prácticas de seguridad de activos de información de las empresas en venezuela | pwc venezuela
Post on 08-Apr-2018
230 Views
Preview:
TRANSCRIPT
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 1/20
Prácticas de seguridad de activos de información de las empresas en Venezuela - 2004 1*connectedthinking
Prácticas de seguridad de activosde información de las empresas
en Venezuela - 2004 *
Advisory
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 2/20
2 Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers
Introducción
La seguridad de activos de
información ha comenzado a tomar
un lugar determinante en el mundo de
los negocios, en particular en la
gestión integral de riesgo, y se ha
convertido en un elemento
fundamental a ser considerado en
toda estrategia organizacional conmiras a lograr metas de negocio
importantes a corto, mediano y largo
plazo.
En consecuencia, las organizaciones
experimentan la necesidad de definir
estrategias efectivas que faciliten una
gestión segura de los procesos del
negocio, todo con el fin de darle
mayor resguardo a la información, y al
mismo tiempo adaptarse a los
continuos cambios de la organización
como consecuencia de las exigencias
del mercado.
Tal necesidad ha impulsado la aparición
de nuevos paradigmas en la
administración del entorno de la
Tecnología de Información (TI) y la
gestión de la seguridad de activos de
información. Sin embargo, existen
interrogantes relacionadas con la
manera de aplicar los nuevos
paradigmas sin que éstos impacten de
manera significativa en las operacionesde una organización y que además
perduren en el tiempo.
Para alcanzar la excelencia que muchas
de las organizaciones están buscando
en materia de seguridad de activos de
información, algunos ejecutivos así
como profesionales de TI, están
haciendo un esfuerzo para organizar de
forma adecuada sus recursos, basados
en su entendimiento de la seguridad de
activos de información. Este
entendimiento, permite darle respuestaa una serie de interrogantes que
resultan relevantes, a saber:
• Desde una perspectiva tecnológica,
¿qué elementos de TI requiere mi
empresa para satisfacer las
necesidades de integridad,
disponibilidad, confidencialidad y
auditabilidad de los activos de
información?
• Desde una perspectiva de recursos,
¿cómo identifico la combinaciónadecuada de personal, procesos y
tecnología necesarios para
mantener y optimizar la seguridad
de activos de información?
• Desde una perspectiva estratégica,
¿está alineada la estrategia de
seguridad de activos de información
con la estrategia del negocio y el
ambiente de riesgo?
• Desde una perspectiva de control,¿dónde reside la responsabilidad de
la seguridad de activos de
información en la organización?
• Desde una perspectiva de gestión,
¿cómo administro la seguridad de
activos de información, en conjunto
con las necesidades del negocio,
los constantes cambios de TI y las
regulaciones actuales?
Asimismo, existe una creciente
necesidad en las organizaciones en
cuanto a los servicios de seguridad
de activos de información
proporcionados internamente o por
terceras partes, que garanticen la
existencia de controles adecuados.
Para muchas organizaciones, la
información y tecnología, representansus activos más valiosos, debido a:
• La creciente dependencia en la
información, en los sistemas y las
aplicaciones
• El incremento de las
vulnerabilidades y una diversidad de
amenazas, tales como “la guerra de
información” y las “ciber-amenazas”
• El costo en las inversiones actuales
y futuras en TI
• El potencial que tiene la TI para
cambiar radicalmente las
organizaciones, los procesos de
negocio, aprovechar las nuevas
oportunidades y reducir los costos
• La existencia de un contexto de
mayor sofisticación en la
operatividad de las empresas, con
un escenario de tendencias de
control de riesgo operacional
• Nuevas regulaciones en materia de
control, como por ejemplo: la ley
estadounidense Sarbanes-Oxley, y
las más recientes resoluciones de
los organismos reguladores de los
diversos sectores en el país
Prácticas de Seguridad de Activos de Información en las
empresas en Venezuela - 2004
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 3/20
Prácticas de seguridad de activos de información de las empresas en Venezuela - 2004 3
A pesar de algunos esfuerzos, aún es
factible encontrar a ejecutivos y
tecnólogos que continúan percibiendo
la seguridad de activos de información
como un asunto meramente técnico,
que debe ser resuelto mediante la
utilización de un componente
tecnológico en particular. En este
sentido, existe la creencia de que no es
necesario destinar parte delpresupuesto del negocio a iniciativas de
seguridad de activos de información,
sino que por el contrario, esto podría
estar incluido en el presupuesto de la
Vicepresidencia o Gerencia de TI.
Asimismo, encontramos empresas en
las cuales las iniciativas de seguridad
de activos de información vienen dadas
por factores externos y no
necesariamente por las evaluaciones
formales de riesgo.
La permanencia de este tipo de
percepciones, nos lleva a determinar
que las organizaciones aún necesitan
entender y afianzar la relación
estratégica que existe entre sus
objetivos de negocio y su estado
actual en seguridad de activos de
información. Este problema se debe
principalmente al hecho de que la
mayoría de las empresas no
comprenden cómo sacar provecho a
los procesos y actividades de
seguridad de activos de informacióncon el fin de añadir valor al negocio.
Uno de los factores críticos de éxito es
comprender que el asegurar o proteger
los activos de información, no es un
problema de la TI, sino de conocer
cuáles son los objetivos e iniciativas
del negocio y de qué forma la
seguridad de activos de información
va a propiciar el logro de los mismos.
En este sentido, Espiñeira, Sheldon y
Asociados, firma miembro de
PricewaterhouseCoopers, por medio
de su línea de servicios Advisory
(Asesoría), realizó la encuesta anual
correspondiente al 2004, orientada a
medir las tendencias locales en
materia de seguridad de activos de
información, con el fin de obtener una
visión a futuro en tres (3) grandes
áreas en las empresas venezolanas, a
saber:
(a) las estrategias de seguridad que
están siendo seguidas
actualmente para proteger los
activos de información,
(b) el grado de exposición de lasorganizaciones a brechas de
seguridad de activos de
información en los diversos
ambientes tecnológicos; y
(c) los controles de seguridad que
han sido implantados con el fin de
mantener la confidencialidad,
integridad y disponibilidad de los
activos de información.
Los resultados de esta encuesta
muestran un grado de avance de las
empresas de diferentes sectores del
mercado venezolano en la gestión de
la seguridad de activos de
información, con relación al estudio
realizado por nuestra Firma en el
período 2003-2004.
En este sentido, se percibe que la
seguridad de activos de información
ha cobrado mayor importancia como
un proceso estratégico de negocio.
La Figura Nº 1 muestra de forma
general cómo la seguridad de activos
de información puede ser vista como
un proceso estratégico de negocio, el
cual está conformado principalmentepor tres grandes componentes, los
cuales permiten el acceso y la
protección de los activos de
información de la empresa, a saber:
Organización, Tecnología y Procesos.
Por último y no menos importante,
está el hecho que tanto en el
Organización
Comunicación
Entrenamiento
Propietarios
Responsabilidad
Recursos humanos
Cultura
•
•
•
•
•
•
•
Tecnología
Controles fí sicos
Redes
Diagnósticos
SistemasAplicaciones
•
•
•
••
Procesos
Presupuesto
Gobernabilidad
Control de cambios
Poltí cas /
procedimientos
Coordinación
Privacidad
•
•
•
•
•
•
Optimización de
capacidades
Integridad
Confidencialidad
Disponibilidad
Auditabilidad
•
•
•
•
Estrategia
Análisis de
riesgos
Objetivos de
negocio
Planificación
Inversión
•
•
•
•
Incentivos
Figura N° 1. Nuevo enfoque de seguridad de activos de información
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 4/20
4 Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers
componente de tecnologí a como en elcomponente de organización esnecesario el desarrollo de un plan de
optimización de capacidades, el cualpermitirá una evolución de laseguridad de activos de informacióndesde su estado actual hasta elestado deseado o futuro.
Empresas participantes
En el estudio “Prácticas de seguridadde activos de información de lasempresas en Venezuela - 2004”,
desarrollado por Espiñeira, Sheldon yAsociados, firma miembro dePricewaterhouseCoopers, participó untotal de ciento veintiséis (126)empresas del paí s, las cuales seencuentran distribuidas de acuerdo alos sectores que se especifican en la
Asimismo, algunos de los resultadosse encuentran contrastados con elestudio “Global Information Security
Survey - 2004” 1
en el que participaronsesenta y dos (62) paí ses, lo quesignificó alrededor de ocho mil (8.000)empresas pertenecientes a diversossectores del mercado.
En tal sentido, a continuacióndescribiremos las principalesconclusiones obtenidas por cada unade las secciones bajo estudio.
Principales conclusionesLa encuesta “Prácticas de seguridadde activos de información de lasempresas en Venezuela - 2004”,estuvo dividida en tres (3) grandessecciones, las cuales se observan enla Figura N° 3.
Figura N° 2. Cabe destacar que lainformación recabada en lasencuestas aplicadas corresponde al
año 2004 y su recolección,procesamiento, y análisis se llevó acabo durante el primer semestre delaño 2005.
Agradecemos a todas lasorganizaciones que respondieronnuestra encuesta y que permitieronconocer cómo actualmente lasempresas venezolanas consideran yponen en práctica la gestión de laseguridad de activos de información.
Uno de los aspectos resaltantes de lapresente encuesta, es el análisisrealizado, ya que éste buscaidentificar las realidades detrás de lascreencias o mitos en la práctica de laseguridad de activos de informaciónen las empresas venezolanas.
Estrategias de Seguridad
Brechas de Seguridad
Controles de Seguridad
Secciones
Figura N° 3. Secciones que conformaron la encuesta
31%
4%4%5%
13%
13%28%
Distribución de las empresas participantes por sector
Manufactura
Telecomunicaciones
Energí a y Minerí a
ServiciosSeguros
Servicios Financieros
Ventas y Distribución
Figura N° 2. Distribución de las empresas participantes por sector
1 “Global Information Security Survey - 2004, marzo-abril 2004. PricewaterhouseCoopers, CIO Magazine y CSO Magazine”
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 5/20
Prácticas de seguridad de activos de información de las empresas en Venezuela - 2004 5
Estrategias de Seguridad
El plan estratégico de seguridad deactivos de información es unaherramienta que permite, a las
organizaciones desarrollar, ventajascompetitivas, distinguirse en elmercado y dar mayor valor a losproductos o servicios en relación a lacompetencia, teniendo como baselos objetivos y necesidades delnegocio.
En esta sección de la encuesta se evaluaron las estrategias que,
en materia de seguridad de activos de información han sido
aplicadas durante el año 2004 por las distintas empresas para
proteger sus activos, en términos de:
• Cambios tecnológicos en el negocio• Visión futura
• Concientización
• Experticia y destrezas
• Inversión
• Organización de la función de seguridad de activos de
información o Chief Information Security Officer (CISO)
1. Alineación de la estrategia deseguridad de activos deinformación con los objetivos
del negocio
Una de las primeras inquietudesestuvo orientada a conocer qué tanalineados están los objetivos deseguridad de activos de información,con respecto a los objetivos delnegocio. En este sentido, 71% de lasempresas encuestadas aseguró quesus objetivos de seguridad de activosde información están totalmentealineados con los objetivos del
negocio; sin embargo, este resultadofue catalogado como un mito, ya quesólo un 32% de las empresasencuestadas le da prioridad deinversión al desarrollo y mantenimientode un plan estratégico de seguridad deactivos de información.
Figura N° 4. Existencia y ubicación del CISO
Existencia y ubicación del CISO
TI
70%4%
Riesgo
operacional
SI
74%NO
26%
Mito
• 71% de las empresas encuestadasconcuerdan en que los objetivos y
estrategias de seguridad de activos deinformación están alineados con los delnegocio
Realidad
• Sólo 32% de las empresas encuestadasplantean como prioridad el desarrollo/
mantenimiento de un plan estratégicode seguridad de activos de información
Una alineación con las estrategias del negocio, requiere la formalización de las estrategias
de seguridad de activos de información en TI
2. Chief Information SecurityOfficer (CISO) o Función deSeguridad de Activos de
Información
Con respecto a la unidad organizacionalencargada de llevar los procesos deseguridad de activos de información enla empresa o CISO, una de lasprincipales interrogantes era conocercuál es la tendencia actual en cuanto
a la ubicación de la Función de
Seguridad de Activos de
Información o CISO dentro de la
organización. En este sentido, en la
Figura N°
4 se observa que el 70% delas empresas encuestadas coinciden enque de existir el CISO, éste seencuentra dentro de la Función de TI.Caso contrario ocurre a nivel mundial,en donde el CISO está adquiriendoautonomí a e independencia, lo cualsignifica que los procesos de seguridadde activos de información estánsiendo considerados con mayoratención y menos escepticismo porparte de la alta directiva.
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 6/20
6 Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers
Además, para el año 2004, según la“Global Information Security Survey -2004”, el 31% de las empresasencuestadas aseguró haber creado laposición del CISO o Chief InformationOfficer (CIO), lo cual representa unincremento sustancial con respecto a lacifra del año 2003, que se ubicaba enun 15%. Asimismo, cuando se lepreguntó a las empresas participantesen el estudio global, a quién le reportael CISO en su organización, se observó
que sólo en un 29% de las empresasencuestadas reportan directamente alDirector de TI. Esta cifra representa unadisminución de más de la mitad conrespecto a la tendencia en el año 2003,tal y como se muestra en la Figura N° 5.
Otra de las inquietudes en el estudio“Prácticas de Seguridad de activos deinformación de las empresas enVenezuela - 2004”, era dar respuestaa: cuántos recursos están siendo
destinados a la Función de
Seguridad de Activos de
Información o CISO. En estesentido, observamos que más del60% de las empresas encuestadasindicó que no tiene personal asignadopara la Función de Seguridad deActivos de Información o CISO,mientras que sólo el 5% de lasempresas encuestadas posee más de10 personas en el área. Para mayordetalle, ver Figura N° 6.
Tendencia
La estructura organizacional delCISO reside dentro de TI
0 10 20 30 40 50 60
CSO
TI/CIO
CFO
CEO
70
Lí nea de reporte del CISO a otras unidades
Año 2003 Año 2004
Fuente: Global Information Security Survey-2004, PricewaterhouseCoopers, CIO Magazine y CSO Magazine
Figura N° 5. Lí nea de reporte del CISO a otras unidades
Figura N° 6. Cantidad de personas que conforman la Función de Seguridad de Activos deInformación
63%
5%
11%
21%
Cantidad de personas que conforman la
Función de Seguridad de Activos de Información
Más de 10 personas
Entre 5 y 10 personas
Menos de 5 personas
No tiene personal asignado
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 7/20
Prácticas de seguridad de activos de información de las empresas en Venezuela - 2004 7
3. Adiestramiento en seguridadde activos de información
El contar con personal altamentecapacitado para gestionar los procesosde seguridad de activos de informaciónresulta determinante para todaorganización. En el estudio“Information Security BreachesSurvey - 2004” 2 realizada en el ReinoUnido con una base muestral de mil
(1000) empresas pertenecientes adistintos sectores del mercado, sedeterminó que un 75% de lasempresas encuestadas aseguró queno contaba con personal certificadoformalmente en seguridad de activosde información. Este resultado essimilar al obtenido en nuestro estudio“Prácticas de seguridad de activos deinformación de las empresas enVenezuela - 2004”, el cual puede serobservado en la Figura Nº 7, en el quealrededor del 60% de las empresaspresenta la misma situación.
Estas cifras nos inducen a pensar queaun cuando las certificacionesformales son usualmente un indicativoimportante de conocimiento en lamateria, y a pesar que en el mercadoen los últimos años, hemos visto laaparición y fortalecimiento de unaamplia gama de certificaciones,(CISSP, Certified Information SystemSecurity Professional; SSCP, System
Security Certified Practitioner; CISM,Certified Information SecurityManager), lo que está ocurriendo esque estamos viviendo los primerosaños de este proceso, en dondeapenas está comenzando la adopciónde la práctica de certificación enmateria de seguridad de activos deinformación. En el caso venezolano,
esta situación se ve afectada aún máspor la dificultad que existe entérminos de accesibilidad a los cursosde adiestramiento, así como a losexámenes de certificación, los cualesen su mayorí a deben realizarse fueradel paí s.
4. Presupuesto, gasto e inversión
En el pasado, la falta de inversiónpara proteger los activos deinformación ha sido la principal causaen el incremento de los incidentes deseguridad de activos de información.Afortunadamente, según losresultados obtenidos de nuestroestudio en Venezuela, el 79% de lasempresas encuestadas aumentó en elúltimo año el presupuesto destinado aseguridad de activos de información,y más aún, el 59% de las empresasencuestadas asegura que su inversiónen el 2005 se incrementará, siendoéste un resultado similar al obtenidopor el “Global Information SecuritySurvey - 2004” que lo ubicó en 64%.Es importante destacar, que estascifras van en aumento no sólo por la
necesidad de las empresas paraminimizar las brechas de seguridadde activos de información, sinoporque actualmente, uno de losprincipales aspectos que estámarcando la pauta es la inversión enseguridad es la necesidad de cumplircon regulaciones y leyes tanto localescomo internacionales. De hecho, se
estima que un porcentaje del gasto enseguridad de activos de informaciónprovenga de otros departamentos delnegocio, tales como la Gerencia deFinanzas, bajo presupuestos de“cumplimiento”.
Por otro lado, muchas de las empresasincluyen el presupuesto de seguridadde activos de información como partedel presupuesto de TI. En este sentido,se observó que el 52% de las empresasvenezolanas encuestadas asigna entreun 2% y un 10% del presupuesto de TIa seguridad de activos de información;sin embargo, según los resultados del“Global Information Security Survey -2004”, la media internacional es de11.3%, lo cual representó unincremento con respecto al año 2003de 0.4 puntos porcentuales.
¿Quiénes del personal del CISO poseen certificaciones
formales en esta materia?
0% 10% 20% 30% 40% 50% 60% 70%
Otros del equipo
de seguridad de la información
Persona responsable y otros
en el equipo de seguridad
de la información
Persona responsable (lí der)
de los procesos de seguridad
de activos de información
Ninguno
Figura N° 7. Personal del CISO con certificaciones formales en seguridad de activos deinformación
2 “Información Security Breaches Survey - 2004 PricewaterhouseCoopers, Computer Associates, Entrust, Microsoft”
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 8/20
8 Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers
A pesar del incremento en estascifras, una de las principaleslimitaciones que tienen las empresasvenezolanas en estos momentos para
incrementar la inversión en seguridadde activos de información, es ladificultad que se tiene paracuantificar los beneficios nofinancieros. Esto explica, entonces,el por qué sólo el 23% de lasempresas encuestadas tiene comopráctica el cálculo del retorno de lainversión o ROI (Return ofInvestment), lo cual pudiera incidir enel hecho que no se estén priorizandode forma adecuada los proyectos de
seguridad de activos de información.
Como dato curioso, según losresultados del estudio, “InformationSecurity Breaches Survey -2004”, los
sectores del mercado del Reino Unidoque han invertido más en seguridadson: telecomunicaciones, serviciosfinancieros, salud y educación. Sin
embargo, en los Estados Unidos deAmérica, según los resultados del“CSI/FBI Computer Crime andSecurity Survey - 2004” 3, se tiene que
el sector que ha invertido más enseguridad en el año 2004 ha sido elde transporte, en donde la inversiónanual por empleado está alrededor de
US$450 versus un promedio deUS$160 anuales por concepto degastos operativos por empleado.
Mito
• En general, se habla bastante de laimportancia de seguridad de activos deinformación, sin embargo, no se invierteen ella
Realidad
• El 79% de las empresas venezolanasencuestadas incrementó en el últimoaño su presupuesto destinado aseguridad de activos de información
• El 59% de las empresas venezolanas
encuestadas afirma que la inversión enseguridad de activos de información enel 2005, se incrementará
El presupuesto de seguridad de activos de información seguirá incrementándose, sin
embargo, las organizaciones exigirán mayores controles y justificaciones sobre su utilización
Figura N° 8. Obstáculos para la práctica de seguridad de activos de información
0% 20% 40% 60% 80% 100%
Restricción de presupuesto
Apoyo muy débilde la Alta Gerencia
Complejidad de losproductos / cambios técnicos
Falta de personalespecializado en seguridad de
activos de información
Obstáculos para la práctica de seguridadde activos información
Falta de cultura / adiestramiento de usuarios
Carencia de polí ticas deseguridad de activos
de información
Otros
Global Venezuela
Fuente: Global Information Security Survey - 2004
Versus Prácticas de seguridad de activos de información de las empresas en Venezuela - 2004
5. Obstáculos para la prácticade seguridad de activos deinformación
La restricción del presupuesto resultóser un denominador común tanto enVenezuela como internacionamentepara la práctica de seguridad deactivos de información. Al contrastarlos resultados de nuestro estudio enVenezuela con los datos del “GlobalInformation Security Survey - 2004”, loscuales pueden apreciarse en la FiguraN° 8, observamos que en el casovenezolano un 76% de las empresasencuestadas coinciden en esteaspecto, al igual que un 57% de las
empresas a nivel mundial. Sinembargo, aun cuando el presupuestoresultó ser un elemento común enambos resultados, en el casovenezolano éste no representa laprincipal barrera para la práctica deseguridad de activos de información.En este sentido, se observó que el 92%de las empresas venezolanas bajo esteestudio coincidieron en que la falta decultura y conciencia en seguridad, así
como el poco o inexistente
3 “CSI/FBI Computer Crime and Security Survey - 2004, realizada en conjunto con el San Francisco Federal Bureau of Investigation’s ComputerIntrusion Squad, la cual fue aplicada a 494 personas pertenecientes a: corporaciones, agencias de gobierno, instituciones financieras, empresas delsector salud y universidades en los Estados Unidos de América”.
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 9/20
Prácticas de seguridad de activos de información de las empresas en Venezuela - 2004 9
adiestramiento de usuarios en esteparticular, representa el principalobstáculo para la práctica de seguridadde activos de información.
Generalizando los resultados para lasempresas venezolanas, el mayor desafí oserá la necesidad de introducir, de formaefectiva, una cultura de seguridad deactivos de información en todos losniveles de la organización con el fin deconcientizar en la responsabilidad quetodos los empleados tienen sobre estetema.
Otro aspecto curioso que resalta de lacomparación entre el “Global
Information Security Survey - 2004” ylos resultados de nuestra encuesta enVenezuela, es el hecho de que lacomplejidad de los productos, así
como los cambios tecnológicos,resultan factores medianamenteimportantes a considerar comolimitantes en la práctica de seguridadde activos de información a nivelinternacional, en contraposición con el
caso venezolano, en el cual estosfactores son los menos determinantes.Esto sin duda nos hace pensar en unaventaja competitiva que tenemos en
Venezuela, el ser más flexibles,logrando adaptarnos rápidamente alos diversos cambios tecnológicos quese suscitan.
Asimismo, un aspecto que resultaprácticamente de igual importanciatanto en el mercado venezolanocomo el mercado global, es la faltade personal especializado enseguridad de activos de información(44% de las empresas encuestadas
lo consideran un obstáculo en elcaso venezolano, versus 42% en elcaso global). Esto refuerza el análisisque se realizó anteriormente en elpunto 3, en donde se observó que apesar que en el mercado existencertificaciones en materia deseguridad de activos de información,las empresas en general no cuentancon este tipo de recurso.
6. Prioridades estratégicas enmateria de seguridad deactivos de información para elaño 2005
En la Figura N° 9 se pueden observarlas principales prioridades estratégicasde las empresas venezolanas para elaño 2005, entre las que destacan:
• Fortalecer los controles deseguridad de activos de informaciónen los procesos de negocio (68%)
• Fortalecer los controles de seguridadde activos de información en la
infraestructura tecnológica (59%)
• Desarrollar/actualizar el plan decontinuidad del negocio (45%)
• Fortalecer/mejorar los mecanismosexistentes para el manejo yrespuesta a incidentes (40%)
0% 10% 20% 30% 40% 50% 60% 70%
Fortalecer / mejorar los
mecanismos existentes para
el manejo y respuesta a incidentes
Fortalecer / implantar mecanismos
para la detección de vulnerabilidades
(ambiente interno)
Fortalecer la infraestructura tecnológica
Fortalecer / implantar mecanismos
para la detección de amenazas
(ambiente externo)
Fortalecer los controles de
seguridad de activos de informaciónen los procesos del negocio
Desarrollar / actualizar el plan
de continuidad del negocio
Definir / mejorar las funciones del CISO
Definir / mejorar los esquemas de
administración de perfiles de usuarios
Desarrollar un plan estratégico
Las prioridades estratégicas
Figura N° 9. Prioridades estratégicas en seguridad de activos de información para el año 2005
Las prioridades estratégicas para elpróximo año son el fortalecimientode los controles a nivel de losprocesos de negocio y lainfraestructura tecnológica
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 10/20
10 Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers
Estos resultados coinciden en sumayorí a con los datos obtenidosmediante el “Global InformationSecurity Survey - 2004”, en donde lasprincipales prioridades estratégicasestán en: mejorar los aspectos deseguridad en la red, desarrollar planesde continuidad de negocio yrecuperación ante desastres,gestionar los procesos de incidentesde seguridad y concientizar a losusuarios.
Es resaltante el hecho que para elcaso venezolano el “fortalecer loscontroles de seguridad en losprocesos de negocio” sea la prioridadestratégica. Sin embargo, estopudiese ser visto como un pasoimportante que están dando lasempresas venezolanas en
concientizar que la seguridad deactivos de información no es unasunto meramente tecnológico, sinoque es un proceso estratégico queabarca: Organización, Tecnologí a yProcesos. Asimismo, uno de losprincipales impulsores de estaorientación hacia los controles en losprocesos de negocio, es la necesidadque tienen las empresas por cumplircon ciertas regulaciones y leyesnacionales e internacionales.
7. Concientización en seguridadde activos de información(Awareness)
Tal como se muestra en la Figura N°10,destaca el hecho que alrededor del78% de las empresas venezolanas
Figura N° 10. Principales necesidades de las empresas para el manejo de sus riesgos de seguridad de activos de informaci ón
coinciden en que una de susprincipales necesidades para elmanejo adecuado de sus riesgos, esdefinitivamente una mayor educaciónen la materia. Sin embargo,encontramos que alrededor del 40%de la población encuestada coincideen una mala práctica: el esquema o
proceso de concientización de
seguridad de activos de información
utilizado no es aplicado de forma
periódica y contí nua, por el
contrario se limita a una aplicació
npuntual del control en un perí odo
especí fico (generalmente en el
proceso de ingreso de personal).
Principales necesidades de las organizaciones para el manejo de sus riesgos
de seguridad de los activos de la información
0 10 20 30 40 50 60 70 80 90
Mayor promoción y desarrollo de
estándares técnicos de seguridad
de la información
Mas investigaciones acerca de
tendencias de riesgos de seguridad
de la información
Mayor disponibilidad deasesorí a en materia de seguridad
de la información
4.5%
22.7%
Mayores iniciativas de la industria
para atacar los riesgos de seguridad
de la información
27.3%
Mayor educación para el público
en general acerca de riesgos de
seguridad de la información77.3%
13.6%
%
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 11/20
Prácticas de seguridad de activos de información de las empresas en Venezuela - 2004 11
En este sentido, en la Figura N° 11, seobserva que las dos (2) herramientasque son utilizadas con mayorfrecuencia para concientizar alpersonal en materia de seguridad son:
• La inducción como parte de unnuevo ingreso de personal
• Firma de documentos o acuerdosde responsabilidad yconfidencialidad de la información
que se maneje
Figura N° 11. Principales herramientas utilizadas por las empresas venezolanas para concientizar al personal en relación con la seguridad
de activos de información
Mito
• Las empresas venezolanas aseguranque sus empleados están conscientesde los riesgos y su responsabilidad enel uso de la tecnologí a de información
Realidad
Local e internacionalmente, losprincipales esfuerzos de concientizaciónse limitan a:
• Como parte de la inducción de nuevo
ingreso
• Firma de documentos / acuerdos deresponsabilidad y confidencialidad de lainformación que manejan
La concientización de los empleados debe ser un proceso continuo
0% 10% 20% 30% 40%
Firma de documentos / acuerdos de
responsabilidad de confidencialidad de
la información que manejan
No se concientiza al personal
A través de entrenamiento continuo
Programas de concientización por canales
de divulgación interna o cursos
Contrato o carta de empleo
Como parte de la inducción
de nuevo ingreso
Herramientas utilizadas por las empresas venezolanas para concientizar alpersonal de sus responsabilidades y obligaciones en relación con aspectos
de seguridad de activos de información
Sin duda, estas herramientas noconstituyen la mejor práctica, ya quesuelen aplicarse una sola vez en eltiempo, dejando a un lado el
reforzamiento contí nuo y periódicoque debe existir como parte de unproceso adecuado de concientizaciónde usuarios en una organización.
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 12/20
12 Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers
8. Incidentes de seguridad deactivos de información
Al preguntarle a las empresasvenezolanas sobre los aspectosrelacionados con los principalesincidentes de seguridad, losmecanismos utilizados para
(interrupción menor). Para mayordetalle ver Figura N° 12
• El 65% de las empresas utilizó
planes de respaldo y contingenciapara solventar su peor incidente deseguridad de activos de información
solventarlos, así como los niveles deinterrupción ocasionados,encontramos los siguientes resultados:
• La infección por virus fue elincidente más frecuente (30%), y engeneral éste originó un nivel deinterrupción de menos de un dí a
En esta sección de la encuesta se evaluó el grado de exposición
de las organizaciones a las brechas de seguridad en los diversos
ambientes tecnológicos, en términos de:
• Incidencias de seguridad
• Ataques internos y externos• Infección por virus
• Uso inadecuado de sistemas de información y recursos
• Accesos no autorizados
Brechas de Seguridad
Figura N° 12:. Incidentes de seguridad de activos de información reportados en elúltimo año
Incidentes de seguridad reportados en el último año
0% 10% 20% 30% 40%
Otro
Infección por virus
Daños informáticos y uso abusivo de
recursos informáticos
Infracción de derecho de
propiedad intelectual
Fraudes
Divulgación de terceros de
información confidencial
Fallas de sistema o corrupción
Amenazas, injurias y calumnias
Hurto de equipos / periféricos
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 13/20
Prácticas de seguridad de activos de información de las empresas en Venezuela - 2004 13
• La investigación del peor incidente fue
realizada por un grupo interno, y sólo
un 10% de las empresas encuestadas
lo informaron públicamente
• 60 % de las empresas encuestadascoincidieron en que el origen del peorincidente de seguridad de activos de
información fue interno, tal como semuestra en la Figura N° 13
9. Vulnerabilidades másimportantes para el negocio
En la Figura N° 14, se observa quepara las empresas encuestadas enVenezuela existen aspectos denegocio que resultan muy importantesal considerar las posibles
vulnerabilidades a las que estánexpuestas, a saber:
• Confiabilidad, ética y motivación delpersonal
• Perfiles inadecuados en los sistemase infraestructura tecnológica
• Conocimiento del personal sobresus procesos de negocio
• Componentes y periféricoselectrónicos
• Oportunidad de desarrollo profesional
Uno de los aspectos que destaca deeste resultado, es que sólo alrededordel 25% de las empresas encuestadasconsidera el aspecto de “Confiabilidad,ética y motivación del personal” como“muy importante”, y la realidad es quepara lograr una adecuada gestiónintegral de riesgos, la ética, la moral, elcomportamiento, los valores ycreencias del personal que labora omantiene relación de negocio con la
empresa, resultan fundamentales parala adecuada gestión de sus procesosde seguridad.
En este sentido, es imperativo que lasempresas venezolanas tomenconciencia de la importancia ynecesidad de que aspectos como laconfiabilidad, ética, comportamiento ymotivación del personal, deban serlos principales impulsores para laconformación de un marco de
seguridad para el negocio.
Figura N° 13. Origen del peor incidente de seguridad de activos de información reportadoen las organizaciones en el último año
60%
15%
25%
Origen del peor incidente de seguridad de activos de
información reportado el las organizaciones en el último año
Interno
Externo
Mixto
Mito
• Los incidentes de infección por virusson un asunto meramente técnico quese resuelve reduciendo los tiempos deactualizaciones del software
Realidad
• Todo marco integral de seguridad deactivos de información posee un altocomponente relacionado con laeducación del personal
El usuario debe ser formado en el riesgo individual y colectivo sobre el uso de la
tecnologí a de la información
¿Qué tan importante considera las vulnerabilidades en
los siguientes aspectos en su negocio?
0% 20% 40% 60% 80% 100%
Poco conocimiento del personalsobre sus procesos de negocio
Componentes y periféricoselectrónicos
Software y hardware decomunicación
Confiabilidad, ética y motivación delpersonal
Condiciones y entorno laboral
Perfiles inadecuados en lossistemas e infraestructura
Aplicación de negocio y softwarebase
Carácter y comportamiento
Dispositivos de almacenamiento
Estaciones de trabajo y/o equiposportátiles
Oportunidad de desarrolloprofesional
Muy Importante Importante Poco Importante Nada Importante
Figura N° 14. Importancia de las vulnerabilidades en los aspectos de negocio
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 14/20
14 Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers
10.Evaluaciones de seguridad deactivos de información
El panorama general de las empresasvenezolanas encuestadas, indica queentre las actividades consideradas demayor importancia, se incluye larealización de evaluaciones deseguridad de activos de información,al menos una vez al año (Ver FigurasN° 15 y N° 16), seguidas de lasactividades de administración deseguridad de activos de información.En este sentido, estos resultadospermiten conocer que en el casovenezolano, las empresasencuestadas están conscientes de laimportancia que tienen estosaspectos en la protección yestablecimiento de los controlesadecuados para otorgar los privilegios
de acceso a los activos deinformación a las personasautorizadas, en el momento indicado.
Figura N° 15. Actividades más importantes de seguridad de activos de información
Activades más importantes de
seguridad de activos de informació
n
0% 20% 40% 60% 80% 100%
Evaluaciones de seguridad de activos deinformación en la plataforma tecnológica
Administración de seguridad de activos deinformación
Configuraciones técnicas
Seguimiento y monitoreo de actividades
Concienciación y divulgación de aspectosrelacionados a la seguridad de activos de información
Interrupción y prueba de los planes derecuperación del negocio
Manejo de incidentes de seguridad de activos deinformación y análisis de vulnerabilidades
Muy Importante Importante Poco Importante Nada Importante
En esta sección de la encuesta se evaluaron los controles de
seguridad que han sido implantados a fin de mantener la
confidencialidad, integridad y disponibilidad de los activos de
información en los siguientes ambientes:
• Internet y correo electr ónico• Accesos remotos
• Red interna
• Proceso de gestión del cambio
• Outsourcing / proveedores de servicio
Controles de Seguridad
Figura N° 16. Frecuencia de evaluaciones de seguridad de activos de información
14%5%
27%54%
Frecuencia de evaluaciones de
seguridad de activos de información
Anualmente
Eventualmente
Nunca
Semestralmente
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 15/20
Prácticas de seguridad de activos de información de las empresas en Venezuela - 2004 15
11.Accesos remotos
Al preguntarle a las empresasencuestadas, en el caso venezolano,acerca de aspectos relacionados conlos mecanismos utilizados paraconexiones remotas, así como el usode dispositivos portátiles dealmacenamiento de información,
observamos los siguientes resultados:
• El 48% de las empresasencuestadas tienen su red o Intranetaccesible desde el exterior
• El 78% no restringe la salida deinformación confidencial por mediode dispositivos informáticosminiaturizados tipo USB o tarjetasde memoria
• El 87% de las empresasencuestadas cuenta con personalque utiliza equipos portátiles, PDA’so dispositivos similares
12.Proveedores de servicio
Las principales conclusionesrelacionadas con los controlesimplantados para una adecuadainteracción con los socios de negocio,proveedores de servicio o terceras
partes, son:
• El 46% de las empresas venezolanas
encuestadas no poseen acuerdos de
niveles de servicios formalmente
documentados
• El 47% de las empresas venezolanas
encuestadas no verifica el cumplimiento
de sus estándares y polí ticas de
seguridad por parte de sus proveedores
de servicio
Las fronteras de nuestros esquemas
de seguridad de activos de
información y control deben
extenderse en igualdad de exigencia a
todo elemento asociado con nuestra
información y procesos
Mito
• Los privilegios de acceso remoto estáncontrolados y se restringen a personalde confianza
Realidad
• Los controles sobre acceso remotosson insuficientes y la información puedesalir de manera autorizada o no
• Los esquemas de protección dedispositivos móviles son básicos
Mito
• Los proveedores de servicio igualan osuperan las normas de seguridad deactivos de información establecidas porlas empresas encuestadas
Las evaluaciones de seguridad de
activos de información y control
sobre mis proveedores de servicio
deben formar parte de mis
actividades regulares
Realidad
• Los proveedores de servicio son fuentede vulnerabilidades e incumplimientosde las normativas de seguridad deactivos de información de la empresa
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 16/20
16 Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers
Comentarios
La seguridad de activos de informaciónes otro proceso estratégico delnegocio, ya que al lograr el equilibrioadecuado entre la protección y lahabilitación de acceso a los activos deinformación, así como el hecho de estaralineado con los objetivos de negocio,se estarán optimando substancialmentelas operaciones. La noción deseguridad de activos de informacióncomo un habilitador de negocios es hoy
en dí a un concepto esencial para lasorganizaciones de cualquier sectorindustrial.
Como un proceso estratégico, laseguridad de activos de informaciónpudiera estar enfocada en protegerlos activos de información de unaorganización contra pérdidas y usoindebido, o enfocada en brindaracceso a los activos de informaciónapoyando los objetivos de negocio.
Uniendo estos dos conceptos -seguridad como “Protección”
(Exclusión) y seguridad como
“Habilitador de Accesos” (Inclusión) -se define de manera integral un nuevoenfoque de seguridad de activos deinformación en las organizaciones, verFigura N° 17.
La seguridad de activos deinformación no es sólo un aspectotecnológico, por el contrario, es unasolución integrada de negocio quecombina recursos organizacionales,procesos y tecnologí a. Si no se
cuenta con reglas, lineamientos,responsabilidades y procedimientospredefinidos y ante la ausencia depersonal que esté capacitado para lagestión del proceso, la inversión sóloen tecnologí a no es más que unapérdida de dinero. Este concepto deseguridad de activos de información,como una solución integral, esesencial para la transformación deeste nuevo enfoque en una plataformatangible, pragmática y operativa deseguridad, que brinde resultadoscuantificables para el negocio.
Finalmente, con el objeto de dar los
primeros pasos en la incorporación dela seguridad de activos deinformación como un procesoestratégico del negocio, presentamosa continuación los siete (7) principalessecretos de las empresasinternacionales que pertenecen algrupo de las mejores prácticas (BestPractice Group):
1. Definir un plan estratégico deseguridad de activos de
información
2. Incrementar la inversión enseguridad de activos deinformación
3. Separar el CISO de la Función de TI
4. Realizar estudios de penetración yauditorí as periódicas al ambientede TI
5. Ejecutar un proceso continuo yperiódico de evaluación de riesgoy control, con el fin de identicifar ypriorizar amenazas yvulnerabilidades
6. Definir un modelo y unaarquitectura integral de seguridad
7. Establecer un proceso de revisiónperiódico con el fin de medir laefectividad del CISO
¿Quiénes somos?
Espiñeira, Sheldon y Asociados, Firmamiembro de PricewaterhouseCoopers,es lí der tanto mundial como nacional,en servicios de auditorí a de estadosfinancieros, asesorí a fiscal, finanzascorporativas, así como en la gestión deriesgos de tecnologí a de información,procesos y sistemas operacionales pormedio de nuestra de lí nea de servicios
de Advisory (Asesorí a). En AdvisoryFigura N°17. Enfoques de seguridad de inclusión y exclusión
Fuerzade
Socio
deProv
eedore
sClientes Int r u s o s
H a c k e r s
C o m p e t i d
o r e
s
Inclusió
n E x c l u s i ó n
trabaj o
nego
cio
Prevenc i ó n
Protecc
ion y C o n t r o l
Vulne
rabil i d a d e s
Detecció n
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 17/20
Prácticas de seguridad de activos de información de las empresas en Venezuela - 2004 17
contamos con más de noventa y cinco
(95) profesionales de variadashabilidades en diferentes industrias ytecnologí as. Esta diversidad deconocimiento y especialización nospermite asegurar que los recursosapropiados con el nivel requerido deexperiencia, son asignados a cadaproyecto que realizamos. Con lafinalidad de brindar serviciosinnovadores y de alto valor agregado anuestros clientes, mantenemos unprograma constante de educación y
actualización de nuestro personal, elcual incluye formación financiera yespecializaciones en las tecnologí asemergentes y de vanguardia.
Como Firma, hemos realizado un grannúmero de proyectos en clientes,entre las cuales podemos mencionar:Auditorí a en fraudes de servicioselectrónicos (Cajeros automáticos,Sistemas de atención telefónica (IVR),Servicio Maestro y Tarjetas deCrédito), definición del esquema deseguridad global, desarrollo depolí ticas, procedimientos y estándaresde seguridad, revisión del riesgotecnológico, definición de roles yprivilegios en sistemas integrados,evaluación de controles en procesos yrevisión de la seguridad en interfacesentre sistemas propietarios y sistemasintegrados, elaboración y ejecuciónde pruebas de auditorí a asistida por elcomputador, revisiones de seguridadde datos, estudios relacionados con
seguridad, planes de recuperación ycontingencia, auditorí as de sistemasen desarrollo, servicios de apoyo paraauditorí a interna, proyectos deoutsourcing de auditorí a interna detecnologí a de información, así comotambién asignaciones en las queimplantamos soluciones en seguridadde datos y control interno. Estostrabajos han sido desarrollados,según su aplicabilidad, en sectores denegocio como: Finanzas, Seguros,
Petróleo y Petroquí mica, Manufacturay Servicios.
• Revisión y diagnóstico de seguridad
Los servicios de revisión ydiagnóstico integral de seguridad deactivos de información estándiseñados para evaluar el ambientede seguridad del cliente y ademáspara ayudarlo a implantar controlesque permitan mitigar los riesgosinherentes. Mediante este serviciopodemos ayudar a las organizacionesa evaluar qué tan adecuados son losniveles de seguridad implantados ensu Organización. Como resultado de
esta revisión, se identifican losaspectos que requieren de mejoraspotenciales, los cuales sonjerarquizados, para luego desarrollarun plan estratégico de seguridad.
• Desarrollo y evaluación de polí ticasde seguridadComo parte de las funciones deadministración de seguridad, debendocumentarse, aprobarse ycomunicarse formalmente las polí ticas,estándares y lineamientos que
establecen las pautas de seguridad enla Organización, de forma tal que éstasapoyen el cumplimiento de las metasestratégicas de la gerencia y susexpectativas. Estas polí ticas debenser independientes de la tecnologí autilizada en los ambientes operativos.PricewaterhouseCoopers asiste a lasorganizaciones es el desarrollo y/oevaluación de las polí ticas deseguridad.
• Desarrollo y evaluación deestándares y procedimientosadministrativos de seguridadEl diseño de una administración deseguridad integral en las diversasplataformas tecnológicas de unaOrganización, requiere desarrollar eimplantar procedimientos especí ficosque permitan el cumplimiento de laspolí ticas de seguridad y, a su vez,establezcan las actividades a serrealizadas por el personal coninherencia en el apoyo de latecnologí a y en la administración deseguridad de activos de información.
Security and Technology(ST)
En esta área se incluye el desarrollo e
implantación de esquemas de seguridad
en la plataforma tecnológica que apoyen
las operaciones de la organización, así
como también la identificación de
brechas de seguridad que puedan
utilizar intrusos internos o externos para
acceder a la información o interrumpir la
operatividad del negocio.
Algunos de nuestros servicios en ST sonlos siguientes:
• Arquitectura de seguridad global
La tendencia tecnológica apunta a
instalaciones cuyas arquitecturas son
distribuidas por naturaleza.
PricewaterhouseCoopers,
reconociendo la necesidad de brindar
una solución rentable que permita
administrar y controlar la seguridad a
nivel general, asiste a las
organizaciones en el desarrollo,implantación y revisión de esquemas
de seguridad que permitan minimizar
en este momento y en el futuro, los
riesgos en función a las estrategias del
negocio.
• Evaluación de roles y privilegios de
acceso a procesos basados en la
seguridad del sistema operativo y
herramientas especializadas
La complejidad de las aplicacioneshoy en dí a requiere el establecimiento
de privilegios de accesos a distintosniveles dentro de la plataformatecnológica (Sistemas Operativos,Manejadores de Bases de Datos,Redes, etc). Esta situación puededificultar el establecimiento de unmodelo integral basado en roles parala totalidad de las aplicaciones dentrode la Organización. En este sentido,apoyamos a las organizaciones en laevaluación de los roles y privilegiosde acceso definidos dentro de la
plataforma tecnológica, con elobjetivo de estandarizarlos.
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 18/20
18 Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers
• Desarrollo y evaluación de
arquitecturas integradas de seguridadBasados en los controles,
estándares y los procedimientos
anteriormente mencionados,
PricewaterhouseCoopers asiste a las
organizaciones en el desarrollo y
evaluación de soluciones integradas
para implantar controles e identificar
alternativas de esquemas eficientes
de seguridad para las diferentes
plataformas tecnológicas. Esta
infraestructura provee una
metodologí a que permite identificarsoluciones de control para
ambientes operativos especí ficos y
adicionalmente, permite evaluar el
costo-beneficio de la implantación
de controles en las aplicaciones
basadas sobre el nivel de riesgos de
las mismas.
• Estudios de penetración de seguridad
PricewaterhouseCoopers cuenta con
una metodologí a para realizar
estudios de penetración de
seguridad, la cual es extremadamente
efectiva para evaluar la seguridad
alrededor de la tecnologí a. Este
servicio está basado en pruebas para
vulnerar la seguridad que provea un
ambiente real, a efectos de disminuir
los riesgos de acceso al sistema.
Este servicio puede ser efectuado en
dos modalidades distintas: El estudio
de penetración interno donde se
simula un ataque realizado por un
usuario interno de la Organización, y
el estudio de penetración externodonde se simulan ataques a la
Organización por parte de usuarios
en Internet.
• Revisión de seguridad en Internet
Como parte de nuestro servicio de
revisiones de seguridad en Internet,
ejecutamos un análisis profundo de
las conexiones del cliente a la red
Internet y los riesgos asociados a que
personas ajenas a la Organización
puedan acceder al sistema de suempresa mediante dicha red.
• Revisión de seguridad en redes
PricewaterhouseCoopers proveeservicios de análisis para ayudar a
identificar la conectividad de la red y
los riesgos de acceso asociados.
Para ello cuenta con metodologí as y
software especializados que
garantizan la excelencia en el
producto final.
• Desarrollo y evaluación del plan de
contingencias de tecnologí a de
información / Plan de continuidad del
negocioLa metodologí a de
PricewaterhouseCoopers para el
desarrollo y evaluación del plan de
contingencia consiste en un grupo
de servicios diseñados para ayudar a
las organizaciones a desarrollar y
revisar el conjunto de acciones que
aseguren la continuidad de las
actividades del negocio en caso de
alguna contingencia tecnológica.
• Revisión de seguridad en
e-commerce / e-bauking
Como parte de nuestros servicios a
los clientes, realizamos evaluaciones
en la infraestructura que apoya las
operaciones de comercio y banca
electrónica. Este tipo de revisión
siempre se orienta a las necesidades
del negocio y a los más altos
requerimientos de seguridad que
este tipo de servicio debe poseer.
Para ello, las revisiones de seguridad
en Internet, redes, estudios de
penetración y revisión y diagnósticode seguridad complementan las
revisiones especí ficas de estas
plataformas para verificar que exista
un entorno seguro para el
intercambio de datos involucrado.
• Investigación de incidentes de
seguridad
Como parte de nuestros servicios a
los clientes, realizamos la
investigación de incidentes de
seguridad, haciendo uso deherramientas de auditorí a forense,
con el objetivo de tratar de
determinar el origen y las causas deun determinado incidente.
• Gestión de actualizaciones en la
plataforma tecnológica
El mantener actualizada la
plataforma tecnológica es de suma
importancia, dada la gran cantidad
de vulnerabilidades que son
detectadas diariamente, las cuales
pueden ser aprovechadas por
usuarios no autorizados.
PricewaterhouseCoopers prestaservicios a sus clientes para la
definición de esquemas
centralizados de actualización.
• Gestión de eventos de seguridad
Como parte de nuestros servicios a
los clientes, apoyamos en el diseño y
definición de esquemas
centralizados de gestión de eventos
de seguridad, para la
estandarización y centralización de
los procesos de monitoreo para los
distintos elementos de la plataforma
tecnológica.
• Apoyo en el proceso de implantación
de paquetes de Software
Como parte de nuestros servicios a
los clientes, apoyamos en la
identificación de requerimientos para
la optimización de los procesos de
negocio, diseño de sistemas,
planificación de la implantación y
negociación de contratos con
proveedores de software, así comoservicios de integración de sistemas.
• Gerencia de datos
PricewaterhouseCoopers provee
servicios de seguridad sobre las
colecciones de datos y listados, así
como servicios de control de calidad
y procesamiento de sistemas
(especificaciones, diseño, desarrollo
e implantación).
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 19/20
Prácticas de seguridad de activos de información de las empresas en Venezuela - 2004 19
Espiñeira Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers ha realizado lascomprobaciones necesarias para asegurar que toda la información utilizada para la elaboración de esteinforme, procede de fuentes fiables y reúne un grado de precisión adecuado. Aun aceptando la premisa
anterior, Espiñeira Sheldon y Asociados, no garantiza en ningún modo la plena veracidad y exactitud dela información que contiene este informe. Por ello, aunque el trabajo y las conclusiones que se derivandel mismo cumplan con los máximos estándares de calidad, esta publicación no pretende ofrecer, enningún caso, las cifras definitivas de los tópicos aquí tratados.
Espiñeira, Sheldon y Asociadosfirma miembro dePricewaterhouseCoopers
Avenida Principal de ChuaoEdificio Del Rí oCaracasTeléfonos: 0212 700-6666
Encuesta
Prácticas de seguridad deactivos de información de lasempresas en Venezuela - 2004
8/7/2019 Prácticas de seguridad de activos de información de las empresas en Venezuela | PwC Venezuela
http://slidepdf.com/reader/full/practicas-de-seguridad-de-activos-de-informacion-de-las-empresas-en-venezuela 20/20
Sus mundos nuestra gente*
© 2005. Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se refiere a la firma venezolana
top related