confianza y garantía informe anual de seguridad en ... · pdf fileen estado borrador. -...

© 2009 Deloitte Touche Tohmatsu

Confianza y GarantíaInforme Anual de Seguridaden Instituciones Financieras

17 de febrero de 2009

© 2009 Deloitte Touche TohmatsuInforme Anual de Seguridad en Instituciones Financieras2

Índice de contenidosInforme Anual de Seguridad en Instituciones Financieras

• Introducción y metodología p. 3

• Tendencias clave p. 6

• Gobierno de la seguridad p. 12

• Inversión en seguridad p. 21

• Oportunidades y amenazas p. 25

• Conclusiones p. 35


Introducción y metodología


Introducción y metodologíaInforme Anual de Seguridad en Instituciones Financieras

- El Informe Anual de Seguridad en Instituciones Financi eras , realizado por Deloitte, analiza el estado de las entidades financieras en materia de seguridad de la información.

- El informe, que cumple este año su sexta edición, profundiza en la estrategia de las entidades financieras respecto a:

- La seguridad de la información, la figura del CISO (Chief Information Security Officer) y la relación de la función de seguridad con la estrategia de negocio de la organización.

- El presupuesto destinado a seguridad de la información en entidades financieras y el destino de las inversiones.

- Las principales amenazas y ataques que sufren las entidades y las tecnologías y soluciones más destacadas para combatirlas.

- Más de 200 instituciones financieras, bancos y compañías aseguradoras de todo el mundo han participado en el informe.

Fuente: Deloitte


Introducción y metodologíaInforme Anual de Seguridad en Instituciones Financieras

- La mitad de los entidades participantes en el estudio pertenecen a la región de EMEA (Europa, Oriente Medio y África), un 40% a Norteamérica y Latinoamérica, y el resto a Japón y a la región de Asia y Pacífico.

- Por facturación, el 40% de las entidades financieras encuestadas factura anualmente menos de mil millones de dólares. Un 22% factura entre 1.000 y 14.000 millones, y un 13% de los participantes más de 15.000 millones de dólares.

- La representación del mercado español viene dada por las aportaciones de destacadas entidades financieras, clientes de la firma en España. El informe no cuenta con estadísticas propias de España, al haber sido realizado a los niveles regionales antes mencionados.

- El tamaño y la presencia en mercados internacionales de las instituciones españolas que han tomado parte en esta encuesta hace que las conclusiones locales estén alineadas a las alcanzadas en la región de EMEA.


Tendencias clave


Tendencias clave en el mundoSeguridad en el sector financiero

Principales factores en materia de seguridad durant e 2008:

1. Cumplimiento regulatorio.

2. Gestión de accesos e identidades.

3. Protección de información y prevención de fugas.

4. Mejoras en las infraestructuras de seguridad.

5. Gobierno de la seguridad.



• Evolución del CISO (Chief Information Security Office r):

1. Incremento de la presencia del CISO en las organizaciones.

2. Incremento de la frecuencia de reporting del CISO a la alta dirección.

3. Mayor enfoque hacia el gobierno, estrategia y planificación de la seguridad.

• Evolución de la función de seguridad de la informac ión:

1. El cumplimiento regulatorio continúa siendo el principal impulsor de la función.

2. Mayor peso de la función de seguridad en el Comité de Riesgos.

3. Restricciones presupuestarias como agente represor.



• Estrategia en seguridad de la información:

1. El 61% de las organizaciones posee ya una estrategia de seguridad.

2. El 63% sostiene que los objetivos de la seguridad se alinean con los del negocio.

3. El 40% emplea métricas para la gestión del rendimiento de la seguridad.

• Gestión de accesos:

1. Esta gestión se ha convertido en la principal prioridad durante el pasado año y la

segunda en la presente edición.

2. Regulaciones globales y sectoriales más restrictivas.

3. Mayor movilidad y dispersión geográfica de los empleados.


Tendencias clave en el mundoPrincipales resultados por regiones (I)

- El número de entidades financieras que incrementó el presupuesto destinado a seguridad se redujo considerablemente en 2008 respecto a 2007. El pasado año, un 60% de las organizaciones incrementó su presupuesto en relación con la seguridad, frente al 98% de entidades que lo hicieron en 2007.

La función de seguridad … Asia Pacífico* Japón EMEA Norte

América LACRO Global 08

Global 07

recae en puestos directivos o es una función clave en el Comité de Dirección.

77% 79% 70% 63% 78% 72% 81%

cuenta con responsabilidad y presupuesto para cubrir las necesidades normativas. 69% 65% 56% 58% 63% 59% 73%

ha elaborado formalmente un documento sobre la estrategia de seguridad.

62% 50% 64% 62% 68% 61% 63%

está alineada con las iniciativas del negocio. 31% 30% 32% 28% 40% 32% 38%

cuenta con un presupuesto que se ha ido incrementando. 54% 25% 60% 65% 75% 60% 98%

tiene unos gastos planificados o previstos. 31% 5% 50% 26% 59% 43% 52%

*Excluye JapónFuente: Deloitte Valores más altos Valores más bajos


Tendencias clave en el mundoPrincipales resultados por regiones (y II)

La función de seguridad…Asia

Pacífico* Japón EMEANorte

América LACRO Global 08 Global 07

ha incorporado aplicaciones de seguridad y privacidad como parte del desarrollo habitual de su software.

38% 40% 26% 32% 41% 31% 32%

cuenta con las competencias para gestionar las necesidades actuales y futuras.

23% 25% 41% 33% 33% 34% 30%

ha ofrecido cursos a sus empleados sobre seguridad y privacidad. 58% 90% 64% 82% 82% 72% 78%

tiene un responsable de privacidad a nivel ejecutivo. 23% 85% 58% 82% 24% 57% 66%

dispone de un programa para gestionar la normativa sobre privacidad.

38% 84% 43% 76% 18% 48% 70%

ha tenido de forma repetida ataques internos en el último año.

33% 17% 26% 24% 30% 27% 30%

ha tenido de forma repetida ataques externos en el último año. 58% 17% 49% 51% 50% 47% 65%

- La evolución de los ataques tiende a reducirse en comparación con el año anterior. Así, el porcentaje de empresas que afirman ser víctimas de repetidos ataques externos se ha reducido hasta el 47%.

- Las entidades de la región de Asia Pacífico son las más afectadas por ataques, tanto externos como internos. Los países donde tradicionalmente se originan más ataques continúan siendo Rusia, China, países latinoamericanos y de Europa del Este.

*Excluye JapónFuente: Deloitte Valores más altos Valores más bajos


Gobierno de la seguridad


Gobierno de la seguridad en el mundoLa figura del CISO

La figura del CISO

- El 80% de las entidades encuestadas dispone de un responsable de seguridad o de una posición equivalente.

- Este hecho confirma la creciente preocupación de las entidades por la seguridad de la información a niveles estratégicos, tácticos y operativos.

0%

20%

40%

60%

80%

100%

Sí Sí, más de uno No

La figura del CISO en la empresa (en porcentaje)

Fuente: Deloitte


Gobierno de la seguridad en el mundoNivel de reporte

- 1 de cada 3 CISOs encuestados reporta directamente al Director de Sistemas de la organización.

- La seguridad pasa a ser una función estratégica en las entidades. De esta manera, la seguridad se alinea cada vez más con el negocio. El reporte se hace cada vez con mayor frecuencia al más alto nivel de la entidad.

Fuente: Deloitte


Gobierno de la seguridad en el mundoEstrategia de seguridad

Un 92% de las entidades asume como fundamental la definición e implantación de líneas estratégicas relacionadas con la seguridad de la información:

- El 61% de las organizaciones tiene definida y formalmente documentada su estrategia de seguridad.

- El 21% ha definido su estrategia y se encuentra en estado borrador.

- Un 10% tratará de tenerla preparada en los próximos 12 meses. Fuente: Deloitte


Gobierno de la seguridad en el mundoAlineamiento de la seguridad con el negocio

- La gran mayoría de entidades mantienen adecuadamente alineada la seguridad con la estrategia del negocio.

Fuente: Deloitte


Gobierno de la seguridad en el mundoInvolucración del negocio con la seguridad

- Cada vez es mayor la involucración de los responsables de negocio con el desarrollo de las estrategias de seguridad en las organizaciones.

- Uno de cada cuatro encuestados afirma estar involucrado en el desarrollo de la estrategia de seguridad de su entidad.

Fuente: Deloitte


Gobierno de la seguridad en el mundoObstáculos en la seguridad de la información

- En sintonía con la coyuntura actual, las restricciones presupuestarias suponen el mayor impedimento para garantizar la seguridad de la información (un 56%).

- La sofisticación de los ataques (un 38%) y las aparición de tecnologías emergentes se consolidan como los siguientes impedimentos.

- La escasez de profesionales especializados en materia de seguridad en las entidades es otra de las grandes preocupaciones.

Fuente: Deloitte


Gobierno de la seguridad en el mundoEvolución en los últimos 12 meses (I)

Fuente: Deloitte

13%

8%

15%

15%

30%

31%

87%

92%

85%

85%

70%

69%

0% 20% 40% 60% 80% 100%

Excesivos privilegiosde acceso

Segregación de funciones

Prueba de DRP/BCP

Documentación de DRP/BCP

Falta de estándar en los servidores

Los servidores no son consistentes con el

estándar

Escasos privilegiosde acceso

Homogeneización de funciones

Falta de prueba de DRP/BCP

Falta de documentación de DRP/BCP

Estándar en los servidores

Los servidores son consistentes con el estándar

Principales conclusiones de auditoría en el último año


Gobierno de la seguridad en el mundoEvolución en los últimos 12 meses (y II)

Algunas de las principales iniciativas detectadas en seguridad en el último año son:

1. Las entidades tienen la percepción de que existe una excesiva concesión de privilegios a los usuarios, bien debido a segregaciones de funciones, o por mantener los derechos en los cambios de puesto en las entidades.

2. La gestión de la seguridad desde el punto de vista técnico se realiza ya en la gran mayoría de las entidades, pasando a formar parte de un proceso totalmente integrado en el área de sistemas de la información.

3. BCP: Pese a la relevancia de mantener actualizado el Plan de Continuidad de negocio y Contingencias frente a los desastres, todavía existe un gran número de entidades que no han integrado este aspecto dentro de la gestión de procesos permanente.

4. La gran mayoría de iniciativas puestas en marcha por las entidades se refieren a aspectos técnicos, quedando todavía mucho camino por recorrer en aspectos organizativos y de negocio.


Inversión en seguridad


Inversión en seguridad en el mundoPresupuesto destinado a seguridad

- El porcentaje de presupuesto de tecnología dedicado a seguridad sigue siendo escaso.

- El 29% de las entidades consultadas dedica entre un 1% y un 3% de su presupuesto.

- Sólo el 5% de las organizaciones destinan más de un 10% de su presupuesto de tecnología a la seguridad.

Fuente: Deloitte Fuente: Gartner y Deloitte

3%

6%

8%

4% 3%-4%

TRIBAL SILO TOP-DOWN

INTEGRADO RISK INTELLIGENT

Presupuesto de IT dedicado a seguridad Porcentaje de l presupuesto de IT dedicado a seguridad, en función del grado de madurez


Inversión en seguridad en el mundoDistribución de la inversión

Fuente: Deloitte


Inversión en seguridad en el mundoDistribución de la inversión

- Cada vez se transfiere más la inversión que hacen las entidades hacia la gestión de la seguridad frente a la adquisición de productos y herramientas dedicadas a gestionarla adecuadamente.

- Más del 60% del presupuesto se dedica a la contratación de profesionales especializados en seguridad. Esto es debido a la escasez de personal especializado en seguridad dentro de las entidades.

- El siguiente segmento que más presupuesto recibe es el de productos de mercado orientados a garantizar la seguridad en accesos, antivirus, etc.

- El último gran segmento del presupuesto está dedicado a iniciativas relacionadas con la estrategia de la seguridad, como planes de continuidad, cumplimiento normativo, etc.


Oportunidades y amenazas


Oportunidades y amenazas en el mundoAmenazas percibidas (I)

- La principal causa por la que fallan los proyectos de seguridad en las entidades es la carencia de recursos, derivada de las restricciones presupuestarias.

- La adopción de estrategias en seguridad que establecen parámetros de actuación concretos hace que se haya reducido el cambio constante de prioridades.

Fuente: Deloitte


Oportunidades y amenazas en el mundoAmenazas percibidas (y II)

- El error humano sigue siendo el motivo principal de los fallos de los sistemas (86%), por delante de la propia tecnología.

Fuente: Deloitte


Oportunidades y amenazas en el mundoPrevisión de amenazas (I)

Fuente: Deloitte


Oportunidades y amenazas en el mundoPrevisión de amenazas (y II)

- La pérdida de activos de información, bien por fugas, negligencias o de forma accidental, es la principal amenaza prevista para el próximo año.

- El uso inapropiado de información confidencial está íntimamente ligado a las fugas de información, y es un factor crítico que puede derivar en fraudes o que información estratégica sea conocida por otras entidades interesadas.

- Phising y Pharming son dos amenazas clásicas dentro del sector financiero, y se prevé que durante el presente año se sigan presentando ataques de este tipo.

- El ciber-terrorismo aparece como amenaza. Las entidades conocen la existencia de organizaciones dedicadas a realizar ataques en la red de forma organizada. El sector financiero es uno de los blancos potenciales de estas organizaciones.


Oportunidades y amenazas en el mundoAtaques externos

- La principal fuente de ataques externos detectados son virus/gusanos, correo basura y programas de spyware. Las soluciones comerciales implantadas en las entidades abordan estos problemas.

- Se han detectado igualmente repetidos ataques de Phising, en sintonía con los años anteriores.

- Las conductas inapropiadas de los empleados también suponen un elevado porcentaje (11%) en los ataques externos.

- Un 20% afirma que no ha sufrido ataque externo alguno durante el último año.

TiposUna vez

Varias veces

Ataques de virus/gusanos 11% 15%

Ataque vía e-mails (spam..) 10% 24%

Spyware 7% 11%

Redes Zombie 4% 3%

Denegación de servicio 6% 2%

Alteración de página web 5% 1%

Acceso remoto malintencionado 2% 2%

Extorsión online 2% 1%

Ataque a través de tecnología sin cable 3% 1%

Phising/pharming 7% 22%

Ingeniería social 5% 7%

Conducta inapropiada por parte de empleados

11% 11%

Robo de propiedad intelectual 6% 1%

Fraude financiero externo a través de IT 4% 10%

Exposición de datos relevantes a un ataque vía web

4% 2%

Amenazas físicas 7% 6%

Hechos puntuales 8% 5%

Otras formas de ataque externo 4% 2%

No hemos tenido un ataque externo 20% 7%Fuente: Deloitte


Oportunidades y amenazas en el mundoAtaques internos

- La principal fuente de ataques internos son los relativos a virus/gusanos. Para evitar estas cuestiones se recurre a labores de concienciación interna.

- Las pérdidas de privacidad de la información, así como las fugas de activos de información, han experimentado un ascenso en los últimos tiempos. Se ha catalogado como una de las amenazas más comunes previstas para el año.

- Un 30% de los encuestados afirma no haber sufrido ningún ataque interno en el último año.

Tipos Una vez Varias veces

Ataque de virus/ gusanos 11% 9%

Ataque con tecnología sin cable 3% 1%

Pérdida de información de clientes y falta de privacidad 8% 9%

Fraude financiero a través de los sistemas de información 6% 6%

Robo de propiedad intelectual 4% 1%

Hechos puntuales 9% 10%

Otras formas de ataque interno 5% 3%

No hemos tenido un ataque interno 30% 8%

Fuente: Deloitte


Oportunidades y amenazas en el mundoReporting de seguridad

- La mayor parte de los encuestados afirma que reportan bajo demanda, distribuyendo la información de forma adecuada, dependiendo el nivel al que lo hacen (consejo de administración, director financiero, comité de auditoría).

- El reporte mensual indica que las entidades cuentan con comités de seguridad u órganos consultivos similares. Esto denota un grado apreciable de formalización en los procesos de seguridad de la información.

TiposComité de Dirección

Comité de Auditoría

Consejero Delegado

Comité Ejecutivo

Semanal 2% 0% 2% 5%

Mensual 19% 13% 20% 30%

Trimestral 19% 19% 19% 17%

Semestral 7% 7% 4% 3%

Anual 11% 13% 6% 3%

Ad hoc 19% 24% 23% 24%

Nunca 10% 12% 9% 3%

Sólo cuando ocurre 9% 8% 11% 12%

Prefiero no estar informado 0% 0% 1% 0%

Fuente: Deloitte


Oportunidades y amenazas en el mundoTecnologías y soluciones de seguridad empleadas

- Las tecnologías líderes continúan siendo las soluciones de antivirus y filtrado de spam, así como los cortafuegos.

- La parte reactiva de la gestión de seguridad está en un estadio maduro, y cada vez surgen iniciativas orientadas a actuar de forma más preventiva.

Fuente: Deloitte


Oportunidades y amenazas en el mundoRevisiones de seguridad

• Tomando cinco tipologías de revisión de seguridad recomendadas por las mejores prácticas en la seguridad de los sistemas de información, los encuestados han respondido que:

- Los análisis de vulnerabilidades es la práctica más realizada y conocida.- Como consecuencia del grado de exposición de sus sistemas (e-commerce), los

test de intrusión externa, tanto realizados por un tercero, como por personal interno, son prácticas muy difundidas en el sector.

- Destaca la escasa periodicidad con la que se realizan los test de intrusión internos, máxime cuando el factor humano es uno de los principales problemas de seguridad.

- Por último, la práctica menos extendida es la revisión de código en los procesos de desarrollo de aplicaciones.

Tipos Trimestral Semestral Anual Ad hoc Nunca

Análisis de vulnerabilidad 43% 9% 13% 27% 6%

Test de intrusión interna 16% 12% 23% 33% 14%

Test de intrusión externa 19% 13% 33% 24% 10%

Test de intrusión por terceras partes 13% 14% 34% 26% 10%

Revisión de las aplicaciones de los códigos de seguridad

6% 5% 8% 41% 29%

Fuente: Deloitte


Conclusiones


ConclusionesInforme Anual de Seguridad en Instituciones Financieras

• Necesidad de Seguridad . El concepto de gobierno de la seguridad se asienta en las organizaciones. La figura del CISO (Chief Information Security Officer) adquiere relevancia. El 80% de las instituciones financieras dispone ya de un responsable de seguridad de la información.

• Función de seguridad . La seguridad se alinea con el negocio. El CISO reporta cada vez a más alto nivel de la organización.

• Estrategia de seguridad . La seguridad adquiere cada vez más un enfoque estratégico que posteriormente deriva en una gestión más optimizada. Un 92% de las entidades considera fundamental implantar una estrategia a nivel de seguridad de la información.

• Obstáculos a la seguridad. La escasez de recursos y de profesionales especializados en seguridad son los principales impedimentos a la hora de desarrollar una estrategia eficiente de seguridad. En este sentido, la principal causa por la que fallan los proyectos de seguridad es la carencia de recursos, y el error humano es el motivo principal de los fallos de los sistemas.


ConclusionesInforme Anual de Seguridad en Instituciones Financieras

• Inversión en seguridad. El presupuesto que las entidades dedican a seguridad de la información es escaso. El 29% de las organizaciones consultadas destina entre un 1% y un 3% de su presupuesto de tecnología, mientras que sólo un 5% destina más del 10% del presupuesto.

• Disminución de los ataques. El año pasado, la frecuencia de ataques externos en las entidades financieras se redujo respecto a 2007. Así, el porcentaje de empresas que afirmaron ser víctimas de repetidos ataques externos en 2008 fue del 47%, frente al 65% del año anterior. El nivel de sofisticación de los ataques hace que éstos sean más críticos.

• Ataques más frecuentes. La principal fuente de ataques externos hacia las entidades financieras son virus/gusanos, correo basura y programas de spyware. El phisingcontinúa siendo frecuente en el sector, mientras que las conductas inapropiadas de los empleados suponen ya un elevado porcentaje (11%) motivo de ataques externos. Hasta un 20% de las entidades afirma no haber sufrido ataque externos durante el último año.

• Tecnologías y soluciones . La parte reactiva de la gestión de la seguridad se encuentra en un estadio maduro. Cada vez surgen más iniciativas orientadas a actuar de forma preventiva.

confianza y garantía informe anual de seguridad en ... · pdf fileen estado borrador. -...

Documents