Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
Tendencias en Cyber Riesgos y Seguridad
de la Información
Agosto 2016
Estudio de Tendencias en Latinoamérica 2016
1. Introducción al Estudio de Deloitte sobre Cyber Riesgos y Seguridad
de la Información en Latinoamérica en 2016
2. Resumen de las Tendencias Identificadas
3. Principales Resultados y Hallazgos
4. Conclusiones Finales
Agenda
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016 2
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016 3
Introducción al Estudio
Introducción al Estudio de Deloitte sobre Cyber Riesgos y Seguridad
de la Información en Latinoamérica en 2016
4
Iniciativa Regional que permite identificar las tendencias en Cyber Riesgos y
Seguridad de la Información
• Realizado entre Enero y Abril de 2016.
• Reuniones y Entrevistas con CISOs, Líderes
y responsables de gestionar Cyber Riesgos y
Seguridad de la Información de
organizaciones de múltiples industrias.
• Las organizaciones participantes reciben un
reporte de benchmarking personalizado
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
El Estudio 2016 en números
5
Gobierno Presupuesto e
Inversiones Amenazas
SOC
Mejores
Prácticas
Tecnologías
Se relevaron
tendencias
generales y
particulares 1 Información
obtenida de
forma directa
de los
responsables
de Gestionar
la Seguridad
2
89/ 14/
Organizaciones
participantes
Países
La Encuesta
Incluyó 41
preguntas
3
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
6
Consumo Masivo y Manufactura
23%
Energia y Recursos Naturales
8%
Servicios Financieros 10%
Ciencias de la Vida y Cuidado de la Salud
1%
Banca 43%
Sector Público 6%
Tecnología, Medios Y telecomunicaciones
9%
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Industrias y Sectores Económicos Participantes
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016 7
Resumen de las Tendencias
Identificadas
Principales Tendencias
8
2 A PESAR DE QUE LAS ORGANIZACIONES
INCREMENTAN SUS PRESUPUESTOS, LA
PRINCIPAL BARRERA QUE ENFRENTAN LOS
CISOs SIGUE SIENDO LA FALTA DE
PRESUPUESTO Y/O DE RECURSOS SUFICIENTES
MENOS DEL 10% DE LAS
ORGANIZACIONES CUENTAN CON
INDICADORES (KPIs) Y/O TABLERO DE
GESTION INTEGRAL DE RIESGOS DE
SEGURIDAD 3
4 DE CADA 10 ORGANIZACIONES SUFRIERON UNA
BRECHA DE SEGURIDAD EN LOS ULTIMOS 24 MESES
MENOS DEL 20% DE LAS ORGANIZACIONES
CUENTAN CON UN SOC (Security Operation Center) 1
LA CAPACITACIÓN Y CONCIENTIZACIÓN ES
LA INICIATIVA DE SEGURIDAD QUE MAYOR
CANTIDAD DE ORGANIZACIONES
EJECUTARAN EN 2016 4 © 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016 9
Principales Resultados y
Hallazgos
Conformación del área de Seguridad de la Información
10
Ejecutivo responsable de Gestionar Cyber Riesgos y
la Seguridad de la Información
Existe un ejecutivo asignado
[PERCENTAGE] Si, más de uno 5%
[CATEGORY NAME] se cuenta
con ejecutivo asignado
[PERCENTAGE]
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Conformación del área de Seguridad de la Información (cont.)
11
Nivel de Reporte de la Función
Auditoria Interna 1%
Chief Operations Officer (COO)
4% Junta directiva
2%
Comité de Seguridad 3%
Ejecutivo de TI 11%
No Aplica / No Sabe 11%
Chief Executive Officer (CEO) 12% Chief Technology Officer
(CTO) 3%
Otro: 21%
Chief Risk Officer (CRO) 15%
Chief Information Officer (CIO) 17%
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Estrategia de Cyber Riesgos y Seguridad de la Información
12
Documentada y Aprobada
[PERCENTAGE]
Documentada pero no aprobada
16%
A desarrollar y aprobar en los próximos 12
meses 26%
Sin documentar [PERCENTAGE]
Documentación y formalización
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Principales obstáculos y barreras que enfrenta el CISO
13 © 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
#1/
#2 /
Falta de Presupuesto y/o Recursos
Suficientes (50%)
Falta de Visibilidad y/o Influencia en la
Organización (37%)
• Menos del 25% de las Organizaciones consideran que la complejidad de las
amenazas hace más difícil gestionar la seguridad
• Sólo un 15% considera que las nuevas tecnologías dificultan la gestión de seguridad
Responsabilidades del CISO
14
+ 50%
6%
9%
15%
20%
21%
29%
33%
34%
38%
43%
44%
46%
54%
56%
57%
61%
61%
61%
64%
65%
65%
66%
66%
71%
73%
76%
76%
78%
No conoce
Comprobación de antecedentes
Administración de fraude
Administración de continuidad de negocio
Seguridad física
Plan de recuperación ante desastres
Seguridad de terceras partes y socios de negocio
Monitoreo de marcas y riesgos externos que afecten a la…
Arquitectura de SI
Investigaciones
Administración del riesgo de TI (tecnología de la…
Administración de programa de riesgos en SI
Seguridad del perímetro de la red (ej. Firewall)
Seguridad de la infraestructura (ej. Antivirus)
Presupuesto de SI
Administración de usuarios
Seguridad de las aplicaciones
Seguridad de los datos
Evaluación del riesgo de SI
Administración de accesos
Cumplimiento y control de SI
Indicadores, métricas y reportes de SI
Administración de vulnerabilidades
Respuesta ante incidentes
Estrategia y planificación de SI
Gobierno de SI (políticas, normas, estándares)
Monitoreo de eventos de SI
Concientización y capacitación en SI
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
60%
38%
2%
Presupuesto de Seguridad de la Información
15
Presupuesto de SI en relación al % Presupuesto TI
Distribución del presupuesto
36%
17%
3%
35%
3%
6%
No Sabe
4-6%
0%
1-3%
10-11%
Mayor al 11%
No responde
47%
71%
59%
58%
7%
Sueldos del personal propio
Contrataciones de Servicios yTercerización de Funciones
Licencias de Softwareespecífico de SI
Infraestructura de SI
Otros
Cuenta con un presupuesto
definido No Informa
El presupuesto de
Seguridad está bajo
otras funciones
Ej. IT
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Evolución del Presupuesto respecto 2015
16
20%
29%
20%
3%
9%
18%
Reducción del presupuesto
Mantenimiento del mismo presupuesto
Incremento de entre 1% y 5%
Incremento de entre 6% y 10%
Incremento mayor al 10%
No aplica /No conoce
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Principales iniciativas para el 2016
17
1
2
3
4
5
Capacitación y concientización en Seguridad de la
Información
Gobierno de Seguridad de la Información (SI)
Alineación de la SI con el negocio
Protección de datos sensibles
Generación de indicadores, medición y reporte de SI
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Tecnologías de Seguridad
18
Antivirus (100%)
Firewalls (99%)
Antispam (82%)
Anti spyware (71%)
Filtro de contenido (60 %)
Sistema de Detección o Prevención de
Intrusos (IDS/IPS) (64%)
Vulnerability management (52%)
Network access control (42%)
Más Utilizadas
Administración de identidades
federada (12%)
Cifrado de almacenamiento /
dispositivos móviles (17%)
Enterprise Single Sign On (19%)
Incident management workflow (22%)
Seguridad / Cifrado de datos en
reposo (22%)
Menos Utilizadas
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Brechas de Seguridad
19
Vectores:
• Software malicioso (malware, troyano,
virus, ransomware) que ingresa desde
fuera de la organización
• Incidente causados por un ataque físico
(ej. laptop robada)
• Incidente de seguridad ocasionado por
un empleado (utilización de privilegios
excesivos)
Impacto Económico/Financiero:
• La mayoría No sabe o No aplica (+57%)
• Para aquellos que han evaluado, el 38%
informa que el incidente no ha tenido
impacto financiero
• El 20% sufrió perdidas inferiores a los
USD 250,000 y un 5% pérdidas
superiores a dicho monto.
Ha sufrido una brecha externa y/o interna de seguridad en los últimos 24 meses?
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Si [PERCEN
TAGE]
No [PERCENTAGE]
Capacidades de Monitoreo y Respuesta ante Incidentes
20 © 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
No se cuentan con capacidades de loggeo de información de eventos de
seguridad 14%
Se cuenta con capacidades de loggeo de información de eventos de seguridad pero no se monitorean dichos
eventos, sólo se cuenta con capacidades para realizar
análisis forense post-evento 41%
Se realizar un monitoreo 7-24 de información de eventos técnicos de
seguridad (ej. Logs de firewalls, logs de Active
Directory, etc) 28%
Se cuenta con capacidades de monitoreo de eventos técnicos y de negocio (ej. Correlación de eventos de intentos fallidos de acceso
con geolocalización de browser del usuario y con logs transaccionales de
aplicaciones) 15%
No Conoce 2%
Utilización de un SOC (“Security Operation Center”)
21
Sin Respuesta [PERCENTAGE]
[CATEGORY NAME]
[VALUE]%
A ser implementado durante 2016
16%
Si, se cuenta con un Centro de
Operaciones de Seguridad
25%
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Debilidades en Controles de Seguridad – Hallazgos de Auditoría
22
01
02
03
04
05
Inadecuada segregación de funciones
Privilegios de acceso excesivos
Continuidad de negocio y recuperación
ante desastres
Las políticas y estándares de seguridad
no han sido implementados
Eliminación de privilegios de acceso ante
cambios en la función o desvinculación
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Prácticas de Administración de Usuarios y Accesos
23 © 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
En el 55% de las
Organizaciones
el proceso de
administración de
usuarios y
accesos es
totalmente
manual
1
Sólo el 25% de las
organizaciones ha
implementado una
herramienta Word-
class para
provisionar
usuarios,
menos del 15%
para administrar
roles y perfiles
2
Sólo 1 de cada 4
organizaciones
revisa y certifica
periódicamente
los accesos y
permisos
existentes en
sistemas
3
Protección de Datos Personales
24 © 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
+80% de las
Organizaciones
deben cumplir con
regulaciones o leyes
de protección de
datos personales
Sólo la mitad han
asignado recursos con
dedicación a proteger
datos personales
1 de cada 4
organizaciones han
sufrido brechas de
seguridad con impacto
en datos personales
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016 25
Conclusiones Finales
Consideraciones finales
26 © 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016
Si bien existe conciencia sobre la importancia de la seguridad de la
información, los CISOs en América Latina aún luchan por convencer a la
organización para que inviertan en Seguridad 1
2
Los CISOs en Latinoamérica tienen bastante claridad y acuerdo
en el alcance de sus responsabilidades y procesos. En ese
alcance generalmente no se incluye la seguridad física ni la
continuidad de negocio.
4
El desarrollo de capacidades para monitorear y responder a las
cyber amenazas representa una necesidad urgente, las
organizaciones aún se encuentran en un estado temprano de
madurez en prácticas de Monitoreo y SOC
3
En un contexto de nuevas y más sofisticadas cyber amenazas, las
Auditorías de Seguridad siguen identificando debilidades básicas de
seguridad en segregación de funciones y administración de usuarios.
Estos aspectos continúan siendo un área a mejorar por los CISOs
© 2016 Deloitte & Co. S.A. – Tendencias en Cyber Riesgos y Seguridad de la Información en LATAM 2016 27
Muchas Gracias!!
Acerca de Deloitte
Deloitte presta servicios profesionales en auditoría, impuestos, consultoría y asesoramiento financiero a organizaciones públicas y privadas de diversas industrias.
Con una red global de firmas miembro en 140 países, Deloitte brinda su experiencia y profesionalismo de clase mundial para ayudar a sus clientes a alcanzar el éxito
desde cualquier lugar del mundo en el que éstos operen.
Los 165.000 profesionales de la Firma están comprometidos con la visión de ser modelo de excelencia; están unidos por una cultura de cooperación basada en la
integridad y el valor excepcional a los clientes y mercados, en el compromiso mutuo y en la fortaleza de la diversidad. Disfrutan de un ambiente de aprendizaje
continuo, experiencias retadoras y oportunidades de lograr una carrera en Deloitte. Sus profesionales están dedicados al fortalecimiento de la responsabilidad
empresarial, a la construcción de la confianza y al logro de un impacto positivo en sus comunidades.
Deloitte se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente. Por favor, vea en
www.deloitte.com/about la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro.