jueves, agosto 26, 2010

Encuesta Anual de Seguridad Deloitte 2010



Acaba de ser publicada la Encuesta Anual de Seguridad de la Información de Deloitte 2010 Global Financial Services Security Survey de la cual extraigo el Prefacio:

La nueva década marca un punto de inflexión en la industria de seguridad de la información. Vivimos en una época de guerra cibernética y el entorno es peligroso y siniestro. Los niños que hacían "travesuras" en sus sótanos fueron reemplazadas por la delincuencia organizada, los gobiernos y los individuos cometen fraudes informáticos a tiempo completo, ya sea para obtener beneficios económicos o para lograr ventajas competitivas y tecnológicas. Los países se acusan mutuamente de guerra cibernética. Cualquier red de tamaño considerable se ha visto comprometida de alguna manera y los gobiernos ya se centran en la guerra cibernética. Las apuestas nunca han sido mayores y la batalla se está librando en todos los rincones del mundo. Está todo allí: botnets, redes zombie, troyanos, malware, spam, phishing; muchos de ella tan sofisticados, que la mayoría de nosotros podría ser engañado.

Hablamos mucho acerca de la creciente sofisticación de las amenazas. Ahora tenemos algo más a lo cual hacerle frente: la disminución del nivel de conocimientos que supone una amenaza. Considere la posibilidad de Mariposa, el botnet que se originó en España e infectó millones de computadoras. Los autores tenían "conocimientos limitados de informática" y no necesitaron escribir su propio malware sino que simplemente lo descargaron de Internet. La nueva realidad es una creciente disponibilidad de herramientas en Internet, que permite a aquellos con menos conocimientos técnicos convertirse, en ciberdelincuentes.

Las respuestas obtenidas para el estudio realizado para este año demuestran que hemos llegado a un punto de inflexión en la seguridad de la información:

Por primera vez, las organizaciones son proactivas, adoptando nuevas tecnologías de manera temprana y no tardía como antes, dejando de lado su rol simplemente reactivo.
  • Por primera vez, el porcentaje más bajo de los encuestados (36%) afirmó que "la falta de suficiente presupuesto", es el principal obstáculo para garantizar la seguridad de la información, comparado con el 56% el año pasado. Durante la peor crisis económica en la historia reciente cuando muchos presupuestos se están recortando, los presupuestos asignados a la seguridad de información están asegurados y muchos han aumentado.
  • Por primera vez, el cumplimiento de seguridad de la información, y la mejora de resultados obtenidos en auditorias de seguridad es una iniciativa de las mas altas dentro de la seguridad, lo que permite a las organizaciones prepararse nuevas y mayores exigencias reglamentarias o legales.
  • Por primera vez, más de la mitad de las organizaciones afirman que la información física, como el papel, está dentro del alcance del ejecutivo responsable de seguridad de la información. Esta respuesta (59%) sigue siendo demasiado baja - e indica un riesgo de seguridad - pero, en nuestra opinión, se está moviendo en la dirección correcta.
Esta es la séptima versión de la encuesta: resolver las preguntas de esta encuesta implican tiempo y esfuerzo por ocupados profesionales quienes dedicaron parte de su valioso tiempo para responderla (Yo entre ellos).

Ahora, que dice esta Encuesta sobre Latinoamérica? Veamos:

Latinoamérica & El Caribe (En ingles bajo el acrónimo LACRO)
Latinoamérica ha tenido un impresionante avance duramente el anterior año, colocándose a la delantera en muchas áreas. Sin embargo, han caído en áreas que lideraban el año previo. En esta región como en el resto del mundo, la mayoría de respuestas mostraron que el encargado de seguridad de la información reporta directamente el Gerente de la Compañía. Latinoamérica se encuentra cerca (54%) del promedio mundial (60%) en tener documentada y aprobada la estrategia de seguridad, lo cual es una sorpresa por que la región lideraba este campo el año pasado. Adicionalmente, la calificación obtenida del 48% por falta de compromiso y presupuesto, es segunda después de Japón y mucho mas baja que el promedio global del 62%. Latinoamérica se ubica entre los menores puntajes de alineación entre objetivos de negocio y seguridad de la información, lo cual es consistente con la falta de compromiso y presupuesto asignado.

Al igual que en Asia, la privacidad no es una prioridad en Latinoamérica, lo cual no es una sorpresa, debido casi a la inexistencia de Leyes de privacidad en la región, sumado a la cultura de "brazos abiertos" (recuerdan la ingeniería social?); de hecho la región tiene el peor índice de responsables de seguridad de la información (30% versos el 53% de promedio mundial), así como el de contar con una adecuada gestión de la privacidad de su información (24% versus el 50% de promedio mundial).

Latinoamérica también se encuentra entre los puntajes mas bajos de encriptación de información de equipos móviles (12% versus el 44% de promedio mundial), así como en mantener una base de datos de incidentes de seguridad de la información (43% versus el 54% de promedio mundial). Claramente, sin contar con una base de datos de incidentes de seguridad, resulta imposible contar con información útil desde el punto de vista de seguridad de la información.

Un punto brillante es que los encuestados de Latinoamérica (64%) indican que sus presupuestos seguridad de la información han aumentado. Esto es más alto que el promedio mundial de 56% y más alto que al menos otras tres regiones. Así, mientras que los encuestados en Latinoamérica superan solo a el Japón en la sensación de que no tienen compromiso y financiación, parece que hay un esfuerzo para corregir este problema a través de mayores presupuestos.

Que podemos interpretar de estos resultados? Veamos:
  • Muy preocupante la falta de leyes especificas de seguridad de la información en toda la región.
  • Falta de compromiso: la seguridad sigue siendo catalogada por prácticamente todos los empleados de cualquier empresa como responsabilidad de los vigilantes, del Circuito cerrado, de la tarjeta de acceso; se necesita un fuerte cambio cultural que anticipo no será visto en nuestro País por lo menos en una década, cuando el tema de privacidad, de seguridad de la información, de fortalecimiento de leyes, etc sea de amplio conocimiento publico.
  • La cultura de "brazos abiertos" facilita muchísimo la acción de los delincuentes, hecho que se confirma por ejemplo con las múltiples noticias de tarjetas de crédito clonadas de prácticamente todas las entidades bancarias del País, esta región de momento es el paraíso para los "Ingenieros Sociales"
  • Encriptación en dispositivos móviles: Cuantos de Uds. encriptan apropiadamente la información que tienen en los portátiles que les asignan en sus empleos? Cuantos de Uds. que cuentan con "teléfonos inteligentes" usan las herramientas de encriptación de datos con las que cuentan dichos aparatos?
  • Interesante el crecimiento reportado en asignación de presupuestos, lo cual se traduce a largo plazo en el cambio cultural que mencione previamente, y claro esta en una mejora  en las calificaciones para las próximas encuestas de seguridad que se desarrollen en la región.
Para finalizar la entrada, los dejo con el link para descargar este informe: (Material disponible solamente en idioma ingles)

No hay comentarios.: