© 2007 EYGM Limited, All Rights Reserved Do Not Distribute Without Written Permission 1 10° Relevamiento Mundial Anual de Seguridad Inform á tica C ó mo

© 2007 EYGM Limited, All Rights ReservedDo Not Distribute Without Written Permission1

10° Relevamiento Mundial Anual de Seguridad Informática Cómo equilibrar el riesgo y el rendimientoAnálisis detallado de los resultados del relevamiento 13 de noviembre de 2007


Participantes del relevamientoPanorama general

Por país

(Encuestados totales: 1277) Cantidad Porcentaje

Estados Unidos 219 17%

India 114 9%

México 84 7%

Australia 75 6%

Perú 73 6%

Reino Unido 53 4%

Finlandia 52 4%

Canadá 45 4%

Francia 44 3%

Países Bajos 44 3%

Suiza 43 3%

Italia 39 3%

Argentina 33 3%

Arabia Saudita 27 2%

Singapur 26 2%

China 25 2%

España 25 2%

Todos los restantes 256 20%



Por industria


Servicios Financieros 265 21%

Sector industrial 188 15%

Seguros 124 10%

Tecnología 76 6%

Sector público (gobierno, fuerzas armadas) 72 6%

Energía y servicios públicos 71 6%

Telecomunicaciones 53 4%

Medios y entretenimiento 50 4%

Minoristas 48 4%

Compañías farmacéuticas 45 4%

Salud 38 3%

Servicios profesionales 37 3%

Transporte 37 3%

Mayoristas y distribución 27 2%

Inmobiliaria y construcción 24 2%

Agropecuario 12 1%

Aereoespacio y defensa 11 1%

Educación 11 1%

Todos los restantes 88 7%

* el total no equivale al 100% debido al redondeo normal



Por ingresosPor cantidad de empleados


No corresponde (por ejemplo, sin fines de lucro, gobierno)

88 7%

Menos de USD 100 millones 278 22%

USD 100 millones - USD 250 millones 193 15%

USD 250 millones - USD 500 millones 129 10%

USD 500 millones - USD 1.000 millones 122 10%

USD 1.000 millones - USD 10.000 millones 288 23%





más de USD 100.000 millones 30 2%

(Encuestados totales: 1277) CantidadPorcentaj

e

Menos de 1.000 391 31%

1,000-2,500 264 21%

2,500-10,000 282 22%

10,000-50,000 219 17%

50,000-100,000 68 5%

100,000-150,000 23 2%

150,000-200,000 8 1%

más de 200.000 22 2%* el total no equivale al 100% debido al redondeo normal


¿Su organización cuenta con una función de seguridad informática definida?

Organización


¿Cómo se encuentra estructurada la función de seguridad informática dentro de su organización?

Organización


¿Hasta qué punto la función de seguridad informática en su organización se encuentra integrada con la gestión general de riesgos?

Organización


¿Cuál es el propulsor principal para la integración entre la seguridad informática y la gestión general de riesgos en su organización?

Organización


Asigne un orden de prioridad de 1 a 3 a los tres principales propulsores que afectan de forma más significativa las prácticas de seguridad informática en su organización.

Propulsores de la seguridad informática


Según su punto de vista, ¿cuán importante es la función de seguridad informática en el respaldo de los siguientes esfuerzos en su organización?

Propulsores de seguridad informática - objetivos de negocios


En su organización, ¿la función de seguridad informática formó parte de los siguientes esfuerzos en los últimos 12 meses? En caso afirmativo, ¿la naturaleza de su participación resultó más proactiva o reactiva?

Propulsores de seguridad informática - objetivos de negocios


Seleccione los tres principales tipos de reglamentos o requerimientos que afectaron las prácticas de seguridad informática de su organización en los últimos 12 meses.

Propulsores de la seguridad informática - Reglamentos


Seleccione los tres principales tipos de reglamentos o requerimientos que con mayor probabilidad afectarán las prácticas de seguridad informática de su organización en los próximos 12 meses.


47%

35% 34% 33%

27% 26%

0%

10%

20%

30%

40%

50%

Internal controls Industry-specificregulations

Privacy Operational risk Intellectual propertyprotection

Information securitycertification

requirements

(Encuestados totales: 1273) Puede haber más de una respuesta

Cantidad

Porcentaje

Controles internos (por ejemplo, Sarbanes-Oxley, la Octava Directiva de la UE, J-SOX, entre otros) 604 47%

Normas específicas de las industrias (por ejemplo, HIPAA (Ley de Responsabilidad y Transferibilidad de Seguros Médicos), la directiva MiFID, regla de seguridad de la FTC (Comisión Federal de Comercio)

441 35%

Privacidad (por ejemplo, la directiva sobre la privacidad de la UE, Gramm-Leach-Bliley, la ley para la protección de la información personal de Japón)

429 34%

Riesgo operativo (por ejemplo, Basilea II, CRD (directiva sobre requerimientos de capital), Solvencia 2) 415 33%

Protección de propiedad intelectual 344 27%

Requisitos de certificación de la seguridad informática (por ejemplo, exigido por los contratos de proveedores)

335 26%

Porc

enta

je d

e re

spue

stas


¿Existe algún proyecto de seguridad informática en curso para los siguientes reglamentos o requerimientos?


38%

26% 25%21% 20%

15%

0%

10%

20%

30%

40%

50%

Internal controls Industry-specificregulations

Privacy Operational risk Information securitycertification

requirements

Intellectual propertyprotection

(Encuestados totales: 1273) Puede haber más de una respuesta

Cantidad

Porcentaje

Controles internos (por ejemplo, Sarbanes-Oxley, la Octava Directiva de la UE, J-SOX) 490 38%

Normas específicas de las industrias (por ejemplo, HIPAA (Ley de Responsabilidad y Transferibilidad de Seguros Médicos), la directiva MiFID, regla de seguridad de la FTC (Comisión Federal de Comercio)

332 26%

Privacidad (por ejemplo, la directiva sobre la privacidad de la UE, Gramm-Leach-Bliley, la ley para la protección de la información personal de Japón)

321 25%

Riesgo operativo (por ejemplo, Basilea II, CRD (directiva sobre requerimientos de capital), Solvencia 2) 268 21%

Requisitos de certificación de la seguridad informática (por ejemplo, exigido por los contratos de proveedores)

253 20%

Protección de propiedad intelectual 191 15%

Porc

enta

je d

e re

spue

stas


¿Hasta qué punto está de acuerdo o en desacuerdo con las siguientes declaraciones?



Seleccione los tres principales problemas de seguridad que fueron identificados como preocupaciones de seguridad significativos en su organización. ¿Su organización cuándo planea darle tratamiento a las inquietudes seleccionadas?

Propulsores de la seguridad informática - Preocupación por la seguridad


¿Cuáles de las siguientes áreas representan el mayor desafío para su organización a la hora de entregar proyectos estratégicos sobre seguridad informática?

Propulsores de la seguridad informática - Desafíos en la entrega de proyectos estratégicos de seguridad informática


¿Cómo evalúa la postura de la seguridad informática de su organización?

Acciones de seguridad informática en su organización


¿Qué componentes utiliza al efectuar autoevaluaciones internas de la postura de la seguridad informática de su organización?



Seleccione las cinco principales actividades de seguridad informática según su importancia para su organización.



Seleccione las cinco principales actividades de seguridad informática en su organización según el tiempo que insumen.



¿Ha utilizado a un tercero en alguna de las siguientes áreas de seguridad informática o tiene previsto hacerlo?

Acciones de seguridad informática en su organización - Procesos de la organización


Si ha decidido utilizar a un tercero, sírvase colocar en orden del 1 al 3 los principales propulsores con respecto a su importancia.



En su organización, ¿con qué frecuencia se reúnen las personas encargadas de entregar servicios de seguridad informática con los siguientes grupos internos o individuos para tratar o conocer sus objetivos de negocios y necesidades de seguridad informática?



En su organización, ¿con qué frecuencia se reúnen las personas encargadas de entregar servicios de seguridad informática con los siguientes grupos internos o individuos para tratar o conocer sus objetivos de negocios y necesidades de seguridad informática?


Res

pues

tas

Porcentaje de respuestas * el total no equivale al 100% debido al redondeo normal

3%

17%

14%

12%

12%

11%

13%

21%

9%

5%

15%

14%

13%

9%

11%

11%

13%

5%

11%

20%

21%

24%

20%

18%

16%

21%

8%

72%

30%

26%

24%

24%

23%

17%

8%

15%

4%

12%

19%

20%

23%

27%

32%

32%

46%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Information Technology

Internal Audit

Corporate Officers

Business Unit Leaders

Compliance

Risk management

Legal

Board of Directors/ Audit Committee

Privacy organization

Annually

Semi-Annually

Quarterly

Monthly

Never


¿Cómo se tratan los siguientes problemas de seguridad informática en su organización?



¿Cómo se tratan los siguientes problemas de seguridad informática en su organización?


43%

45%

48%

52%

63%

64%

66%

35%

37%

38%

37%

29%

30%

21%

20%

17%

12%

9%

7%

5%

12%

0% 20% 40% 60% 80% 100%

Vendor risk management

Physical and IT security convergence

Training and awareness

Building information security into the applicationdevelopment process

Privacy, the protection of personal information

Incident response

Business continuity planning

Formal Procedures

Informal Procedures

Not Addressed

Res

pues

tas

Porcentaje de respuestas



Al trabajar con terceros, ¿cuáles de los siguientes elementos son necesarios como parte de su proceso de gestión de riesgos relacionados con proveedores y socios de negocios, como la tercerización de procesos de negocios, el desarrollo de aplicaciones, entre otros?



¿Usted lleva a cabo una evaluación formal de riesgos?Acciones de seguridad informática en su organización - Evaluación de riesgos


De las siguientes prácticas de evaluación de riesgos, califique la efectividad de las que usted desplegó.

Acciones de seguridad informática en su organización - Evaluación de riesgos

* los porcentajes se basan en la cantidad total de respuestas


¿Con qué frecuencia la función de seguridad informática informa al Directorio sobre las siguientes cuestiones?

Acciones de seguridad informática en su organización - Información


¿Con qué frecuencia la función de seguridad informática informa a los líderes de las unidades de negocios sobre las siguientes cuestiones?

Acciones de seguridad informática en su organización - Información

(Encuestados totales: 1232)Mensualm

enteTrimestra

lmenteBianualme

nteAnualme

nte Nunca

Informe sobre el cumplimiento de la seguridad informática de la organización.

36% 19% 8% 9% 28%

Informe de estado sobre los proyectos clave de seguridad informática de la organización.

33% 24% 9% 12% 22%

Informe sobre los incidentes de seguridad informática de la organización.

23% 21% 12% 17% 27%

23%

33%

36%

21%

24%

19%

12%

9%

8%

17%

12%

9%

27%

22%

28%

0% 20% 40% 60% 80% 100%

Report on the organization'sinformation security incidents

Status report on theorganization's key information

security projects

Report on the organization'sinformation security

compliance

Monthly

Quarterly

Semi-Annually

Annually

NeverRes

pues

tas

Porcentaje de respuestas



¿Qué tipo de programas de capacitación y concientización de la seguridad informática les ofrece su organización a los siguientes grupos?

Acciones de seguridad informática en su organización - Capacitación


En su opinión, ¿cuáles son los beneficios para su organización de adherirse a las normas de seguridad informática (por ejemplo, ISO 17799)?

Acciones de seguridad informática en su organización - Normas


¿Cuáles de las siguientes normas fueron adoptadas formalmente por su organización?

Acciones de seguridad informática en su organización - Normas


¿En qué estado se encuentra el tratamiento de las siguientes actividades en su organización?

Acciones de seguridad informática en su organización - Convergencia de la seguridad física e informática


¿Cuáles de las siguientes funciones también son responsabilidad del líder de seguridad informática en su organización?

Acciones de seguridad informática en su organización - Convergencia de la seguridad física e informática


De las siguientes actividades de continuidad del negocio, ¿cuáles se implementaron para desarrollar sus planes de continuidad del negocio?

Acciones de seguridad informática en su organización - Gestión de la continuidad del negocio y recuperación ante desastres


¿Sus planes de continuidad del negocio incluyen planes y preparativos específicos para una crisis regional o mundial (por ejemplo, la gripe avícola, un ataque terrorista, un huracán o tifón)?



¿Cuándo fue la última vez que se probaron o invocaron sus planes de continuidad del negocio?



De los siguientes elementos, ¿cuáles están cubiertos por sus planes de recuperación ante desastres?


Documents

© 2007 EYGM Limited, All Rights Reserved Do Not Distribute Without Written Permission 1 10° Relevamiento Mundial Anual de Seguridad Inform á tica C ó mo