cibernéticos versión para impresión - impacto ... imprimir - piloto.pdf · para la aplicación...

Estimados(as): El propósito de este instrumento elaborado por el Gobierno de Colombia, a través Ministerio deTecnologías de la Información y las Comunicaciones (MinTIC), la Secretaría General de laOrganización de los Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID), esobtener información sobre las amenazas de seguridad digital (seguridad cibernética y/o seguridadde la información) y su impacto en el país. Esta información será utilizada en la formulación de unestudio sobre el impacto de los incidentes, amenazas y ataques cibernéticos en Colombia.

La Política Nacional de Seguridad Digital, aprobada el pasado 11 de abril de 2016 por el ConsejoNacional de Seguridad Digital, mediante la expedición del Documento CONPES 3854 de 2016,informó sobre la necesidad de “Crear las condiciones para que las múltiples partes interesadasgestionen el riesgo de seguridad digital en sus actividades socioeconómicas y se genere confianzaen el uso del entorno digital”. En este contexto, el MinTIC desarrollará el estudio mencionado, queservirá de insumo al Gobierno nacional para generar instrumentos pertinentes en relación alcumplimiento de la política definida y la priorización del desarrollo de los planes futuros en lamateria. Más específicamente, este estudio permitirá identificar cuáles son los principalesincidentes, amenazas y ataques contra la seguridad digital (seguridad cibernética y/o seguridad dela información) que están afectando al país, reconocer sus principales blancos u objetivos yconocer los costos económicos que estos representan para los diferentes sectores de la economíadel país y del Gobierno, entre otros.

Para la aplicación de este instrumento, se estableció un protocolo de confidencialidad de lainformación tanto para las personas responsables de utilizar el instrumento como para lasorganizaciones a las cuales pertenecen. No se solicitará ninguna información que pueda seridentificada tanto a nivel personal como de la organización. Todas las respuestas seráncompiladas, analizadas y distribuidas a nivel agregado, es decir por sector de la economíacolombiana. Finalmente, si desea realizar alguna pregunta sobre el instrumento, envíenos un correo electrónicoa: [email protected]. ¡Gracias por su cooperación!

Versión para Impresión - Impacto Económico de los Incidentes, Amenazas y AtaquesCibernéticos

1

mailto:[email protected]

INSTRUCCIONES

- Por favor lea estas instrucciones cuidadosamente antes de responder a este instrumento -

Este instrumento está compuesto por aproximadamente 50 preguntas, combinándose preguntascerradas y abiertas, con el fin de obtener información cuantitativa y cualitativa. El instrumentocubre diferentes aspectos, como datos generales de la organización, información sobre políticasde seguridad digital, y datos financieros.

Con el propósito de facilitar la respuesta del instrumento, se recomienda que las organizacionesanalicen previamente las preguntas e identifiquen las áreas o individuos dentro de la organizaciónque tendrían la información necesaria para contestarlo. El instrumento está disponible paraimprimir aquí. Además, una lista con las definiciones de los términos utilizados en el instrumentoestá disponible aquí. Una vez identificadas dichas áreas y reunida la información requerida,responder este instrumento debería tomarle entre 30-45 minutos. Este instrumento se divide en 5 módulos:

1. El primer módulo, “Perfil del entrevistado”, requiere información acerca de la clasificaciónjurídica de la organización, del número de empleados/funcionarios, y de políticas generalesde acceso a Internet.

2. El segundo módulo, “Experiencia en incidentes cibernéticos”, requiere información sobre lasmedidas en materia de seguridad digital adoptada por la organización, así como sobre losincidentes cibernéticos enfrentados por la organización.

3. El tercer módulo, “Importancia de la gestión de riesgo de la seguridad digital”, buscaidentificar, de manera general, si la organización adopta buenas prácticas de gestión deriesgo en materia de seguridad digital, así como si el sector de operación de la organizaciónya ha reglamentado sobre la gestión de riesgos.

4. El cuarto módulo, “Estimación del presupuesto para la seguridad digital”, requiere datosfinancieros, ya que busca identificar el presupuesto asignado por las organizaciones aasuntos de tecnología de la información y seguridad digital.

5. El quinto módulo, “Impacto de los incidentes digitales, amenazas cibernéticas y/o ataquescibernéticos”, busca identificar los costos generados por las consecuencias directas oindirectas de los incidentes digitales, amenazas cibernéticas y/o ataques cibernéticos, como


3

costos ocasionados por la interrupción de las operaciones de la organización, por daño a losactivos e infraestructura de TI, por sanciones y multas, por daños a la reputación e imagen,entre otros.

Si tiene cualquier consulta o inquietud en relación a como contestar este instrumento, por favorremita su pregunta a [email protected].

¡Gracias!

4


MÓDULO 1. PERFIL DEL ENTREVISTADO


1. Pertenece usted a una:*

Entidad del sector público (contestar a las preguntas "1" a "8". No contestar a las preguntas "9" a "18")

Empresa del sector privado / público / mixta (saltar a la pregunta "9")

5



Preguntas dirigidas a las entidades del sector público.

2. ¿A qué rama del poder público pertenece su entidad? (Escoja sólo una respuesta)*

Rama Ejecutiva

Rama Legislativa

Rama Judicial

Organismo de Control y Vigilancia

Entes Autónomos

Organismo Electoral

3. ¿A qué orden pertenece su entidad? (Escoja sólo una respuesta)*

Nacional

Territorial – Departamental

Territorial – Municipal

6



Pregunta dirigirida a las entidades de orden territorial.

4. Si la entidad es del orden Territorial ¿En cuál región se encuentra ubicada su entidad? (Escoja sólo unarespuesta)*

Antiguos Territorios Nacionales

Atlántica

Bogotá

Central

Oriental

Pacífica

7



Preguntas dirigidas a las entidades del sector público.

5. ¿Cuántas personas trabajan en su entidad? (Escoja sólo una respuesta)*

Menos de 50

Entre 51 y 200

Entre 201 y 500

Entre 501 y 1000

Más de 1000

6. ¿Cuál fue el presupuesto total de inversión (en pesos colombianos) de su entidad durante el año 2016?*

Entre 0%-20% Entre 21%-40% Entre 41%-60% Entre 61%-80% Entre 81%-100%

Internet por computadorde escritorio o portátil

Internet por dispositivosmóviles como teléfonocelular o Tableta

7. ¿Qué porcentaje aproximado del personal de su entidad tiene acceso a Internet para desarrollar lasactividades propias de la entidad? (Escoja sólo una respuesta por cada fila)*

8. ¿La entidad aplica una política de “trae tu propio dispositivo” (en inglés, “Bring your own device -BYOD-”) y permite a sus funcionarios acceder a recursos de la entidad, tales como correos electrónicos,bases de datos y archivos en servidores, así como datos y aplicaciones personales?

*

Sí

No

8



Preguntas dirigidas a las empresas del sector privado, del sector público o mixtas.

9. ¿Cuál es el tamaño de su empresa? (Escoja sólo una respuesta)*

Gran Empresa (activos totales de más de 15.000 SMLV)

Mediana Empresa (activos totales entre 5.001 y 15.000 SMLV)

Pequeña Empresa (activos totales entre 501 y 5.000 SMLV)

Micro Empresa (activos totales inferiores a 501 SMLV)

10. ¿Cuál es el número de trabajadores de su empresa? (Escoja sólo una respuesta)*

Mayor a 800 trabajadores

Entre 650 y 799 trabajadores










Menos de 4 trabajadores

11. ¿La empresa aplica una política de “trae tu propio dispositivo” (en inglés, “Bring your own device -BYOD-“) y permite a sus empleados acceder a recursos de la empresa tales como correos electrónicos,bases de datos y archivos en servidores, así como datos y aplicaciones personales?

*

Sí

No

10

Entre 0%-20% Entre 21%-40% Entre 41%-60% Entre 61%-80% Entre 81%-100%

Internet por computadorde escritorio o portátil

Internet por dispositivosmóviles como teléfonocelular o Tableta

12. ¿Qué porcentaje aproximado del personal de su empresa tiene acceso a Internet para desarrollar lasactividades propias de la empresa? (Escoja sólo una respuesta para cada fila)*

Nacional (%)

Extranjero (%)

13. ¿Cómo se compone el capital social de su empresa? (Complete las opciones con porcentajes. Lasopciones tienen que sumar 100%)*

Público (%)

Privado (%)

14. ¿Cómo se divide el capital social nacional de su empresa? (Complete las opciones con porcentajes.Las opciones tienen que sumar 100%)*

Público (%)

Privado (%)

15. ¿Cómo se divide el capital social extranjero de su empresa? (Complete las opciones con porcentajes.Si su empresa no tiene capital social extranjero, complete las opciones con el número cero)*

16. ¿A qué sector económico pertenece su empresa? (Escoja sólo una respuesta)*

Industria

Comercio

Servicios

11

Definiciones de las industrias según el Departamento Administrativo Nacional de Estadística - DANE:

Agropecuaria: corresponde a las tierras (fincas), terrenos o grupo de terrenos aprovechables, incluso sembrados con semillas yplantas, dedicados principalmente a la producción agropecuaria (agrícola y pecuaria), referida a un mismo ejercicio económico bajo ladirección de un mismo productor.

Mineras: aquellos dedicados, a la extracción de minerales, metálicos, no metálicos y piedras preciosas, encontrados en estadonatural, superficial, a cielo abierto y en el subsuelo, dentro de los cuales se encuentran, por ejemplo, sólidos, como el carbón y otrosminerales; líquidos como el petróleo crudo; y aseosos, como el gas natural.

Manufactureras: incluyen los dedicados a la transformación física y química de materiales y componentes en productos nuevos, yasea que el trabajo se efectúe con maquinas o a mano, en una fábrica (establecimiento) o a domicilio, que los productos se vendan alpor mayor o al por menor, por ejemplo: elaboración de productos alimenticios y bebidas; fabricación de productos de tabaco;fabricación de productos textiles, etc.

Servicios Públicos (electricidad, gas y agua) : aquellos dedicados a la generación, transmisión y distribución de energía eléctricapara su venta a usuarios residenciales, industriales y comerciales o de otro tipo. Igualmente los encargados de la fabricación decombustibles gaseosos y la producción de gas, diferente al proceso de extracción de gas natural; y los establecimientos cuyaactividad es la captación, depuración y distribución de agua a usuarios residenciales, industriales y comerciales o de otro tipo. NO seincluyen los establecimientos dedicados al transporte (tanques, bombonas, gasoductos etc.), almacenamiento y comercialización delos productos propios de estas divisiones: ni los dedicados a las actividades de saneamiento básico y al funcionamiento de losdistritos de riego.

Construcción y obras civiles : se incluyen los dedicados a las actividades de demolición y derribo de edificaciones y otrasestructuras, preparación de terrenos (descapote, excavación y otras), trabajos de preparación para obras civiles (perforación,voladuras, nivelación, movimientos de tierras, etc.), la construcción de edificaciones completas y partes de edificaciones, construcciónde obras civiles, acondicionamiento de edificaciones y obras civiles y terminación de obras civiles y edificaciones.

Comerciales: aquellos dedicados al comercio al por mayor y al por menor de acuerdo a la actividad comercial que realice elestablecimiento (reparación de vehículos automotores y motocicletas, sus partes, piezas y accesorios, alimentos, bebidas, tabaco,textiles, combustibles y lubricantes, materiales de construcción, productos intermedios no agropecuarios, desperdicios y desechos,productos de consumo final etc.).

Restaurantes y hoteles: son aquellos cuya actividad principal es el servicio de alojamiento en hoteles, campamentos y otros tipos dehospedajes no permanentes. Igualmente se incluyen los establecimientos dedicados a la venta de alimentos preparados en el sitio deventa para el consumo inmediato. Se incluyen restaurantes, cafeterías, bares, merenderos, salones de onces, entre otros.

Transporte y almacenamiento: se refiere a las unidades productivas o establecimientos dedicados a las actividades de transporteregular y no regular de pasajeros y de carga por vía terrestre, férrea, acuática y aérea, así como los servicios auxiliares de transportecomo las actividades de agencias de viajes y los servicios de terminal, estacionamiento, manipulación y almacenamiento de carga.Aquí también se incluye el transporte por tuberías (por ejemplo gasoductos), del petróleo, gases y algunos derivados del petróleo. Nose incluye el transporte de gas natural o manufacturado desde la estación de distribución al usuario final, ni el suministro deelectricidad, gas, vapor y agua caliente; así como la captación, depuración y distribución de agua.

Comunicación y correos: comprende los establecimientos dedicados a la recolección, transporte y entrega nacional e internacionalde correspondencia y paquetes, la venta de sellos de correo, la recolección de paquetes depositados en buzones y en oficinas decorreos su distribución y entrega, la clasificación de la correspondencia, el alquiler de buzones postales y los servicios de apartadopostal. En el caso de la actividad de telecomunicaciones se incluyen los establecimientos que prestan los servicios de conmutación ytransmisión.

Financieros y otros servicios a las empresas: se consideran aquellos cuya actividad principal es la emisión, obtención, yredistribución de fondos de pensiones, concretamente incluye los establecimientos dedicados a la intermediación monetaria, bancacentral, banca privada, corporaciones de ahorro y vivienda, corporaciones financieras, corporaciones de financiamiento comercial,cooperativas de grado superior y de carácter financiero y otras unidades que realizan otro tipo de intermediación financiera(arrendamiento financiero - leasing -, fiducia, cooperativas financieras y fondos de empleados, sociedades de capitalización,factoring) y monetaria (los servicios de giro y ahorro postal etc.), los establecimientos de financiación de planes de seguros ypensiones excepto los de la seguridad social de afiliación oblig

12

Servicios comunales, sociales y personales: se incluyen los que realizan las actividades administrativas de las instituciones delEstado, que se adelantan en función de las políticas generales de la administración pública. Se incluyen aquellos que concentran suactividad en la administración publica y defensa; seguridad social de afiliación obligatoria; los que realizan las actividades deeducación tanto oficial como privada; los que prestan el servicio de salud tanto en atención preventiva como curativa (se excluyen laspromotoras de salud y las empresas de medicina prepagada cuando no prestan directamente el servicio de salud); los que prestan losservicios comunitarios, sociales y personales, tales como: eliminación de desperdicios y aguas residuales, saneamiento y actividadessimilares; actividades de asociaciones, como el caso de las organizaciones empresariales, profesionales y de empleadores,religiosas, políticas. Además de éstas, se incluyen los establecimientos que realizan actividades de esparcimiento, culturales ydeportivas. Por último los establecimientos que prestan otros servicios a la comunidad tales como el lavado y limpieza de prendas detela y de piel, peluquería y otros tratamientos de belleza; y los que representan organizaciones y órganos extraterritoriales: ONG'S yotros como el FMI, el Banco Mundial, las Naciones Unidas, la Liga de Estados Árabes, etc.

17. ¿En cuál de las siguientes industrias opera su empresa? (Escoja sólo una respuesta)*

Agropecuarias

Mineras

Manufactureras

Servicios públicos (electricidad, gas y agua)

Construcción y obras civiles

Comerciales

Restaurantes y hoteles

Transporte y almacenamiento

Comunicación y correos

Financieros y otros servicios a las empresas

Servicios comunales, sociales y personales

Unidades auxiliares

18. ¿Cuál será el valor aproximado (en pesos colombianos) de las ventas de su empresa durante el año2016? (Complete la opción con un número)*

13

MÓDULO 2. EXPERIENCIA EN INCIDENTES CIBERNÉTICOS


Con el fin de responder las preguntas del presente módulo, tenga en cuenta las siguientes definiciones establecidas en lanueva Política Nacional de Seguridad Digital en Colombia (Documento CONPES 3854 de 2016):

Seguridad digital: es la situación de normalidad y de tranquilidad en el entorno digital (ciberespacio), derivada de la realización de losfines esenciales del Estado mediante (i) la gestión del riesgo de seguridad digital; (ii) la implementación efectiva de medidas deciberseguridad; y (iii) el uso efectivo de las capacidades de ciberdefensa; que demanda la voluntad social y política de las múltiplespartes interesadas y de los ciudadanos del país.

Incidente digital: evento intencionado o no intencionado que puede cambiar el curso esperado de una actividad en el entorno digitaly que genera impactos sobre los objetivos.

Amenaza cibernética: aparición de una situación potencial o actual donde un agente tiene la capacidad de generar una agresióncibernética.

Ataque cibernético: acción organizada o premeditada de una o más agentes para causar daño o problemas a un sistema a travésdel Ciberespacio.

Totalmente de acuerdo De acuerdoNi de acuerdo ni en

desacuerdo En desacuerdoTotalmente endesacuerdo

19. Ante la siguiente afirmación: “Mi entidad / empresa está preparada para hacer frente a un incidentedigital, amenaza cibernética y/o a un ataque cibernético” usted está: (Escoja sólo una respuesta)*

20. ¿Cuál de las siguientes prácticas en seguridad digital (seguridad cibernética y/o seguridad de lainformación) son implementadas por su entidad / empresa? Por favor marque lo que corresponda:*

Organizacional (por ejemplo, área / departamento dedicado a la seguridad digital, jefe de seguridad de la información)

Política (por ejemplo, política de acceso al sistema, política de actualización de contraseñas, concientización )

Medidas técnicas (por ejemplo, pruebas de vulnerabilidad, mantenimiento de la infraestructura de TI)

Estándares (por ejemplo, ISO 27001, otros estándares internacionales)

No son implementadas prácticas en seguridad digital (seguridad cibernética y/o seguridad de la información)

14

21. ¿Tiene su entidad / empresa un área dedicada a la seguridad digital (seguridad cibernética y/o deseguridad de la información)?*

Sí

No (saltar a la pregunta "24")

15



22. ¿A qué nivel pertenence el área a cargo de la seguridad digital (seguridad cibernética y/o de seguridadde la información) en su entidad / empresa? (El nivel superior o jerárquico es el más alto) (Escoja sólo unarespuesta)

*

Nivel superior o jerárquico (o directivo)

Nivel medio o táctico

Nivel inferior u operativo

23. ¿Cuántas personas se dedican al área a cargo de la seguridad digital (seguridad cibernética y/oseguridad de la información) en su entidad / empresa? (Escoja sólo una respuesta)*

Más de 81 trabajadores









Menos de 2 trabajadores

16



24. ¿A la hora de protegerse frente a incidentes digitales, amenazas cibernéticas y/o ataques cibernéticos,cuáles de estos datos y/o activos son priorizados por su entidad / empresa? Por favor marque lo quecorresponda.

*

Datos de acceso a sistemas de información (ej.: contraseñas, tokens, credenciales)

Datos de clientes

Datos personales

Marca

Propiedad intelectual / Secretos industriales

Reputación

Sistema de información

No son priorizados datos y/o activos

Otro (especifique)

17

25. ¿Existen otros activos y/o datos que son priorizados por su entidad / empresa a la hora de protegersefrente a incidentes digitales, amenazas cibernéticas y/o ataques cibernéticos?

1 2 3 4 5

Falta de coordinaciónentre las áreas de laentidad / empresa

Falta de conciencia (oconocimiento) por partede los empleados de laentidad / empresa

Falta de conciencia porparte del alto nivel de laentidad / empresa

Falta de personalcalificado en estecampo

Falta de personaldedicado a esta área

Falta de presupuesto

Otro

Si eligió la opción "otro", por favor especifique

26. ¿Cuáles de los siguientes desafíos afectan más la capacidad de su entidad / empresa en materia deseguridad digital (seguridad cibernética y/o seguridad de la información)? Por favor, califique de: 1 (afectamenos o no afecta) a 5 (afecta más).

*

18

27. ¿Existen otros desafíos que afectan la capacidad de su entidad / empresa en materia de seguridaddigital (seguridad cibernética y/o seguridad de la información)?

28. ¿En la ocurrencia de un incidente digital, amenaza cibernética y/o un ataque cibernético, quiénes sonnotificados en su entidad / empresa? Por favor marque lo que corresponda:*

Asesor legal

Autoridades locales/regionales

Autoridades nacionales (policía, entidades regulatorias, fiscalías, etc)

Directivos de la propia organización

Equipo de Atención a Incidentes (CSIRT)

No se reportan

Otro (especifique)

29. ¿Su entidad / empresa ha identificado incidentes digitales y/o amenazas cibernéticas contra su entidad/ empresa en los últimos 12 meses (de enero a diciembre de 2015)?*

Sí


19



Definiciones:

Incidente digital: evento intencionado o no intencionado que puede cambiar el curso esperado de una actividad en el entorno digitaly que genera impactos sobre los objetivos.

Amenaza cibernética: aparición de una situación potencial o actual donde un agente tiene la capacidad de generar una agresióncibernética..

Ataque cibernético: acción organizada o premeditada de una o más agentes para causar daño o problemas a un sistema a travésdel Ciberespacio.

30. ¿Aproximadamente cuántos incidentes digitales y/o amenazas cibernéticas identificó su entidad /empresa en los últimos 12 meses (de enero a diciembre de 2015)?*

31. ¿Aproximadamente qué porcentaje de dichos incidentes digitales y/o amenazas cibernéticasfueron clasificados como ataques cibernéticos por su entidad / empresa en los últimos 12 meses (de eneroa diciembre de 2015)?

*

32. ¿Aproximadamente qué porcentaje de dichos ataques cibernéticos afectaron los activos einfraestructura de TI y/o la normal prestación de servicios esenciales y/o la venta de productos de suentidad / empresa en los últimos 12 meses (de enero a diciembre de 2015)?

*

20

33. ¿Su entidad / empresa ha notado un cambio en la gravedad (o criticidad) de los ataques cibernéticosen los últimos 12 meses (de enero a diciembre de 2015)? (Escoja sólo una respuesta)*

Aumento de la gravedad o criticidad

Disminución de la gravedad o criticidad

Se ha mantenido en niveles similares

Definiciones:

Ataques basados en Web: hace uso de técnicas de redirección de navegadores web a sitios maliciosos para explotar susvulnerabilidades. Los usuarios del sitio web comprometido sob redireccionados al sitio malicioso para que algún tipo de malware seainstalado.

DoS: ataque de denegación de servicio es un ataque a un sistema de computadoras o red que causa que un servicio o recurso seainaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de bandade la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Malware: (término compuesto en inglés -malicious software- para llamar a cualquier software malicioso) es un tipo de software quetiene como propósito infiltrarse y dañar un terminal o un sistema de información sin el consentimiento de suspropietarios

Phishing: técnica utilizada para obtener información confidencial (nombres de usuario, contraseñas, etc.) mediante el envío decomunicaciones electrónicas aparentemente confiables.

Aumento de la frecuencia Disminución de la frecuenciaSe ha mantenido en niveles

similares

Ataques basados enWeb (ej. defacement,spoofing, cooking,scripting, inyección SQLetc)

DoS

Malware

Phishing

Otro


34. ¿Qué tipos de incidentes digitales, amenazas cibernéticas o ataques cibernéticos ha identificado suentidad / empresa en los últimos 12 meses (de enero a diciembre de 2015)? Para cada tipo de incidentedigital, por favor indique si ha habido algún cambio en la frecuencia de ocurrencia.

*

21

35. ¿Cómo se enteró su entidad / empresa de estos incidentes digitales, amenazas cibernéticas o ataquescibernéticos? Por favor marque lo que corresponda.*

Alertado por un tercero ajeno a la entidad / empresa (servicio contratado, cliente, proveedor, colega, etc)

Análisis de registros de auditoria/sistema de archivos/registros firewalls

Material o datos alterados

Notificación de un cliente/usuario

Notificación de un empleado de la entidad / empresa

Publicaciones, boletines nacionales e internacionales

Sistema de monitoreo de intrusiones

Otro (especifique)

36. ¿Cuáles fueron las consecuencias de los incidentes digitales, amenazas cibernéticas o ataquescibernéticos experimentados por su entidad / empresa en los últimos 12 meses (de enero a diciembre de2015)? Por favor marque lo que corresponda.

*

Acceso no autorizado a información clasificada o sensible

Daño a la marca/reputación

Daños a la infraestructura de TI

Daños en el software (ej.: manipulación de código fuente)

Eliminación, destrucción o modificación de datos

Interrupción de operaciones o prestación de servicios

Manipulación remota de equipos o sistemas de la organización

Publicación no autorizada de datos

Suspensión de servicios de computadores o redes

Transacciones fraudulentas con efectos económicos

Otro (especifique)

22



37. ¿Su entidad / empresa ha identificado incidentes digitales, amenazas cibernéticas o ataquescibernéticos dirigidos a sus clientes en los últimos 12 meses (de enero a diciembre de 2015)?*

Sí


23



38. ¿Su entidad / empresa ha identificado cuántos incidentes digitales y/o amenazas cibernéticas dirigidosa sus clientes en los últimos 12 meses (de enero a diciembre de 2015)?*

24

MODÚLO 3. IMPORTANCIA DE LA GESTIÓN DE RIESGO DE LA SEGURIDAD DIGITAL


Definiciones:

Riesgo de seguridad digital: es la expresión usada para describir una categoría de riesgo relacionada con el desarrollo de cualquieractividad en el entorno digital. Este riesgo puede resultar de la combinación de amenazas y vulnerabilidades en el ambiente digital.Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el ordenconstitucional y los intereses nacionales. El riesgo de seguridad digital es de naturaleza dinámica. Incluye aspectos relacionados conel ambiente físico y digital, las personas involucradas en las actividades y los procesos organizacionales que las soportan.

Gestión de riesgos de seguridad digital: es el conjunto de actividades coordinadas dentro de una organización o entreorganizaciones, para abordar el riesgo de seguridad digital, mientras se maximizan oportunidades. Es una parte integral de la toma dedecisiones y de un marco de trabajo integral para gestionar el riesgo de las actividades económicas y sociales. Se basa en unconjunto flexible y sistemático de procesos cíclicos lo más transparente y lo más explícito posible. Este conjunto de procesos ayuda aasegurar que las medidas de gestión de riesgos de seguridad digital (“medidas de seguridad”) sean apropiadas para el riesgo y losobjetivos económicos y sociales en juego.

39. ¿Hay alguna reglamentación y/o legislación nacional que requiera que las entidades / empresas de susector implementen prácticas de gestión de riesgo cibernético?*

Sí

No

40. ¿Si sí, cuál es esta reglamentación y/o legislación nacional?

41. ¿ Su organización hace alguna evaluación del riesgo cibernético?*

Sí


25

MÓDULO 3. IMPORTANCIA DE LA GESTIÓN DE RIESGO DE LA SEGURIDAD DIGITAL


Definiciones:

Gestión de riesgos de seguridad digital: es el conjunto de actividades coordinadas dentro de una organización o entreorganizaciones, para abordar el riesgo de seguridad digital, mientras se maximizan oportunidades. Es una parte integral de la toma dedecisiones y de un marco de trabajo integral para gestionar el riesgo de las actividades económicas y sociales. Se basa en unconjunto flexible y sistemático de procesos cíclicos lo más transparente y lo más explícito posible. Este conjunto de procesos ayuda aasegurar que las medidas de gestión de riesgos de seguridad digital (“medidas de seguridad”) sean apropiadas para el riesgo y losobjetivos económicos y sociales en juego.

Activos cibernéticos críticos: se refiere a elementos de hardware y de software de procesamiento, almacenamiento ycomunicaciones, bases de datos y procesos, procedimientos y recursos humanos asociados con el manejo de los datos y lainformación operativa y administrativa de cada entidad, órgano u organismo.

42. Su entidad / empresa utiliza la información adquirida con la evaluación de riesgo para mejorar susoperaciones?*

Sí

No

43. ¿La gestión de riesgo de su entidad / empresa está alinada con estándares industrialesinternacionales?*

Sí

No

44. ¿Su entidad / empresa ha identificado cuáles son sus activos cibernéticos críticos con el fin de adoptarmedidas de gestión de riesgo?*

Sí

No

26

MÓDULO 4. ESTIMACIÓN DEL PRESUPUESTO PARA LA SEGURIDAD DIGITAL


45. ¿Su entidad / empresa tiene presupuesto asignado para asuntos de tecnologías de la información -TI-?*

Sí


27

MÓDULO 4. ESTIMACIÓN DEL PRESUPUESTO DE SEGURIDAD DIGITAL


46. ¿Aproximadamente cuál fue el presupuesto designado por su entidad / empresa para asuntos detecnologías de la información -TI- en los últimos 12 meses (de enero a diciembre de 2015)?*

47. ¿Aproximadamente cuál fue el presupuesto asignado por su entidad / empresa para asuntos deseguridad digital (seguridad cibernética y/o seguridad de la información) en los últimos 12 meses (de eneroa diciembre de 2015)?

*

Recursos Humanos (ej.:empleados, contratistas)%

Plataformas y mediostecnológicos (ej.:hardware, software) %

Generación deCapacidades (ej.:capacitación,concientización,investigación) %

Servicios especializados(ej.: gestión de seguridad,externalización, soporte)%

48. Teniendo en cuenta el presupuesto asignado para asuntos de seguridad digital (seguridad cibernéticay/o seguridad de la información), por favor estime el porcentaje asignado a cada una de las siguientescuatro (4) categorías: (Complete las opciones con porcentajes. Las opciones tienen que sumar 100%).

*

28

MÓDULO 5. IMPACTO DE LOS INCIDENTES DIGITALES, AMENAZAS CIBERNÉTICAS, Y/OATAQUES CIBERNÉTICOS


Costos como consecuencia de un incidente, amenaza y/o ataque : se refiere a las pérdidas directas e indirectas que ha sufrido suentidad / empresa, como la pérdida de competitividad, la propiedad intelectual o información de propiedad, la credibilidad, daño a lareputación, entre otros.

49. ¿Su entidad / empresa ha estimado los costos derivados de las consecuencias negativas causadas porla ocurrencia de incidentes digitales, amenazas cibernéticas y/o ataques cibernéticos?*

Sí


30

MÓDULO 5. IMPACTO DE LOS INCIDENTES DIGITALES, AMENAZAS CIBERNÉTICAS Y/OATAQUES CIBERNÉTICOS


¿Aproximadamente cuál fue el costo incurrido como resultado de incidentes digitales, amenazascibernéticas y/o ataques cibernéticos en los últimos 12 meses (de enero a diciembre de 2015)? Porfavor considere las siguientes cinco (5) consecuencias negativas:

50. Interrupción de las operaciones normales de la entidad / empresa (en pesos colombianos):*

51. Daño a los activos e infraestructura de TI (en pesos colombianos):*

52. Sanciones, multas y gastos legales (en pesos colombianos):*

53. Daño a la reputación y la imagen del mercado (valor de marca) (en pesos colombianos):*

31

54. Pérdida de la propiedad intelectual o de otra información empresarial sensible comercialmente (enpesos colombianos):*

1 2 3 4 5

Adquisición de activos

Infraestructura física

Investigación, Desarrolloe Innovación (I+D+i)

Logística

Mercadeo

Plataformas y mediostecnológicos (ej.:hardware, software)

Recursos Humanos (ej.:empleados, contratistas)

Seguros

Personal de seguridad

Tecnologías en la nube

Otro


55. Si su entidad / empresa no hubiera destinado recursos económicos para cubrir los costos incurridoscomo resultado de los incidentes digitales, amenazas cibernéticas y/o ataques cibernéticos mencionadosanteriormente, ¿cuáles de las siguientes alternativas habrían sido priorizadas en su lugar? Por favor,califique de: 1 (priorizaría menos) a 5 (priorizaría más).

*

32

56. ¿Cuáles de los siguientes resultados positivos podrían haber beneficiado a su entidad / empresa, siésta hubiera invertido en las actividades descritas en el punto anterior? Por favor, marque lo quecorresponda:

*

Aumento de la cobertura geográfica

Aumento de la eficiencia

Aumento de la participación en el mercado

Aumento de la productividad

Diversificación de portafolios

Imagen corporativa

Incremento de ingresos

Posicionamiento de marca

Reducción de costos

Otro (especifique)

57. ¿Cómo cambiaron las inversiones de su entidad / empresa en materia de investigación, desarrollo einnovación (I+D+i) como resultado de los incidentes digitales, amenazas cibernéticas y/o ataquescibernéticos que sufrió?

*

Aumento en la inversión

Ningún cambio en la inversión (saltar a la pregunta "59")

Disminución en la inversión

33

MÓDULO 5. IMPACTO DE LOS INCIDENTES DIGITALES, AMENAZAS CIBERNÉTICAS Y/OATAQUES CIBERNÉTICOS


58. Si ha seleccionado aumento o disminución, ¿en qué medida variaron sus inversiones en investigación,desarrollo e innovación (I+D+i) como resultado de los incidentes digitales, amenazas cibernéticas y/oataques cibernéticos que sufrió su entidad / empresa?

*

Muy poco

Poco

Algo

Mucho

Demasiado

34

MÓDULO 5. IMPACTO DE LOS INCIDENTES DIGITALES, AMENAZAS CIBERNÉTICAS Y/OATAQUES DIGITALES


59. Uno de los objetivos de esta encuesta es aumentar la comprensión de la naturaleza de los incidentesdigitales, amenazas cibernéticas y/o ataques cibernéticos, al igual que los daños que éstos podríanhacerles a las entidades / empresas en Colombia. ¿Tiene usted alguna experiencia relevante conincidentes digitales, amenazas cibernéticas y/o ataques cibernéticos que cree que sería un buen ejemplodel daño que podría causar?

*

Sí

No

35

60. Si es así, no dude en compartir los detalles de los incidentes digitales, amenazas cibernéticas y/oataques cibernéticos sufridos, así como las lecciones aprendidas, buenas prácticas o sugerencias paraevitar incidentes de seguridad digital en el espacio de abajo, o póngase en contactocon [email protected] para programar una entrevista confidencial.

Como es el caso con el resto de esta encuesta, todas las respuestas serán tratadas como anónimas amenos que se indique lo contrario.

36


¡Gracias por completar este instrumento!


37

cibernéticos versión para impresión - impacto ... imprimir - piloto.pdf · para la aplicación...

Documents