encuesta focalizada en la seguridad de la información ¿cómo estamos?

www.cxo-community.com

Página 1 de 21

ENCUESTA ORIENTADA A LA

SEGURIDAD DE LA INFORMACIÓN

Realizado por AGUILAR, Valeria

ECHAVARRIA, Luís MARTÍN, Alicia

PINZETTA, Fernando SARZOSA, Freddy

Tutores VALLAUD, Marcelo

SCHMITZ, Oscar Andrés

Fecha Octubre 2011

Revisión, Publicación y Difusión CXO Community

(www.cxo-community.com)

ENCUESTA ORIENTADA A LA SEGURIDAD DE LA INFORMACIÓN


Página 2 de 21


La Seguridad es un tema que nos atañe a todos -estemos vinculados a ella en forma directa, o no-. La circunstancia de cursar en el presente año materias de la Licenciatura en Seguridad, nos posibilitó ahondar sobre diversos aspectos inherentes a ella, al tiempo que nos condujo a realizar una investigación de campo -que abarca cuestiones relativas a la salvaguarda Física y Patrimonial y a la protección Informática. Resultados obtenidos El método escogido a tal efecto fue una encuesta, que se realizó sobre una población total de 48 personas. Cabe agregar, que las mismas se desempeñan en empresas que poseen características y tamaños diferentes -como entidades bancarias, grupos gastronómicos, ONGs, compañías de logística, de servicios públicos y entidades deportivas, entre otras-, que en conjunto conforman una variable en la que se distinguen trece tipos de organizaciones. Por tal motivo, se estima apropiado proporcionar a continuación, los detalles que se condicen con las particularidades a las que se hizo referencia:

Banco 24 50,00 Gastronómica 2 4,17 Ingeniería 3 6,25 O.N.G. 2 4,17 Logística y Distribución 2 4,17 Productos Rurales 1 2,08 Instituto Deportivo 1 2,08 Hospital 1 2,08 Serv. y Seguridad Privada 6 12,50 Servicio Público 1 2,08 Actividad Privada 1 2,08 Comercio Autónomo 3 6,25 Servicio Ambiental 1 2,08

TOTALES 48 100,00 TOTALES 48 100,00

Cant. de Emple. %

22,92

10,42

14,58

2,08

6,25

43,75

Entre 1001 y 2500 pers.

Más de 2500 pers.

11

5

7

1

3

21

Menos de 50 pers.




Tipo de Empresa / Organización %Cant. de

Pers. Tamaño de las Empresas

Del primer cuadro se desprende, que el mayor número de las encuestas se realizó en entidades bancarias (50,00%) -encontrándose en segundo término las empresas encargadas de proveer servicios y seguridad privada (12,50%) y en tercer sitio, las vinculadas con actividades que son propias de la ingeniería (6,25%) y los comercios autónomos (6,25%)-.

Asimismo, se observan en cuarto lugar las relacionadas con la gastronomía, las ONGs y la logística y la distribución (4,17% en cada caso), completando el relevamiento bajo análisis un emprendimiento de productos rurales, un instituto deportivo, un hospital y tres organizaciones -una de las cuales pertenece al sector privado, mientras que las otras dos se ocupan de suministrar servicios públicos y ambientales (señalando que aportan individualmente un 2,08%)-. En cuanto al tamaño de las mismas, acorde con los datos que surgen del segundo cuadro, el 43,75% de los encuestados se desempeñan en empresas que tienen un plantel mayor de 2500 empleados -máximo considerado-, secundados en un 22,92% por el personal de las organizaciones que se encuentran precisamente en el otro extremo del rango previsto -menos de 50 personas-. Al respecto se destaca que, si a los mencionados en último lugar se les suma el 14,58% y el 10,42% que cubren el 2º y el 3º tramo considerado, se llega a un total de 47,92% de encuestados que se desempeñan en empresas que, a lo sumo, cuentan con 500 personas en su dotación. Como información interesante a acotar sobre este tema, se menciona que las entidades bancarias sobre las que se realizaron las encuestas poseen, en su



Página 3 de 21

gran mayoría, más de 2500 empleados y, asimismo, los funcionarios de más alto rango consultados, tienen a su cargo planteles que rondan o superan esa cifra. Estos datos no resultan menores dado que, muchas de las medidas de Seguridad -sean las relativas al campo Informático, como las correspondientes a la salvaguarda Física y Patrimonial-, estarán estrechamente relacionadas con la cantidad de personas que revistan en las empresas -manejando información o destacadas en otras Áreas-, y con el presupuesto destinado a dicho propósito. En lo atinente a los cargos que ocupan en sus sitios de trabajo las personas que colaboraron en la encuesta y el nivel de estudios que manifiestan poseer, las estadísticas elaboradas son las que se exponen a continuación:

Analista 6 12,50 Jefe o Sup. de Telecom. 2 4,17 Jefe o Sup. de Seg. Inf. 1 2,08 Subgerente 1 2,08 Administrativo 8 16,67 Jefe o Sup. de Sistemas 1 2,08 Gerente Principal 1 2,08 Jefe o Sup. de Seguridad 13 27,08 Presidente 4 8,33 Director de Seguridad 3 6,25 Dueño 5 10,42 Otros 3 6,25 TOTALES 48 100,00

TOTALES 48 100,00

Postgrado 4 8,33

Universitario 19 39,58

Terciario 13 27,08

Secundario 12 25,00

Cargo que ocupan los encuestados

Cant. de Pers. %

Nivel de Estudios Cant. de Emple.

%

Si se analiza el primero de los cuadros que anteceden, se puede observar que del total de encuestados, el 29,16 % lo componen los funcionarios de más altos cargos -Presidentes, Directores de Seguridad, Gerentes Principales, Subgerentes y Dueños-, mientras que los mandos medios se encuentran representados por el 35,41 % -conformado por los Jefes o Supervisores-, y las posiciones menores por el 35,43% restante. Con respecto a los niveles de estudio, se destaca que como mínimo cuenta con Secundario un 25,00%, mientras que un número similar de personas -el 27,08%-, completó el próximo escalón, que es el terciario, superado a la vez en mayor medida por el universitario, que totaliza

el 39,58%, y sólo un 8,33% accedió a una formación de Postgrado. Si se somete la información contenida en ambos detalles a un estudio conjunto, se puede inferir que las personas que completaron los ítems de la encuesta, poseen un nivel de educación importante; máxime si se tiene en cuenta que al menos completaron la instrucción secundaria, mientras que las dos terceras partes restantes -el 75,00%- han sido formadas en niveles terciarios, universitarios e, incluso, de postgrado. Dicha circunstancia, sumada al hecho de que los puestos funcionales que ocupan corresponden en casi un 30,00% a quienes tienen la responsabilidad de tomar las más altas decisiones en las empresas en lo que hace al tema que nos ocupa -la Seguridad-, entendemos que la población que compone la muestra se encuentra altamente calificada para opinar acerca de la misma. Hasta aquí, se ha profundizado en los tipos de empresas sobre las que se realizaron las encuestas, así como en el tamaño que presentan y en los recursos humanos que tienen a su disposición. No obstante, en este punto se estima oportuno hacer una última observación en lo que se refiere al presupuesto anual que ellas destinan a la Seguridad, previo a pasar a las preguntas en sí mismas. En tal sentido, cabe mencionar que el 12,50% de las organizaciones relevadas destina a la Seguridad menos de $50.000,00 por año, el 52,08% entre $50.000,00 y $250.000,00 y sólo un 35,42% prevé para ese cometido más de $250.000,00. Estos resultados estarían mostrando que muchas veces los empresarios son reacios a invertir en Seguridad, a pesar de no ignorar los beneficios que otorga contar con una estructura adecuada para minimizar los riesgos asociados a la misma.



Página 4 de 21

Hecha esta última salvedad, que resulta de vital importancia a la hora de analizar la capacidad de respuesta con la que se cuenta, pasaremos a continuación a analizar el contenido de las preguntas formuladas. 1) Ante nuestra requisitoria de si la Seguridad Informática y la Física y Patrimonial se encontraban centralizadas en la misma persona, el 41,67 % respondió en forma afirmativa, mientras que el 68,34 % restante manifestó que cada una de ellas era tratada por carriles separados. A nuestro juicio estos parámetros no hacen más que demostrar, que la tendencia en el mercado de la Seguridad, está dada en la toma de conciencia de que la alta especialización que cada una de estas ramas posee, amerita su gestión en forma independiente. Sin perjuicio de ello, este resultado se ve teñido por la circunstancia de la poca inversión indicada más arriba -lo cual se condice con el 41,67 %, que prefiere no tener que abonar honorarios a más de un profesional y concentrar en una persona ambas actividades-. 2) Cuando se preguntó a las personas acerca del perfil que preferiría para cubrir la posición de Director de Seguridad de la Información, dando como opciones: Profesional de Sistemas, Personal retirado de una Fuerza Pública, Profesional de Seguridad y Personal de confianza, los resultados obtenidos fueron 0,00 % para la segunda posibilidad, 16,67 % para la última y 45,83 % y 50,00 %, para la primera y la tercera, respectivamente. Si se efectúa la suma de los porcentajes, se pone en evidencia que se supera el 100,00 %. Esto es así, porque varias personas escogieron más de una opción en este caso. Sin perjuicio de ello, el hecho de que la gente optara prácticamente en porcentajes iguales

entre profesionales de Sistemas y de Seguridad para ejercer el citado cargo, estaría indicando que no se presentan dudas acerca de que la persona en cuestión, necesariamente deba contar con formación académica en materia de Seguridad. 3) Al solicitar que se nos respondiera si, a juicio del encuestado, los factores que ocasionan o son generadores de incidentes de seguridad, eran internos o externos a la empresa en la que se desempeña, el 58,33% escogió la primera opción, al tiempo que la segunda fue preferida por el 64,58% restante. Cabe hacer aquí la misma salvedad efectuada en el acápite anterior, en lo que respecta a las personas que eligieron ambas opciones al mismo tiempo. No obstante, entendemos que la diferencia porcentual entre ellas es poco significativa y que, por lo tanto, la proporción adjudicada a la posibilidad de ser objeto de ataques que provengan, tanto de afuera como del interior de las empresas, termina siendo muy similar. 4) Cuando quisimos saber la opinión sobre la existencia de políticas proactivas para el manejo de la seguridad y la protección de datos, los resultados arrojados fueron del 87,50% para la opción afirmativa y del 12,50% para la negativa. Podemos asegurar con este resultado, que la tendencia de concientización en lo que se refiere a la protección de datos en las empresas es altísima y no dudamos que en muy breve tiempo totalizará el 100,00%. 5) Al indagar acerca de si la empresa cumple con la protección de datos en sus entornos productivos, el 72,92% respondió en forma afirmativa y el 27,08% escogió la opción contraria. Acorde con las conclusiones que se han formulado hasta este punto y guardan



Página 5 de 21

relación con este tema, el resultado indica que las medidas que se vienen aplicando para la protección de datos en las empresas, son altas y tienden a incrementarse rápidamente. Asimismo, se invitó a los encuestados a que suministraran algunos ejemplos de las disposiciones del caso. Si bien el abanico de posibilidades fue muy amplio, se han agrupado las 45 respuestas brindadas en 4 categorías, que presentan los siguientes resultados: Control de Accesos 35,56%, Encriptación 24,44%, Back-up 33,33% y Otros 6,67%. 6) Cuando se preguntó si la organización establece medidas de seguridad para los datos, en función del contenido de los mismos, respondieron que sí en un 91,67% y que no en un 8,33%. Asimismo, se solicitó a los encuestados que ampliaran su respuesta, mediante las opciones Interna, Pública y Confidencial, las que merecieron los siguientes parámetros, respectivamente: 38,64%, 6,82% y 54,55%. Se desprende de los resultados que anteceden, que en un valor alto -el 91,67%-, las empresas refuerzan las medidas de seguridad en función de los datos, dando prevalencia a los que califican de Confidenciales, adjudicando un nivel menor de importancia a los Internos que no revisten esa categoría y prestando menor atención a los Públicos. 7) Ante nuestra pregunta sobre si la empresa utiliza el enmascaramiento de datos o Data Masking, sólo un 20,83% escogió la opción afirmativa, mientras que la gran mayoría, el 79,17%, respondió que no. A juzgar por los resultados obtenidos, transformar la información sensible en datos que no son verdaderos, pero sí verídicos, parece ser una táctica poco

utilizada en nuestro país -o, al menos, en las organizaciones en las que se ha realizado la encuesta-. Si bien no conocemos a ciencia cierta cuál es el motivo, nos aventuramos a pensar que esto esté vinculado a la probable ignorancia relativa a este método, a la falta de voluntad de realizar una inversión que lo tenga como protagonista o que simplemente tenga que ver con la cultura interna que poseen las empresas. 8) Por último, al ser consultados acerca de si la organización utiliza un análisis de riesgo detallado y actualizado, acorde con la norma ISO 27001-2005, el 39,58% respondió que sí y el 60,42% complementario, que no. Al igual que lo inferido al analizar la pregunta anterior, a nuestro entender, el resultado arrojado está estrechamente ligado al tipo de políticas que adoptan las empresas y a las características que cada una de ellas posee. Cabe agregar, que muchas de las personas encuestadas manifestaron desconocer el sistema de gestión de seguridad de información, denominado ISO 27001-2005, lo que resulta inquietante, dado que es sabido que su utilización aporta a una compañía, el conocimiento relativo a si las medidas vigentes en ella resultan suficientes, para responder a las siguientes preguntas relacionadas con el riesgo: - ¿Cuánto pagaría su competencia por su información confidencial? - ¿Su base de datos está protegida de manos criminales? - ¿Su empresa tiene un plan para continuar operando después de un desastre? - ¿Los activos de su empresa han sido inventariados y tasados? - ¿Se tienen procedimientos y controles para protección de software maliciosos?



Página 6 de 21

Datos estadísticos y referencias del alcance de las encuestas realizadas

1- Empresa y/u organización.-

Tipo Cantidad de encuestados Bancaria 24

Gastronomica 2 Ingeniería 3

ONG. 2 Logística y distribución 2

Productos rurales 1 Institutos deportivos 1

Hospitalaria 1 Serv. Y Seguridad privada 6

Servicio publico 1 Activ. Privada 1

Comercio autónomo 3 Otros 1 (serv.ambientales)



Página 7 de 21

2- Cantidad de empleados de las empresas encuestadas menor de 50 personas 11 entre 51 y 100 personas 5 entre 101 y 500 personas 7 entre 501 y 1000 personas 1 entre 1001 y 2500 personas 3 mas de 2500 personas

21



Página 8 de 21

3- Estudios cursados de los encuestados Nivel Secundario 12 Terciario 13 Universitario 19 Postgrado 4



Página 9 de 21

4- Cargo que ocupan los encuestados Dueño 5 Director de Seguridad 3 Presidente 4 Jefe o supervisor de seguridad 13 Gerente general 1 Jefe o supervisor de sistemas 1 Administrativo 8 Subgerente 1 Jefe o supervisor de Seguridad informática 1 Jefe o supervisor de telecomunicaciones 2 Analista 6 Otros

3



Página 10 de 21

5- para ocupar el cargo de Director de Seguridad de la información ¿ a quien contrataría? Profesional de sistemas 22 Personal retirado de una fuerza publica 0 Profesional de seguridad 24 Personal de confianza 8 En este ítem varían los valores con respecto al numero de encuestados en virtud que varios de ellos eligieron dos opciones



Página 11 de 21

6- Presupuesto anual invertido en seguridad

Mas $ 50.000 6 entre $50.000 a 250.000 25 mas de $ 250.000 17



Página 12 de 21

7- Seguridad física y seguridad informática ¿se encuentran centralizadas en la misma persona?

SI 20

NO 28



Página 13 de 21

8-¿Quién ocasiona o es el generador de los incidentes de seguridad? Factor interno de la empresa 28 Factor externo de la empresa 31



Página 14 de 21

9- Existen políticas proactivas para el manejo de la seguridad y protección de datos?

SI 42 NO 6



Página 15 de 21

10- Cumplen con las normativas de protección de datos en su entorno productivo?

SI 35 Control de accesos-encriptación-back-up,etc

NO 13



Página 16 de 21

Control de accesos 16 Encriptación 11 Back-up 15 otros 3



Página 17 de 21

11- Establece medidas de seguridad para los datos en función de su contenido?

SI 44 Interna-publica-confidencial

NO 4



Página 18 de 21



Página 19 de 21

12-Su empresa utiliza el enmascaramiento de datos o Data masking?

SI 10 N0 38



Página 20 de 21

13-Utiliza un análisis de riesgo detallado y actualizado ISO 27001-2005?

SI 19 NO 29



Página 21 de 21

CXO Community CXO Community es la comunidad Latinoamericana líder de ejecutivos de Tecnología y Seguridad de la Información, unidos por el interés profesional en compartir y validar información, experiencias, mejores prácticas, y multiplicar oportunidades de contacto. CXO Community abre a esta comunidad canales confiables, facilitando el intercambio de experiencias y conocimiento. CXO Community otorga oportunidades periódicas para realizar encuentros y promueve el relacionamiento dentro de la comunidad. CXO Community alienta a ejecutivos y profesionales de toda la región a sumarse e integrarse, promoviendo un entorno altamente colaborativo, ofreciendo como vehículo de acceso sus iniciativas de contenido, altamente valoradas por toda la comunidad. CXO Community tiene el objetivo de orientar su base de recursos informativos (Revista Impresa, PortalWeb, Boletines, Redes Sociales, Jornadas y Conferencias Ejecutivas, Programas Académicos) a efectos de mantenerlo informado, de manera proactiva, sobre los desafíos y las amenazas para su profesión. CXO Community brinda a los líderes en la gestión tecnológica, seguridad informática y corporativa, información para prevenir fraudes y pérdidas de datos, así como para asegurar la privacidad y la continuidad del negocio. Todo ello con la profundidad profesional necesaria para apoyar la toma de decisiones fundamentadas. CXO Community ayuda a su comunidad y al mercado a construir organizaciones más rentables y seguras, desarrollando y reproduciendo investigaciones sólidas, proveyendo herramientas y argumentos para la evaluación de soluciones y apoyando la divulgación de los criterios más efectivos en términos de estrategia y análisis de inversión en seguridad.

CXO COMMUNITY SRL establece que los contenidos de este documento son CONFIDENCIALES.

Los datos presentados contienen secretos técnicos, comerciales y/o información financiera privilegiada y confidencial. Tales datos se usarán únicamente para propósitos de evaluación de la propuesta por el CLIENTE, esto incluye estructura,

ideas, consejos y sugerencias de la solución propuesta. Queda entonces prohibida su reproducción, transmisión, trascripción, grabado en algún otro sistema recuperable, o traducción a otro idioma, ya sea en forma total o parcial, sin el

consentimiento escrito de CXO COMMUNITY SRL.

CXO COMMUNITY Hidalgo 61 p6A, Capital Federal, Buenos Aires, Argentina

TEL: (+54 11) 3528-4296 [email protected] // www.cxo-community.com

encuesta focalizada en la seguridad de la información ¿cómo estamos?

Documents