giss 2009 final
DESCRIPTION
Presentación de Resultados de la 11a. Encuesta de Seguridad de Ernst & YoungTRANSCRIPT
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 0
t
XI Encuesta Global de Seguridad de la InformaciónAlcanzando metas, acortando distanciasEl reto aún sigue por delante
Análisis de resultados: México
Junio 2009
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 2
► Antecedentes
► Participantes
► Gobierno de Seguridad & Medición
► Organización
► Habilitadores
► Estándares
► Actividades
► Conclusiones
► Recomendaciones
► Otras iniciativas
Contenido
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 3
► Cumplimos 11 años consecutivos aplicando nuestra Encuesta Global de Seguridad de la Información.
► La encuesta fue aplicada a 1392 organizaciones en todo el mundo,pertenecientes a diferentes sectores industriales.
► México ocupó el tercer lugar en número de participantes, después de Estados Unidos e India con un total de 95 organizaciones encuestadas.
► El perfil de los participantes es principalmente ejecutivos de: finanzas, auditoria, seguridad y tecnología de información.
Antecedentes
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 4
Participantes por país
En total 1,392 participantes
* 21 países más con 10 o menos respuestas
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 5
Participantes por tipo de industria
6%
6%
6%
21%
6%
6%
6%
7%
8%
13%
31%
21%
6%
6%
6%
7%
8%
13%
31%
6%
6%
6%
Otras
Tecnología
Sector publico, Organizacionesno lucrativas
Servicios financieros
Manufactura
Telecomunicaciones, Mediosy Entretenimiento
Energía y Servicios públicos
Detallistas, Mayoristas y Distribución
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 6
Participantes por ingreso (USD)
7%
6%
6%
23%
9%
9%
14%
26%
0.00% 5.00% 10.00% 15.00% 20.00% 25.00% 30.00%
Not applicable
More than $25 billion
$10 billion - $25 billion
$1 billion - $10 billion
$500 million - $1 billion
$250 million to $500 million
$100 million - $250 million
Less than $100 million
7%
6%
6%
23%
9%
9%
14%
26%
No aplica
Mas de $25 billones
Entre $10 y $25 billones
Entre $1 y $10 billones
Entre $500 y $1000 millones
Entre $250 y $500 millones
Entre $100 y $250 millones
menos de $100 millones
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 7
Gobierno de Seguridad & Medición
¿Cuál de las siguientes afirmaciones describe mejor su inversión anual en seguridad de la información dentro de su organización?
5%
45%
50%
5%
56%
38%
Se incrementó como parte del porcentaje total de los gastos
Se mantuvo relativamente constante como parte del porcentaje total de los gastos
Se redujo como parte del porcentaje total de los gastos
GlobalMéxico
Solamente en el 5% de las organizacioneshubo una reducción en el porcentaje total de
las inversiones en seguridad de la información
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 8
Gobierno de Seguridad & Medición
¿Su organización realiza un análisis de riesgos para priorizar las actividades e inversiones en seguridad de la información?
9%
45%
46%
18%
38%
44%Si, a través de proceso formal y definido
Si, a través de un análisis a la medida (ad hoc)
No
GlobalMéxico
El 82% de las organizacionesejecutan análisis de riesgos
(formal o informalmente)
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 9
Gobierno de Seguridad & Medición
¿Su organización cuenta con una estrategia documentada de seguridad de la información para los próximos 1-3 años?
18%
20%
29%
33%
12%
29%
37%
22%
Si, está integrada con la estrategia de TI de la organización
No
Si, específicamente para la seguridad de la información
Si, está integrada con la estrategia de negocio de la organización
GlobalMéxico
Solamente el 12% de los encuestados respondieron tener una estrategia de seguridad
de la información alineada al negocio
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 10
Gobierno de Seguridad & Medición
¿Cuál de las siguientes iniciativas de seguridad de la información representa el mayor reto?
3
6
4
5
2
1
6Entendimiento de tecnologías emergentes
5Patrocinio de la administración
4Evaluación de nuevas amenazas y vulnerabilidades
3Presupuesto adecuado
2Disponibilidad de los recursos humanos capacitados
1Concientización organizacional
1 = mayor reto, 6 = menor reto
GlobalMéxico
A diferencia de otros añosel patrocinio de la administraciónestá dejando de ser el mayor reto
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 11
Gobierno de Seguridad & Medición
¿Cómo evalúa su organización la calidad y la efectividad de la seguridad de la información?
9%
7%
55%
37%
50%
64%
4%
23%
53%
61%
67%
77%Evaluaciones internas a través del Departamento de TI ó de la función de seguridad de la información
Evaluaciones realizadas por la función de auditoría interna
Evaluaciones de proveedores externos
En conjunto con las auditorías financieras externas
No se realizan evaluaciones
Benchmarking entre iguales/Competidores
GlobalMéxico
* Se permitieron respuestas múltiples
En México todavía no se aprovechanlos beneficios de contratar a terceros para
llevar a cabo evaluaciones de seguridad
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 12
Gobierno de Seguridad & Medición
¿Cuáles de las siguientes pruebas de ataque y penetración realiza su organización regularmente?
7%
21%
35%
45%
40%
48%
70%
77%
7%
19%
29%
38%
46%
49%
73%
85%Pruebas desde Internet
Pruebas de Infraestructura
Acceso remoto
Acceso físico en áreas restringidas
Pruebas desde accesos Wireless
Revisiones de código fuente de aplicaciones
Pruebas de ingeniería social
Otros
GlobalMéxico
* Se permitieron respuestas múltiples
Un alto porcentaje de encuestados (77%) confirmó
que ejecuta regularmente pruebas desde Internet, pero muy pocas llevan
a cabo revisiones de código fuente y pruebas de ingeniería social a
sus empleados.
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 13
Gobierno de Seguridad & Medición
En su organización, ¿Qué tan a menudo los responsables de seguridad de la información sostienen reuniones con los siguientes grupos ó individuos para discutir necesidades y/o actividades referentes a la seguridad?
48%14%11%14%12%32%15%13%18%22%Recursos Humanos
36%13%14%18%18%29%15%10%19%27%Administración de riesgos
3%
12%
24%
52%
21%
15%
13%
17%
17%
22%
30%
71%
25%
28%
7%
7%
Mensual
46%16%13%21%
33%12%23%21%
24%20%15%17%
6%11%11%20%
27%14%21%17%
26%19%24%16%
31%21%16%19%
35%26%14%8%
40%15%12%16%Consejero General/Legal
35%12%10%21%Cumplimiento Corporativo
15%18%13%24%Auditoría Interna
5%5%6%13%Tecnología de Información
24%14%15%22%Líder de la unidad de negocio
19%16%14&23%Oficial Corporativo (CEO, CFO, COO)
36%24%12%20%Comité de Auditoría
47%23%9%14%Junta de Directores
NuncaAnualSemestralTrimestral
GlobalMéxico
A nivel global el 51%de las compañías
reportan a niveles Cpor lo menos mensual
o trimestralmentemientras que en México
sólo el 31%
Las necesidadesde seguridad siguen
discutiéndose con TI y no con las áreas
de negocio
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 14
Gobierno de Seguridad & Medición
15% 40% 45%2008
19% 32% 49%200715% 31% 62%200615% 24% 61%200518% 22% 60%200416% 25% 59%2003
ConcienciaMensual
TransiciónTrimestral y semestral
PreocupaciónAnual, poco frecuente o
nuncaAño
De la preocupación a la conciencia
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 15
Gobierno de Seguridad & Medición
¿Su organización ha implementado un sistema de gestión de la seguridad de la información (SGSI o Information Security Management System, ISMS) que abarque todos sus aspectos de administración?
7%
17%
34%
21%
20%
8%
16%
36%
16%
24%
Si, formalmente implementado y certificado
Si, pero sin objetivo de certificación
Si, actualmente en proceso de implementación
No, pero se está considerando
No, y no se está considerando
GlobalMéxico
En general, tanto en México como a nivel global, existe una tendencia hacia la
adopción/implementación de un sistema de gestión de seguridad de la información
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 16
Organización
¿Cuál de las siguientes afirmaciones describe mejor la integración de la seguridad de la información dentro de su empresa?
16%
27%
57%
19%
26%
55%
La seguridad de la información esta parcialmente integrada al negocio
La seguridad de la información esta totalmente
integrada al negocio
La integración es limitada o inexistente
GlobalMéxico
Tanto en Méxicocomo a nivel global
únicamente 1 de cada 4organizaciones reconoce que la
seguridad de la informaciónestá totalmente integrada
al negocio
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 17
Organización
¿De cuáles de las siguientes áreas/actividades se responsabiliza, de manera parcial o total, la función de la seguridad de la información dentro de su organización?
60%
53%
68%
34%
87%
33%
17%
60%
39%
58%
65%
75%
48%
85%
42%
43%
60%
54%Fraude, investigación y cómputo forense
Seguridad en desarrollo de aplicacionesAdministración de riesgos con proveedores
Administración de activos
Administración de riesgos de TI
Entrega de programas y proyectos
Recuperación de desastres y continuidad del negocio Privacidad
Seguridad física
GlobalMéxico
* Se permitieron respuestas múltiplesLas áreas/actividades principales de la función de seguridad de la información tanto en México como a nivel global son:1. Administración de riesgos de TI2. Recuperación de desastres y continuidad del negocio3. Seguridad física / Seguridad en desarrollo de aplicaciones
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 18
Organización
¿En cuáles de los siguientes temas la función de la seguridad de la información se involucra para definir o evaluar lo referente a seguridad?
40%
44%
51%
53%
87%
83%
44%
47%
52%
69%
82%
84%Sistemas administrativos
Telecomunicaciones
Sistemas de Recursos Humanos
Sistemas de automatización de procesos
Sistemas de cómputo incrustados
Sistemas de construcción y utilerías
GlobalMéxico
* Se permitieron respuestas múltiples
Existe una relación cercana entre seguridad de la Información y los sistemas administrativosy telecomunicaciones, pero en aquellos temas relacionados con soluciones
para ayudar a eficientar el negocio como automatización de procesos su involucramiento es escaso.
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 19
Organización
¿Cuáles de las siguientes estrategias ha utilizado su organización para satisfacer las necesidades de personal sobre seguridad de la información?
11%
28%
24%
36%
50%
63%
15%
27%
39%
51%
61%
75%Entrenamiento ó redistribución de personal de TI
Contratación de externos
Reclutamiento de profesionales con experiencia en seguridad de la información
Outsourcing de actividades especificas
Entrenamiento ó redistribución de personal de auditoría interna
Reclutamiento en campus y universidades
GlobalMéxico
* Se permitieron respuestas múltiples
Principalmente las organizaciones están atendiendo sus necesidades de personal en seguridad a través de:• Entrenamiento• Contratación de externos• Reclutamiento de profesionales con experiencia en seguridad de la información
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 20
Organización
¿Cuáles de las siguientes actividades específicas de seguridad se han considerado ó se han tercerizado en su organización?
14%28%58%7%27%66%Mesa de ayuda (Problemas de
restablecimiento de contraseña/acceso)
16%11%72%
14%14%72%
18%24%58%
14%23%64%
18%22&60%
15%23%63%
21%42%37%
13%36%51%
8%15%77%Respuesta a incidentes
15%19%66%eDiscovery, cómputo forense/soporte en fraudes
13%22%65%Administración de la continuidad del negocio/Recuperación de desastres
9%24%67%Administración de parches/vulnerabilidades
17%21%62%Concientización y entrenamiento de seguridad
14%30%56%Pruebas de aplicación (revisión de código)
18%59%23%Pruebas de ataque y penetración
15%50%35%Auditorías/Evaluaciones de seguridad
En evaluación/ Planeado
en outsourcing
En outsourcing (Completo ó
parcial)
Sin planes de
outsourcing
GlobalMéxico
Existe una tendencia generalizadapor no tercerizar actividades de
seguridad incluso aquellas rutinarias
Sólo se salvan, medianamente, laspruebas de ataque y penetración
y auditorias/evaluaciones de seguridad
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 21
Organización
¿Cómo se asegura que sus socios de negocio, proveedores y contratistas protejan la información de su organización?
29%
32%
36%
39%
29%
20%
40%
33%
Evaluaciones realizadas por la función de auditoría interna de la organización
Revisión de auto-evaluaciones realizadas por los socios, proveedores y contratistas
Revisión de evaluaciones externas independientes de socios, proveedores y contratistas
No se han revisado ó ejecutado evaluaciones
GlobalMéxico
* Se permitieron respuestas múltiples
1 de cada 3 organizaciones no llevaa cabo revisiones/evaluaciones del manejo
de terceros sobre su información.
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 22
Organización
¿Qué área funcional de su organización tiene la responsabilidad principal de la administración de la continuidad del negocio?
6%
2%
1%
6%
6%
15%
10%
53%
17%
1%
1%
4%
5%
11%
20%
41%Tecnologías de Información
Administración de Riesgos
Seguridad de la información
Finanzas
Cumplimiento Corporativo
Consejero Legal/General
Recursos Humanos
Otro
GlobalMéxico
El 53% de las organizacionesmexicanas señalan que TI
tiene la responsabilidad principal de la gestión de la continuidad del negocio
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 23
Habilitadores
54Proteger la propiedad intelectual
78Mejorar el lanzamiento de nuevos servicios y productos
31
Lograr el cumplimiento de regulaciones
13
Lograr el cumplimiento de políticas corporativas
4
6
2
9
8
10
5Mejorar la eficiencia de TI y la operacional
6Mejorar la confianza de los inversionistas y otros interesados
2Preservar la reputación y la marca
9Administrar proveedores externos
7Examinar tecnologías nuevas y emergentes
10Facilitar las fusiones, adquisiciones y des-inversiones (separaciones)
1 = más importante, 10 = menos importante
¿Qué tan importante es el apoyo de la seguridad de la información para las siguientes actividades en su organización?
GlobalMéxico
•Se permitieron respuestas múltiples
Las tres actividades másimportantes de seguridad de la información en México:
1) Cumplimiento con políticas2) Preservar la reputación y
la marca3) Cumplimiento con
regulaciones
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 24
Habilitadores
¿Qué impacto ha tenido el cumplimiento regulatorio sobre el costo anual en seguridad de la información para su organización?
3%
33%
44%
21%
1%
31%
26%
42%
Incremento significativo en el costo
Incremento moderado en el costo
El costo no cambio
El costo se redujo
GlobalMéxico
El costo anual del cumplimiento regulatorio continúa incrementado de forma moderada e incluso en 1 de cada 4 organizaciones el incremento en costo es significativo
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 25
Habilitadores
¿Qué porcentaje del total de su presupuesto anual de seguridad de la información estárelacionado directamente con actividades de cumplimiento regulatorio?
9%
6%
18%
26%
41%
8%
15%
19%
20%
37%0 – 5 %
5 – 10 %
10 – 20 %
20 – 50 %
> 50 %
GlobalMéxico
En la mayoría de las organizaciones mexicanas (67%) la inversión dedicada al cumplimientoregulatorio representa entre el 1 y el 10% del presupuesto anual de seguridad.
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 26
Habilitadores
¿Qué nivel de importancia tienen las siguientes consecuencias si la información de su organización es comprometida, perdida o no se encuentra disponible?
77Daño a la relación con los empleados
6
5
2
3
4
1
6Acción legal/litigación
5Sanciones/acciones regulatorias
4Pérdida de clientes
3Pérdida de ingreso
2Pérdida de confianza del inversionista
1Daño a la reputación y marca
1 = más importante, 7 = menos importante
•Se permitieron respuestas múltiples
El daño a la reputación y a la marca es la consecuencia más importante en México y
a nivel global
Se empieza a reconocer que la pérdida de información
afecta directamente a losingresos
GlobalMéxico
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 27
Estándares
¿Cuál de los siguientes estándares o marcos normativos han sido utilizados por su organización?
14%
21%
35%
21%
7%
54%
16%
54%
20%
11%
18%
44%
34%
15%
48%
18%
52%
16%CMMI
ITIL
COSO
COBIT
Foros en Seguridad de la información (ISF)Estándares de buenas practicas
ISO/IEC 27001:2005
ISO/IEC 27002:2005
Ninguno ó no sabe
Otro
GlobalMéxico
* Se permitieron respuestas múltiples
Los estándares o marcos de referencia más utilizados son:1. ITIL 2. COBIT 3. ISO 27002:2005
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 28
Actividades
¿Su organización ha inventariado y clasificado sus activos de información?
14%
24%
62%
15%
29%
56%Si, parcialmente pero no completamente
Si, todos los activos
No, en los absoluto
GlobalMéxico
Tan sólo 1 de cada 3organizaciones mexicanas
ha inventariado y clasificadosus activos de información
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 29
Actividades
¿Cuáles de los siguientes temas están incluidos en los planes de administración de crisis de su organización?
15%
26%
24%
28%
48%
52%
47%
44%
45%
58%
72%
12%
40%
41%
42%
53%
61%
61%
62%
63%
72%
77%Identificación de procesos críticos de negocio
Procedimientos para la administración de incidentes, desastres y crisis
Plazos de recuperación acordados con el negocio
Procedimientos de escalamiento aceptados
Estrategia de comunicación interna/externa
Roles y responsabilidades aceptados para todos los miembros del equipo
Ejercicios de respuesta a emergencia
Ejercicios de manejo de crisis
Sociedades establecidas con grupos locales de respuesta a emergencias (bomberos, policía, etc.)
Cuartos de comando equipados con capacidades de comunicación
Ninguna ó no sabe
GlobalMéxico
* Se permitieron respuestas múltiples
En México, solo el 28% de las organizaciones
llevan a cabo ejercicios de
manejo de crisis
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 30
Actividades
¿Cómo evalúa su organización el programa de administración de continuidad del negocio?
27%
17%
18%
21%
27%
32%
28%
49%
38%
24%
24%
26%
29%
31%
34%
36%
46%
51%Pruebas de simulación de recuperación de desastres
Checklist de pruebas
Recorridos de prueba de escritorio del área de TI
Simulaciones de prueba de continuidad del negocio (simulación de desastres)Recorridos de prueba de escritorio del
área de negocioPruebas paralelas (Llevadas a cabo en
sites alternos de recuperación)Pruebas de interrupción completa de TI y del
negocio (prueba real de cambio de site)Simulaciones de administración de crisis
(negocio y gerencia ejecutiva)
No se han realizado evaluaciones
GlobalMéxico
* Se permitieron respuestas múltiples
El 27% de las organizacionesno ejecuta ningún tipo
de evaluación de su plan de continuidad del negocio
Más del 51% de lasorganizaciones mexicanas
carecen deun checklist de pruebas
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 31
Actividades
¿Cuáles de las siguientes afirmaciones pueden ser hechas por su organización respecto a la privacidad?
15%
27%
21%
30%
34%
50%
44%
55%
10%
26%
27%
31%
39%
62%
66%
67%Hemos implementado controles para proteger la información personal
Tenemos un claro entendimiento de las leyes y regulaciones de privacidad que pueden impactar a la organización
Hemos incluido requerimientos de privacidad en contratos con socios externos, proveedores y contratistas
Hemos establecido procesos de notificaciónpara incidentes de privacidad
Hemos realizado un inventario de activos de información cubiertos por requerimientos de privacidad
Hemos llevado a cabo una valoración del ciclo de vida de los datos personales (recolección, uso, almacenamiento y eliminación)
Hemos implementado un proceso para monitorear y mantener controles relacionados a la privacidad
Ninguna ó no sabe
GlobalMéxico
•Se permitieron respuestas múltiples
Solo 1 de cada 3 organizacionestanto en México como a nivel globalha realizado un inventario de activos
de información cubiertos por requerimientos de privacidad
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 32
Actividades
¿Cuáles de las siguientes acciones ha tomado su organización para controlar la fuga de información sensitiva?
14%
36%
40%
32%
45%
44%
40%
44%
44%
7%
29%
40%
43%
47%
50%
53%
57%
61%Ha implementado mecanismos de seguridad para la protección de información (cifrado)
Ha definido una política especifica respecto a la clasificación y manejo de información sensitiva
Ha implementado herramientas de monitoreo/filtrado de contenido
Ha utilizado herramientas derevisión de logs/auditoría interna
Ha restringido/prohibido el de uso de mensajería y correo electrónico para la transmisión de datos sensitivos
Ha cerrado ó restringido el uso de ciertos componentes de hardware (puertos USB/Firewire, etc.)
Ha restringido el acceso a información sensitiva en periodos de tiempo especifico.
Ha prohibido el uso de dispositivos con cámara dentro de áreas restringidas ó sensitivas
Ninguna ó no sabe
GlobalMéxico
* Se permitieron respuestas múltiples
En general, todavía son pocas las acciones para prevenir y detectar la fugade información sensible
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 33
Actividades
¿Qué elementos de seguridad se cubren actualmente en los programas de concientización dentro de su organización?
0%
19%
33%
38%
50%
64%
5%
10%
44%
44%
58%
74%Concientización en tópicos generales de seguridad
Revisión y acuerdo de cumplimento con políticasy estándares actuales de seguridad
Información actualizada sobre nuevos temas
Alertas y actualizaciones frecuentes sobre amenazas actuales en la organización
Ninguno ó no sabe
Otros
GlobalMéxico
* Se permitieron respuestas múltiples
Todavía el 19% de las organizaciones mexicanasno tiene un programa, aunque sea básico, de concientización
de seguridad
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 34
► A diferencia de años anteriores, los resultados de éste año para México nos muestran una alineación casi total en la mayoría de los resultados con los globales. Sin embargo todavía existe rezago en temas prioritarios como:
► Manejo de crisis
► Protección de datos personales y privacidad
► Fuga de información sensible
► Además del cumplimiento regulatorio se empiezan a considerar otros habilitadores para la seguridad de la información como el daño a la reputación y la marca y la pérdida de clientes
► Muy pocas organizaciones han integrado su estrategia de seguridad de la información a la estrategia del negocio
► La comunicación hacia los altos directivos de las organizaciones para informales el estado de la seguridad es todavía muy escasa
CONCLUSIONES
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 35
► Más de la mitad de las organizaciones mexicanas asignan a TI la responsabilidad sobre la continuidad del negocio, por lo que temas como el manejo de crisis continúa siendo un tema poco considerado dentro de las estrategias de administración de la continuidad de negocio
► Cada día la dependencia de proveedores externos (terceros) es mayor, sin embargo, la mayoría de las organizaciones no se vigila el cumplimiento de políticas y estándares de seguridad por parte de ellos.
► Aunque la protección de datos personales es prioritario, e incluso clave para muchas organizaciones, existe todavía un importante rezago en este tema en la mayoría de las organizaciones mexicanas.
CONCLUSIONES
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 36
► Fortalecer las habilidades y conocimientos de negociación, comunicación, gestión, análisis, procesos de negocio y administración de riesgos de los responsables de la función de seguridad de la información, para lograr hablar el mismo idioma que los altos directivos y por tanto lograr demostrar el valor, importancia del tema y ganar espacio en sus agendas
► Mostrar a los altos directivos el estado actual que guarda la seguridad de la información en las organizaciones a través de la ejecución de un análisis de riesgos
► Alinear la estrategia de seguridad con las necesidades y objetivos de negocio
RECOMENDACIONES
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 37
Otras iniciativas
Information Security Day
http://www.ey.com/MX/es/Issues/Operational-effectiveness/IT-effectiveness
Del 28 de septiembre al 2 de octubre de 2009Ciudad de México
Noviembre 2009Ciudad de México
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 38
Levantamiento de información para la XII Encuesta Global de Seguridad de la Información
BENEFICIOS POR PARTICIPAR
a) Descuento del 15% en eXtreme Hacking que se llevará a cabo del 28 de septiembre al 2 de octubre, 2009Precio del curso: 25,000 pesos. Descuento de: 3750 pesos
b) Descuento del 50% en los “E&Y Information Security Day” – octubre o noviembre 2009Precio del seminario: 3,900 pesos. Descuento de: 1,950 pesos
c) Invitación a la presentación de resultados de la encuesta
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 39
¡GRACIAS!
Carlos ChalicoLI, CISA, CISSP, CISM, CGEIT
Socio Asesoría en TI(55) 1101-6414
Ricardo LiraIEC, M. en C., CISSP, PMP
Gerente SeniorSeguridad de la Información
(55) [email protected]
Erika SaucedoLCC, M. en C., CISSP
Gerente SeniorSeguridad de la Información
(55) [email protected]
Junio 2009Alcanzando metas, acortando distancias
XI Encuesta Global de Seguridad de la InformaciónPágina 40
Ernst & Young
Auditoría | Asesoría | Fiscal | Legal | Transacciones
Acerca de Ernst & YoungErnst & Young (www.ey.com) es un líder global en auditoría y asesoría de negocios, impuestos y transacciones. Nuestros 130,000 colaboradores alrededor del mundo compartimos los mismos valores y el compromiso con la calidad. Marcamos la diferencia ayudando a nuestra gente, clientes y comunidades para lograr maximizar su potencial.
Para mayor información por favor visite www.ey.com/mx
© 2008 Mancera, S.C.Integrante Ernst & Young GlobalDerechos reservados
Ernst & Young se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes.
NUESTRAS OFICINAS
AGUASCALIENTES
CANCÚN
CHIHUAHUA
CIUDAD JUÁREZ
CIUDAD OBREGÓN
CULIACÁN
GUADALAJARA
HERMOSILLO
LEÓN
LOS MOCHIS
MÉRIDA
NUESTRAS OFICINAS
MEXICALI
MÉXICO, D.F.
MONTERREY
NAVOJOA
PUEBLA
QUERÉTARO
REYNOSA
SAN LUIS POTOSÍ
TIJUANA
TORREÓN
VERACRUZ
CLAVE
449
998
614
656
644
667
33
662
477
668
999
TELÉFONO
912-82-01
884-98-75
425-35-70
648-16-10
413-32-30
714-90-88
3884-61-00
260-83-60
717-70-62
818-40-33
926-14-50
CLAVE
686
55
81
642
222
442
899
444
664
871
229
TELÉFONO
568-45-53
5283-13-00
8152-18-00
422-70-77
237-99-22
216-64-29
929-57-07
825-72-75
681-78-44
713-89-01
922-57-55