2. XI Encuesta Global de Seguridad
de la Información
Alcanzando metas, acortando distancias
El reto aún sigue por delante
Análisis de resultados: México
Junio 2009
t
3. Contenido
► Antecedentes
► Participantes
► Gobierno de Seguridad & Medición
► Organización
► Habilitadores
► Estándares
► Actividades
► Conclusiones
► Recomendaciones
► Otras iniciativas
Alcanzando metas, acortando distancias
Junio 2009 Página 2
XI Encuesta Global de Seguridad de la Información
4. Antecedentes
► Cumplimos 11 años consecutivos aplicando nuestra Encuesta Global
de Seguridad de la Información.
► La encuesta fue aplicada a 1392 organizaciones en todo el mundo,
pertenecientes a diferentes sectores industriales.
► México ocupó el tercer lugar en número de participantes,
después de Estados Unidos e India con un total de 95 organizaciones
encuestadas.
► El perfil de los participantes es principalmente ejecutivos de: finanzas,
auditoria, seguridad y tecnología de información.
Alcanzando metas, acortando distancias
Junio 2009 Página 3
XI Encuesta Global de Seguridad de la Información
5. Participantes por país
En total 1,392 participantes
* 21 países más con 10 o menos respuestas
Alcanzando metas, acortando distancias
Junio 2009 Página 4
XI Encuesta Global de Seguridad de la Información
6. Participantes por tipo de industria
Servicios financieros 31%
Manufactura 13%
Telecomunicaciones, Medios
8%
y Entretenimiento
Energía y Servicios públicos 7%
Detallistas, Mayoristas y Distribución 6%
6%
Tecnología 6%
6%
Sector publico, Organizaciones 6%
6%
no lucrativas
Otras 21%
Alcanzando metas, acortando distancias
Junio 2009 Página 5
XI Encuesta Global de Seguridad de la Información
7. Participantes por ingreso (USD)
menos de $100 million
Less than millones 26%
26%
$100 million y $250 million
Entre $100 - $250 millones 14%
14%
$250 million to $500 millones
Entre $250 y million 9%
9%
$500 million - $1 billion
Entre $500 y $1000 millones 9%
9%
$1 billion y $10 billion
Entre $1 - $10 billones 23%
23%
$10 billion y $25 billion
Entre $10 - $25 billones 6%
6%
More than $25 billion
Mas de billones 6%
6%
Not applicable
No aplica 7%
7%
0.00% 5.00% 10.00% 15.00% 20.00% 25.00% 30.00%
Alcanzando metas, acortando distancias
Junio 2009 Página 6
XI Encuesta Global de Seguridad de la Información
8. Gobierno de Seguridad & Medición Global
México
¿Cuál de las siguientes afirmaciones describe mejor su inversión anual en seguridad de la
información dentro de su organización?
Se incrementó como parte del porcentaje total 50%
de los gastos
38%
Se mantuvo relativamente constante como 45%
parte del porcentaje total de los gastos
56%
Se redujo como parte del 5%
porcentaje total de los gastos 5%
Solamente en el 5% de las organizaciones
hubo una reducción en el porcentaje total de
las inversiones en seguridad de la información
Alcanzando metas, acortando distancias
Junio 2009 Página 7
XI Encuesta Global de Seguridad de la Información
9. Gobierno de Seguridad & Medición Global
México
¿Su organización realiza un análisis de riesgos para priorizar las actividades e inversiones
en seguridad de la información?
46%
Si, a través de proceso formal y definido
44%
45%
Si, a través de un análisis a la medida (ad hoc)
38%
9%
No
18%
El 82% de las organizaciones
ejecutan análisis de riesgos
(formal o informalmente)
Alcanzando metas, acortando distancias
Junio 2009 Página 8
XI Encuesta Global de Seguridad de la Información
10. Gobierno de Seguridad & Medición Global
México
¿Su organización cuenta con una estrategia documentada de seguridad de la información
para los próximos 1-3 años?
Si, está integrada con la estrategia de TI de la 33%
organización 37%
29%
No
22%
Si, específicamente para la seguridad de la 20%
información
29%
18%
Si, está integrada con la estrategia de
negocio de la organización 12%
Solamente el 12% de los encuestados
respondieron tener una estrategia de seguridad
de la información alineada al negocio
Alcanzando metas, acortando distancias
Junio 2009 Página 9
XI Encuesta Global de Seguridad de la Información
11. Gobierno de Seguridad & Medición Global
México
¿Cuál de las siguientes iniciativas de seguridad de la información representa el mayor reto?
1 = mayor reto, 6 = menor reto
1
Concientización organizacional
1
2
Disponibilidad de los recursos humanos capacitados
2
3
Presupuesto adecuado
5
4
Evaluación de nuevas amenazas y vulnerabilidades
4
5
Patrocinio de la administración
6
6
Entendimiento de tecnologías emergentes
3
A diferencia de otros años
el patrocinio de la administración
está dejando de ser el mayor reto
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
10
12. Gobierno de Seguridad & Medición Global
México
¿Cómo evalúa su organización la calidad y la efectividad de la seguridad de la
información?
Evaluaciones internas a través del Departamento de 77%
TI ó de la función de seguridad de la información 64%
Evaluaciones realizadas por la función de 67%
auditoría interna 50%
61%
Evaluaciones de proveedores 37%
externos
En conjunto con las auditorías financieras 53%
externas 55%
23%
Benchmarking entre iguales/Competidores
7%
4%
No se realizan evaluaciones 9% * Se permitieron respuestas múltiples
En México todavía no se aprovechan
los beneficios de contratar a terceros para
llevar a cabo evaluaciones de seguridad
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
11
13. Gobierno de Seguridad & Medición Global
México
¿Cuáles de las siguientes pruebas de ataque y penetración realiza su organización
regularmente?
Pruebas desde Internet 85%
77%
Pruebas de Infraestructura 73%
70%
Acceso remoto 49%
48%
Acceso físico en áreas restringidas 46%
40% Un alto porcentaje de
encuestados (77%) confirmó
Pruebas desde accesos Wireless 38% que ejecuta regularmente
45%
pruebas desde Internet,
Revisiones de código fuente de 29% pero muy pocas llevan
35%
aplicaciones a cabo revisiones de código
19% fuente y pruebas de
Pruebas de ingeniería social 21%
ingeniería social a
Otros 7% sus empleados.
7%
* Se permitieron respuestas múltiples
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
12
14. Gobierno de Seguridad & Medición Global
México
En su organización, ¿Qué tan a menudo los responsables de seguridad de la información
sostienen reuniones con los siguientes grupos ó individuos para discutir necesidades y/o
actividades referentes a la seguridad?
Mensual Trimestral Semestral Anual Nunca
A nivel global el 51%
7% 14% 9% 23% 47%
Junta de Directores de las compañías
17% 8% 14% 26% 35%
Comité de Auditoría
7% 20% 12% 24% 36% reportan a niveles C
13% 19% 16% 21% 31% por lo menos mensual
28% 23% 14& 16% 19% o trimestralmente
Oficial Corporativo (CEO, CFO, COO)
15% 16% 24% 19% 26% mientras que en México
25% 22% 15% 14% 24%
Líder de la unidad de negocio
21% 17% 21% 14% 27%
sólo el 31%
71% 13% 6% 5% 5%
Tecnología de Información
52% 20% 11% 11% 6%
30% 24% 13% 18% 15%
Auditoría Interna
24% 17% 15% 20% 24% Las necesidades
22% 21% 10% 12% 35%
Cumplimiento Corporativo
12% 21% 23% 12% 33%
de seguridad siguen
17% 16% 12% 15% 40% discutiéndose con TI y
Consejero General/Legal
3% 21% 13% 16% 46% no con las áreas
27% 19% 10% 15% 29% de negocio
Administración de riesgos
18% 18% 14% 13% 36%
22% 18% 13% 15% 32%
Recursos Humanos
12% 14% 11% 14% 48%
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
13
15. Gobierno de Seguridad & Medición
De la preocupación a la conciencia
Preocupación
Transición Conciencia
Año Anual, poco frecuente o
Trimestral y semestral Mensual
nunca
2003 59% 25% 16%
2004 60% 22% 18%
2005 61% 24% 15%
2006 62% 31% 15%
2007 49% 32% 19%
2008 45% 40% 15%
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
14
16. Gobierno de Seguridad & Medición Global
México
¿Su organización ha implementado un sistema de gestión de la seguridad de la
información (SGSI o Information Security Management System, ISMS) que abarque todos
sus aspectos de administración?
8%
Si, formalmente implementado y
7%
certificado
20%
Si, pero sin objetivo de certificación 16%
21%
Si, actualmente en proceso de
24%
implementación
34%
No, pero se está considerando
36%
17%
No, y no se está considerando
16%
En general, tanto en México como a nivel global,
existe una tendencia hacia la
adopción/implementación de un sistema de gestión
de seguridad de la información
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
15
17. Organización Global
México
¿Cuál de las siguientes afirmaciones describe mejor la integración de la seguridad de la
información dentro de su empresa?
57%
La seguridad de la información esta
parcialmente integrada al negocio 55%
La seguridad de la 27%
información esta totalmente 26%
integrada al negocio
16%
La integración es limitada o inexistente Tanto en México
19%
como a nivel global
únicamente 1 de cada 4
organizaciones
reconoce que la
seguridad de la información
está totalmente integrada
al negocio
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
16
18. Organización Global
México
¿De cuáles de las siguientes áreas/actividades se responsabiliza, de manera parcial o
total, la función de la seguridad de la información dentro de su organización?
Fraude, investigación y cómputo forense 54%
39%
60%
Seguridad en desarrollo de aplicaciones 60%
Administración de riesgos con proveedores 43%
17%
Administración de activos 42%
33%
Administración de riesgos de TI 85%
87%
Entrega de programas y proyectos 48%
34%
75%
Recuperación de desastres y continuidad del 68%
negocio Privacidad 65%
53%
58%
Seguridad física 60%
Las áreas/actividades principales de la función de seguridad
* Se permitieron respuestas múltiples
de la información tanto en México como a nivel global son:
1. Administración de riesgos de TI
2. Recuperación de desastres y continuidad del negocio
3. Seguridad física / Seguridad en desarrollo de aplicaciones
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
17
19. Organización Global
México
¿En cuáles de los siguientes temas la función de la seguridad de la información se
involucra para definir o evaluar lo referente a seguridad?
84%
Sistemas administrativos 83%
82%
Telecomunicaciones 87%
69%
Sistemas de Recursos Humanos 53%
52%
Sistemas de automatización de procesos
51%
47%
Sistemas de cómputo incrustados
44%
44%
Sistemas de construcción y utilerías
40%
* Se permitieron respuestas múltiples
Existe una relación cercana entre seguridad de la Información y los sistemas administrativos
y telecomunicaciones, pero en aquellos temas relacionados con soluciones
para ayudar a eficientar el negocio como automatización de procesos su involucramiento es escaso.
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
18
20. Organización Global
México
¿Cuáles de las siguientes estrategias ha utilizado su organización para satisfacer las
necesidades de personal sobre seguridad de la información?
Entrenamiento ó redistribución de 75%
personal de TI 63%
61%
Contratación de 50%
externos
Reclutamiento de profesionales con 51%
experiencia en seguridad de la información 36%
39%
Outsourcing de actividades especificas
24%
Entrenamiento ó redistribución de personal 27%
de auditoría interna 28%
Reclutamiento en campus y universidades 15%
11%
* Se permitieron respuestas múltiples
Principalmente las organizaciones están atendiendo sus necesidades de personal en seguridad
a través de:
• Entrenamiento
• Contratación de externos
• Reclutamiento de profesionales con experiencia en seguridad de la información
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
19
21. Organización Global
México
¿Cuáles de las siguientes actividades específicas de seguridad se han considerado ó se
han tercerizado en su organización?
En
En
Sin planes evaluación/
outsourcing
de Planeado
(Completo ó
outsourcing en
parcial)
outsourcing
35% 50% 15%
Auditorías/Evaluaciones de seguridad
51% 36% 13%
23% 59% 18%
Pruebas de ataque y penetración
Existe una tendencia generalizada 37% 42% 21%
por no tercerizar actividades de 56% 30% 14%
Pruebas de aplicación (revisión de código)
seguridad incluso aquellas rutinarias 63% 23% 15%
Concientización y entrenamiento de 62% 21% 17%
seguridad 60% 22& 18%
Sólo se salvan, medianamente, las
67% 24% 9%
pruebas de ataque y penetración Administración de parches/vulnerabilidades
64% 23% 14%
y auditorias/evaluaciones Administración de la continuidad del 65% 22% 13%
de seguridad negocio/Recuperación de desastres 58% 24% 18%
eDiscovery, cómputo forense/soporte en 66% 19% 15%
fraudes 72% 14% 14%
77% 15% 8%
Respuesta a incidentes
72% 11% 16%
Mesa de ayuda (Problemas de 66% 27% 7%
restablecimiento de contraseña/acceso) 58% 28% 14%
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
20
22. Organización Global
México
¿Cómo se asegura que sus socios de negocio, proveedores y contratistas protejan la
información de su organización?
Evaluaciones realizadas por la función de 39%
auditoría interna de la organización 40%
Revisión de auto-evaluaciones realizadas 36%
por los socios, proveedores y contratistas 33%
Revisión de evaluaciones externas independientes 32%
de socios, proveedores y contratistas 20%
29%
No se han revisado ó ejecutado
29%
evaluaciones
* Se permitieron respuestas múltiples
1 de cada 3 organizaciones no lleva
a cabo revisiones/evaluaciones del manejo
de terceros sobre su información.
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
21
23. Organización Global
México
¿Qué área funcional de su organización tiene la responsabilidad principal de la
administración de la continuidad del negocio?
Tecnologías de Información 41%
53%
Administración de Riesgos 20%
10%
Seguridad de la información 11%
15%
Finanzas 5%
6%
Cumplimiento Corporativo 4% El 53% de las organizaciones
6% mexicanas señalan que TI
Consejero Legal/General 1% tiene la responsabilidad principal
1% de la gestión de la continuidad del negocio
Recursos Humanos 1%
2%
Otro 17%
6%
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
22
24. Habilitadores Global
México
¿Qué tan importante es el apoyo de la seguridad de la información para las siguientes
actividades en su organización?
1 = más importante, 10 = menos importante
Facilitar las fusiones, adquisiciones y des-inversiones 10
(separaciones) 10
7
Examinar tecnologías nuevas y emergentes
8 Las tres actividades más
9 importantes de seguridad
Administrar proveedores externos
9 de la información en México:
2
Preservar la reputación y la marca
2 1) Cumplimiento con políticas
6 2) Preservar la reputación y
Mejorar la confianza de los inversionistas y otros interesados
6 la marca
5 3) Cumplimiento con
Mejorar la eficiencia de TI y la operacional
4 regulaciones
3
Lograr el cumplimiento de políticas corporativas
1
1
Lograr el cumplimiento de regulaciones
3
8
Mejorar el lanzamiento de nuevos servicios y productos
7
4
Proteger la propiedad intelectual •Se permitieron respuestas múltiples
5
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
23
25. Habilitadores Global
México
¿Qué impacto ha tenido el cumplimiento regulatorio sobre el costo anual en seguridad de
la información para su organización?
21%
Incremento significativo en el costo
26%
44%
Incremento moderado en el costo
42%
33%
El costo no cambio
31%
3%
El costo se redujo
1%
El costo anual del cumplimiento regulatorio continúa incrementado de forma moderada
e incluso en 1 de cada 4 organizaciones el incremento en costo es significativo
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
24
26. Habilitadores Global
México
¿Qué porcentaje del total de su presupuesto anual de seguridad de la información está
relacionado directamente con actividades de cumplimiento regulatorio?
37%
0–5%
41%
20%
5 – 10 %
26%
19%
10 – 20 %
18%
15%
20 – 50 %
6%
8%
> 50 %
9%
En la mayoría de las organizaciones mexicanas (67%) la inversión dedicada al cumplimiento
regulatorio representa entre el 1 y el 10% del presupuesto anual de seguridad.
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
25
27. Habilitadores Global
México
¿Qué nivel de importancia tienen las siguientes consecuencias si la información de su
organización es comprometida, perdida o no se encuentra disponible?
1 = más importante, 7 = menos importante
1
Daño a la reputación y marca
1
El daño a la reputación y a
2 la marca es la consecuencia
Pérdida de confianza del inversionista
4 más importante en México y
3 a nivel global
Pérdida de ingreso
3
4
Pérdida de clientes Se empieza a reconocer
2
que la pérdida de información
5
Sanciones/acciones regulatorias afecta directamente a los
5 ingresos
6
Acción legal/litigación
6
7
Daño a la relación con los empleados
7
•Se permitieron respuestas múltiples
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
26
28. Estándares Global
México
¿Cuál de los siguientes estándares o marcos normativos han sido utilizados por su
organización?
CMMI 16%
20%
ITIL 52%
54%
COSO 18%
16%
COBIT 48%
54%
Foros en Seguridad de la información (ISF) 15%
Estándares de buenas practicas 7%
ISO/IEC 27001:2005 34%
21%
ISO/IEC 27002:2005 44%
35%
Ninguno ó no sabe 18%
21%
Otro 11%
14%
* Se permitieron respuestas múltiples
Los estándares o marcos de referencia más utilizados son:
1. ITIL
2. COBIT
3. ISO 27002:2005
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
27
29. Actividades Global
México
¿Su organización ha inventariado y clasificado sus activos de información?
62%
Si, parcialmente pero no completamente
56%
24%
Si, todos los activos
29%
14%
No, en los absoluto
15%
Tan sólo 1 de cada 3
organizaciones mexicanas
ha inventariado y clasificado
sus activos de información
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
28
30. Actividades Global
México
¿Cuáles de los siguientes temas están incluidos en los planes de administración de crisis
de su organización?
Identificación de procesos críticos de negocio 77%
72%
Procedimientos para la administración de incidentes, 72%
desastres y crisis 58%
Plazos de recuperación acordados con el negocio 63%
45%
Procedimientos de escalamiento aceptados 62%
44%
Estrategia de comunicación interna/externa 61%
47%
Roles y responsabilidades aceptados para todos los 61%
miembros del equipo 52%
Ejercicios de respuesta a emergencia 53%
48%
Ejercicios de manejo de crisis 42%
28%
Sociedades establecidas con grupos locales de En México, solo el 28%
41%
respuesta a emergencias (bomberos, policía, etc.) 24% de las organizaciones
Cuartos de comando equipados con capacidades de 40% llevan
comunicación 26% a cabo ejercicios de
Ninguna ó no sabe 12% manejo de crisis
15%
* Se permitieron respuestas múltiples
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
29
31. Actividades Global
México
¿Cómo evalúa su organización el programa de administración de continuidad del negocio?
Pruebas de simulación de recuperación 51%
de desastres 38%
Checklist de pruebas 46%
49%
Recorridos de prueba de escritorio del 36%
área de TI 28%
Simulaciones de prueba de continuidad 34%
del negocio (simulación de desastres) 32%
Recorridos de prueba de escritorio del 31%
área de negocio 27%
Pruebas paralelas (Llevadas a cabo en 29%
sites alternos de recuperación) 21%
Pruebas de interrupción completa de TI y del 26%
negocio (prueba real de cambio de site) 18%
Simulaciones de administración de crisis 24%
(negocio y gerencia ejecutiva) 17%
No se han realizado evaluaciones 24% * Se permitieron respuestas múltiples
27%
Más del 51% de las El 27% de las organizaciones
organizaciones mexicanas no ejecuta ningún tipo
carecen de de evaluación de su plan
un checklist de pruebas de continuidad del negocio
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
30
32. Actividades Global
México
¿Cuáles de las siguientes afirmaciones pueden ser hechas por su organización respecto a
la privacidad?
Hemos implementado controles para proteger la 67%
55%
información personal
Tenemos un claro entendimiento de las leyes y regulaciones de 66%
44%
privacidad que pueden impactar a la organización
Hemos incluido requerimientos de privacidad en contratos 62%
50%
con socios externos, proveedores y contratistas
Hemos establecido procesos de notificación 39%
34%
para incidentes de privacidad
31%
Hemos realizado un inventario de activos de información 30%
cubiertos por requerimientos de privacidad
Hemos llevado a cabo una valoración del ciclo de vida de los datos 27%
21%
personales (recolección, uso, almacenamiento y eliminación)
Hemos implementado un proceso para monitorear y 26%
27%
mantener controles relacionados a la privacidad
10%
Ninguna ó no sabe 15%
•Se permitieron respuestas múltiples
Solo 1 de cada 3 organizaciones
tanto en México como a nivel global
ha realizado un inventario de activos
de información cubiertos por requerimientos de privacidad
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
31
33. Actividades Global
México
¿Cuáles de las siguientes acciones ha tomado su organización para controlar la fuga de
información sensitiva?
Ha implementado mecanismos de seguridad para la 61%
protección de información (cifrado) 44%
Ha definido una política especifica respecto a la 57%
clasificación y manejo de información sensitiva 44%
Ha implementado herramientas de monitoreo/filtrado 53%
de contenido 40%
Ha utilizado herramientas de 50%
revisión de logs/auditoría interna 44%
Ha restringido/prohibido el de uso de mensajería y correo 47%
electrónico para la transmisión de datos sensitivos 45%
Ha cerrado ó restringido el uso de ciertos componentes 43%
de hardware (puertos USB/Firewire, etc.) 32%
Ha restringido el acceso a información sensitiva en 40%
periodos de tiempo especifico. 40%
Ha prohibido el uso de dispositivos con cámara 29%
dentro de áreas restringidas ó sensitivas 36%
Ninguna ó no sabe 7%
14% * Se permitieron respuestas múltiples
En general, todavía son pocas las acciones para prevenir y detectar la fuga
de información sensible
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
32
34. Actividades Global
México
¿Qué elementos de seguridad se cubren actualmente en los programas de concientización
dentro de su organización?
Concientización en tópicos generales de seguridad 74%
64%
Revisión y acuerdo de cumplimento con políticas 58%
y estándares actuales de seguridad 50%
44%
Información actualizada sobre nuevos temas
38%
Alertas y actualizaciones frecuentes sobre 44%
amenazas actuales en la organización 33%
Ninguno ó no sabe 10%
19%
Otros 5%
0%
* Se permitieron respuestas múltiples
Todavía el 19% de las organizaciones mexicanas
no tiene un programa, aunque sea básico, de concientización
de seguridad
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
33
35. CONCLUSIONES
► A diferencia de años anteriores, los resultados de éste año para México nos
muestran una alineación casi total en la mayoría de los resultados con los
globales. Sin embargo todavía existe rezago en temas prioritarios como:
► Manejo de crisis
► Protección de datos personales y privacidad
► Fuga de información sensible
► Además del cumplimiento regulatorio se empiezan a considerar otros
habilitadores para la seguridad de la información como el daño a la reputación y
la marca y la pérdida de clientes
► Muy pocas organizaciones han integrado su estrategia de seguridad de la
información a la estrategia del negocio
► La comunicación hacia los altos directivos de las organizaciones para
informales el estado de la seguridad es todavía muy escasa
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
34
36. CONCLUSIONES
► Más de la mitad de las organizaciones mexicanas asignan a TI la
responsabilidad sobre la continuidad del negocio, por lo que temas como el
manejo de crisis continúa siendo un tema poco considerado dentro de las
estrategias de administración de la continuidad de negocio
► Cada día la dependencia de proveedores externos (terceros) es mayor, sin
embargo, la mayoría de las organizaciones no se vigila el cumplimiento de
políticas y estándares de seguridad por parte de ellos.
► Aunque la protección de datos personales es prioritario, e incluso clave para
muchas organizaciones, existe todavía un importante rezago en este tema en la
mayoría de las organizaciones mexicanas.
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
35
37. RECOMENDACIONES
► Fortalecer las habilidades y conocimientos de negociación, comunicación,
gestión, análisis, procesos de negocio y administración de riesgos de los
responsables de la función de seguridad de la información, para lograr hablar el
mismo idioma que los altos directivos y por tanto lograr demostrar el valor,
importancia del tema y ganar espacio en sus agendas
► Mostrar a los altos directivos el estado actual que guarda la seguridad de la
información en las organizaciones a través de la ejecución de un análisis de
riesgos
► Alinear la estrategia de seguridad con las necesidades y objetivos de negocio
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
36
38. Otras iniciativas
Information Security Day
Noviembre 2009
Del 28 de septiembre al 2 de octubre de 2009 Ciudad de México
Ciudad de México
http://www.ey.com/MX/es/Issues/Operational-effectiveness/IT-effectiveness
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
37
39. Levantamiento de información para la XII Encuesta Global
de Seguridad de la Información
BENEFICIOS POR PARTICIPAR
a) Descuento del 15% en eXtreme Hacking que se llevará a cabo del 28 de septiembre al 2
de octubre, 2009
Precio del curso: 25,000 pesos. Descuento de: 3750 pesos
b) Descuento del 50% en los “E&Y Information Security Day” – octubre o noviembre 2009
Precio del seminario: 3,900 pesos. Descuento de: 1,950 pesos
c) Invitación a la presentación de resultados de la encuesta
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
38
40. ¡GRACIAS!
Carlos Chalico
LI, CISA, CISSP, CISM, CGEIT
Socio Asesoría en TI
(55) 1101-6414
carlos.chalico@mx.ey.com
Ricardo Lira Erika Saucedo
IEC, M. en C., CISSP, PMP LCC, M. en C., CISSP
Gerente Senior Gerente Senior
Seguridad de la Información Seguridad de la Información
(55) 5283-1326 (55) 5283-1238
ricardo.lira@mx.ey.com erika.saucedo@mx.ey.com
Alcanzando metas, acortando distancias
Junio 2009 Página
XI Encuesta Global de Seguridad de la Información
39