22 31 28 23 21 28 28 8 31 33 8 16 21 55 % 15 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin II: Alineacin y Estrategias de Seguridad de la Informacin Por segundo ao consecutivo se consult sobre la frecuencia de los adiestramientos impartidos al personal de la FSAI: Slo el 12% de los entrevistados indic no recibir adiestramiento, lo cual representa una disminucin en quince puntos porcentuales con respecto al ao anterior. Se puede apreciar cmo este resultado es consistente con la frecuencia de los adiestramientos, donde adems se identica un mayor incremento en la planicacin anual o semestral de cursos de formacin al personal de la FSAI, con respecto al ao anterior. Adiestramiento de Personal Figura N 10: Frecuencia en el adiestramiento del personal de la FSAI P. Cul es la frecuencia de los adiestramientos del personal encargado de la seguridad de los activos de informacin? 0 10 20 30 40 50 No se reciben adiestramientos Eventualmente Semestralmente Anualmente 24% 19% 19% 13% 42% 40% 12% 27% n 2009 n 2010 16 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin II: Alineacin y Estrategias de Seguridad de la Informacin La tcnica ms utilizada por las empresas venezolanas para evaluar la efectividad del ambiente de control interno y Seguridad de Informacin, son las Auditoras de Seguridad ejecutadas por organizaciones externas a la Compaa(35%) que, seguida de las Auditoras de Seguridad realizadas por personal interno de la Compaa(27%), agrupan al 62% de los encuestados. Este resultado guarda relacin con los hallazgos de aos anteriores, pero observando una disminucin de las auditoras internas a favor de tercerizar estas evaluaciones, y un leve repunte de dos puntos porcentuales en el uso de herramientas automatizadas. Ver Figura N 11. Tcnicas usadas Figura N 11: Tcnicas utilizadas para evaluar la efectividad del ambiente de control y la gestin de SI P. Cules tcnicas son usadas en la Organizacin para evaluar la efectividad del ambiente de control interno y Seguridad de Informacin? (Puede seleccionar ms de una respuesta) 0 5 10 15 20 25 30 35 Ninguna Herramientas automatizadas Pruebas de penetracin Auditoras de Seguridad realizadas por organizaciones externas Auditoras de Seguridad realizadas por personal interno 27% 35% 62% 16% 19% 3% 17 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin II: Alineacin y Estrategias de Seguridad de la Informacin Se consult a las empresas venezolanas sobre el uso de servicios de terceros (outsourcing) en procesos o actividades relacionadas con servicios de SI. De acuerdo con los resultados se obtiene que los ms servicios ms utilizados son: Desarrollo e implementacin de aplicaciones (71%), Mesa de Ayuda y Soporte Tcnico (55%) y Hosting (52%), tal y como se muestra en la Figura N 12. En general, en la totalidad de las reas consultadas se observ crecimiento, particularmente en la Mesa de Ayuda y Soporte Tcnico, ocupando el segundo lugar de las opciones de tercerizacin ms utilizadas. Servicios tercerizados Figura N 12: Servicios de TI que usualmente son tercerizados en las empresas venezolanas P. Cul es el alcance de los servicios prestados por terceros en procesos o actividades de tecnologa y/o seguridad? (Puede marcar ms de una respuesta) 0 10 20 30 40 50 60 70 80 Operaciones de Seguridad Otros Operaciones de datos Gestin de Redes Hosting Mesa de Ayuda y Soporte Tcnico Desarrollo e Implementacin de Aplicaciones 71% 55% 52% 12% 7% 7% 2% 18 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin II: Alineacin y Estrategias de Seguridad de la Informacin Es importante recordar que en los procesos o actividades que son tercerizados, se est transriendo no slo un servicio sino que tambin se transeren los riesgos que se derivan de este, sin obviar que los riesgos impactaran no slo a la contratista sino tambin a la contratante. As lo considera, por ejemplo, la normativa emitida por la SUDEBAN denominada Normativa de Tecnologa de Informacin, Servicios Financieros Desmaterializados, Banca Electrnica, Virtual y el Lnea para los Entes Sometidos a Control, Regulacin y Supervisin de la Superintendencia de Bancos y Otras Instituciones Financieras, que indica que para el sector bancario las obligaciones que impone esta norma deben ser igualmente transferidas a sus proveedores. Ahora bien, los principales riesgos que las empresas han identicado al transferir procesos o actividades a un tercero, son la Condencialidad (86%), seguido de Incumplimiento de Niveles de Servicios (74%) y la Propiedad Intelectual, Integridad de Datos y la Auditabilidad de la Gestin. Riesgos derivados de la tercerizacin Figura N 13: Riesgos derivados de la delegacin de funciones y servicios a terceros P. Cules son los riesgos que usted considera existen con la delegacin de funciones a terceros? (Puede marcar ms de una respuesta) 0 20 40 60 80 100 Confidencialidad 86% Incumplimiento de Niveles de Servicios 74% Propiedad intelectual 43% Integridad de datos 43% Auditabilidad de la gestin 43% Continuidad de Negocio 33% Otro 5% 19 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin II: Alineacin y Estrategias de Seguridad de la Informacin Brechas e incidentes de seguridad Seccin III 20 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin III: Brechas e incidentes de seguridad En cuanto a las principales preocupaciones en relacin a los temas de seguridad de la informacin de las empresas encuestadas, se indag sobre cules tecnologas han sido identicadas como una preocupacin de seguridad de la informacin. El resultado que muestra la Figura N 14, revela como la mayor preocupacin a los medios extrables (66%) y los equipos mviles (56%), tecnologas que si las comparamos con los resultados obtenidos de las dos ltimas encuestas de Seguridad de la Informacin, continan siendo las principales preocupaciones, pero notndose una disminucin de diez puntos porcentuales en medios extrables y un crecimiento equivalente en equipos mviles. Otro aspecto que destaca es el crecimiento de las soluciones de Cloud Computing y SaaS 2 como segunda mayor preocupacin, as como la sensible reduccin en los temas de virtualizacin, lo que podra interpretarse como un crecimiento en el inters y uso de las organizaciones en soluciones en la nube, y la conanza ganada por virtualizacin durante el ao. Tecnologas bajo la atencin de la FSAI Figura N 14: Nivel de riesgo en tecnologas segn las empresas encuestadas P. Indique, segn una escala del 1 al 5, Cul de las siguientes tecnologas ha identificado como una preocupacin en la seguridad de la informacin en su Organizacin? (5 representa la mxima atencin y 1 la mnima) 0 20 40 60 80 100 Virtualizacin de Servidores Medios Extrables 66 66 66 6 6 Equipos Mviles 56 7 17 10 10 Aplicaciones de cdigo abierto 10 14 21 28 28 Cloud Computing / SaaS (Software como Servicio) / Hosting 7 28 17 17 31 3 10 31 35 21 Telefona de Voz sobre IP 10 7 24 28 31 % 2 Software como servicio (software as a service) n Mxima n 4 n 3 n 2 n Mnima 21 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin III: Brechas e incidentes de seguridad En relacin con los incidentes de seguridad que han afectado a las empresas venezolanas en ste ltimo ao, se evidencia un reordenamiento en relacin con los principales incidentes: Nuevamente aparece la infeccin por virus como la primera causa, seguida este ao por la falla en servicio, que sube del cuarto al segundo lugar de los principales incidentes en las organizaciones. El robo de porttiles retrocede a un tercer lugar y robo o acceso a la informacin se ubica como el cuarto incidente de mayor ocurrencia en las organizaciones. Es importante destacar que los resultados presentados en la Figura N 15 evidencian que al menos 69% de las organizaciones encuestadas ha tenido al menos un evento de seguridad de cada tipo de los ubicados en los primeros tres lugares. Incidentes de Seguridad: impacto, causas y efectos Figura N 15: Nmero de incidentes de seguridad de SI en el ltimo ao Cmo se ha visto afectada su Compaa con relacin a incidentes de seguridad en el ltimo ao? 0 20 40 60 80 100 Infeccin por Virus Modificacin de informacin 7 3 21 69 Modificacin no autorizada a programas 7 14 79 Falla en servicio 14 28 41 17 Robo de equipos 14 10 45 31 Robo / Acceso a la informacin 14 3 17 66 14 14 62 10 % n Ms de 10 n 6 - 10 n 1 - 5 n No hubo 22 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin III: Brechas e incidentes de seguridad Sobre las acciones realizadas, se le consult a las empresas venezolanas Cul ha sido la accin tomada al detectar un incidente de seguridad de la informacin y el nivel de dicultad de su ejecucin?, siendo los rubros con mayor porcentaje la accin de reporte al departamento de seguridad (67%), sanciones disciplinarias al personal (25%), cambio de polticas organizacionales (25%). En la gura N 16 se describe la distribucin de las respuestas. En comparacin con los resultados del ao anterior, se evidencia un crecimiento importante en la participacin de la FSAI en la reaccin ante el evento, y una disminucin en el nmero de respuestas que indican como imposible ejecutar cualquiera de las acciones all planteadas. Acciones tomadas para la gestin de incidentes Figura N 16: Acciones tomadas para gestionar los incidentes de seguridad P. Cul ha sido la accin tomada al detectar un incidente de seguridad de la informacin y el nivel de dificultad de su ejecucin? % 0 20 40 60 80 100 Reportar al departamento de seguridad Sanciones disciplinarias al personal Cambio de polticas organizacionales Contratar una consultora de seguridad Instalar soluciones de seguridad adicionales Identificar causa / responsable 17 54 29 21 41 38 21 43 29 7 25 34 34 7 67 17 13 3 25 58 17 Nivel de dicultad de la accin: n Fcil n Medio n Difcil n Imposible 23 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin III: Brechas e incidentes de seguridad En relacin con las causas que permitieron el incidente, encontramos un comportamiento consistente con las respuestas de preguntas anteriores, con ligeras variaciones con respecto a los resultados de aos anteriores. Las principales causas permanecen siendo el Uso abusivo de los recursos / Privilegios y Falla o deciencia en el proceso de actualizacin del software / Hardware, seguido de conguraciones de seguridad inadecuadas. La principal variacin con respecto al ao pasado -y que parece ser una tendencia, ya que se repite por tercer ao consecutivo- es la disminucin de Conguraciones de seguridad inadecuadas, como causa del incidente, la cual es desplazada al tercer lugar este ao. Principales causas de ocurrencia de incidentes Figura N 17: Principales causas de la ocurrencia de incidentes de SI P. Cules fueron las causas de la ocurrencia de los incidentes de seguridad? (Puede marcar ms de una respuesta) 0 10 20 30 40 50 60 70 80 Otro Ingeniera social Vulnerabilidades en el software base / hardware Vulnerabilidades en aplicaciones o procesos Configuraciones de seguridad inadecuadas Falla o deficiencia en el proceso de actualizacin del software / hardware Uso abusivo de los recursos / privilegios 67% 64% 55% 52% 45% 26% 2% 24 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin III: Brechas e incidentes de seguridad Aunado al resultado anterior, tenemos que los encuestados maniestan que stos incidentes fueron imputados a personal empleado (88%), doce puntos porcentuales por encima que los dos ltimos aos, muy distanciado del resto del resto de los grupos causantes. Este resultado es recurrente con respecto a aos anteriores y ratica que las empresas siguen siendo vctimas principalmente de su personal, situacin que se ha visto incrementado notablemente en este ao, reforzando de esta forma el criterio que que las personas que conocen a las organizaciones son potencialmente ms riesgosos. Ver Figura N 18. Origen de los incidentes reportados Figura N 18: Origen de los incidentes de SI reportados entre los aos 2008 y 2010 P. Cul considera Ud. fue el origen de los incidentes de seguridad de informacin reportado en su organizacin? (Puede marcar ms de una respuesta) 0 20 40 60 80 100 Otros Ex-empleado Hackers / Atacantes Proveedores / Contratados / Consultores Empleado 88% 24% 24% 17% 2% 25 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin III: Brechas e incidentes de seguridad Las consecuencias pueden ser diversas, desde la prdida de operatividad de la plataforma tecnolgica, hasta la afectacin de la imagen y reputacin de la organizacin. En este contexto, se consult a las empresas las potenciales consecuencias de perder o comprometer informacin sensible de su Organizacin, donde 5 representa la mxima atencin y 1 la mnima. El 66% de los encuestados coincide en sealar que la prdida de ingresos es la principal consecuencia, seguida de la prdida de conanza por parte de clientes y relacionados (59%) y daos a la reputacin y a la marca (59%). En la Figura N 19 se puede observar la distribucin de los resultados. Incidentes de Seguridad: impacto, causas y efectos (continuacin) Figura N 19: Consecuencias de la prdida, falta de integridad y disponibilidad de informacin P. Enumere, en orden de prioridad, en una escala del 1 al 5, las consecuencias si se perdiera, comprometiera o no estuviese disponible informacin sensible de su Organizacin. (5 representa la mxima atencin y 1 la mnima) 0 20 40 60 80 100 Prdida de ingresos Prdida de confianza de clientes y relacionados Daos a la reputacin y a la marca Prdida de Clientes Sanciones o Acciones regulatorias Dao en la relacin con los empleados 17 29 31 10 13 34 29 17 13 7 48 29 13 7 3 59 21 13 3 3 59 21 17 3 66 17 11 3 3 % n Mxima n 4 n 3 n 2 n Mnima 26 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin III: Brechas e incidentes de seguridad Inversin en Seguridad de Informacin (SI) Seccin IV 27 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin IV: Inversin en Seguridad de Informacin Con relacin a la inversin de Seguridad de la Informacin, en la Figura N 20 se muestra el comportamiento de la inversin de Seguridad de la Informacin en las empresas venezolanas para los prximos 12 meses. Es as que el 45% de las organizaciones, estima que habr un aumento de la inversin, incremento de dos puntos porcentuales en relacin al ao anterior. A pesar de la crisis econmica, slo un 7% de los encuestados estima que ocurrir una disminucin del presupuesto de inversin en relacin al ao anterior, lo que sigue raticando el compromiso de las empresas en mantener controles de seguridad ecientes que garanticen la proteccin de la informacin. Inversin en Seguridad de la Informacin Figura N 20: Nivel de inversin en SI para el ao 2011 P. En su opinin Cmo considera usted que ser la inversin en Seguridad de la Informacin para los prximos doce (12) meses comparado con el ltimo ao? 0 10 20 30 40 50 Se cancelar Se diferir Disminuir Se incrementar 45% Se mantendr igual 48% 7% 0% 0% 28 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin IV: Inversin en Seguridad de Informacin En el caso de una eventual disminucin en el presupuesto de Seguridad de la Informacin, el 86% de las organizaciones encuestadas manifest que tal accin traera como consecuencia un incremento en los riesgos de seguridad, seguido de un 74% que considera que tal accin propiciara un incremento en las amenazas a los activos de informacin y un 60% preve incumplimiento de los Acuerdos de Nivel de Servicio relacionados con la Seguridad de la Informacin. Impacto de una reduccin del presupuesto de SI Figura N 21: Impacto de una posible reduccin del presupuesto de SI P. Cmo cree usted que puede impactar la reduccin de la inversin en Seguridad de la Informacin? (Puede marcar ms de una respuesta) 0 20 40 60 80 100 Otros Un adecuado nivel de seguridad ser ms difcil de alcanzar El cumplimiento regulatorio se har ms complejo Incumplimiento de los Acuerdos de Nivel de Servicio relacionados con la Seguridad de la Informacin Incremento en las amenazas a los activos de informacin Incrementar los riesgos de seguridad 86% 74% 60% 55% 55% 2% 29 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin IV: Inversin en Seguridad de Informacin Si se compara la porcin del presupuesto de Seguridad de la Informacin con relacin al presupuesto de Tecnologa de Informacin, se observa que la mayora de los encuestados coincide en que esta representa menos del 5% del presupuesto de TI. Sin embargo, resulta interesante analizar que para el 26% de las empresas encuestadas el presupuesto se ubica entre un 5% y 10%, aumentando este grupo en nueve puntos porcentuales en relacin al ao anterior. Proporcin de presupuesto de SI en relacin al presupuesto de TI Figura N 22: Proporcin de presupuesto de SI en relacin al presupuesto de TI P. Cul es la proporcin porcentual, en promedio, del presupuesto de Seguridad de la Informacin con relacin al presupuesto de Tecnologa de Informacin? 0 5 10 15 20 25 30 No sabe/ No contesta Ninguno% Mayor de 15% Entre 10 y 15% Entre 5 y 10% Menos de 5% 29% 29% 26% 17% 17% 17% 21% 23% 0% 6% 7% 8% n 2010 n 2009 30 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin IV: Inversin en Seguridad de Informacin La distribucin y uso del presupuesto se concentra en el cumplimiento de polticas internas (76%), capacitacin y adiestramiento (69%) y la Continuidad de Negocio / Recuperacin ante desastres (67%). Slo un 7% por ciento de las empresas estima utilizar el presupuesto para la tercerizacin de las actividades de Seguridad, lo cual parece una respuesta cnsona con las opiniones sobre que la conabilidad de la informacin pudiera verse afectada por la tercerizacin de los procesos o actividades de la FSAI segn se reporta en la Seccin II de esta encuesta, Figura N o 13. Distribucin y uso del presupuesto de SI Figura N 23: Distribucin y utilizacin del presupuesto de SI P. Hacia dnde considera usted que est orientada la inversin de Seguridad de la Informacin en su Organizacin? (Puede marcar ms de una respuesta) 0 10 20 30 40 50 60 70 80 Otros Tercerizacin de las actividades de Seguridad Incremento de la Estructura de Personal Certificacin en Estndares de Seguridad Consultora Cumplimiento de regulaciones Continuidad de Negocio/ Recuperacin ante desastres Capacitacin y adiestramiento Cumplimiento de polticas internas 76% 69% 67% 62% 33% 33% 21% 7% 7% 31 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin IV: Inversin en Seguridad de Informacin Al consultar a las organizaciones Cul de las siguientes estrategias ha sido considerada por su Organizacin con el n de reducir los costos asociados a Tecnologa de Informacin?, respondieron que la virtualizacin de ambientes (55%) es la estrategia mayormente empleada, seguida de un 38% de la optimizacin de procesos y un 34% con la estandarizacin de plataformas. Contrario a lo que se pudiera pensar, la ltima estrategia que consideran los encuestados para la reduccin de costos en Seguridad y Tecnologa de Informacin es la reduccin de personal con un 86%, lo que nos lleva a pensar que las estructuras actuales de se encuentran optimizadas o reducidas a su menor tamao, requiriendo evaluar otras alternativas. Estrategias para la reduccin de costos Figura N 24: Estrategias utilizadas por las empresas para reducir los costos asociados a TI P. Cul de las siguientes estrategias ha sido considerada por su Organizacin con el fin de reducir los costos asociados a Tecnologa de Informacin? 0 20 40 60 80 100 Virtualizacin de ambientes Optimizacin de procesos Estandarizacin de plataformas Consolidacin de centros y procesos Incorporacin de aplicaciones de cdigo abierto Adopcin de modelos de centros de servicios compartidos Reduccin de Personal 3 11 86 55 38 7 38 55 7 34 53 13 21 62 17 21 7 72 11 34 55 % n Implementado n Planicado n No se considera 32 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin IV: Inversin en Seguridad de Informacin Mejores prcticas de seguridad Seccin V 34 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin V: Mejores prcticas de seguridad Al indagar sobre el estatus de adopcin e implantacin de estndares y mejores prcticas, se observa que el 34% de las empresas venezolanas cuentan con la adopcin y operacin de ITIL 3 , nueve puntos porcentuales por encima del ao anterior. Implantacin de estndares y mejores prcticas Figura N 25: Estatus de implantacin de estndares y mejores prcticas de TI P. Indique el estatus de implantacin de los siguientes estndares y mejores prcticas en su organizacin n Est implementado y operativo n Est planicado n No est planicado 3 ITIL: Information Technology Infraestructure Library Figura N 26: Benecios de la adopcin de estndares y mejorares prcticas P. Cun efectivo ha sido la adopcin de estos estndares en la atencin de los siguientes requerimientos? n Efectivo n Neutral n Inecaz n No sabe / No Contesta Benecios de la adopcin de mejores prcticas Al consultar a los encuestados sobre los benecios de la adopcin de estos estndares, los resultados indican que el mayor de los benecios est representado por la estandarizacin de los procesos de TI y la continuidad del negocio con un 70% cada una, seguido de la mejora en la calidad de los servicios de TI (53%), tal como se muestra en la Figura N 26. Esto arma la efectividad de los esfuerzos en cuanto a la implementacin de mejores prcticas. Reduccin de costos en TI Mejora en la percepcin de los usuarios Mejora en la calidad del servicio de TI Continuidad del negocio Estandarizacin de los procesos de TI 3 70 48 70 53 38 24 20 17 20 20 28 10 13 24 10 32 BS25999: Business Continuity Management Standard ISO27000: Information Security Stardard Series 45 48 7 COBIT: Control Objective for Information and related technology 42 48 10 ITIL: Information Technology Infraestructure Library 24 42 34 PCI: Payment Card Industry
10 13 70 3 7 90 36 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Resultados Seccin V: Mejores prcticas de seguridad Consideraciones nales 37 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Los resultados obtenidos este ao con esta encuesta a las organizaciones venezolanas sobre la Seguridad de la Informacin, reejan avances en la Gestin de la Seguridad, as como tambin, la consolidacin de la FSAI como un participante importante dentro de las organizaciones, que agrega valor al negocio. Es importante mencionar que cada ao se hace mayor la necesidad de la denicin y normalizacin de un Plan Estratgico de Seguridad de la Informacin, con lo que sin duda alguna, se puede armar que existe un apoyo real a la consecucin de las metas y objetivos del negocio. Cada da las empresas se enfrentan a nuevos retos en donde salvaguardar la privacidad, condencialidad y disponibilidad de la informacin se hace ms arduo, y donde la preparacin ante la ocurrencia de eventos es cada vez ms exigente. Es por ello que existe la necesidad de incorporar una FSAI que dena y dirija ecientemente estrategias y controles que garanticen una gestin segura de los procesos de negocio. Consideraciones nales Buscando respuestas Para alcanzar los objetivos y metas que de acuerdo a su estrategia mantienen muchas de las Organizaciones, stas realizan esfuerzos a travs de la denicin de una FSAI, organizar de forma adecuada sus recursos con base al entendimiento que hoy en da en lo que respecta a Seguridad de Informacin se tiene de acuerdo a las mejores prcticas, aplicacin de estndares y experiencias en la aplicacin de stos a nivel global. Es por esto que un enfoque apropiado implica el tratamiento de la seguridad desde un rol estratgico en los procesos de negocio, buscando el equilibrio adecuado entre la proteccin y la habilitacin de acceso a los activos de informacin en lnea con los objetivos estratgicos del Negocio. La nocin de Seguridad de Informacin como un habilitador de negocios es, en la actualidad, un concepto esencial para las organizaciones de cualquier sector de la economa nacional. Espieira Sheldon y Asociados ha realizado las comprobaciones necesarias para asegurar que toda la informacin utilizada para la elaboracin de este informe, procede de fuentes ables y rene un grado de precisin adecuado. An aceptando la premisa anterior, Espieira Sheldon y Asociados, no garantiza en ningn modo la plena veracidad y exactitud de la informacin que contiene este informe. Por ello, aunque el trabajo y las conclusiones que se derivan del mismo cumplan con los mximos estndares de calidad, esta publicacin no pretende ofrecer, en ningn caso, las cifras denitivas de los tpicos aqu tratados. Caracas Ocina Principal Avenida Principal de Chuao Edicio del Ro Apartado Postal 1789 Caracas 1010-A Telfonos: 58 212 700-6666 Fax: 58 212 991-5210 Barquisimeto Urbanizacin El Parque Calle Los Comuneros Centro Ejecutivo Los Leones Piso 5, PH 5-2 Apartado Postal 3001 Telfonos: 58 251 255-4983 58 251 255-0061 58 251 255-0404 Fax: 58 251 254-6284 Maracaibo Avenida 9B entre Boulevard 5 de Julio y Avenida Dr. Portillo Edif. Banco Industrial, Piso 6 Apartado Postal 490 Telfonos: 58 261 797-9805 58 261 797-9806 58 261 798-3869 Fax: 58 261 798-8194 Maracay Avenida Las Delicias, Urbanizacin El Bosque Edicio Banvenez, Centro Financiero, Piso 2 Apartado Postal 4700 Telfonos: 58 243 232-2742 58 243 232-2745 Fax: 58 243 232-2742 Puerto La Cruz Av. Intercomunal Andrs Bello Sector Las Garzas Centro Comercial MT (CCMT) Piso1, local 39 Lecheras Telfonos: 58 281 267-0845 58 281 418-7935 al 38 Fax: 58 281 286-9616
Puerto Ordaz Avenida Guayana Sector Alta Vista Torre Coln Piso 6, ocinas 2, 3 y 4 Telfonos: 58 286 962-6451 58 286 962-4995 58 286 962-5926 Fax: 58 286 962-6875
Valencia Avenida Bolvar Norte Centro Comercial y Profesional El Camoruco Piso 21 Apartado Postal 541 Telfonos: 58 241 823-2321 58 241 824-1383 Fax: 58 241 824-4905 Espieira, Sheldon y Asociados 39 Prcticas de Seguridad de Informacin de las empresas en Venezuela Indice Imprimir Salir Espieira Sheldon y Asociados ha realizado las comprobaciones necesarias para asegurar que toda la informacin utilizada para la elaboracin de este informe, procede de fuentes ables y rene un grado de precisin adecuado. An aceptando la premisa anterior, Espieira Sheldon y Asociados, no garantiza en ningn modo la plena veracidad y exactitud de la informacin que contiene este informe. Por ello, aunque el trabajo y las conclusiones que se derivan del mismo cumplan con los mximos estndares de calidad, esta publicacin no pretende ofrecer, en ningn caso, las cifras denitivas de los tpicos aqu tratados. Espieira Sheldon y Asociados ha realizado las comprobaciones necesarias para asegurar que toda la informacin utilizada para la elaboracin de este informe, procede de fuentes ables y rene un grado de precisin adecuado. An aceptando la premisa anterior, Espieira Sheldon y Asociados, no garantiza en ningn modo la plena veracidad y exactitud de la informacin que contiene este informe. Por ello, aunque el trabajo y las conclusiones que se derivan del mismo cumplan con los mximos estndares de calidad, esta publicacin no pretende ofrecer, en ningn caso, las cifras denitivas de los tpicos aqu tratados. Pgina web: www.pwc.com/ve Consultora Gerencial consultoria.gerencial@ve.pwc.com
Contactos Si est conectado a internet, haga click sobre el nombre o el icono Facebook (http://facebook.com/ pwcVenezuela) Twitter (http://twitter.com/pwc_ venezuela) LinkedIn (www.linkedin.com/companies/ pwc-venezuela) www.pwc.com/ve Espieira, Sheldon y Asociados es Firma miembro de PricewaterhouseCoopers (www.pwc.com) presta servicios profesionales de asesora gerencial, auditora y asesoramiento tributario, con foco en las diferentes industrias, destinado a clientes del sector pblico y privado. Ms de 163.000 personas, en 151 pases, conectan su conocimiento, experiencia y soluciones para acrecentar la conanza pblica y generar mayor valor para sus clientes y quienes invierten en ellos. 2011 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se reere a Espieira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de rmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada rma miembro es una entidad separada e independiente y Espieira, Sheldon y Asociados no ser responsable por los actos u omisiones de cualquiera de sus rmas miembro ni podr ejercer control sobre su juicio profesional ni tampoco podr comprometerlas de manera alguna. Ninguna rma miembro ser responsable por los actos u omisiones de cualquier otra rma miembro ni podr ejercer control sobre el juicio profesional de otra rma miembro ni tampoco podr comprometer de manera alguna a otra rma miembro o a PwCIL. R.I.F.: J-00029977-3 Al editar este informe nicamente en formato digital, contribuimos con: Los estimados de la conservacin de recursos fueron realizados utilizando la Calculadora de Uso de Papel del Environmental Defense Fund. Para mayor informacin visite http://www.papercalculator.org. 6 rboles preservados para el futuro 798 kilos netos de gases de efecto invernadero (C02) no emitidos 25.316 litros de agua salvados 2.344 kW no consumidos 300 kilos de desechos slidos no generados