Mexico trends mx 042116 (003)

Patrocinado por Thales e-Security
Conducido de forma independiente por Ponemon Institute LLC
Fecha de publicación: abril del 2016
Estudio sobre tendencias globales de
cifrado 2016: México
Ponemon Institute© Informe de investigación
Estudio sobre tendencias globales de

Ponemon Institute© Informe de investigación Página 1
Estudio sobre tendencias globales de cifrado 2016: México
Tabla de Contenidos
De la
página
A la
página
Parte 1. Resumen ejecutivo 2 3
Parte 2. Hallazgos clave 4 15
Estrategia, amenazas y principales impulsores 4 6
Opciones de implementación 7 9
Actitudes acerca de la administración de claves 10 12
Importancia de los módulos de seguridad de hardware (HSM) 13 13
Asignación de presupuesto 14 14
Cifrado en la nube 14 15
Apéndice 1. Métodos y limitaciones 16 18
Apéndice 2. Tablas de datos de la encuesta 20 26

Estudio sobre tendencias globales de cifrado 2016: México
Ponemon Institute, abril del 2016
Parte 1. Resumen ejecutivo
Ponemon Institute se complace en presentar los hallazgos del Estudio sobre tendencias globales
de cifrado 2016: México, patrocinado por Thales e-Security. Encuestamos a 429 individuos en
organizaciones mexicanas. El objetivo de esta investigación es analizar el uso del cifrado y el
impacto de esta tecnología en la postura que adoptan las organizaciones frente a la seguridad.
El primer estudio sobre tendencias de cifrado se llevó a cabo en el 2005 sobre una muestra de
encuestados de los EE. UU.
1
Desde entonces, hemos expandido el alcance de la investigación
para incluir encuestados de todas las regiones del mundo.
Las megainfracciones y los
ataques cibernéticos han
aumentado la urgencia de las
empresas para mejorar su postura
frente a la seguridad. De hecho, el
77 % de las organizaciones
representadas en este estudio
adoptan algún tipo de estrategia
de cifrado, como se muestra en la
Figura 1. Creemos que este y
otros hallazgos demuestran la
importancia del cifrado y la
administración de claves para
lograr una postura sólida frente a
la seguridad.
A continuación, se presenta
un resumen de nuestros principales
hallazgos. En la próxima sección,
se proporcionan más detalles para
cada uno de los hallazgos clave que
aquí se mencionan.
! El área de operaciones de TI
es la más influyente a la hora de dirigir estrategias de cifrado. Si bien la responsabilidad de
la estrategia de cifrado está repartida entre toda la organización, el área de operaciones de TI
(32 % de los encuestados) es la más influyente para determinar la estrategia de cifrado de la
organización. El 24 % de los encuestados dijo que ninguna función es exclusivamente
responsable de la estrategia de cifrado.
! ¿Qué tipos de datos son los que se cifran con mayor frecuencia? Los datos de
Recursos Humanos son el tipo de datos que más se tiende a cifrar, lo que sugiere que el
cifrado ha pasado a un ámbito donde debe ser abordado por empresas de todo tipo. El tipo
de datos que menos se tiende a cifrar es la información relacionada con la salud.
! Los errores de los empleados son las amenazas más significativas para los datos
confidenciales. Según el 33 % de los empleados, las amenazas más significativas de
exposición de datos confidenciales son los errores de los empleados. El 33 % de los
empleados dijo que los hackers son una amenaza importante. Por el contrario, las solicitudes
de datos legales y las escuchas ilegales del gobierno casi nunca constituyen una amenaza.
1
El análisis de tendencias que se muestra en este estudio se realizó sobre muestras de países combinadas
que abarcan 11 años (desde el 2005).
Figura 1. ¿Cuál de las siguientes declaraciones describe
mejor la estrategia de cifrado de su organización?

§ El cumplimiento con las normas y los requisitos externos de privacidad o seguridad
de los datos es el principal impulsor para el cifrado. El 55 % de los encuestados informa
el cumplimiento como el motivo principal para cifrar datos, mientras que el 51 % afirma que
el cifrado de los datos se realiza para proteger la información personal de los clientes y para
proteger la información contra amenazas específicas e identificadas. Sólo el 8 % de los
encuestados dijo que un impulsor principal es evitar la divulgación pública después de una
infracción a los datos.
§ El mayor desafío en la ejecución de una estrategia de cifrado de datos es descubrir
dónde residen los datos confidenciales en la organización. El 60 % de los encuestados
dice que un desafío importante es descubrir dónde residen los datos confidenciales en la
organización. Asimismo, la implementación inicial de la tecnología de cifrado resulta difícil.
§ No existe una única tecnología de cifrado que domine las organizaciones, ya que las
organizaciones tienen necesidades muy diversas. Las bases de datos, los discos duros
de las portátiles, las comunicaciones por Internet, las copias de seguridad y los archivos son
los que más y con mayor frecuencia se cifran. Por el contrario, es menos probable que se
cifren los servicios de nube pública y los repositorios de big data.
§ Ciertas características de cifrado se consideran más críticas que otras. La
administración de claves, el rendimiento y la latencia del sistema, y el cumplimiento de
políticas se consideran las características de cifrado más importantes. En cambio, la
integración con otras herramientas de seguridad (p. ej., SIEM y administración de ID) y la
compatibilidad con la segregación regional son menos importantes.
§ ¿Cuán difícil es la administración de claves? Mediante una escala de 10 puntos, se pidió
a los encuestados que puntúen la dificultad general asociada con administrar claves dentro
de su organización, donde 1 = impacto mínimo a 10 = impacto grave. El 52 % de los
encuestados eligió puntuaciones de 7 o más, lo que sugiere un umbral de dificultad bastante
alto para las organizaciones representadas en esta investigación.
§ ¿Por qué es difícil la administración de claves? Los motivos principales son: falta de
personal capacitado, propiedad confusa y sistemas aislados y fragmentados.
§ ¿Cuáles son las claves más difíciles de administrar? Los tipos de claves considerados
más difíciles de administrar son: claves para servicios externos (p. ej., servicios de nube u
hospedados), claves para sistemas de terceros (p. ej., socios, clientes, inicio de sesión
único, federación, etc.) y claves SSH.
§ Las empresas siguen utilizando una variedad de sistemas de administración de
claves. Los sistemas más comúnmente implementados son: proceso manual (p. ej., hoja de
cálculo, en papel) y política de administración de claves formal (KMP).
§ La importancia de los HSM para una estrategia de cifrado o administración de claves
crecerá en los próximos 12 meses. El 30 % de estos encuestados afirma que los HSM son
importantes hoy en día y el 38 % dice que serán importantes en los próximos 12 meses. Los
usos principales son cifrado a nivel de la aplicación y SSL/TLS. En los próximos 12 meses, el
cifrado de base de datos y la firma de documentos son los que tienen más probabilidades de
ser implementados.
§ ¿Las empresas usan cifrado u otros métodos para proteger los datos estáticos? El
50 % de los encuestados dice que usan el cifrado para proteger los datos estáticos (29 % de
los encuestados) o hacen que los datos sean ilegibles a través de otros métodos (21 % de
los encuestados). El 50 % de los encuestados dice que sus organizaciones no protegen los
datos estáticos en la nube.
§ ¿Cómo se protegen los datos estáticos en la nube? El 39 % de los encuestados afirma que
los datos se cifran antes de ser enviados a la nube y el 12 % de los encuestados dice que se
cifran en la nube mediante el uso de herramientas colocadas en la nube por la compañía. El
49 % de los encuestados dice que el proveedor de la nube cifra los datos estáticos en la nube.

Parte 2. Hallazgos clave
En esta sección, presentamos un análisis de los hallazgos clave. Los hallazgos auditados
completos se presentan en el apéndice del informe. Hemos organizado el informe de acuerdo
con los siguientes temas:
! Estrategia, amenazas y principales impulsores
! Opciones de implementación
! Actitudes acerca de la administración de claves
! Importancia de los módulos de seguridad de hardware (HSM)
! Asignación de presupuesto
! Cifrado en la nube
Estrategia, amenazas y principales impulsores
El área de operaciones de TI es la más influyente a la hora de dirigir estrategias de cifrado.
Como se muestra en la Figura 2, si bien la responsabilidad de la estrategia de cifrado está
repartida entre toda la organización, el área de operaciones de TI (32 % de los encuestados) es
la más influyente para determinar la estrategia de cifrado de la organización. El 24 % de los
encuestados dijo que ninguna función es exclusivamente responsable de la estrategia de cifrado.
Figura 2. Influencia del área de operaciones de TI, líneas de negocio y seguridad
3%
5%
18%
18%
24%
32%
0% 10% 20% 30% 40%
Cumplimiento
Finanzas
Líneas de negocio (LOB) o administración
general
Seguridad
Ninguna función es responsable
Operaciones de IT

¿Qué tipos de datos son los que se cifran con mayor frecuencia? La Figura 3 proporciona
una lista de siete tipos de datos que son cifrados rutinariamente por las organizaciones de los
encuestados. Como se muestra, los datos de Recursos Humanos son el tipo de datos que más
se tiende a cifrar, lo que sugiere que el cifrado ha pasado a un ámbito donde debe ser abordado
por empresas de todo tipo. Los datos que menos se cifran son los relacionados con la salud.
Figura 3. Tipos de datos que se cifran rutinariamente
Se permite más de una respuesta
Los errores de los empleados son las amenazas más significativas para los datos
confidenciales. La Figura 4 revela que las amenazas más significativas de exposición de datos
confidenciales son los errores de los empleados, según el 38 % de los encuestados. El 33 % de
los empleados dijo que los hackers son una amenaza importante. Por el contrario, las solicitudes
de datos legales y las escuchas ilegales del gobierno casi nunca constituyen una amenaza.
Figura 4. Principales amenazas que pueden dar como resultado la exposición de datos
confidenciales
Se permiten dos respuestas
21%
23%
27%
44%
46%
47%
71%
0% 20% 40% 60% 80%
Información relacionada con la salud
Información empresarial no financiera
Información de clientes
Propiedad intelectual
Registros financieros
Datos relacionados con pagos
Datos de empleados/HR
13%
18%
19%
21%
29%
29%
33%
38%
0% 5% 10% 15% 20% 25% 30% 35% 40%
Solicitudes de datos legales (p. ej., por parte de la
policía)
Infiltrados malintencionados
Espionaje del gobierno
Mal funcionamiento del sistema o proceso
Trabajadores temporales o contratados
Proveedores de servicios de terceros
Hackers
Errores de empleados

El cumplimiento con las normas y los requisitos externos de privacidad o seguridad de
los datos es el principal impulsor para el cifrado. En la Figura 5, se presentan ocho
impulsores para la implementación del cifrado. El 55 % de los encuestados informa el
cumplimiento, mientras que el 51 % informa la protección de la información personal de los
clientes y la protección de la información contra amenazas específicas e identificadas también
son importantes para la adopción del cifrado. Sólo el 8 % de los encuestados dijo que un
impulsor principal es evitar la divulgación pública después de una infracción a los datos.
Figura 5. Principales impulsores para usar soluciones de tecnología de cifrado
Se permiten tres respuestas
8%
13%
37%
38%
47%
51%
51%
55%
0% 10% 20% 30% 40% 50% 60%
Para evitar la divulgación pública después de una
infracción a los datos
Para cumplir con políticas internas
Para reducir el alcance de las auditorías de
cumplimiento
Para proteger la propiedad intelectual de la
empresa
Para limitar la responsabilidad en casos de
infracciones o divulgación involuntaria
Para proteger la información contra amenazas
específicas e identificadas
Para proteger la información personal de los
clientes
Para cumplir las normas y los requisitos externos
de privacidad o seguridad de los datos

Opciones de implementación
El mayor desafío en la ejecución de una estrategia de cifrado de datos es descubrir dónde
residen los datos confidenciales en la organización. La Figura 6 muestra una lista de seis
desafíos que una organización enfrenta para la ejecución eficaz de la estrategia de cifrado de
datos en orden de importancia descendente. El 60 % de los encuestados dice que un desafío
importante es descubrir dónde residen los datos confidenciales en la organización. Asimismo, la
implementación inicial de la tecnología de cifrado resulta difícil.
Figura 6. Mayores desafíos en la planificación y ejecución de una estrategia de cifrado de
datos
Se permiten dos respuestas
10%
24%
28%
33%
45%
60%
0% 10% 20% 30% 40% 50% 60% 70%
Determinar cuáles son las tecnologías de cifrado
más eficaces
Administrar de manera continua el cifrado y las
claves
Capacitar a los usuarios para que utilicen el
cifrado correctamente
Clasificar qué datos deben cifrarse
Implementar inicialmente la tecnología de cifrado
Descubrir dónde residen los datos confidenciales
en la organización

No existe una única tecnología de cifrado que domine las organizaciones. Les pedimos a
los encuestados que indiquen si, en sus organizaciones, se implementan extensivamente o sólo
parcialmente las tecnologías de cifrado específicas. “Implementación extensiva” significa que la
tecnología de cifrado se implementa en toda la empresa. “Implementación parcial” significa que
la tecnología de cifrado está confinada o limitada a un propósito específico (también conocida
como solución puntual).
Como se muestra en la Figura 7, no existe una única tecnología dominante, ya que las
organizaciones tienen necesidades muy diversas. Las bases de datos, los discos duros de las
portátiles, las copias de seguridad y los archivos son los que más y con mayor frecuencia se
cifran. Por el contrario, es menos probable que se cifren los servicios de nube pública y los
repositorios de big data.
Figura 7. Uso de tecnologías de cifrado
41%
58%
45%
50%
36%
35%
32%
16%
22%
35%
17%
23%
27%
15%
38%
19%
30%
24%
28%
29%
30%
46%
34%
18%
28%
22%
17%
21%
21%
23%
26%
27%
36%
36%
37%
38%
44%
48%
55%
56%
56%
64%
0% 10% 20% 30% 40% 50% 60% 70%
Aplicaciones empresariales
Repositorios de big data
Infraestructura de nube privada
Servicios de nube pública
Sistemas de archivos
Gateway de nube
Redes internas (p. ej., VPN/LPN)
Correo electrónico
Almacenamiento de centros de datos
Discos duros de equipos de escritorio y
estaciones de trabajo
Comunicaciones por Internet (p. ej., SSL)
Copia de seguridad y archivos
Discos duros de portátiles
Bases de datos
Implementado extensivamente Implementado parcialmente No implementado

Ciertas características de cifrado se consideran más críticas que otras. La Figura 8 muestra
una lista de las características de la tecnología de cifrado. Cada porcentaje define las respuestas
como muy importantes e importantes (en una escala de cuatro puntos). Se pidió a los
encuestados que puntúen las características de la tecnología de cifrado que consideran más
importantes para la postura que adoptan sus organizaciones frente a la seguridad.
Según los hallazgos, la administración de claves, el rendimiento y la latencia del sistema, y el
cumplimiento de políticas se consideran las características de cifrado más importantes. En
cambio, la integración con otras herramientas de seguridad (p. ej., SIEM y administración de ID)
y la compatibilidad con la segregación regional son menos importantes.
Figura 8. Características más importantes de las soluciones de tecnología de cifrado
Combinación de respuestas Muy importante e Importante
44%
45%
49%
55%
60%
62%
68%
68%
69%
70%
87%
90%
0% 20% 40% 60% 80% 100%
Compatibilidad con segregación regional (p. ej.,
residencia de datos)
Integración con otras herramientas de seguridad
(p. ej., SIEM y administración de ID)
Separación de tareas y controles basados en roles
Compatibilidad con algoritmos emergentes (p. ej.,
ECC)
Compatibilidad con varias aplicaciones o entornos
Escalabilidad del sistema
Resistencia a la alteración por medio de hardware
dedicado (p. ej., HSM)
Compatibilidad para implementación en nube y
local
Certificación de seguridad formal de producto (p.
ej., FIPS 140)
Cumplimiento de políticas
Rendimiento del sistema y latencia
Administración de claves

Actitudes acerca de la administración de claves
¿Cuán difícil es la administración de claves? Mediante una escala de 10 puntos, se pidió a
los encuestados que puntúen la dificultad general asociada con administrar claves dentro de su
organización, donde 1 = impacto mínimo a 10 = impacto grave. La Figura 9 muestra que el 52 %
de los encuestados (20 + 32) eligió puntuaciones de 7 o más, lo que sugiere un umbral de
dificultad bastante alto para las organizaciones representadas en esta investigación.
Figura 9. ¿Cuán difícil es la administración de claves?
1 = impacto mínimo a 10 = impacto grave
¿Por qué es difícil la administración de claves? La Figura 10 muestra los motivos de por qué
la administración de claves es tan difícil. Los motivos principales son: falta de personal
capacitado, propiedad confusa y sistemas aislados y fragmentados.
Figura 10. ¿Qué hace que la administración de claves sea tan difícil?
Se permiten tres respuestas
12% 12%
24%
20%
32%
0%
5%
10%
15%
20%
25%
30%
35%
1 o 2 3 o 4 5 o 6 7 u 8 9 o 10
9%
12%
20%
22%
39%
44%
44%
54%
56%
0% 10% 20% 30% 40% 50% 60%
Los procesos manuales son propensos a errores
y no son confiables
La tecnología y los estándares están inmaduros
Falta de comprensión clara acerca de los
requisitos
Recursos insuficientes (tiempo/dinero)
Demasiado cambio e incertidumbre
Las herramientas de administración de claves
son inadecuadas
Los sistemas están aislados y fragmentados
Propiedad confusa
Falta de personal capacitado

¿Cuáles son las claves más difíciles de administrar? Según la Figura 11, los tipos de claves
considerados más difíciles de administrar son: claves para servicios externos (p. ej., servicios de
nube u hospedados), claves para sistemas de terceros (p. ej., socios, clientes, inicio de sesión
único, federación, etc.) y claves SSH.
Figura 11. Tipos de claves más difíciles de administrar
Combinación de respuestas Muy difícil y Difícil
16%
28%
30%
40%
40%
44%
48%
52%
53%
57%
59%
62%
0% 10% 20% 30% 40% 50% 60% 70%
Claves y certificados de dispositivos incrustados
(p. ej., productos que usted hace)
Claves de cifrado de red (p. ej., IPSEC)
Claves de cifrado para copias de seguridad y
almacenamiento
Claves de cifrado para datos archivados
Claves relacionadas con pagos (p. ej., ATM,
POS, etc.)
Claves de cifrado de usuarios finales (p. ej.,
correo electrónico, cifrado de disco completo)
Claves de aplicaciones (p. ej., firma,
autenticación, cifrado)
Claves y certificados asociados con SSL/TLS
Claves privadas para emisión de certificación
Claves SSH
Claves para sistemas de terceros (p. ej., socios,
clientes, inicio de sesión único, federación, etc.)
Claves para servicios externos (p. ej., servicios
de nube u hospedados)

Como se muestra en la Figura 12, las empresas de los encuestados siguen utilizando una
variedad de sistemas de administración de claves. Los sistemas más comúnmente
implementados son: proceso manual (p. ej., hoja de cálculo, en papel) y política de
administración de claves formal (KMP).
Figura 12. ¿Qué sistemas de administración de claves se utilizan actualmente en su
organización?
Se permite más de una respuesta
11%
14%
18%
28%
30%
31%
34%
34%
38%
64%
0% 10% 20% 30% 40% 50% 60% 70%
Módulos de seguridad de hardware
Tiendas y billeteras de claves basadas en
software
Tarjetas inteligentes
Medios extraíbles (p. ej., memoria USB,
CDROM)
Definición formal de roles y responsabilidades de
la KMI, incluida la separación de tareas
Declaración de prácticas de administración de
claves formal (KMPS)
Infraestructura de administración de claves
formal (KMI)
Sistema/servidor de administración de claves
central
Política de administración de claves formal
(KMP)
Proceso manual (p. ej., hoja de cálculo, en
papel)

Importancia de los módulos de seguridad de hardware (HSM)
La importancia de los HSM para una estrategia de cifrado o administración de claves
crecerá en los próximos 12 meses. Les preguntamos a los encuestados de organizaciones
que actualmente implementan HSM cuán importante son estos para la estrategia de cifrado o
administración de claves. El 30 % de estos encuestados afirma que son importantes hoy en día y
el 38 % dice que serán importantes en los próximos 12 meses.
La Figura 13 resume los propósitos principales o casos de uso para la implementación de HSM.
Como se muestra, los usos principales son cifrado a nivel de la aplicación y SSL/TLS. Esta figura
también muestra las diferencias entre el uso actual de los HSM y la implementación dentro de 12
meses. En los próximos 12 meses, el cifrado de base de datos y la firma de documentos son los
que tienen más probabilidades de ser implementados.
Figura 13. Cómo están implementados los HSM o cómo se implementarán en los próximos
12 meses
5%
21%
8%
28%
20%
6%
17%
17%
19%
18%
26%
29%
27%
15%
5%
6%
7%
8%
10%
15%
16%
19%
21%
21%
26%
27%
29%
30%
0% 10% 20% 30% 40%
Cifrado de big data
Firma de códigos
Criptomoneda
Firma de documentos (p. ej., facturación
electrónica)
Procesamiento de transacciones de pago
No planea usarlo
Autenticación de dispositivos Internet de las
Cosas (IoT)
Cifrado en nube privada
Cifrado en nube pública
PKI o administración de credenciales
Emisión de credenciales de pago (p. ej., móvil,
EMV)
Cifrado de bases de datos
SSL/TLS
Cifrado a nivel de aplicación
Implementado ahora Implementado en los próximos 12 meses

Asignación de presupuesto
En promedio, las organizaciones mexicanas gastan MXN 2.3 mil millones en TI, como se
muestra en la Tabla 1. Se gasta un promedio de 8.6 % en seguridad de TI. Aproximadamente,
se asigna un promedio de 27.7 % del presupuesto para seguridad de TI a la protección de datos
y el 13.4 % del presupuesto para seguridad de TI se gasta en cifrado.
Tabla 1. Presupuesto de TI para seguridad de TI, protección de
datos y cifrado Valor extrapolado
Presupuesto de TI de la organización para el año 2015 (miles de millones) MXN 2.3
Presupuesto del 2016 que se destinará a actividades de seguridad de TI 8.6 %
Presupuesto de seguridad de TI 2016 que se destinará a actividades de
protección de datos 27.7 %
Presupuesto de seguridad de TI 2016 que se destinará a actividades de
cifrado 13.4 %
Cifrado en la nube
La mayoría de las organizaciones están transfiriendo datos confidenciales a la nube.
Como se muestra en la Figura 14, el 49 % de los encuestados dice que sus organizaciones
actualmente transfieren datos confidenciales a la nube (ya sea cifrados o no cifrados, o
convertidos en ilegibles mediante otro mecanismo) y el 39 % de los encuestados planea hacerlo
en los próximos 12 a 24 meses. La mitad de los encuestados (50 %) dice que el proveedor de la
nube es el mayor responsable de proteger los datos confidenciales que se transfieren a la nube.
Figura 14. ¿Actualmente transfiere datos confidenciales a la nube?
49%
39%
12%
0%
10%
20%
30%
40%
50%
60%
Sí, actualmente utilizamos No, pero planeamos hacerlo en
los próximos 12 a 24 meses
No

¿Las empresas usan cifrado u otros métodos para proteger los datos estáticos en la
nube? Como se muestra en la Figura 15, el 29 % de los encuestados dice que usan el cifrado
para proteger los datos estáticos o hacen que los datos sean ilegibles a través de otros métodos
(21 % de los encuestados). El 50 % de los encuestados dice que sus organizaciones no
protegen los datos estáticos en la nube.
Figura 15. ¿Su organización protege los datos estáticos en la nube mediante el uso de
cifrado u otra medida que convierta los datos en ilegibles?
¿Cómo se protegen los datos estáticos en la nube? El 39 % de los encuestados afirma que
los datos se cifran antes de ser enviados a la nube y el 12 % de los encuestados dice que se
cifran en la nube mediante el uso de herramientas colocadas en la nube por su organización,
como se muestra en la Figura 16. El 49 % de los encuestados dice que el proveedor de la nube
cifra los datos estáticos en la nube.
Figura 16. Si los datos estáticos están protegidos por cifrado, ¿cómo se aplica esa
protección?
29%
21%
50%
0%
10%
20%
30%
40%
50%
60%
Sí (los datos estáticos se
protegen mediante cifrado)
Sí (los datos estáticos se
convierten en ilegibles mediante
otros métodos)
No
12%
39%
49%
0% 10% 20% 30% 40% 50% 60%
Los datos estáticos en la nube se cifran en la
nube mediante herramientas colocadas allí por
su organización
Se envían a la nube los datos cifrados antes
(excluya el uso de SSL/IPSec u otro cifrado de
red en la respuesta)
Los datos estáticos en la nube son cifrados en la
nube por el proveedor de la nube

Apéndice 1. Métodos y limitaciones
La Tabla 2 representa la respuesta de la muestra para México. La respuesta de la muestra para
este estudio se recopiló durante un período de 49 días que finalizó en febrero del 2016. Nuestro
marco de muestreo consolidado de profesionales en México estuvo conformado por 10,430
individuos que poseen credenciales confiables en campos de TI o seguridad. A partir de este
marco de muestreo, obtuvimos 489 devoluciones, de las cuales 60 fueron rechazadas por
cuestiones de legibilidad. Nuestra muestra final consolidada del 2016 fue de 429, que dio como
resultado una tasa de respuesta general de 4.1 %.
Tabla 2. Respuesta de la muestra Frec. %
Marco de muestreo total 10,430 100 %
Devoluciones totales 489 4.7 %
Encuestas rechazadas o filtradas 60 0.58 %
Muestra final 429 4.1 %
La Figura 17 resume los niveles de puestos aproximados que ocupan los encuestados de nuestro
estudio. Como se puede ver, el 46 % de los encuestados están en el nivel de supervisor o superior.
Figura 17. Distribución de encuestados según el nivel de puesto
La Figura 18 informa los principales segmentos de mercado de las organizaciones a las que
pertenecen los encuestados. Como se observa, el 18 % de los encuestados pertenece a la
industria de servicios financieros, que incluye banca, gestión de inversiones, seguro, corretaje,
pagos y tarjetas de crédito. El 10 % pertenece a organizaciones de fabricación y otro 9 %
corresponde a hotelería y esparcimiento.
Figura 18. Distribución de encuestados según la clasificación de industria principal
2% 3%
19%
22%
52%
2%
Ejecutivo sénior
Vicepresidente
Director
Gerente/supervisor
Auxiliar/personal/técnico
Otro
18%
10%
9%
7%
7%7%
7%
7%
6%
4%
4%
4%
4%
3% 3%
Servicios financieros
Fabricación
Hotelería y esparcimiento
Comunicación
Entretenimiento y medios
Cuidado de la salud y farmacéutica
Sector público
Tecnología y software
Servicios
Agricultura y alimentos
Productos de consumo
Educación e investigación
Transporte
Energía y servicios públicos
Minorista

La Figura 19 informa el área funcional de los encuestados. Como se muestra, el 65 % de los
encuestados se ubica en el área de operaciones de TI, el 14 % en seguridad y 8 % en
cumplimiento.
Figura 19. Distribución de encuestados según el área funcional
Según la Figura 20, la mayoría de los encuestados (75 %) pertenece a organizaciones grandes
con un recuento de personal global de más de 1,000 empleados.
Figura 20. Distribución de encuestados según el recuento de personal de la organización
65%
14%
8%
5%
4%
4%
Operaciones de IT
Seguridad
Cumplimiento
Líneas de negocio (LOB)
Finanzas
Otro
12%
13%
49%
17%
6%
3%
Menos de 500
500 a 1,000
1,001 a 5,000
5,001 a 25,000
25,001 a 75,000
Más de 75,000

Limitaciones
Existen limitaciones inherentes a la investigación basada en encuesta que se deben considerar
detenidamente antes de hacer inferencias a partir de los hallazgos presentados. Los siguientes
puntos son limitaciones específicas relacionadas con la mayoría de los estudios de investigación
basada en encuesta.
§ Sesgo de no respuesta: los presentes hallazgos se basan en una muestra de devoluciones
de una encuesta. Enviamos encuestas a una muestra representativa de profesionales de TI
y seguridad de TI en 11 países, lo que dio como resultado un gran número de respuestas
devueltas utilizables. A pesar de las pruebas de no respuesta, siempre es posible que los
individuos que no participaron difieran considerablemente en términos de creencias
subyacentes de aquellos que completaron la encuesta.
§ Sesgo de marco de muestreo: la precisión de los resultados de la encuesta dependen del
grado en que nuestros marcos de muestreo representan a los individuos que son
profesionales de TI o seguridad de TI dentro de la muestra de 11 países seleccionados.
§ Resultados autoinformados: la calidad de la investigación basada en encuesta depende de la
integridad de las respuestas confidenciales recibidas de los encuestados. Si bien se
incorporaron ciertas comprobaciones y balances en nuestro proceso de evaluación de
encuestas, incluidas las comprobaciones de validez, siempre existe la posibilidad de que
algunos encuestados no hayan dado respuestas verdaderas.

Apéndice 2. Tablas de datos de la encuesta
Las siguientes tablas proporcionan los resultados para la muestra del país México.
Respuesta de la encuesta MX
Marco de muestreo
Devoluciones totales 489
Encuestas rechazadas o filtradas 60
Muestra final 429
Tasa de respuesta 4.1 %
Ponderaciones de la muestra 0.09
Parte 1. Postura frente al cifrado
MX
Tenemos un plan o una estrategia de cifrado general que se aplica de forma coherente
en toda la empresa 26 %
Tenemos un plan o una estrategia de cifrado que se ajusta a diferentes tipos de
aplicaciones y datos 26 %
Tenemos un plan o una estrategia de cifrado limitados para ciertos tipos de datos
confidenciales, como números de seguro social o cuentas de tarjeta de crédito
25 %
No tenemos ningún plan ni estrategia de cifrado 23 %
Total 100 %
P2. A continuación, hay 14 áreas donde se pueden implementar tecnologías de cifrado.
Marque las áreas donde el cifrado es implementado extensivamente, parcialmente o aún
no es implementado por su organización. Además, marque si usted está directamente
involucrado en la implementación de cada área que se presenta.
P2a-1 Copia de seguridad y archivos MX
Implementado extensivamente 56 %
Implementado parcialmente 22 %
No implementado 23 %
Total 100 %
P2b-1. Repositorios de big data MX
Total 100 %
P2c-1. Aplicaciones empresariales MX
Total 100 %
P2d-1. Almacenamiento de centros de datos MX
Total 100 %

P2e-1. Bases de datos MX
Total 100 %
P2f-1. Discos duros de equipos de escritorio y estaciones de trabajo MX
Total 100 %
P2g-1. Correo electrónico MX
Total 100 %
P2h-1. Servicios de nube pública MX
Total 100 %
P2i-1. Sistemas de archivos MX
Total 100 %
P2j-1. Comunicaciones por Internet (p. ej., SSL) MX
Total 100 %
P2k-1. Redes internas (p. ej., VPN/LPN) MX
Total 100 %
P2l-1. Discos duros de portátiles MX
Total 100 %
P2m-1 Infraestructura de nube privada MX
Total 100 %

P2n-1 Gateway de nube (2016 únicamente) MX
Total 100 %
P4. En su organización, ¿quién es responsable o es más influyente para dirigir la
estrategia de la organización para el uso del cifrado? Seleccione una opción. MX
Ninguna función es responsable 24 %
Operaciones de TI 32 %
Finanzas 5 %
Líneas de negocio (LOB) o administración general 18 %
Seguridad 18 %
Cumplimiento 3 %
Total 100 %
P5. ¿Cuáles son los motivos por los que su organización realiza el cifrado de datos
confidenciales? Seleccione los tres motivos principales. MX
Para evitar la divulgación pública después de una infracción a los datos 8 %
Para proteger la información contra amenazas específicas e identificadas 51 %
Para cumplir con políticas internas 13 %
Para cumplir las normas y los requisitos externos de privacidad o seguridad de los datos
55 %
Para reducir el alcance de las auditorías de cumplimiento 37 %
Para proteger la propiedad intelectual de la empresa 38 %
Para proteger la información personal de los clientes 51 %
Para limitar la responsabilidad en casos de infracciones o divulgación involuntaria 47 %
Total 300 %
P7. ¿Cuáles son los mayores desafíos en la planificación y ejecución de una estrategia
de cifrado de datos? Seleccione los dos motivos principales. MX
Descubrir dónde residen los datos confidenciales en la organización 60 %
Clasificar qué datos deben cifrarse 33 %
Determinar cuáles son las tecnologías de cifrado más eficaces 10 %
Implementar inicialmente la tecnología de cifrado 45 %
Administrar de manera continua el cifrado y las claves 24 %
Capacitar a los usuarios para que utilicen el cifrado correctamente 28 %
Total 200 %
P8. ¿Cuán importantes son las siguientes características asociadas con las soluciones
de cifrado que puede utilizar su organización? Combinación de respuestas Muy
importante e Importante. MX
Cumplimiento de políticas 70 %
Administración de claves 90 %
Compatibilidad con varias aplicaciones o entornos 60 %
Separación de tareas y controles basados en roles 49 %
Escalabilidad del sistema 62 %
Resistencia a la alteración por medio de hardware dedicado (p. ej., HSM) 68 %
Integración con otras herramientas de seguridad (p. ej., SIEM y administración de ID) 45 %
Compatibilidad con segregación regional (p. ej., residencia de datos) 44 %
Rendimiento del sistema y latencia 87 %
Compatibilidad con algoritmos emergentes (p. ej., ECC) 55 %
Compatibilidad para implementación en nube y local 68 %
Certificación de seguridad formal de producto (p. ej., FIPS 140) 69 %

P9. ¿Qué tipos de datos cifra su organización? Seleccione todos los que correspondan.
MX
Información de clientes 27 %
Información empresarial no financiera 23 %
Propiedad intelectual 44 %
Registros financieros 46 %
Datos de empleados/HR 71 %
Datos relacionados con pagos 47 %
Información relacionada con la salud 21 %
P10. ¿Cuáles son las principales amenazas que pueden dar como resultado la
exposición de datos confidenciales? Seleccione las dos opciones principales. MX
Hackers 33 %
Infiltrados malintencionados 18 %
Mal funcionamiento del sistema o proceso 21 %
Errores de empleados 38 %
Trabajadores temporales o contratados 29 %
Proveedores de servicios de terceros 29 %
Solicitudes de datos legales (p. ej., por parte de la policía) 13 %
Espionaje del gobierno 19 %
Total 200 %
Parte 2. Administración de claves
P12. Puntúe el grado de dificultad general asociado con administrar claves o certificados
dentro de su organización, donde 1 = impacto mínimo a 10 = impacto grave.
MX
1 o 2 12 %
3 o 4 12 %
5 o 6 24 %
7 u 8 20 %
9 o 10 32 %
Total 100 %
P13. ¿Qué hace que la administración de claves y certificados sea tan difícil?
Seleccione los tres motivos principales. MX
Propiedad confusa 54 %
Recursos insuficientes (tiempo/dinero) 22 %
Falta de personal capacitado 56 %
Falta de comprensión clara acerca de los requisitos 20 %
Demasiado cambio e incertidumbre 39 %
Las herramientas de administración de claves son inadecuadas 44 %
Los sistemas están aislados y fragmentados 44 %
La tecnología y los estándares están inmaduros 12 %
Los procesos manuales son propensos a errores y no son confiables 9 %
Total 300 %

P14. A continuación, hay una variedad de claves que pueden ser administradas por su
organización. Puntúe el grado de dificultad general asociado con la administración de
cada tipo de clave. Combinación de respuestas Muy difícil y Difícil. MX
Claves de cifrado para copias de seguridad y almacenamiento 30 %
Claves de cifrado para datos archivados 40 %
Claves y certificados asociados con SSL/TLS 52 %
Claves SSH 57 %
Claves de cifrado de usuarios finales (p. ej., correo electrónico, cifrado de disco
completo) 44 %
Claves de cifrado de red (p. ej., IPSEC) 28 %
Claves de aplicaciones (p. ej., firma, autenticación, cifrado) 48 %
Claves relacionadas con pagos (p. ej., ATM, POS, etc.) 40 %
Claves y certificados de servicios incrustados (p. ej., productos que usted hace) 16 %
Claves para servicios externos (p. ej., servicios de nube u hospedados) 62 %
Claves para sistemas de terceros (p. ej., socios, clientes, inicio de sesión único,
federación, etc.) 59 %
Claves privadas para emisión de certificación 53 %
P15a. ¿Qué sistemas de administración de claves se utilizan actualmente en su
organización? MX
Política de administración de claves formal (KMP) 38 %
Declaración de prácticas de administración de claves formal (KMPS) 31 %
Infraestructura de administración de claves formal (KMI) 34 %
Definición formal de roles y responsabilidades de la KMI, incluida la separación de
tareas 30 %
Proceso manual (p. ej., hoja de cálculo, en papel) 64 %
Sistema/servidor de administración de claves central 34 %
Módulos de seguridad de hardware 11 %
Medios extraíbles (p. ej., memoria USB, CDROM) 28 %
Tiendas y billeteras de claves basadas en software 14 %
Tarjetas inteligentes 18 %
Total 302 %
Parte 3. Módulos de seguridad de hardware
P16. ¿Qué es lo que mejor describe su nivel de conocimiento sobre HSM? MX
Muy conocedor 20 %
Conocedor 25 %
No conocedor (pase a la P19) 55 %
Total 100 %
P17a. ¿Su empresa implementa HSM? MX
Sí 20 %
No (pase a la P19) 80 %
Total 100 %

P17b. ¿Con qué propósito su organización actualmente implementa o planea
implementar HSM? Seleccione todos los que correspondan.
P17b-1. HSM implementado hoy MX
Cifrado a nivel de aplicación 30 %
Cifrado de bases de datos 27 %
Cifrado de big data 5 %
Cifrado en nube pública 21 %
Cifrado en nube privada 19 %
SSL/TLS 29 %
PKI o administración de credenciales 21 %
Autenticación de dispositivos Internet de las Cosas (IoT) 16 %
Firma de documentos (p. ej., facturación electrónica) 8 %
Firma de códigos 6 %
Procesamiento de transacciones de pago 10 %
Emisión de credenciales de pago (p. ej., móvil, EMV) 26 %
Criptomoneda 7 %
No planea usarlo 15 %
Total 240 %
P17b-2. Se planea implementar HSM en los próximos 12 meses MX
Cifrado a nivel de aplicación 15 %
Cifrado de bases de datos 29 %
Cifrado de big data 5 %
Cifrado en nube pública 19 %
Cifrado en nube privada 17 %
SSL/TLS 27 %
PKI o administración de credenciales 18 %
Autenticación de dispositivos Internet de las Cosas (IoT) 17 %
Firma de documentos (p. ej., facturación electrónica) 28 %
Firma de códigos 21 %
Procesamiento de transacciones de pago 20 %
Emisión de credenciales de pago (p. ej., móvil, EMV) 26 %
Criptomoneda 8 %
No planea usarlo 6 %
Total 256 %
P18. Según su opinión, ¿cuán importantes son los HSM para su estrategia de cifrado o
administración de claves? Combinación de respuestas Muy importante e Importante MX
P18a. Importancia actual 30 %
P18b. Importancia en los próximos 12 meses 38 %
Parte 4. Preguntas sobre presupuesto
P19a. ¿Usted es responsable de administrar todo o parte del presupuesto para TI de su
organización? MX
Sí 49 %
No (pase a la P20) 51 %
Total 100 %
P19b. Aproximadamente, ¿cuál es el rango de dólares que mejor describe el
presupuesto para TI de su organización para el año 2015? Peso
Valores extrapolados expresados en millones (mil millones para JPY, RUB, Rupia y
Peso) 2.3
P19c. Aproximadamente, ¿qué porcentaje del presupuesto para TI del 2016 se
destinará a actividades de seguridad de TI? MX
Valor extrapolado 8.6 %

P19d. Aproximadamente, ¿qué porcentaje del presupuesto para seguridad de TI del
2016 se destinará a actividades de protección de datos? MX
P19e. Aproximadamente, ¿qué porcentaje del presupuesto para seguridad de TI del
2016 se destinará a actividades de cifrado? MX
Parte 6: Cifrado en la nube: Cuando responda las siguientes preguntas, asuma que se
refieren únicamente a servicios de nube pública.
P37a. ¿Su organización utiliza actualmente servicios de computación en nube para
alguna clase de datos o aplicación, ya sean confidenciales o no confidenciales? MX
Sí, actualmente utilizamos 45 %
No, pero planeamos hacerlo en los próximos 12 a 24 meses 30 %
No (pase a la Parte 7 si no utiliza servicios de nube para ninguna clase de datos o
aplicación) 25 %
Total 100 %
P37b. ¿Actualmente transfiere datos confidenciales a la nube (ya sea cifrados o no, o
convertidos en ilegibles mediante otro mecanismo)?
MX
Sí, actualmente utilizamos 49 %
No, pero planeamos hacerlo en los próximos 12 a 24 meses 39 %
No (pase a la Parte 7 si no utiliza ni planea utilizar servicios de nube para datos
confidenciales) 12 %
Total 100 %
P37c. Según su opinión, ¿quién es el mayor responsable de proteger los datos
confidenciales que se transfieren a la nube? MX
El proveedor de la nube 50 %
El usuario de la nube 24 %
Responsabilidad compartida 26 %
Total 100 %
P37d. ¿Su organización protege los datos estáticos en la nube mediante el uso de
cifrado u otra medida que convierta los datos en ilegibles (p. ej., tokenización)?
MX
Sí (los datos estáticos se protegen mediante cifrado) 29 %
Sí (los datos estáticos se convierten en ilegibles mediante otros métodos) 21 %
No 50 %
Total 100 %
P37e. Si los datos estáticos en la nube están protegidos por cifrado, ¿cómo se aplica
esa protección? MX
Se envían a la nube los datos cifrados antes (excluya el uso de SSL/IPSec u otro cifrado
de red en la respuesta) 39 %
Los datos estáticos en la nube se cifran en la nube mediante herramientas colocadas allí
por su organización 12 %
Los datos estáticos en la nube son cifrados en la nube por el proveedor de la nube 49 %
Total 100 %

P37f. Para el cifrado de datos estáticos en la nube, la estrategia de mi organización es .
. . MX
Usar únicamente claves controladas por mi organización 35 %
Usar únicamente claves controladas por el proveedor de la nube 11 %
Usar una combinación de claves controladas por mi organización y por el proveedor de
la nube 54 %
Total 100 %
Parte 7: Rol y características organizacionales
D1. ¿Qué nivel de la organización describe mejor su puesto actual? MX
Ejecutivo sénior 2 %
Vicepresidente 3 %
Director 19 %
Gerente/supervisor 22 %
Auxiliar/personal/técnico 52 %
Otro 2 %
Total 100 %
D2. Marque el área funcional que mejor describe su ubicación en la organización. MX
Operaciones de TI 65 %
Seguridad 14 %
Cumplimiento 8 %
Finanzas 4 %
Líneas de negocio (LOB) 5 %
Otro 4 %
Total 100 %
D3. ¿Qué industria describe mejor el enfoque en la industria de su organización? MX
Agricultura y alimentos 4 %
Comunicación 7 %
Productos de consumo 4 %
Defensa 0 %
Educación e investigación 4 %
Energía y servicios públicos 3 %
Entretenimiento y medios 7 %
Servicios financieros 18 %
Cuidado de la salud y farmacéutica 7 %
Hotelería y esparcimiento 9 %
Fabricación 10 %
Sector público 7 %
Minorista 3 %
Servicios 6 %
Tecnología y software 7 %
Transporte 4 %
Otro 0 %
Total 100 %
D4. ¿Cuál es el recuento global de empleados de su organización? MX
Menos de 500 12 %
500 a 1,000 13 %
1,001 a 5,000 49 %
5,001 a 25,000 17 %
25,001 a 75,000 6 %
Más de 75,000 3 %
Total 100 %

Acerca de Ponemon Institute
Ponemon Institute© se dedica a promover información responsable y prácticas de gestión
de la privacidad en empresas y el gobierno. Para lograr este objetivo, el Instituto realiza
investigaciones independientes, capacita a líderes de los sectores público y privado, y verifica
las prácticas de privacidad y protección de datos de las organizaciones en una variedad de
industrias.
Acerca de Thales e-Security
Thales e-Security es un proveedor global líder de soluciones de gestión de confianza y
protección de datos que protegen las aplicaciones y la información más confidenciales del
mundo. Las soluciones de Thales abordan desafíos relacionados con la identidad y la
privacidad mediante el uso de cifrado basado en hardware y software, firma digital y
capacidades de administración. En el mundo cada vez más conectado de hoy, nuestras
soluciones ayudan a impedir ataques dirigidos y a reducir el riesgo de exposición de datos
confidenciales introducidos por la computación en nube y la virtualización, dispositivos de
consumidores en el lugar de trabajo, mayor movilidad, big data, etc.
www.thales-esecurity.com
Acerca de Thales
Thales es un líder global en tecnología para los mercados de transporte, defensa, seguridad y
aeroespacial. Con 62,000 empleados en 56 países, Thales informó ventas por !14 mil millones
en el año 2015. Con más de 22,000 ingenieros e investigadores, Thales tiene la capacidad
exclusiva para diseñar e implementar equipos, sistemas y servicios para cumplir los requisitos de
seguridad más complejos. Su excepcional huella internacional le permite trabajar en estrecha
colaboración con sus consumidores en todo el mundo.
Posicionada como integrador de sistemas, proveedor de equipos y proveedor de servicios de
valor agregado, Thales es uno de los actores principales de Europa en el mercado de seguridad.
Los equipos de seguridad del Grupo trabajan con organismos de gobierno, autoridades locales y
clientes empresariales para desarrollar e implementar soluciones integradas y resistentes para
proteger a los ciudadanos, los datos confidenciales y las infraestructuras críticas.

Mexico trends mx 042116 (003)

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (12)

Similar a Mexico trends mx 042116 (003)

Similar a Mexico trends mx 042116 (003) (20)

Último

Último (20)

Mexico trends mx 042116 (003)