Embed Size (px)
Citation preview
© Deloitte 2005. Todos los derechos reservados
Estudio sobre Seguridad de la Información en los Medios de Prensa Escrita
Zaragoza, 25 de noviembre de 2005
Juan Miguel Ramos
Introducción
Patrocinado por la Asociación de Editores de Diarios Españoles (AEDE),
Han participado, de manera totalmente voluntaria, las empresas adscritas a AEDE
Se ha llevado a cabo durante los meses de julio y septiembre de 2005.
El estudio se ha centrado en los 8 aspectos siguientes:
– Gestión de la Seguridad de la Información.
– Inversión en Seguridad de la Información.
– Valoración interna de la Seguridad de la Información.
– Gestión del Riesgo.
– Respuesta ante Incidentes de Seguridad de la Información.
– Uso de Tecnologías de Seguridad de la Información.
– Disponibilidad de los Sistemas de Información.
– Protección de Datos Personales.
Introducción
Se han obtenido 23 respuestas, de las cuales 17 corresponden a cabeceras y 6 a grupos de comunicación, que aglutinan, a su vez a 47 cabeceras, haciendo un total de 64 cabeceras.
Nivel de respuesta por volúmen de difusión (ejemplares)
0% 20% 40% 60% 80% 100%
<30.000
30.000 –100.000
>100.000
Número de profesionales de TI
0% 10% 20% 30% 40%
<10
10-25
25-50
>50
Número de profesionales de Seguridad de la Información
0% 10% 20% 30% 40% 50% 60%
0
1-2
>2
Gestión de la Seguridad
Soluciones de Seguridad como ventaja competitiva
37%
5%5%
47%
5%
La seguridad es un elementofundamental de nuestro negocio
La seguridad no es crítica para laventaja de nuestro negocio
La seguridad es principalmentereactiva (se actúa únicamente tras ladetección de problemas)
La seguridad se tiene en cuenta en lafase de planificación de nuevosservicios/aplicaciones/proyectos
La seguridad no es importante paranuestro negocio
Reforzando el primer comentario, el 47% afirma
que tiene en cuenta la seguridad en la fase de planificación de nuevos
proyectos.
• El 53% de los encuestados afirma disponer de una estrategia formal en materia de seguridad de la información,
•La otra mitad (47%) manifiesta aplicar una aproximación más de corto plazo, con algo más de improvisación, al no disponer de un enfoque estratégico (se actúa de forma reactiva, “bajo demanda”)
Inversión en Seguridad
Inversión en Seguridad (% de la inversión en TI)
0%
5%
10%
15%
20%
25%
30%
35%
1-3% 4-6% 7-10% Superior al10%
No sabe/Nocontesta
Elementos receptores de inversión
0%
10%
20%
30%
40%
50%
60%
70%
Contratación dePersonal
especializado
Adquisición deHardware/Software
especializado
Gestión decontinuidad del
negocio
Mejora deprocesos degestión de la
seguridad
Formación yconcienciación
de losempleados
Consultoríaexterna
Outsourcing deSeguridad
La mitad de las Organizaciones destina menos de un 6% de los presupuestos de Sistemas de Información a proteger sus activos.
Para un 37% de las Organizaciones, este porcentaje supone un aumento superior al 20% respecto de presupuestos de años anteriores.
Respecto a los elementos en los que se ha invertido durante el 2004 destacan:
• la escasa inversión en contratación de personal (alrededor de un 5%), y
•la masiva inversión en hardware y software (un 68%).
Valoración de la SeguridadValoración de la Seguridad : Empleados
0%
10%
20%
30%
40%
50%
60%
70%
La Seguridad esun conceptoinherente al
negocio y unaresponsabilidad
de todos losempleados
La Seguridad esun conceptoinherente al
negocio y unaresponsabilidad
exclusiva del áreade Sistemas de
Información.
La seguridad esalgo innecesario y
molesto
Ninguna de lasanteriores
No sabe/Nocontesta
Valoración de la Seguridad : Dirección
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
Se considera un malnecesario
Esencial para laestrategia del negocio
Ninguna de las anteriores No sabe/No contesta
• Sólo un 5% de las organizaciones encuestadas consideran que la seguridad de la información sea una responsabilidad de todos los empleados.
• Muy al contrario, esta responsabilidad se asigna, en la mayor parte de los casos (cerca de un 70%), al departamento de Sistemas de forma única.
Valoración de la seguridad:
• Mal necesario: 37%
• Esencial para la estrategia de negocio: 25%
• Ninguna de las anteriores: 28%
Gesrtión del Riesgo
ORIGEN DE LOS ATAQUES PREVISTOS EN LOS PRÓXIMOS 12 MESES
Virus informáticos (en sus diversas variedades)
Importancia de las Amenazas
0%
10%
20%
30%
40%
50%
60%
70%
0 1 2 3 4 5
Virus o gusanos
Pérdida de datos declientes/cuestiones de privacidadAlteración del sitio w eb de laempresaDenegación de servicio (DoS)
Gestión de actualizaciones yparches inadecuada Robo de propiedad intelectual
Acciones de los empleados(voluntarias/fortuitas)Desastres naturales
Conducta indebida de terceros conacceso a la red de la empresaDesastres o contingencias naturalesgraves
Acciones de los empleados,
Robo de propiedad intelectual
Conducta indebida de terceros con acceso a la red.
Respuesta ante Incidentes
74% de los encuestados manifiesta disponer de sistemas para detectar si la plataforma tecnológica está siendo objeto de un ataque de piratas informáticos.
89% declara que, en el caso de que se produzca un ataque, éste es analizado para determinar el origen de la incidencia.
Sin embargo,
32% de los encuestados no dispone de procedimientos formales de evaluación y respuesta ante incidentes
42% adicional dispone de ellos de forma parcial.
26% no sabe/no contesta
Uso de Tecnologías de Seguridad (I)
En general puede decirse que el sector conoce y utiliza las medidas de seguridad que el desarrollo de la tecnología permite y el mercado ofrece.
Medidas más utilizadas: herramientas antivirus y redes privadas virtuales (95% de las organizaciones las utilizan), cortafuegos (89%), herramientas de seguimiento/filtrado de contenidos (63%), sistemas de detección de intrusos (53%) e infraestructura de clave pública (47%)
Tecnologías desplegadas / probadas
19%95%
10%
48%
62%
24%38%95%
90%
38%
24%24% 5%10%
43%
Normas y estándares de seguridad (tipo BS7799)
Redes privadas virtuales (VPN)
Pirateo ético
Seguimiento/filtrado de contenido
Sistemas de gestión de vulnerabilidades de seguridad
Normas de seguridad de tecnología sin cables
Antivirus
Firewalls
Sistemas de gestión centralizada de logs
Acceso mediante autenticación única (SSO- Single Sign-on)
Sistemas de gestión de identidades
Tarjetas criptográficas
Mecanismos Biométricos
Infraestructura de Clave Pública (PKI)
Uso de Tecnologías de Seguridad (II)
Tecnologías en estudio:
– Sistemas de gestión centralizada de logs (33%)
– Accesos mediante sistemas de autenticación única (también llamados de single sign-on) (24%)
– Sistemas de gestión de vulnerabilidades de seguridad (24%)
– Sistemas de detección/prevención de intrusiones (19%)
Igualmente, y siguiendo una clara tendencia internacional, un 19% de las organizaciones están analizando la posibilidad de la obtención de un certificado en relación con los procesos de gestión de la seguridad de la información (tipo BS 7799).
Disponibilidad de los Sistemas
Principales amenazas a la continuidad: fallos en telecomunicaciones y errores en el hardware o software
Sólo un 21% de los encuestados afirma no haber tenido en los últimos doce meses ninguna incidencia con repercusión en la continuidad de operaciones.
Organizaciones que disponen de un Plan de Continuidad de Negocio: 58%
de un Plan de Contingencia Informático: 68%
Un 58% manifiesta que no prueba nunca totalmente dicho Plan (en algunos casos se prueba parcialmente) e igualmente manifiesta que el Plan está desactualizado.
Principales amenazas a la seguridad
90%
71%33%
14%
33%
14%
29%
24%
Fallo de telecomunicaciones
Fallo de hardware/software
Fallo de un tercero
Errores operativos
Errores humanos
Actuaciones dolosas de intrusos
Software con virus
Durante los últimos 12 meses no se haproducido ningún problema
Protección de Datos Personales
57% de los encuestados manifiesta que ha alcanzado un nivel de adecuación a la legislación adecuado y realiza auditorías periódicas,
23% dispone de un plan de acción para completar la adaptación
¿Cuál es el esto de su compañía respecto delcumplimiento de la LOPD y su Reglamento?
0%
10%
20%
30%
40%
50%
60%
70%
Ha alcanzado un nivel de adaptaciónadecuado y realiza auditorías
periódicas.
Se encuentra en fase de adaptación(dispone de un Plan de Acción)
Se encuentra en fase de adaptación(fase de análisis de situación)
Conclusión I: Una cierta ambivalencia
37% de las Organizaciones considera a la Seguridad como un mal necesario. Por el contrario, un 25% ya la considera como un elemento estratégico.
53% de los encuestados manifiesta poseer una estrategia definida en materia de la seguridad. El resto aborda la seguridad de manera más reactiva.
Las encuestas manifiestan la necesidad de incrementar los presupuestos destinados a la seguridad de la información pero sin embargo también afirman que sus redes informáticas están bien protegidas frente a posibles ataques. Los presupuestos de seguridad no se reducen: o se mantienen o crecen.
Un porcentaje apreciable del sector (58%) afirma disponer de un Plan de Continuidad de Negocio para hacer frente a desastres en el centro informático que le priven de poder ofrecer servicio, pero
¿serán realmente eficaces, llegado el caso, cuando otro porcentaje similar manifiesta que no prueba nunca totalmente dicho Plan (en algunos casos se prueba parcialmente) e igualmente manifiesta que el Plan está desactualizado ?
Conclusión II: Una clara necesidad de formación
La seguridad de la información es cosa de todos.
PERSONAS
PROCESOS TECNOLOGÍA
SEGURIDAD DE LA INFORMACIÓN
A member firm ofDeloitte Touche Tohmatsu
