6ta encuesta anual de seguridad global en la industria financiera (2009 - deloitte)

6ta Encuesta Anual de Seguridad Global en la Industria Financiera

Proteger lo importante

Abril 2009

6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados © Deloitte & Co. SRL 2009. Todos los Derechos Reservados

Introducción y metodología

1

6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados © Deloitte & Co. SRL 2009. Todos los Derechos Reservados2

Introducción y metodologíaEncuestas Globales de Seguridad & Privacidad de Deloitte


Introducción y metodologíaInforme Anual de Seguridad en Instituciones Financieras• El Informe Anual de Seguridad en Instituciones Financieras, realizado por Deloitte

analiza el estado de las entidades financieras en materia de seguridad de la información.

• El informe, que cumple este año su sexta edición, profundiza en la estrategia de las entidades financieras respecto a:

• La seguridad de la información, la figura delCISO (Chief Information Security Officer) y la relación de la función de seguridad con laestrategia de negocio de la organización.

• El presupuesto destinado a seguridad de la información en entidades financieras y el destino de las inversiones.

• Las principales amenazas y ataques que sufren las entidades y las tecnologías y soluciones más destacadas para combatirlas.

• Más de 200 instituciones financieras, bancos y compañías aseguradoras de todo el mundo hanparticipado en el informe.

• Los datos han sido recopilados durante el segundo semestre de 2008.3

Fuente: Deloitte


Tendenciasclave

4

Nota: Hemos resaltado los casos en los que los resultados de Argentina sean significativamente diferentes con respecto a los resultados globales


Tendencias clave en el mundoSeguridad en el sector financiero

Principales factores en materia de seguridad durante 2008:

5

1. Cumplimiento regulatorio

2. Gestión de accesos e identidades

3. Protección de información y prevención de fugas

4. Mejoras en las infraestructuras de seguridad

5. Gobierno de la seguridad



• Evolución del CISO (Chief Information Security Officer):

1. Incremento de la presencia del CISO en las organizaciones.

2. Incremento de la frecuencia de reporting del CISO a la Alta Dirección. En Argentina, este incremento es más leve y se sigue reportando al Director de Operaciones y Sistemas.

3. El rol del CISO está más focalizado en temas de gobierno de seguridad, estrategia y planificación de la seguridad.

• Evolución de la función de seguridad de la información:

1. El cumplimiento regulatorio continúa siendo el principal impulsor de la función.

2. Mayor peso de la función de seguridad en el Comité de Riesgos. En Argentina, no hubo cambios con respecto a este punto.

6



• Estrategia en seguridad de la información:

1. El 61% de las organizaciones a nivel global posee ya una estrategia de seguridad. El 63% sostiene que los objetivos de la seguridad se alinean con los del negocio y el 40% emplea métricas para evaluar la performance y efectividad de las medidas de seguridad tomadas.

2. En Argentina, los porcentajes varían significativamente, señal que las buenas intenciones no siempre se concretan, ya que el 85% manifiesta poseer una estrategia, sólo el 40% sostiene que está alineada con el negocio y apenas un 15% emplea métricas para evaluar la gestión y rendimiento de las medidas de seguridad.

• Inversión en seguridad

1. El presupuesto que las entidades dedican a seguridad de la información pareciera ser escaso. El 49% de las organizaciones consultadas destina entre un 1% y un 6% de su presupuesto de tecnología, mientras que sólo un 5% destina más del 10% del presupuesto. En Argentina, los números son levemente inferiores (41%).

2. El principal obstáculo o barrera que se menciona para lograr cumplir con las estrategias planteadas son “Restricciones presupuestarias” y en Argentina, además se hace mención a un bajo involucramiento de la Alta Gerencia.

7


• El “factor humano” y ataques informados

1. En relación con los proyectos e iniciativas de seguridad, se menciona a “la escasez de recursos y de profesionales especializados en seguridad” como los principales causantes de fallas/incumplimiento de metas previstas en los mismos. Finalmente, el error humano se describe como el principal motivo de las fallas de seguridad en los sistemas.

2. El año pasado, la frecuencia de ataques externos en las entidades financieras se redujo respecto a la encuesta anterior (47% frente al 65%), pero el nivel de sofisticación de los ataques hace que éstos sean más críticos. Si bien el 20% de las entidades (24% en Argentina.) afirma no haber sufrido ataques externos durante el último año, el 22% de las organizaciones reportó ataques de “phishing” en repetidas ocurrencias; (en Argentina, el 11% de las entidades también reportó este tipo de ataque).

• Gestión de accesos:

1. Este tema se ha convertido en la principal prioridad durante el pasado año y la segunda en la presente edición. En Argentina, aún sigue siendo la principal prioridad, señal de que todavía hay un gap por cubrir.

2. La mayor movilidad de los empleados, el uso de dispositivos remotos, las crecientes regulaciones y las principales preocupaciones en cuanto a excesivos accesos son los drivers que impulsan este tema.

8



Tendencias clave en el mundoPrincipales resultados por regiones (I)

9

La función de seguridad… Asia Pacífico* Japón EMEA Norte

América LACRO Globalactual

Global anterior Argentina

Ha llegado a ser un tema impuesto y liderado por la Dirección. 77% 79% 70% 63% 78% 72% 81% 40%

Cree que tiene los recursos necesarios (rol y presupuesto) para cubrir los requerimientos regulatorios.

69% 65% 56% 58% 63% 59% 73% 76%

Ha elaborado formalmente un documento sobre la estrategia de seguridad.

62% 50% 64% 62% 68% 61% 63% 76%

Está alineada con las iniciativas del negocio. 31% 30% 32% 28% 40% 32% 38% 41%

Cuenta con un presupuesto que se ha ido incrementando año tras año. 54% 25% 60% 65% 75% 60% 98% 47%

Tiene plan y presupuesto suficiente. 31% 5% 50% 26% 59% 43% 52% 50%

Fuente: Deloitte Valores más altos Valores más bajos *Excluye Japón

• El número de entidades financieras que incrementó el presupuesto destinado a seguridad se redujo considerablemente en esta encuesta respecto a la anterior, producto de la crisis. Argentina no estuvo ajena: sólo el 47% de las organizaciones pudo incrementar su presupuesto de seguridad en el 2008.


Tendencias clave en el mundoPrincipales resultados por regiones (II)

10

La función de seguridad Asia Pacífico* Japón EMEA Norte

América LACRO Globalactual

Global anterior Argentina

Ha incorporado conceptos de seguridad y privacidad como parte del desarrollo habitual de su software.

38% 40% 26% 32% 41% 31% 32% 35%

Cuenta con las competencias para gestionar las necesidades actuales y futuras.

23% 25% 41% 33% 33% 34% 30% 29%

Ha ofrecido cursos a sus empleados sobre seguridad y privacidad. 58% 90% 64% 82% 82% 72% 78% 76%

Tiene un responsable de privacidad a nivel ejecutivo. 23% 85% 58% 82% 24% 57% 66% 18%

Dispone de un programa para gestionar la normativa sobre privacidad. 38% 84% 43% 76% 18% 48% 70% 24%

Ha tenido de forma repetida ataques internos en el último año. 33% 17% 26% 24% 30% 27% 30% 41%

Ha tenido de forma repetida ataques externos en el último año. 58% 17% 49% 51% 50% 47% 65% 53%

Fuente: Deloitte Valores más altos Valores más bajos *Excluye Japón

• LACRO (y Argentina en particular) reportan % mayores de incidentes y ataques de seguridad que otras regiones; esto podría demostrar que nuestra región es cada vez más buscada como objetivo en ataques y que todavía quedan temas por mejorar en prevención de ataques. Los países donde tradicionalmente se originan más ataques continúan siendo Rusia, China, países latinoamericanos y de Europa del Este.

Resultados Detallados Globales


¿Tiene su organización un puesto de CISO o equivalente?

12

• 80% de los encuestados tienen un puesto de Chief Information Security Officer (CISO) o equivalente

•7% tienen más de un ejecutivo de seguridad

•12% no poseen


¿A quién reporta el CISO?

13

•Los cuatro puestos principales a los que reporta el CISO –El CIO, el Directorio, Dirección TI y el CEO-muestran un leve incremento desde el año pasado o se mantuvieron igual. El rol del CISO no parece haberse alejado de reportar a las Gerencias.

•La mayoría de los CISO (33%) siguen reportando a un CIO. 13% reportan al Directorio, y el mismo porcentaje reporta a la Dirección de TI. 9% reportan a un Comité de Seguridad, 7% al CRO y 6% al CTO.

•La mayoría de los encuestados indican que el principal puesto indirecto al que reportan los CISO’s es el Directorio (7%), demostrando que, como era el año pasado, el tema de la Seguridad de la información sigue siendo una preocupación de la Alta Gerencia y el Directorio.

Reporte Directo (%)

Reporte Indirecto (%)

Directorio

Dirección TI

Comité de seguridad

Consejo general

Directorio

Comité de seguridad

Consejo general

Auditoría interna

EncuestaActual

EncuestaAnterior

EncuestaActual


Capacidad del personal de seguridad�

•Sólo el 34% indican que su organización tiene todas las competencias requeridas para tratar los requerimientos de seguridad existentes y los previsibles.

•36% están de acuerdo con la declaración “A la organización le faltan competencias pero está reduciendo la brecha adecuadamente”.

14

EncuestadosTodos

Capacidad del personal de seguridad (%)

La organización tiene todas las competencias

requeridas para responder efectiva y

eficientemente

A la organización le faltan competencias

pero estáreduciendo la

brecha adecuadamente

La organización tiene grandes

brechas de competencias

Se contrata staff suplementario o se

terceriza

EncuestaActual

EncuestaAnterior


Estrategia de Seguridad de la Información (SI) definida

15

•61% indican poseer una estrategia de SI definida y formalmente documentada.

•21% tiene una estrategia de SI en “borrador”.

•10% pretende tener una dentro de los 12 meses.

•Estos datos están en línea con los del año pasado.

Presencia de una estrategia de Seguridad de la Información (SI) definida (%)

Sí, formalmente documentada

Sí, en formato borrador

Se pretende tener una dentro de los

12 meses.

No

EncuestaActual

EncuestaAnterior


Participación de las Áreas de Negocios en la estrategia de Seguridad de la Información�

•Las Áreas de Negocios tienen más participación en la estrategia de seguridad de la información este año.

•Según las respuestas, 9% dicen que las áreas de negocios son las que dirigen realmente la estrategia de seguridad.

•33% aprueban la definición de la estrategia de seguridad de información, 26% apoyan y 58% proveen aportes.

•15% dicen que las áreas de negocios no están involucradas.

16

Participación del área de Negocios en la estrategia de Seguridad de la Información (%)

Aprobar la estrategia de seguridad

Aportar y apoyar la estrategia de seguridad

Liderar la estrategia de

seguridad

Brindar aportes

No involucrado

Área de Negocio Ejecutivos Funcionales


Alineamiento de las iniciativas de negocio y las de seguridad de la información �

•La percepción de que los objetivos de negocio y los de seguridad están de “alguna manera alineados” parece estar creciendo (58% este año), pero aquellos que sienten que están “apropiadamente alineados”experimentaron una leve caída al 32%.

• “Para nada alineados” es bajo; sólo el 5%.

•Cuando las iniciativas de negocio y de la seguridad están alineadas, la seguridad de la información seráreconocida por su valor verdadero y dará un giro completo.

17

Participación del área de Negocios en la estrategia de Seguridad de la Información (%)

Apropiadamente alineada

De alguna manera alineada

No alineada

EncuestaActual

EncuestaAnterior


•Presupuestos limitados (56%) y el aumento de la sofisticación de las amenazas (38%) ocupan los dos primeros puestos.

•Pero, “Aumento de la sofisticación de las amenazas” y “tecnologías emergentes” son menos vistas como obstáculos en esta encuesta que en la anterior; esto podría indicar que las organizaciones se sienten mejor preparadas para enfrentar nuevas amenazas de seguridad.

•La falta de soporte de la Gerencia, la mayor queja en los primeros años de esta encuesta, está muy baja en la lista de obstáculos en la encuesta actual(15%).

18

Principales obstáculos para lograr la seguridad de la información

Limitados presupuestos y/o falta de recursos

Aumento de sofisticación de amenazas.

Tecnologías emergentes.

Inadecuada disponibilidad de profesionales de seg.

Temas y preocupaciones sobre privacidad.

Inadecuada disponibilidad, funcionalidad y/o interoperabilidad de productos de seguridad.

Falta de estrategia de seguridad de información.

Falta de soporte de la Gerencia.

Principales obstáculos para lograr la seguridad de la información (%)

EncuestaActual

EncuestaAnterior


Frecuencia de reporte del estado de la Seguridad de la Información o incidentes de seguridad�

•El modo más común de reportar es “ad hoc” (Directorio –19%, Comité de Auditoría –24%, CEO –23%, Gerencia Ejecutiva –24%).

•Reportes mensuales están en el segundo lugar para el Directorio (19%), CEO (20%), y en primer lugar para la Gerencia Ejecutiva (30%).

19

DirectorioComité de auditoría CEO

GerenciaEjecutiva

SemanalMensualTrimestralSemestral

AnualAd hoc

NuncaSolo cuando ocurre un incidente

Decidió no ser informado


Principales hallazgos de auditoría interna/externa durante los últimos 12 meses•Los “Accesos excesivos”son el hallazgo de auditoría más común (31%), seguido por el incumplimiento de procedimientos de control de acceso (30%) y conflictos en segregación de funciones (30%).

•Esto es un reflejo directo de las preocupaciones de las organizaciones sobre la administración de identidades y accesos, y el cumplimiento y protección de fuga de datos.

20

Derechos de acceso excesivos

Segregación de funciones

Cumplimiento de procedimientos de control acceso

Falta de documentación de controles

Falta de revisión de Logs

Acceso excesivo de desarrolladores a datos y sistemas de producción.

Uso de datos de producción en ambiente de prueba.

Falta de actualización de reglas de acceso luego de una transferencia o desvinculación.

Falta de ambiente de prueba separado

Servidores no configurados de acuerdo a los estándares.

Pruebas de DRP/BCP

Documentación/Actualización de DRP/BCP

Falta de Log de auditoría

Falta de políticas de seguridad documentadas y procedimientos/guías soporte

Falta de programas de concientización sobre seguridad

Uso de parámetros débiles para contraseñas

Falta de estándares de servidores

Falta de autorización de cambios previa a la implementación

EncuestaActual

EncuestaAnterior


Gasto en Seguridad de la Información como porcentaje del presupuesto total de TI

21

•El porcentaje del presupuesto de TI dedicado a la Seguridad de la Información no ha cambiado significativamente desde el año pasado.

•El porcentaje más bajo del presupuesto de TI (1% al 3%) es la categoría dominante (29%).

•La segunda categoría más alta (19%) es “4% al 6%” seguido de “7% al 9%”con 6% de los encuestados.

•Un 57% de las compañías no separan el presupuesto de seguridad del presupuesto total de TI, lo que reconfirma que la seguridad se sigue viendo como predominantemente relacionada a TI.

Porcentaje del presupuesto de TI dedicado a la Seguridad de la Información (%)

1 a 3%

4 a 6%

7 a 9%

10 a 11%

Mayor al 11%


Segmentación del presupuesto de Seguridad

22

Segmentación del presupuesto de seguridad (%)

Consultores de Seguridad

Productos de control de acceso lógico

Respuesta ante incidentes

Costos de concientización/comunicación

Costos de seguros

Hardware e infraestructura

Plan de recuperación ante desastres

Dispositivos/productos de protección de infraestructura

Costos de personal y organización

Antivirus de estaciones de trabajo/gateway

Administración de cumplimiento y riesgo

Control de acceso físico

Costos de auditoría o certificaciones

Costos de investigación y estudios

Administración de la continuidad del negocio

Investigación y desarrollo en Seguridad

• Las principales prioridades de inversión y gastos de este año son consultores de seguridad (61%), productos de control de acceso lógico (58%), y dispositivos de protección de infraestructura (54%).

• Estas iniciativas son seguidas por planes de concientización/comunicación (46%), antivirus de estaciones de trabajo y Gateways (45%), y hardware/infraestructura (36%).

• Dos iniciativas clave del último año –administración de la continuidad del negocio y recuperación en caso de desastres- no sólo han sido descartadas de las 5 principales, sino que también están muy abajo en la lista.


Principales causas de incumplimiento de requerimientos/fallas de proyectos de Seguridad de Información• El 28% de los encuestados reportó

que no miden la cantidad de proyectos de seguridad que fallan en entregar lo prometido/cumplir con requerimientos y por ende, tampoco miden los proyectos exitosos.

• La “Falta de recursos” es citado como la causa número uno de las fallas de los proyectos (33%). Esto soporta el hallazgo de que lo limitado de los presupuestos es la principal barrera de la seguridad de la información.

• “Cambio de prioridades” ha caído al 27%, indicando que las organizaciones están ahora identificando, comunicando y acordando prioridades.

• También mencionan problemas de integración en un 22%; y falta de soporte por parte de los dueños de negocio en un 14%.

23

Cambio de prioridades

Problemas de integración

Falta de soporte por parte de los dueños del negocio

Expectativas poco realistas

Falta de soporte ejecutivo

Falta de habilidad para ejecutar efectivamente

Falta de competencias / capacidades

Falta de recursos

Principales causas de las fallas de proyectos de Seguridad de Información (%)

EncuestaActual

EncuestaAnterior


Amenazas externas previstas para los próximos 12 meses

“La pérdida de datos de clientes y temas de privacidad” se encuentra en el primer lugar con 48% de encuestados, marcándola como la amenaza de máxima preocupación para ellos. Phishing y Pharming están en el segundo lugar con el 46%, también se mantiene como la amenaza externa más citada para el futuro. Uso inapropiado de datos sensitivos se ubica en el 3er puesto, con 39% de encuestados seleccionándola como la máxima preocupación.

24

Pérdida de datos de cliente y temas de

privacidad (fuga de información)

Phishing

Uso inapropiado de datos sensitivos

Ingeniería social

Baja calidad de desarrollo de software

Ataques a email (ejemplo: spam)

Inadecuada administración de

parches y control de cambios

Robo o pérdida de propiedad intelectual

Mala conducta de empleados

Fraude financiero interno en sistemas

de información

Spyware (espías)

Contraseñas débiles

Virus/Ataques de gusanos

Redes zombis

Cyber-terrorismo

Acceso remoto malicioso

Cambio de imagen de sitios web

Denegación de Servicios

Exposición a datos

sensitivos por ataques

vía web

Fraude financiero

externo en sistemas de información

Brechas en redes

inalámbricas

Adware (publicidad)

Extorsión en línea

Amenazas físicas

4-5 2-3 0-1


Causas originarias de las fallas de los sistemas de información

• Como en años anteriores, se indica que la gente (empleados, clientes, terceros, proveedores, etc.) son el activo más importante y también el eslabón más débil.

• El error humano es, de manera abrumadora (86%) la razón de falla más elegida, seguido de la tecnología (un distante 63%).

• Las operaciones están en 37%, seguidas de “Falta de procesos documentados” (31%) y “terceros”(23%). “Actos maliciosos por atacantes externos” es bajo; (sólo un 13%).

25

Causas originarias de las fallas de los sistemas de información (%)

Error humano (errores y omisiones)

Tecnología (software, hardware)

Operaciones

Falta de procesos documentados

Terceros

Actos maliciosos por externos

Otros

Estructura de reporte

EncuestaActual

EncuestaAnterior


Experiencias de ataques externos�

• Virus/gusanos y ataques por mail son los dos ataques externos más significativos citados por los encuestados.

• Un porcentaje mucho mayor de encuestados respecto al año pasado (20%) indica no haber tenido inconvenientes de ataques externos.

26

Una ocurrencia (%) Varias ocurrencias (%)

Virus/gusanos

SpywareAtaques por mail (ej: spam)

Redes zombis

Otras formas de ataques externos

Phishing/Pharming

Robo de propiedad intelectual

Denegación de servicio

No hemos sido afectados por ataques externos

Adulteración de sitios websAccesos remotos maliciosos

Ataques por redes inalámbricas

Mala conducta de empleados

Extorsión online

Ingeniería social

Fraude financiero externo involucrando sistemas de informaciónExposición de datos sensitivos a través de ataques por webAmenazas físicasCasos accidentales


• Virus/gusanos y ataques por redes inalámbricas son los dos más grandes peligros internos citados por los encuestados.

• Transmisión de datos no encriptados fue la causa del problema en el más grande ataque a tarjetas de crédito, en la Encuesta anterior.

27

Virus/gusanosAtaques por redes inalámbricas

Pérdida de datos de clientes / temas de privacidad

Robo de propiedad intelectual

Casos accidentales

Fraude financiero interno involucrando sistemas de información

Otras formas de ataques internos

No hemos sido afectados por ataques externos

Una ocurrencia (%) Varias ocurrencias (%)

Experiencias de ataques internos�


Tecnologías de seguridad implementadas, probadas y planificadas�

• La gran mayoría de los encuestados indican que sus organizaciones emplean antivirus (96%), firewalls (94%), soluciones de filtrado de spam (87%) y redes privadas virtuales (85%).

• Las tecnologías menos mencionadas fueron RFID (6%), acceso federado (9%), biométricos (10%), y tarjetas inteligentes (13%).

• Dentro de las tecnologías que la mayoría de las organizaciones planea aplicar o probar a corto plazo son: Herramientas de detección de pérdida o filtrado de información y amenazas internas (32%), y Logs de seguridad y sistemas de administración de eventos (27%).

• Otras tecnologías que vale notar son las soluciones anti-phishing (39% implementadas y 11% planea implementar o probar), seguridad/encriptación de metadatos/datos almacenados en medios removibles (28% y 14%, respectivamente), y sistemas activos de gestión de amenazas (21% y 17%, respectivamente).

28

Antivirus

Firewalls

Soluciones de filtrado de spam

Redes privadas virtuales (VPN)

Monitoreo/Filtrado de contenido web

Sistema de detección de intrusos (IDS)

Software anti-spyware

Directorios

Encriptación

Sistema de prevención de intrusiones (IPS)

Herramienta de evaluación de redes activas

Tockens

Voz sobre IP (VoIP)

Sistemas de gestión de vulnerabilidades

Listas de control de acceso basadas en servidores

Sistemas de gestión de accesos webs

Soluciones anti-phishing

Software de administración de Logs

Logs de seguridad y sistemas de administración de eventos (SIM, SEM)

Control de acceso a redes

Herramienta pasiva de evaluación de redes.

Infraestructura de clave pública (PKI)

Seguridad de servicios web

Detección/Prevención de fraude

Soluciones de seguridad de redes inalámbricas

Herramientas de workflow para la administración de incidentes

Encripción/Seguridad de datos almacenados en medios removiblesHerramientas de detección de filtrado de información y amenazas internas

Firewall a nivel de aplicaciones

Herramientas de cumplimiento de seguridad

Sistemas de aprovisionamiento de usuario

Herramientas forenses

Sistemas de administración de amenazas activas

Sistemas de administración de acceso a nodos de red (validación local)

Single Sign On a nivel EmpresasSoluciones de seguridad para

mensajería instantánea

Tarjetas inteligentes

Sistemas Biométricos

Acceso federado

Tags de identificación de radio frecuencia

Etapa de pruebaCompletamente aplicado

Plan para aplicar o probar en los próximos 12 meses


Frecuencia de revisiones de seguridad

• En 5 tipos de pruebas, desde escaneos de vulnerabilidades hasta revisiones de códigos de seguridad de aplicaciones, los números son relativamente consistentes con los del año pasado.

Trimestral Semestral Anual Ad hoc Nunca

Escaneo de vulnerabilidades 43% 9% 13% 27% 6%

Pruebas de penetración interna 16% 12% 23% 33% 14%

Pruebas de penetración externa 19% 13% 33% 24% 10%

Pruebas de penetración realizadas por terceros 13% 14% 34% 26% 10%

Revisión de código de seguridad de aplicaciones 6% 5% 8% 41% 29%

29


Nivel de preocupación referido a malas conductas de personas internas/externas a la empresa, que involucran sistemas de información�

• Mientras que un gran número (38%) indica igual preocupación por la mala conducta tanto interna como externa, es claro que solo el personal interno es la mayor preocupación –36% vs. sólo 13% para personas ajenas a la compañía.

• “Ninguna preocupación en absoluto”es bajo, 4%

30

Nivel de preocupación referido a malas conductas de personas internas/externas a la empresa, que involucran sistemas de información (%)

Mayor nivel de preocupación

sobre personas internas

Mayor nivel de preocupación

sobre personas externas

Igual nivel de preocupación

Ninguna preocupación


Capacitación ofrecida adaptada según el rol y la función del puesto

• La capacitación adaptada por puesto es baja, con el máximo foco puesto en administradores de sistemas, quienes reciben en forma regular (30%) o ad hoc (38%).

• De manera previsible, los contratistas, son los que menos capacitación reciben (15% en forma regular o 21% ad hoc); esto puede ser peligroso en tiempos económicos difíciles, donde se suele priorizar la tercerización por sobre la contratación de recursos propios.

31

Capacitación ofrecida adaptada según el rol y la función del puesto (%)

Sí, regularmente Sí, ad hoc No N/A – No se ofrece capacitación

Ejecutivos

Personal que maneja información sensitiva

Desarrolladores y programadores de aplicaciones de TI

Administradores de sistemas

Infraestructura de TI

Contratistas

6 ta Encuesta Global de Seguridad y Privacidad FSI - Presentación de Resultados © Deloitte & Co. SRL 2009. Todos los Derechos Reservados32

Sobre la práctica de Seguridad y Privacidad de Deloitte

• Nuestra práctica de servicios de Seguridad y Privacidad tiene como misión ayudar a los clientes a lograr niveles de seguridad adecuados, a través de un porfolio integral de servicios y soluciones, utilizando metodologías y herramientas probadas, aplicadas de forma consistente, por profesionales y especialistas de clase mundial.

• A nivel global, Deloitte cuenta con más de 10,000 profesionales y especialistas a nivel global que ayudan a nuestros clientes a administrar riesgos, desde aquellos que enfrentan el Directorio y el Comité de Auditoría hasta los riesgos técnicos con los que batallan los administradores en el día a día.

• En Argentina, Deloitte es líder en el mercado brindando servicios de administración de riesgos, con un equipo local de más de 120 profesionales y especialistas en riesgos y seguridad.

• Existen múltiples reconocimientos internacionales de nuestra posición de liderazgo en el mercado.


Otros Recursos

• Otras Encuestas Disponibles

– Encuesta Global de Seguridad para la Industria de Ciencias de la Salud y Medicina

– Encuesta Global de Seguridad para la Industria de Energía

• Encuestas en Curso

– Encuesta Global de Seguridad para la Industria de Consumo Masivo: https://www.dexsurvey.deloitte.com/anondirect.asp?XID=18827

– Encuesta Global de Seguridad para la Industria de Tecnología, Medios y Telecomunicaciones: https://www.dexsurvey.deloitte.com/anondirect.asp?xid=18785

– Encuesta Global de Alineamiento/Balance entre el área de TI y las Gerencias de Negocio: www.itbusinessbalance.com/es

– Encuesta Global de Continuidad de Negocio: A ser lanzada a la brevedad

33


Contactos

Alberto Allemand Socio Líder de Consultoría para región [email protected]

Martín Carmuega Socio Líder de Seguridad y Privacidad para región [email protected]

Claudia MinziGerente de la Práctica de Seguridad y [email protected]

34

Claudio FiorilloSocio Líder de la Industria Financiera para región [email protected]

Andrés Gil Socio de la Práctica de Seguridad y [email protected]

Member ofDeloitte Touche Tohmatsu

© 2009. Deloitte & Touche LLP and affiliated entities.

Deloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, its member firms, and their respective subsidiaries and affiliates. As a Swiss Verein (association), neither Deloitte Touche Tohmatsu nor any of its member firms has any liability for each other's acts or omissions. Each of the member firms is a separate and independent legal entity operating under the names "Deloitte," "Deloitte & Touche," "Deloitte Touche Tohmatsu," or other related names. Services are provided by the member firms or their subsidiaries or affiliates and not by the Deloitte Touche Tohmatsu Verein.

6ta encuesta anual de seguridad global en la industria financiera (2009 - deloitte)

Business