ciberseguridad y privacidad: de la percepción a la … presentación 1 introducción 2 primera...

www.pwc.com/mx/cybersecurity

Ciberseguridad y privacidad: De la percepción a la realidad

87% de las empresas en México reconocen haber tenido un incidente de seguridad.

Contenido

Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Primera Parte De la percepción a la realidad

1. Impacto de la tecnología en la seguridad y privacidad de la información . . . 42. Ciberseguridad y Tecnologías de Información(TI): De costo de TI a ventaja de negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83. Autenticación: medios y alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104. Frameworks: uso y perspectiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125. Tendencias en ciberseguridad. Las 4 megatendencias . . . . . . . . . . . . . . . . 14

Segunda Parte Privacidad del cumplimiento regulatorio a la mejora de la marca

6. Privacidad de la información, situación actual, retos y perspectivas: leyes, reglamentos, ...el individuo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187. Sinergias en la información: sin Internet no hay nube . . . . . . . . . . . . . . . . . 21

Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Metodología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

PresentaciónInvertir en ciberseguridad y soluciones de privacidad permite a las organizaciones facilitar el crecimiento del negocio y fomentar la innovación, y a su vez obtener ventajas competitivas. Y aunque no todas las organizaciones caminan al mismo paso, lo importante es que algunas ya no ven a la ciberseguridad como una barrera hacia el cambio o como un costo de Tecnologías de la Información (TI).

En la actualidad, debido a las crecientes amenazas que existen a nivel global en todas las organizaciones, un gran porcentaje de los Directores quieren escuchar sobre nuevos enfoques de cómo innovar en temas en ciberseguridad y privacidad de datos. Esto representa un cambio significativo en la forma de pensar de los ejecutivos, ya que el contar con un modelo de ciberseguridad facilita el crecimiento del negocio, crea valor en el mercado y genera confianza de los clientes en la marca.

Por estas razones, PwC Estados Unidos, con la colaboración de CIO y CSO, realizaron la Global State of Information Security® Survey 2017, una encuesta en la que participaron más de 10,000 ejecutivos, incluyendo CEO, CFO, CISO, CIO, CSO, vicepresidentes, y directores de tecnologías en más de 133 países. El resultado es un estudio en el que se plantea cómo los ejecutivos están adoptando enfoques tecnológicos y de colaboración en materia de ciberseguridad y privacidad en sus compañías. Temas que son prioritarios para dimensionar a la ciberseguridad.

En las siguientes páginas se presentan los resultados que se obtuvieron a nivel global comparándolos con los de México en particular. La finalidad es ubicar al país en el contexto internacional para evaluar las perspectivas en el tema. Este año la participación de México represento más del 4% de la participación total del estudio (447 respuestas).

Introducción

Actualmente, la mayoría de las empresas son fundamentalmente digitales, y las aplicaciones se están convirtiendo en la columna vertebral de operaciones, productos y servicios. Cada vez más, las organizaciones están explorando nuevas oportunidades para crear valor y ventajas competitivas integrando la información y el acceso a ésta, así como la privacidad, además de la analítica de los datos para potencializarlos. Sin embargo, la seguridad que es un factor primordial no ha tenido un papel relevante generalizado. “A mi no me sucederá” se ha convertido en un cliché para algunas compañías que no han visto que la seguridad de la información se convierte en parte de lo que muchas empresas están ofreciendo para asegurar la confianza del cliente y el éxito de la operaciones.

Ciberseguridad y privacidad2

En México el 44% de las empresas atribuyen los incidentes de seguridad a ex empleados.

PwC México

Cambiar la forma en que muchas organizaciones ven a la Ciberseguridad o cibernética es un imperativo que se ha comenzado a abordar: el 59% de los encuestados de Global State of Information Security® Survey 2017 ya se encuentra de este lado. Las empresas líderes están integrando ciberseguridad, privacidad y ética digital, lo que les permite interactuar mejor con los clientes existentes y nuevos. Muchas también ven eficiencias en operaciones, procesos de negocio y en las inversiones en TI.

Esto representa un cambio: ya no se ve a la ciberseguridad como una barrera para la transformación o como un costo de TI, porque se entiende que la ciberseguridad puede facilitar el crecimiento de la organización, otorgarle ventajas de mercado y construir la confianza de marca.

En gran parte, este cambio en el pensamiento es una consecuencia de la digitalización de los negocios. A medida que más productos y servicios de todo tipo se conectan a Internet, la necesidad de abordar de forma proactiva a la ciberseguridad es una necesidad a la que se le suman la privacidad y la confianza; por consecuencia, las organizaciones con visión de futuro están requiriendo un nuevo modelo de ciberseguridad que sea ágil y capaz de actuar en insumos analíticos y adaptable a la evolución de riesgos y amenazas. En el núcleo de este nuevo enfoque están soluciones como el análisis de datos, monitoreo en tiempo real, servicios de seguridad administrados, autenticación y software de código abierto.

Aunque no todas estas tecnologías son nuevas, la forma en que son distribuidas y gestionadas presentan modificaciones que les dan una nueva fisonomía en un entorno más complejo. La nube representa un cambio radical que permite crear nuevos productos y servicios seguros, los cuales son una oportunidad para la integración y mejora de la seguridad cibernética, así como de las herramientas de privacidad.

Las soluciones integradas en la nube también pueden mejorar la privacidad de los datos, situación imprescindible dado que los consumidores se preocupan cada vez más por la forma en que se recopilan sus datos.

A medida que la tecnología determina cada vez más la forma de hacer negocios, los fundamentos de seguridad son la condición sine qua non de un programa que conduzca a una ciberseguridad eficaz.

Las organizaciones que conocen los fundamentos de la ciberseguridad como la formación de los empleados, políticas actualizadas, así como control y compromiso con la preparación y la capacidad de la empresas, probablemente están mejor preparadas para manejar ataques simples y preservar recursos para incidentes más complejos.

Es en este contexto que la Global State of Information Security® Survey 2017, realizada por PwC, examina cómo los ejecutivos están adoptando los enfoques tecnológicos y de colaboración en la ciberseguridad y privacidad para manejar las amenazas y alcanzar ventajas competitivas. En las siguientes páginas se presenta un análisis del tema con los datos particulares de México donde 87% de las empresas han tenido incidentes de seguridad de la información, un porcentaje 13 puntos arriba que la tendencia global.

3

Ciberseguridad y privacidad

2

1 www.bloomberg.com/news/articles/2014-03-13/target-missed-warnings-in-epic-hack-of-credit-card-data

Cuando llegó la revolución de Internet nadie pensaba en fugas de información. A las áreas de TI históricamente se les pagaba para que la información estuviera disponible; pero con la evolución de la tecnología ahora se obliga a que los datos estén disponibles y además sean confidenciales. El problema es que no se puede tener la disponibilidad de los datos y al mismo tiempo la confidencialidad sin estar expuestos a riesgos. Esta realidad ha propiciado a desarrollar e implantar un concepto de seguridad que conduzca a una estrategia que minimice los riesgos, otorgue confianza a los clientes internos y externos manteniendo la disponibilidad de los datos.

Durante la 37 reunión anual que realiza la Cámara Nacional de la Industria Electrónica, de Telecomunicaciones y Tecnologías de la Información (CANIETI), se estableció que México debe contar con el capital humano capacitado desde la educación básica, pues por el progreso tecnológico, los nuevos profesionales del sector deberán estar al nivel de los requerimientos de la industria establecida en el país.² 1

2 http://expansion.mx/empresas/2016/09/07/ciberseguridad-y-la-industria-40-los-retos-en-mexico Consultado el 4 de noviembre de 2016.

Primera Parte

De la percepción a la realidad 1. Impacto de la tecnología en la seguridad y privacidad de la información

Alarmas no escuchadas y 40 millones de números de tarjetas de crédito robadas Target, el gigante minorista de Estados Unidos sufrió un robo de información entre el 27 de noviembre y el 15 de diciembre de 2013, el cual incluyó nombres, direcciones de correo electrónico y físico y números de teléfono de 70 millones de clientes. Este hecho se convirtió en el mayor robo de información de tarjetas sucedido en Estados Unidos.

Inicialmente la compañía dijo que no había riesgo de que los ladrones informáticos hubiesen podido acceder a información personal de los clientes, pero lo que se demostró fue que sí, por lo que las acciones de Target en Wall Street al conocerse el robo apuntaban un descenso del 1.63%. El incidente propició que en el cuarto trimestre de 2013 las ventas cayeran aproximadamente 2.5% respecto a ese mismo período en 2012.¹

Presupuesto de seguridad de la informaciónEl costo promedio de un incidente de seguridad a nivel mundial es de $2,386,719 USD vs $1,581,641 USD en México, que es un 32% del presupuesto de seguridad de la información.

$2,386,719

$1,581,641

$1,267,520Latinoamérica

Global

México

4

PwC México

La Secretaría de Economía expuso en un análisis sobre la adopción de procesos basados en Internet en diversas industrias, que la información fundamental se genera a partir de los datos que se obtienen del consumidor, de ahí que la ciberseguridad es otro de los factores a seguir por los profesionales de este sector, por lo que México requiere de capital humano capacitado desde la educación básica para enfrentar los retos que traerá la cuarta revolución industrial, conocida como industria 4.0, y que trae como consecuencia el desarrollo de medidas de ciberseguridad.

Datos de la Secretaría de Comunicaciones y Transportes indican que con el desarrollo y adopción de Internet, también se incrementan los riesgos de ataques cibernéticos, que generan costos en Latinoamérica de casi 90,000 millones de dólares cada año para la industria y gobiernos. De acuerdo con información de la Secretaría de Economía, el uso de Internet se extiende a todas la industrias y actualmente el valor del mercado de las tecnologías de la información es de 20,000 millones de dólares.3

3 http://expansion.mx/empresas/2016/09/07/ciberseguridad-y-la-industria-40-los-retos-en-mexico Consultado el 4 de noviembre de 2016.

La creencia de la fuente de los incidentes es más interna que externaLa principal fuente de incidentes de seguridad a nivel global se debe a empleados actuales.Ex empleado

Hackers

Competidores

Empleados actuales

Antiguos proveedores

Crimen organizado

Proveedores

Hacktivistas

Entidades y organizaciones extranjeras

Clientes

Terroristas

Estados-nación extranjera

Servicio de inteligencia interno

44.5

34.3

31.2

30.6

25.7

25.1

22.8

15.4

11.5

10.2

9.7

8.4

8.1

44%le asigna estas fugas a ex empleados.

En México

5


Según el reporte “Tendencias de Seguridad en América Latina y el Caribe” de la Organización de los Estados Americanos (OEA), tan solo en México los costos anuales generados por ciberdelitos en 2014 ascendieron a 3,000 millones de dólares, afectando al sector público, privado y civil. Los riesgos en materia de seguridad cibernética que fueron denunciados incluyen desde malware, phishing y hackeos, hasta incidentes de fraude y extorsión, difamación, amenazas, robo de contraseñas, suplantación de identidad y acoso.

Si bien ya existen esfuerzos a nivel nacional para impulsar este tipo de seguridad, como la creación del CERT-MX (Equipo de Respuesta a Incidentes de Seguridad Cibernética) o la operación de la División Científica de la Policía Federal, entre otras cosas, México aún sigue rezagado en este tema con un creciente impacto negativo. De acuerdo con el “Índice Global de Seguridad 2014” liberado a inicios del año en curso por la Unión Internacional de Telecomunicaciones (UIT), el país cuenta con un bajo nivel de preparación ante ciberamenazas.4

4 http://the-ciu.net/nwsltr/381_1Distro.html consultado el 4 de noviembre de 2016.

Promedio de incidentes de seguridad por empresaEn los últimos 12 meses a nivel global es de 4,782 y en México es de 3,706.

3 a 9 10 a 491 a 2 50 a 499Ninguno 500 a 4,999 5,000 a 99,999 100,000 o más

México Global

87%han tenido incidentes de seguridad de la información.

En México

Esto dato es 13% mayor que la tendencia global y aun con una legislación que pide la comunicación a los afectados sobre dichos incidentes, las empresas en México siguen sin comunicarlo.

11.4

17.6

24.422.3

12.1

5.63.5

1.6

14.913.9

15.016.9

14.0

8.8

3.22.3

Incidentes de seguridad de la información A nivel mundial la principal fuente de incidentes de seguridad de la información son los ataques de phising; en México son los ataques a dispositivos móviles.

Dispositivos móvil

Ataque de phishing

Tecnología de consumo explotada

Sistema de pago móvil explotado

Sistema de tecnología operativa explotada

Sistemas integrado explotada

Empleado explotados

Socio externo o proveedor explotado

Los medios sociales / ingeniería social explotada

No sé

43.7%

40.8%

34.0%

28.3%

27.0%

27.0%

20.7%

19.1%

14.4%

3.7%

40%de los incidentes de seguridad de la información son los ataques de phising.

En el mundo

6

Qué sugieren las empresas que deba hacer el gobierno

Ciberseguros patrocinados por el gobierno

Pruebas y seguimiento de terceros al tanto de la información del cliente

Adopción obligatoria de análisis de amenazas en tiempo real

Informes públicos sobre el número de amenazas o violaciones

Programas educativos de seguridad cibernética financiado por el gobierno

Cifrado de datos los sistemas o transacciones clave

Cifrado de datos de dispositivos móviles

Monitoreo de intrusos y amenazas a la identidad

83.3

79.2

79.2

78.7

77.1

66.7

62.5

62.5

PwC México

Las principales fortalezas de México se encuentran en las medidas técnicas, mientras que su principal debilidad son las orgánicas. Esto indica que se cuenta con algunas instituciones y marcos técnicos de ciberseguridad, incluyendo equipos contra incidentes cibernéticos, pero no se cuenta con una planificación y estructuras orgánicas que promuevan la implementación de medidas de este tipo de seguridad entre distintos sectores e instituciones.

México registra bajos niveles en materia de marcos legales e instituciones encargados de tratar la seguridad en línea, así como en programas de capacitación, certificación, desarrollo de profesionales y certificación de organizaciones de carácter público en esta materia. Este patrón se refleja nuevamente en una falta de mayor desarrollo en materia de marcos para cooperación nacional e internacional y redes de divulgación de información.

Resulta de gran importancia comenzar con la pronta elaboración e implementación de estrategias y planes nacionales que agilicen la transición hacia un ciberespacio seguro en que sea posible aprovechar al máximo los enormes beneficios que generan estas nuevas tecnologías.

Impacto de los incidentes de seguridad

31.2

22.9

25.9

26.5

21.9

13.2

16.6

Datos de clientes comprometidos

Datos de empleados comprometidos

Pérdidas financieras

Correos electronicos de negocio comprometidos

Pérdida o daño de los registros internos

El robo de propiedad intelectual

Pérdida de clientes

Ransomware implantado en los sistemas

32.1%

México Global

41.5%

38.1%

33.7%

30.0%

29.2%

27.7%

22.5%

19.1%

Las organizaciones no comparten información con otros,incluida su competenciaLa preocupación por los datos personales (privacidad)

La falta de un marco de intercambio de información

Tecnologías incompatibles de intercambio de información

La preocupación por las demandas

Estándares de datos incompatibles

No confia en las fuentes de información externas

La información externa no es fiable

Desconfiamos de nuestros competidores

42.1

39.3

38.3

32.7

31.8

25.2

21.5

18.7

7


6

5 https://www.washingtonpost.com/news/the-switch/wp/2014/12/18/the-sony-pictures-hack-explained/

2. Ciberseguridad y Tecnologías de Información(TI): De costo de TI a ventaja de negocio

Estados Unidos cree que el ataque a Sony fue provocado por otro gobiernoEl 24 de noviembre de 2014 se hizo público que el estudio Sony Pictures estaba bajo ataque. No sólo los empleados no podían identificarse en los ordenadores de la compañía, sino que varias cuentas de Twitter pertenecientes a películas rodadas por la compañía publicaron mensajes en los que se podía leer “Hacked by #GOP” y en los que el grupo autodenominado Guardians of the Peace (Guardianes de la Paz) incluía amenazas y menciones a los altos ejecutivos de la empresa.

En un principio, los atacantes amenazaron con publicar información privada y personal que habían obtenido directamente de los servidores de Sony Pictures y subieron a Internet un archivo zip con una lista de documentos que estaban en su poder: informes fiscales, datos sobre sus películas, sus empleados, etc. Los atacantes tuvieron acceso directo a información privada y en muchos casos confidenciales que el estudio probablemente guardaba en algún servidor interno.5

La industria de la ciberseguridad en México se encuentra en un estado “inmaduro”, lo que se refleja en una inversión insuficiente en sistemas de protección por parte de las empresas, un mayor número de víctimas y la ubicación del país en las clasificaciones internacionales.

El activo más valioso de una empresa es su información, cuando se trata de cibercriminales a ellos lo que les interesa es información de los usuarios de manera personal o financiera. Según las últimas estimaciones del Instituto Ponemon,65el gasto efectuado por compañías en 2013 tras ser víctima de cibercriminales llegó hasta los 58 millones de dólares. Sin embargo, el ataque a Sony, le habría costado más de 100 millones de dólares, según la agencia Reuters.

6 http://www.ponemon.org/news-feed-sign-up consultado el 4 de noviembre de 2016.

Inversión en ciberseguridad como parte de TI

Global Latinoamérica México

5,060,488 4,772,670 5,020,395

3.67% 3.89% 3.87%

*Cifras en USD

Presupuesto de seguridad de la información para 2016

del presupuesto de TI es asignado a seguridad de la información.

3.87%

PwC, Estudio de Seguiridad de la Información en México 2017

En México…

8

La principal fuente de incidentes de seguridad en México se atribuye a los dispositivos móviles. 1 de cada 5 empresas en México no sabe si su programa de seguridad y privacidad están integrados.

PwC México

Los crímenes cibernéticos continúan aumentando. Con base al informe de 2014 de Ponemon Institute, los costos medios anuales de los crímenes cibernéticos de 257 organizaciones de referencia son de 7.6 millones de dólares al año, con un intervalo que va de 0.5 a 61 millones de dólares por empresa cada año. Las organizaciones más pequeñas tienen un costo significativamente superior al de las organizaciones más grandes (1.607 dólares frente a 437 dólares). Las organizaciones de energía y utilidades y servicios financieros tienen costos en crímenes cibernéticos sustancialmente más altos que las organizaciones en medios, ciencias de vida o salud. Cada año, los ataques internos, de denegación de servicios y basados en web significan más del 55% de todos los costes de crímenes cibernéticos. El tiempo medio para contener un ciberataque fue de 31 días con un coste medio de 639.462 dólares. Las empresas que implementaron sistemas de inteligencia de seguridad, tuvieron una rentabilidad de la inversión del 23%.

De acuerdo con algunas firmas de seguridad, la inversión de una empresa para proteger su información de hackers puede alcanzar hasta los 4 millones de dólares, cifra muy inferior en comparación con el costo de los gastos que representaría un ciberataque.

De gasto de TI a la ventaja de negocioExplora nuestra línea de tiempo interactivo de eventos que redefinen ciberseguridad y privacidad

201620091989Primera tableta

diseñada para consumoEl término

BYOD es usado por primera vez

50% de los encuestados tienen una estrategia para

dispositivos móviles

Presupuesto de TI gastado en seguridad en los últimos años

20132012201120102009

3.9% 3.3% 3.5% 3.6% 3.5%

La parte del presupuesto de TI se ha mantenido estable, pero a medida que el gasto de TI se ha incrementado, los presupuestos de seguridad también se han ampliado.Como se muestra a continuación, el presupuesto dedicado a la seguridad de TI se ha mantenido constante en aproximadamente 3.5% en los últimos años.

Las soluciones más usadas para la Ciberseguridad y Privacidad

Emplear un Director de privacidad (CPO) o ejecutivo similares a cargo del cumplimiento de la privacidad

Emplear un Director de Seguridad de la

Información (CISO) a cargo del programa

de seguridad

Creación de líneas de base y normas de seguridad para empleados, clientes, proveedores y/o vendedores externos

BiometríaAutenticación avanzadaAdaptativaTokens

Autentic

ació

n

Gestión

9


3. Autenticación: medios y alcance

Roban datos, se conoce la fuga 2 años después La información de al menos 500 millones de cuentas de usuarios de Yahoo fue robada en 2014. Se tuvo acceso a muchos datos de identificación personal: nombres reales, nombres de usuario, correos electrónicos, conversaciones, números de teléfono, fechas de nacimiento, contraseñas y firma digital hash. Por suerte, no se accedió a números de tarjeta de crédito o de cuentas bancarias.

En 2012 se tomó la decisión de no invertir lo suficiente en la infraestructura de seguridad de las cuentas vinculadas al producto. Se trabajó en mejorar la interfaz de usuario de productos como Yahoo Mail y en lanzar nuevos productos móviles.7

7 http://www.eluniversal.com.mx/articulo/techbit/2016/09/23/roban-informacion-de-500-millones-de-cuentas-de-yahoo.

La autenticación es el proceso de intento de verificar la identidad digital del remitente de una comunicación como una petición para conectarse. El remitente siendo autenticado puede ser una persona que usa un ordenador, un ordenador por sí mismo o un programa del ordenador. En una web de confianza, “autenticación” es un modo de asegurar que los usuarios son quién ellos dicen que ellos son, que el usuario que intenta realizar funciones en un sistema es de hecho el usuario que tiene la autorización.

La necesidad de autenticación es muy anterior a la era digital para realizar transacciones no presenciales y presenciales pero con una persona desconocida. Siempre fue necesario algún elemento que diera confianza a las partes para probar que eres quien dices ser. Esto se lograba con algo que sólo tú sabes, algo que sólo tú tienes, algo que tú eres o con las combinaciones de las tres anteriores.

Las nuevas TI ofrecen claves digitales, firmas digitales y comprobación biométrica automática. El sector privado está usando autenticación adaptativa (dispositivo o IP desde el que se conecta, etc., firma digital en la nube y teléfonos inteligentes).

Tecnologías de autenticación avanzada que se implementaran en los próximos 12 meses

33.1

34.3

34.3

37.2

45.9

48.0Múltiples factores de autenticación

Tokens en los Teléfonos

Llaves criptográficas

Tokens de Hardware

Tokens de Software

Biométricos

43.4

45.5

40.2

36.7

37.6

37.8México Global

10

PwC México

Qué impacto tiene el uso de las tecnologías avanzadas de autenticación

65.445.0

59.247.5

52.846.4

52.439.0

43.438.9

Mejora de la confianza del cliente

Mayor protección contra el fraude

Las transacciones en línea son más seguras

Mejora de la experiencia del cliente

Mejora en el cumplimiento regulatorio

México Global

Los servicios de seguridad más comunes que son administrados por un tercero

71.560.5

70.064.2

66.560.8

59.754.8

57.448.3

48.845.9

30.333.0

La gestión de identidad y acceso

Autenticación

DLP

Monitoreo y análisis en tiempo real

Inteligencia ante amenazas

Protección de punto final

Actualizaciones de administración de parches

México Global

Las tecnologías de autenticación avanzada más usadas y las que se buscan implementar en los próximos 12 meses

Actual

55.4

58.0

66.0

67.2

68.2

71.0

...en 12 meses%Múltiples factores de autenticación



Tokens de Hardware

Tokens de Software

Biométricos

33.1

34.3

34.3

37.2

45.9

48.0

%

Biométricos

Tokens de Software

Tokens de Hardware



Múltiples factores de autenticación

65% de las empresas en México piensan en métodos avanzados de autenticación para mejorar la confianza del cliente o socio de negocio. Esta tendencia es 20% mayor de la tendencia global. Las tecnologías de autenticación son variadas y aunque ya los usuarios están más familiarizados con los sistemas que escanean sus huellas dactilares, el iris de sus ojos o incluso registran el tono de su voz para brindarles acceso a contenidos o información personal, nuevas técnicas se introducen para mejorar a las que les antecedieron. Se pasó de una primera etapa con las contraseñas a un segundo paso de la mano del llamado “control lógico de acceso” cuyo objetivo es el de reemplazar esas contraseñas por un aspecto biométrico, en la mayoría de los casos, el iris del ojo. Después de esto se llegó a la biometría integrada o embedded, la cual vendrá dentro de los dispositivos que interactúan, funcionan o ejecutan una serie de tareas específicas en reacción a su “dueño”. Hoy ya lo vemos en algunos teléfonos inteligentes.

11


4. Frameworks: uso y perspectiva

El cumplimiento regulatorio no elimina el riesgoLa Agencia Federal de Investigaciones (FBI por sus siglas en inglés) investigó una fuga de datos en varios bancos de Estados Unidos en 2014. Se cree que la violación pudo haber sido causada por hackers que infiltraron malware en la computadora personal de un empleado en uno de los bancos más grandes del mundo.

Los bancos han sido durante mucho tiempo un objetivo para los ciberdelincuentes, que van tras las empresas de finanzas para hacerse de los datos de sus clientes, no obstante, que los bancos cuentan con múltiples capas de defensa para contrarrestar cualquier amenaza y constantemente hacen un monitoreo de posibles fraudes.8

8 www.bloomberg.com/news/articles/2016-10-10/jpmorgan-hack-fugitive-said-to-seek-u-s-deal-from-russian-cell

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

Un Framework es un conjunto estandarizado de conceptos, prácticas y criterios para enfocar un tipo de problemática particular que sirve como referencia, para enfrentar y resolver nuevos problemas de índole similar. Existen muchos Framework, los más vistos en este estudio son: ISO 27000, NIST y COBIT5.

ISO/IEC 27000 es un conjunto de estándares desarrollados –o en fase de desarrollo– por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

Frameworks de seguridad más utilizados en México y el mundo

México Global

ISO 27000

COBIT 5NIST

71%

37%

33%

29%

36%

31%

12

La principal inversión en Privacidad en México para los próximos meses es la Formación y Sensibilización de los empleados.

PwC México

El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este Instituto es promover la innovación y la competencia industrial mediante avances en metrología, normas y tecnología, de forma que mejoren la estabilidad económica y la calidad de vida. El NIST ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de cualquier sistema: identificación y autenticación, roles, transacciones, limitaciones a los servicios, modalidad de acceso, ubicación y horario, control de acceso interno, control de acceso externo y administración.

COBIT 5 proporciona un marco integral que ayuda a las organizaciones a lograr su metas y entregar valor mediante un gobierno y una administración efectivos de la TI de la organización. Permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes

interesadas internas y externas. COBIT 5 une los cinco principios que permiten a la organización construir un marco efectivo de Gobierno y Administración basado en una serie holística de siete habilitadores, que optimizan la inversión en tecnología e información así como su uso en beneficio de las partes interesadas. COBIT 5 es emitida por la Asociación de Auditoría y Control de Sistemas de Información (ISACA, por sus siglas en inglés Information Systems Audit and Control Association), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información.

La seguridad es un aspecto de gran importancia, por ello que se le debe dar una consideración primordial como parte del diseño de la arquitectura. Considerar la seguridad desde el principio y usar Frameworks para soportarla puede dar excelentes resultados.

13


5. Tendencias en ciberseguridad. Las 4 megatendencias

No solo las empresas reciben ataques, los gobiernos en la mira El 28 de noviembre de 2010, WikiLeaks filtró a la prensa internacional una colección de 251,187 cables o comunicaciones entre el Departamento de Estado estadounidense con sus embajadas por todo el mundo. Se trató de la mayor filtración de documentos secretos de la historia. Las filtraciones de carácter no secreto, confidencial y secretos, afectan a un gran número de países, entre ellos a Afganistán, Alemania, Arabia Saudí, Argentina, Australia, Bolivia, Bosnia Herzegovina, Brasil, Canadá, Chile, China, Colombia, Corea del Norte, Corea del Sur, Cuba, Ecuador, Egipto, El Salvador, Emiratos Árabes Unidos, España, Francia, India, Irán, Israel, Italia, Japón, Kosovo, Kuwait, México, Nicaragua, Pakistán, Panamá, Paraguay, Perú, Reino Unido, Rusia, Serbia, Siria, Sudáfrica, Turquía, Túnez, Uruguay, Venezuela y Yemen.

En octubre de 2010 la organización mediática internacional sin ánimo de lucro, que publica a través de su sitio web informes anónimos y documentos filtrados con contenido sensible en materia de interés público, preservando el anonimato de sus fuentes, hizo público los Documentos de la Guerra de Irak, en los que se revela, entre el 1 de enero de 2004 y el 31 de diciembre de 2009, el uso sistemático de torturas y la cifra de 109,032 muertos en Irak, de los que 66, 081 fueron civiles. Ya antes había hecho otras filtraciones como los Diarios de la Guerra de Afganistán, el 25 de julio de 2010; y el vídeo de tiroteo a periodistas, el 13 de julio de 2007.

El creador de WikiLeaks, Julian Paul Assange es un programador, ciberactivista, periodista y activista de Internet australiano.9

9 www.cnn.com/2013/06/03/world/wikileaks-fast-facts

usa analíticos de Big Data para identificar amenazas.

51%PwC, CIO and CSO, The Global State of Information Security Survey2017, October 5, 2016

Big Data, Análisis de Información…

Las cuatro megatendencias en Ciberseguridad

Protección del negocio digital

Inteligencia ante las amenazas

IoT

Amenazas geopolíticas

Usa tecnología para controlar amenazas y crear valor

46% Invierte en la seguridad de IoT

PwC, CIO and CSO, The Global State of Information Security Survey 2017, October 5, 2016

14

PwC México

Existen cuatro megatendencias: proyección al negocio digital, inteligencia ante las amenazas, Internet de las cosas (IoT, por sus siglas en inglés Internet of Things) y amenazas geopolíticas. Es importante considerar que, dependiendo de la industria, en algunos casos sí estamos respondiendo pero en otros no estamos tan listos.

Hay industrias en las que IoT será impulsado fuertemente, como los sectores asegurador y de transporte; los transportistas van a querer tener sensores dentro de sus camiones o autobuses, por ejemplo. El sector industrial también va a comenzar a ocuparlo porque quiere tener un sensor que le diga cuando una máquina funciona o cuando no. El gobierno podría utilizar tecnología IoT para diferentes áreas, por ejemplo autoconfigurar los semáforos con la interacción con aplicaciones de transporte para evitar más tráfico. La pregunta importante en esta megatendencia es ¿qué tan listos estamos para adoptarlo e impulsarlo?.

Volver a la adopción global de TI o volver digitales los negocios es una tendencia que corre de prisa. Muchos negocios están pasando de tener un local físicamente a tener un “espacio” digital. La industria de la música y las películas es un claro ejemplo, en esta se ha reconfigurado el medio y replanteado los alcances. Pero se debe tomar en cuenta al pasar de los negocios físicos a los digitales qué tanto los estoy asegurando. La pregunta se plantea también a los negocios que surgen en el medio digital. La respuesta para muchos que han iniciado en la nueva era: aseguramiento desde la concepción de nuevas tecnologías, ya que es mas caro remediar que diseñar sistemas con la ciberseguridad requerida desde el inicio para evitar fracasos porque el mundo es mucho más digital.

Medidas de seguridad en las que se planea invertir en los próximos 12 meses en México

Soluciones de código

abierto

Mejora de la colaboración entre las prioridades de negocio,

estrategia digital y TI

Seguridad para IoT

54.6% 57.9%55.6%

dice que la digitalización del ecosistema de negocio ha impactado en el gasto de seguridad.

59%

PwC, CIO and CSO, The Global State of Information Security Survey2017, October 5, 2016

El negocio digital…

Invierte en seguridad para modelos de negocio innovadores así como en seguridad para IoT.

46%


Lo digital continúa dominando…

Inversión en nuevas y distintas estrategias en el ecosistema digital 51% Mejorar la integración entre el negocio, la estrategia digital y TI.

46% nuevos requeirmientos de cibersgeuridad relacionados a la evolución del modelo de negocio.

46% Inversión para el IoT.

46% Arquitectura digital empresarial.

43% Autenticación avanzada y biométricos.

15


Respecto a la inteligencia ante las amenazas. Para responder a esta megatendencia se requiere una acción básica: comunicar y tener en claro que una cosa son las fugas de información y otra compartir información que es útil para el funcionamiento de una industria.

Es un hecho que la mayoría de las empresas no comparten los ataques que están teniendo: cómo se dieron cuenta y cuál fue su respuesta. Comunicar es importante para despertar dudas, establecer estrategias y hacer un “frente común”.

La inteligencia ante las amenazas es una tendencia que tenemos que ocupar, porque si vamos al tema de analíticos se tiene que conocer cierto tipo de información para cruzarla y hacer el análisis. En México nos tenemos que quitar la falsa creencia de no contar sobre “mis ataques” porque algo malo pasará. Tenemos que cambiar la cultura para hacer frente a algo que es inminente.

Empleados o ex empleados son fuente de incidentesEs la gente que conoces, actuales o ex empleados, así como otros (outsourcing, proveedores) quienes son los más propensos a cometer incidentes de seguridad.

34.3%

31.2%

15.4%

11.5%

9.7%

8.4%

Empleados actuales

Ex Empleados

Proveedores actuales

Ex proveedores

Surtidores o socios comerciales

Proveedores de información

Empleados

Proveedores

La cuarta megatendencia se refiere a las amenazas geopolíticas. Las amenazas geopolíticas son incipientes, ¿qué pasaría si alguien ataca un sistema SCADA de energía eléctrica y ocasiona un apagón en una gran zona de un país y después llega una invasión o un bombardeo o un robo de información? La pregunta se presenta como irreal y a la vez amenazadora, sin embargo es un tema que no se debe soslayar. A nivel gobierno, en los planes de seguridad tienen que estar contemplados los planes de ciberseguridad.

Actualmente hay planes pero aislados. En Estados Unidos desde hace tres años existe la posición de un CISO (Chief Information Segurity Oficial) del gobierno; ha pasado mucha gente por ese puesto pero no se quedan por mucho tiempo. En México no existe el Director de Seguridad de la Información en muchas de las secretarias o subsecretarias de Estado. En 2012 se creó el MAAGTIC (Manual Administrativo de Aplicación General en Tecnologías de Información y

En México 79.4% de las empresas usan servicios administrados para el manejo de sus requerimientos de ciberseguridad y privacidad.

43% de las empresas en México planea mover datos sensibles a la nube en los próximos 12 a 18 meses.

16

PwC México

Comunicaciones) y después lo cambiaron al MAAGTIC-SI (Manual Administrativo de Gestión de Tecnologías de Información, Comunicación y Seguridad de la Información), y armaba un Framework donde decía que áreas debía tener una organización y qué funciones cumplir. Pero el número de organizaciones gubernamentales que cumplen con el MAGTIC-SI es muy bajo porque no hay una motivación. Próximamente entrará en vigor la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, lo cual pretende cambiar el panorama para generar una cultura de ciberseguridad y privacidad en el sector público.

Empresas con planes para supervisar y responder a incidentes cibernéticos

SOC Dedicado (centro de operaciones de seguridad)

SOC de tercerosTecnología de la Información y Tecnología Operacional

Proceso automatizado para utilizar información sobre amenazas

Supervisiónactiva (24X7)

Ejercicio de simulación con los líderes de las unidades de negocio

Ejercicio de simulación con el personal técnico

77%69%

62%

38%23% 23% 23%

No13%

Sí87%

Cuenta con un plan de respuesta a incidentes

El país más avanzado en ciberseguridad es Estados Unidos. Desde los ataques terroristas del 11 de Septiembre, el gobierno norteamericano invirtió grandes cantidades de dinero, recursos y tecnología para poder monitorear a todo el mundo, esto lo tuvimos más claro a partir de la información liberada por Edward Snowden y Wikileaks sobre las actividades del gobierno norteamericano. Tenemos claro que en este caso: mayor seguridad generó menor privacidad. La balanza entre seguridad y privacidad debe ser el equilibrio fundamental.

Estados Unidos ha invertido mucho en seguridad a costa de la privacidad de las personas, caso contrario está sucediendo en Europa donde sí están preocupados por la seguridad, pero el tema de la privacidad lo ven como un tema de Derechos Humanos y no van a dejar que la seguridad tome un papel preponderante.

El costo promedio de un incidente de seguridad es el 32% del presupuesto de seguridad de la información.

17


Segunda Parte

Hace 20 años el concepto de privacidad era claro: “si yo estoy en un lugar privado tengo privacidad”, se conectaba con un tema de la localización en el que estábamos; sin embargo, con el uso de la tecnología no es así porque al estar conectado a Internet la privacidad física sigue siendo la misma pero la digital no. Esta situación ha hecho que a nivel mundial las leyes en privacidad repunten. Las leyes de privacidad más antigua son las Nórdicas, que existen desde los años setenta; en el siglo pasado. Mucho de lo que refieren las legislaciones iniciales era sobre la privacidad en papel más no en cuestiones digitales.

La ley mexicana fue la primera en considerar la privacidad de datos en la nube (en el Reglamento del 2011), ninguna otra regulación hablaba sobre estos temas.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) tiene seis años; al inicio daba ciertos periodos y tiempo para implementar acciones. La mayoría de las empresas han hecho un modelo de iceberg que se han fundamentado en que deben tener un aviso de privacidad para cumplir con la ley. La gran problemática no es técnica ni legal, sino entender los por qué y para qué de la información (finalidades, tratamientos y transferencias). Para atender los gaps de la legislación en el sector público, entrará en vigor la Ley General de Datos Personales en Posesión de Sujetos Obligados.

Privacidad del cumplimiento regulatorio a la mejora de la marca

6. Privacidad de la información, situación actual, retos y perspectivas: leyes, reglamentos, …el individuo

¿Qué tan segura es la nube? Chris Vickery, un empleado de la empresa de seguridad informática MacKeeper descubrió la Lista Nominal del Instituto Nacional Electoral (INE) de México en la nube de Amazon. Vickery publicó en su blog un relato en el que explicaba cómo encontró la Lista Nominal, asegurando que él no fue quien filtró la información y que dio aviso al Departamento de Estado de los Estados Unidos, así como a la Embajada de México en Washington, al Instituto Nacional Electoral y a la empresa Amazon.

Ya en 2003, el entonces IFE denunció que la empresa mexicana Empresa Soluciones Mercadológicas en Base de Datos vendió por 250 mil dólares la base de datos del Padrón Electoral a la empresa estadounidense ChoicePoint.10

La base de datos que descubrió Vickery contaba con información de más de 93 millones de registros. Estaba en un servidor de Amazon sin tener contraseña como método de protección; el documento tenía información desde direcciones hasta números de identificación.

10 http://www.jornada.unam.mx/2016/04/28/politica/007n1pol

En México 31% de las organizaciones creen que sus incidentes de seguridad son provocados por sus competidores.

18

PwC México

La Ley tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales en posesión de los sujetos obligados y son objetivos de la ley distribuir competencias entre los organismos garantes de la Federación y las entidades federativas en materia de protección de datos personales.11

La legislación establece las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) mediante procedimientos sencillos y expeditos. También regula la organización y operación del Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales en lo relativo a sus funciones para la protección de datos personales en posesión de los sujetos obligados.

Otras de sus características es que garantiza la observancia de los principios de protección de los datos; proteger los datos personales en posesión de cualquier autoridad, entidad, órgano y organismos, de los poderes Ejecutivo, Legislativo y Judicial; órganos autónomos, partidos políticos, fideicomisos y fondos públicos de la Federación, las entidades federativas y los municipios, con la finalidad de regular su debido tratamiento.

Además, busca garantizar que toda persona puede ejercer el derecho a la protección de los datos personales, así como promover, fomentar y difundir una cultura de protección de datos personales; establecer los mecanismos para garantizar el cumplimiento y la efectiva aplicación de las medidas de apremio que correspondan para aquellas conductas que contravengan las disposiciones previstas en la ley. Otro de sus propósitos es regular los medios de impugnación y procedimientos para la interposición de acciones de inconstitucionalidad y controversias constitucionales, por parte de los organismos garantes locales y la Federación.

11 http://comunicacion.senado.gob.mx/index.php/informacion/boletines/28409-senado-aprueba-la-ley-general-de-proteccion-de-datos-personales-en-posesion-de-sujetos-obligados.html consultado el 6 de noviembre de 2016.

¿Su programa de seguridad de la información está integrado con el de Privacidad?

21%

51%

28%Integrado

No sabe

Separado

La función de Privacidad enfocada al Cumplimiento

Reducir el riesgo de incidentes de privacidad

Mejorar la confianza en la marca

Cumplimiento con las regulaciones

de privacidad

74% 56%60%

19


Esto significa, entre otros puntos, que habrá una persona encargada en la seguridad/privacidad de la información. Empezaremos a hablar de que la autoridad tiene que proteger esa información. Pero un aspecto que preocupa es que no hay suficientes especialistas en la materia ni de seguridad ni de privacidad. A nivel mundial y la tendencia es a que la privacidad se va a volver un tema más importante, desgraciadamente las empresas reaccionan cuando la autoridad inicia la imposición de penas, multas y sanciones.

Con la Ley se van a alinear, en cierta forma, la información que recopilen las empresas con la del gobierno, lo que va a generar una cultura en el largo plazo. Hay ejemplos del proceso; en España con la ley en los años 90, le tomo varios años entrar en toda capacidad y funcionalidad, pero actualmente la Agencia Española en Protección de Datos es muy reconocida en la protección de los datos.

Actualmente Europa con el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) tiene la intención de reforzar y unificar la protección de datos para los individuos dentro de la Unión Europea. El GDPR contempla multas de hasta un 4% de las utilidades de las empresas.

Gastos en seguridad de la informaciónEl mayor aumento del gasto en seguridad de la información en los próximos 12 meses será en redes sociales.

Formación y sensibilización de Privacidad

Evaluaciones de Privacidad

Politicas y procedimientos de Privacidad

BigData

Aseguramiento de terceros

Computación en la nube

Gobierno de Privacidad

Privacidad de respuesta a incidentes

Riesgos de dispositivos móviles

Mapeo de datos e inventario

IoT

45.9%

44.8%

43.4%

42.0%

41.7%

35.2%

34.7%

34.5%

33.6%

31.2%

15.4%

La Privacidad es una preocupación para las empresasInversión de las empresas en los próximos 12 meses

Formación y sensibilización en Privacidad

Evaluaciones de Privacidad

Aseguramiento de terceros

Politicas y procedimientos de Privacidad

Big Data y Analiticos

46% 45% 43% 42% 42%

En los próximos 12 meses las tecnologías que se piensan implementar en México para la autenticación de los usuarios son: 1) Las claves criptográficas 2) tokens desde teléfonos inteligentes y 3) Factores de autenticación múltiples.

20

PwC México

7. Sinergias en la información: sin Internet no hay nube

Antecedentes de la nube El concepto básico del cloud computing o computación en nube se le atribuye a John McCarthy, responsable de introducir el término “inteligencia artificial”. En 1961 fue el primero en sugerir públicamente que la tecnología de tiempo compartido (Time-Sharing) de las computadoras podría conducir a un futuro donde el poder del cómputo e incluso aplicaciones específicas podrían venderse como un servicio. El concepto de una red de computadoras capaz de comunicar usuarios en distintas computadoras fue formulado por J.C.R. Licklider de Bolt. En 1996, Douglas Parkhill con su libro llamado “El desafío de la utilidad de la computadora” exploró a fondo muchas de las características actuales de la computación en nube, así como la comparación de la industria eléctrica y el uso de las formas públicas, privadas, comunitarias y gubernamentales.

En 1999 Salesforce.com introdujo el concepto de entrega de aplicaciones empresariales a través de una sencilla página web. Le siguió en 2002 Amazon al lanzar Amazon Web Service. En 2006 llegó Google Docs, que realmente trajo el cloud computing a la vanguardia de la conciencia del público. 2006 también vio la introducción de Elastic Compute Cloud de Amazon (EC2) como un servicio web comercial que permitió a las empresas pequeñas y particulares alquilar equipos en los que pudieran ejecutar sus propias aplicaciones informáticas.

En 2007 siguió una colaboración entre empresas de tecnología y una serie de universidades de los Estados Unidos. Luego, en 2008, vino Eucalyptus como la primera plataforma de código abierto compatible para el despliegue de clouds privados; le siguió OpenNebula, el primer software de código abierto para la implementación de nubes privadas e híbridas.

Microsoft es parte de la historia entró hasta 2009 con el lanzamiento de Windows Azure. En 2010 surgieron servicios en distintas capas de servicio: cliente, aplicación, plataforma, infraestructura y servidor. En 2011, Apple lanzó su servicio iCloud, un sistema de almacenamiento en la nube para documentos, música, vídeos, fotografías, aplicaciones y calendarios que prometía cambiar la forma en que usamos la computadora.12

12 https://cloudsecurityalliance.org/history

21


TI Operaciones

Finanzas

Servicio al consumidor

Mercadotecnia y Ventas

63% 36% 34%

34% 32%

Funciones de negocio que corren en la nube

La computación en nube ha recorrido un largo camino desde que fue marcada por primera vez como una perspectiva de futuro por parte de algunos investigadores. El cloud computing o cómputo en la nube es una evolución natural de la adopción generalizada de la virtualización, la arquitectura orientada a servicios y utilidad del cómputo. La idea básica es que los usuarios finales ya no necesitan tener conocimientos o el control sobre la infraestructura de tecnología en la nube que los apoya.

La nube traslada archivos y programas a un conjunto de servidores a los que se accede a través de Internet y abrirlos, utilizarlos o usar programas que no están en el equipo, sino en los servidores de la nube.

La gran mayoría de las personas ya la están utilizando aunque no sean conscientes de ello. Al tener una cuenta de Facebook, Gmail, Hotmail, Twitter, etc. Ya se hace uso de la nube la cual tiene una serie de ventajas, pero también inconvenientes.

Entre las ventajas se encuentra: acceso desde cualquier sitio y con varios dispositivos; el software se concentra en un solo sitio; ahorro en software y hardware, ya que un mismo programa lo comparten muchos usuarios sin necesidad de tener que comprar una copia individual para cada uno de ellos, lo que abarata el precio de las aplicaciones; ahorro en mantenimiento técnico; escalabilidad, ya que se puede crecer para responder a necesidades más exigentes, lo que es crucial sobre todo para las empresas porque optimizan los recursos en todo momento.

90% de las empresas a nivel global piensan tener al menos 25% de su información en la nube

7.2

22.8

33.4

26.5

7.9

1.0No

1% a 24%

25% a 49%

50% a 74%

75% a 99%

100%

1.2

9.9

25.6

32.7

18.8

6.8 México Global

Datos sensibles a la nube

Ya han movido datos sensibles a la nube

Planea mover datos sensibles a la nube en los próximos 12 a 18 meses

35% 43%

22

PwC México

La seguridad y la privacidad es un tema que se podría ubicar tanto en las ventajas como en los inconvenientes, dependiendo del punto de vista. La (falta de) seguridad y privacidad se debe a que todos los archivos –o muchos de ellos– pasan de estar en una PC o en un servidor en las instalaciones de alguna organización a almacenarse fuera, lo que implica dejar de tener control sobre ellos. Si no se revisan correctamente los términos y condiciones no se podrá estar seguro de quién accede a esa información o si está o no protegida como debe ser.

Tanto organizaciones como individuos se ven obligados a confiar informaciones internas y confidenciales a un tercero, que puede o no ser fiable, por lo mismo es importante tener los sistemas correctos de monitoreo, ya que al estar en la nube un hacker podría acceder con mayor facilidad y el botín sería mayor.

Los servidores que usa la nube pueden estar en cualquier parte del mundo. Si hay problemas, no está claro qué ley debe aplicarse o si ésta podrá proteger al cliente; y como la información de los clientes ya no está en sus manos, pueden surgir problemas sobre a quién pertenece, y esto a su vez puede llevar a situaciones delicadas, por ejemplo si el cliente pretende cambiar su proveedor o si quiebra o comete alguna ilegalidad.

La Cloud Security Alliance promueve el uso de mejores prácticas para garantizar la seguridad en la nube. En el informe publicado en Marzo de 2010, “Las amenazas principales a la nube (Top Threats to Cloud Computing)”, pide aplicar medidas de seguridad para mitigar o eliminar problemas como gestión de los datos (propiedad de los mismos y la forma de tratarlos) y la identificación y control de accesos a los recursos e información de la nube.

La tecnología ha evolucionado y ofrece ventajas y facilidades para sumarse a las tendencias. Se deben facilitar operaciones y mejorar los resultados, siempre y cuando se tomen las precauciones necesarias. Por ello en este tema planeamos el concepto de sinergias en el que incluimos los puntos que hemos desarrollado en este estudio, los cuales determinan la tendencia que exponen los participantes de la Globlal State of Information Security® Survey 2017.

La mayoría de los participantes gastan menos del 20%de su presupuesto de seguridad en la nube

3%

82.5%14.5%Menos del 20%

No sabe

Más del 20%

La mayoría de los participantes gastan menos del 20%de su presupuesto de seguridad en la nube

25% 27%

25%

12%

50% 61%

No sabe

México Global

Sí No

Movimientos en el presupuesto de seguridad en la nube

22.1%

12.6%

14.5%Incrementado

Disminuido

4.4%No sabe

Sin cambio

23

ConclusionesA partir de que la OCDE desarrolló las Directrices de Seguridad de los Sistemas de Información en 1992, el uso de los sistemas y redes de información, así como el entorno tecnológico de la información han registrado grandes cambios que ofrecen un sinnúmero de ventajas pero que obligan a los gobiernos, organizaciones públicas y privadas, así como usuarios que desarrollan, poseen, proporcionan o administran estos servicios y usan sistemas o redes de información, pongan mayor atención a los aspectos relacionados con la seguridad.

Actualmente los participantes se encuentran más interconectados y la interconexión se extiende más allá de las fronteras nacionales. Internet ha borrado los límites y forma parte de la infraestructura de sectores estratégicos; desempeña un papel fundamental en la forma en que las compañías realizan sus transacciones comerciales, los gobiernos proporcionan servicios a sus ciudadanos, y las empresas y los ciudadanos intercambian información de manera individual.

Como resultado de esta creciente interconexión, los sistemas y las redes de información son más vulnerables al estar expuestos a un creciente número de amenazas, lo que hace que surjan retos en materia de seguridad. ¿Quiénes deben participar para resolver los problemas?

Cada participante de acuerdo con el papel que desempeña deberá ser consciente de los riesgos de seguridad y las medidas preventivas que sean oportunas. Sin embargo, se requiere de una cultura para que todos los involucrados promuevan el crecimiento en materia de seguridad como un objetivo importante.

Concientización, responsabilidad y ética son fundamentales para llevar a cabo evaluaciones de riesgo que permitan identificar amenazas y vulnerabilidades alrededor de la tecnología, factores físicos y humanos y políticas, así como factores de terceros que tengan repercusión en la seguridad.

La evaluación del riesgo permitirá determinar los niveles aceptables de seguridad conforme los determinantes vayan evolucionando. Uno de ellos es la privacidad de la información que representa como hemos observado en los casos que hemos mostrado, el talón de Aquiles. ¿Qué se requiere para salvaguardar la privacidad? ¿Mayor o menor control? ¿Más o menos regulación? ¿Generar una cultura que en la que todos los involucrados asuman su responsabilidad y promuevan la participación?

El desarrollo tecnológico es constante y su asimilación está dando respuesta a las interrogantes; la oportunidad radica en generar políticas y leyes que vayan un paso adelante. La Global State of Information Security® Survey 2017 contribuye a generar un panorama en el corto plazo. El seguimiento a las anteriores encuestas nos da elementos para reforzar nuestro planteamiento.

Gastos en seguridad de la informaciónEl mayor aumento del gasto en seguridad de la información en los próximos 12 meses será en redes sociales.

Mejoras en la seguridad de las redes sociales

Medidas de detección y prevención de malware

Mejora de la infraestructura de seguridad

Mejoras de protección de datos

Inteligencia de amenazas

Pruebas de potencial de amenazas de violación ó fraude dentro de la organización

Múltiples factores de autenticación

Incremento de la seguridad ó aplicaciones para móviles

Entrenamiento en seguridad ó educación para los empleados

Mayor adopción de cifrado dentro y fuera de la organización

Controles y pruebas de seguridad terceros

75.0

70.2

68.8

68.8

68.8

68.8

66.0

63.8

62.5

55.3

52.1

Servicios de seguridad administrada

Las dos categorías

La tendencia es ofrecer capacidades integradas

Servicios de protección y prevención

Servicios de analíticos e inteligencia

Los que se comprometen a detectar y responder ante amenazas.

Identidades y Accesos, DLP o Administración de dispositivos.

Con tecnologías sofisticadas y personal altamente capacitado ofrecen operaciones de seguridad 24x7 para detectar y responder a las nuevas amenazas de forma rápida.

Apoyo en la gestión de la tecnología y las personas para mejorar las inversiones y continuamente mejorar los procesos de seguridad cibernética.

Los equipos de seguridad interna pueden ser liberados para centrarse en las actividades estratégicas.

Ciberseguridad y privacidad24

MetodologíaEl Estudio de Seguridad de la Información en México 2017 se basa en las respuestas obtenidas del estudio Global State of Information Security Survey 2017 realizado por PwC a nivel global por medio de una encuesta electrónica aplicada entre el 4 de abril y el 3 de junio de 2016.

Este estudio a nivel global se ha realizado durante 16 años por PwC en conjunto con las revistas CIO y CISO. Se encuesta a más de 133 países obteniendo más de 10,000 respuestas a nivel mundial, de las cuales México aportó 447, teniendo una participación del 4.47%.

El cuestionario con el cual fue generado este reporte responde a más de 40 preguntas relacionadas a seguridad y privacidad de la información las cuales van alineadas con el negocio y con las tendencias globales.

El margen de error es menor al 1%, los números pueden no sumar el 100% debido al redondeo. El perfil de los participantes de México el 74% es C-Suite.

Datos relevantes

44.4%, casi la mitad de los participantes están en organizaciones de 1,000 a 20,000 empleados.

64.5% de los participantes trabajan en empresas de más de 1,000 empleados.

2/3 partes de los participantes tienen más de 50 empleados dedicados a TI.

75% de las empresas participantes gastan más de 1 millón de dólares al año en TI. El promedio mundial es 138 millones de dólares, y en México se gastan 129 millones.

3.87% del presupuesto de TI en México, se asigna a Seguridad de la Información ($ 5,020,395 dólares).

75% de los participantes en México declararon que su gasto en Seguridad de la Información está alineado a las utilidades de las líneas de negocio, en el mundo sólo 62% sigue esta tendencia.

Participantes en México

22.4

20.1

8.0

6.9

5.7

5.0

3.2

1.6

0.9

0.7

CEO / President / Managing Director

Chief Information Officer (CIO) / VP

Chief Financial Officer (CFO) / Finance Director (FD)

Chief Operating Officer (COO)

Chief Information Security Officer (CISO) / VP

Chief Technology Officer (CTO)

Chief Compliance Officer / VP

Chief Security Officer (CSO) / VP

Chief Risk Officer

Chief Privacy Officer de los participantesde México son altos directivos.

74%Encuesta en México…


PwC México 25

www.pwc.com/gsiss www.pwc.com/mx/cybersecurity

Fernando RománSocio Cyber Security & Privacy SolutionsRisk [email protected](55) 5263 5898

Juan Carlos CarrilloDirector Cyber Security & Privacy SolutionsRisk [email protected](55) 5263 2359

Yonathan ParadaSocio Cyber Security & Privacy SolutionsRisk Assurance, Oficina [email protected](81) 8881 4106

Contactos

Esta publicación se elaboró exclusivamente con el propósito de ofrecer orientación general sobre algunos temas de interés, por lo que no debe considerarse una asesoría profesional. No es recomendable actuar con base en la información aquí contenida sin obtener la debida asesoría profesional. No garantizamos, expresa o implícitamente, la precisión o integridad de la información de la presente publicación, y dentro de los límites permitidos por la ley, PricewaterhouseCoopers, S.C., sus miembros, empleados y agentes no aceptan ni asumen ninguna responsabilidad, deber u obligación derivada de las acciones, decisiones u omisiones que usted u otras personas tomen con base en la información contenida en esta publicación.En PwC México somos líderes responsables, comprometidos con la comunidad, el cuidado del medio ambiente y nuestra gente, quien vive la diversidad e inclusión como parte de la cultura de PwC.

© 2016 PricewaterhouseCoopers, S.C. Todos los derechos reservados. PwC se refiere a la red y/o una o más firmas miembro de PwC, cada una de las cuales constituye una entidad legal independiente. Favor de ir a www.pwc.com/structure para obtener mayor información al respecto.

ciberseguridad y privacidad: de la percepción a la … presentación 1 introducción 2 primera...

Documents