Resultados de la Encuesta Global de Seguridad de la Información

www.pwc.com/ar

Advisory2016

2

Introducción

Nos complace presentarles los resultados de la Encuesta Global de Seguridad de la Información 2015 de PwC.

Comprende un estudio mundial realizado por PwC y las revistas CIO Magazine y CSO Magazine. La investigación se llevó a cabo del 7 de Mayo al 12 de Junio de 2015.

Los resultados presentados en este informe se basan en la respuesta de más de 10.000 ejecutivos incluyendo CEOs, CFOs, CIOs, CISOs, SCOs, VPs y directores de IT y seguridad.

En cuanto al nivel de participación, el 37% de los encuestados son de América del Norte, 30% de Europa, 16% de Asia y el Pacífico, 14% de América del Sur y el 3% del Medio Oriente y África.

De los encuestados a nivel global el 3,43% fue de Argentina, representando un total de 345 respuestas.

Este año los resultados muestran que los ejecutivos están poniendo especial foco en la necesidad de financiar las actividades de seguridad de la información y han mejorado medidas de protección tecnológicas, procesos y estrategias.

37%16%

30%

3%

14%

América del Norte

Europa

Asía y el Pacífico

América del Sur

Medio Oriente y África

Nivel de participación

2016 - Resultados de la encuesta global sobre Seguridad de la Información 3

Año tras año los ataques cibernéticos continúan creciendo en términos de frecuencia, severidad e impacto, resultando cada vez más ineficientes, los métodos para la prevención y detección. Muchas organizaciones no saben qué hacer o no cuentan con los recursos necesarios para combatirlos.

Aumento de riesgos

16% 38%Aumento de incidentesdetctados que afecta ala seguridad de lainformación

4

Un programa de ciberseguridad efectivo, comienza con una estrategia y fundamentos basados en riesgos. Es por ello que la mayoría de las compañías ha adoptado la implementación de uno o varios frameworks.

Los dos frameworks más utilizados dentro del marco de la ciberseguridad son, la norma ISO 27001 y el Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology).

Los frameworks permiten a las organizaciones, identificar y priorizar riesgos, evaluar la madurez de sus prácticas en ciberseguridad y mejorar la comunicación tanto interna como externa.

Los beneficios de la utilización de frameworks

Beneficios de la ciberseguridad basada en frameworks

49% 47% 45%

Capacidad de identificar y priorizar riesgos

Capacidad de detectar y mitigar incidentes de

seguridad rápidamente

Datos sensibles resguardados de

forma segura

Capacidad de identificar y priorizar riesgos

Capacidad de detectar y mitigar incidentes de seguridad rápidamente

Datos sensibles resguardados de forma segura

Comprensión de las brechas de seguridad y cómo mejorarlas

Mejora tanto en la colaboración interna como en la externa y la comunicación

de incidentes

49%

37%

47%

32%

45%

91%Ha adoptado un marcode ciberseguridadbasado en el riesgo

2016 - Resultados de la encuesta global sobre Seguridad de la Información 5

Los sistemas basados en la nube han surgido en los últimos años y se han convertido en una herramienta, ya que los proveedores de dichos servicios, han invertido en tecnologías avanzadas para la protección de datos, privacidad, conectividad segura y un mejor control de accesos.

Para la mayoría de los encuestados, estos servicios sirven para proteger los datos sensibles y reforzar la privacidad, incluyendo el monitoreo y análisis en “real time” de posibles vulnerabilidades, y comportamientos anómalos, entre otros.

El poder de la ciberseguridad en la nube

Adopción de servicios cloud basados en la ciberseguridad

56% 55%48%

47% 44%

Monitoreo yanálisis en tiempo real

Autenticaciónavanzada

Administración deidentidad y acceso

Inteligenciafrente a amenazas

Protección de“End of point”

69%Utiliza servicios deciberseguridadbasados en la nuve

6

El impacto de “Big Data”Muchas organizaciones están aprovechando el análisis que proporciona “Big Data” para modelar y monitorear problemas de ciberseguridad, responder ante incidentes y auditar y revisar los datos para comprender cómo y cuándo utilizarlos.

Beneficios de la ciberseguridad

61% 49% 41% 40% 39%

Mejor comprensiónde las amenazas

externas

Mejor comprensiónde las amenazas

internas

Mejor comprensióndel comportamiento

de los usuarios

Mayor facilidadpara la detección

de anomalíasen las redes

Mejora en la capacidadpara identificar y

responderrápidamente

2016 - Resultados de la encuesta global sobre Seguridad de la Información 7

Reemplazo de contraseñas por sistemas de autenticación avanzados

Hoy en día, la mayoría de las contraseñas son consideradas poco seguras. Es por esto que muchas organizaciones están recurriendo a mecanismos de autenticación avanzada para ayudar a controlar el acceso y así, aumentar la confianza de sus clientes.

Particularmente los bancos están adoptando los conceptos “one-time-password” (se le envía a sus clientes contraseñas que son válidas una única vez) y el “two-factor-authentication”, basado en la generación de códigos numéricos de manera aleatoria para el acceso a sus cuentas.

Beneficios de la autenticación avanzada

91%Utilizaautenticaciónavanzada

Mejora en la confianza cliente/ empresa en términos de seguridad y privacidad

Protección premium contra posibles fraudes

Transacciones online más seguras

Mejoras en la experiencia de los clientes

Mejoras en el cumplimiento normativo

50%

39%

45%

38%

44%

44%45%50%

8

Socios en ciberseguridad

A medida que las empresas comparten datos con socios, clientes y otras organizaciones resulta indispensable que acudan a la colaboración de terceros para evitar amenazas de ciberseguridad.

De hecho, el número de organizaciones que colaboran con otras organizaciones ha aumentado durante los últimos 3 años debido a sus múltiples beneficios.

Beneficios de la ciberseguridad basados en datos

56% 46% 42% 40% 37%

Comparte y recibeinformación deotras empresas

del sector

Comparte y recibeinformación del

ISACs

Mejora de lainteligencia

sobre las amenazas

Comparte y recibeinformación

de entesgubernamentales

Comparte y recibeinformación deentes judiciales 1

1 ISACs: Information Sharing and Analysis Center: es una organización sin fines de lucro que procesa y brinda información acerca de ciber crímenes.

2016 - Resultados de la encuesta global sobre Seguridad de la Información 9

Aquello que no puede ser protegido, puede ser aseguradoCompartir información e implementar tecnologías avanzadas de ciberseguridad no va a detener todos los ciber ataques, debido a que siempre se encuentran nuevas maneras para evadir la protección. Es por eso que, muchas empresas están contratando seguros para poder mitigar el impacto financiero. De hecho, el seguro de ciberseguridad es uno de los sectores que más ha creciendo dentro de la industria aseguradora.

Los seguros de ciberseguridad cubren destrucción de datos, ataques de negación de servicios, robos y extorsión, respuesta a incidentes y remediación, investigación y auditoría de ciberseguridad. La industria está haciendo esfuerzos por ampliar su servicio e incluir seguros que cubran el valor de pérdida de la propiedad intelectual, reputación e imagen de marca.

Además de la mitigación de los riesgos financieros, las compañías que adquieren un seguro frente a ciber delitos, están comenzando a obtener una mejor comprensión acerca del tema. Esto es porque las aseguradoras requieren una cuidadosa evaluación de las capacidades y riesgos actuales como condición previa al establecimiento de la póliza. Estas evaluaciones pueden ayudar a las empresas a predecir mejor sus riesgos legales y jurídicos, los costos de respuesta y el potencial daño a la marca.

“Las empresas deben entender que no serán capaces de asegurar todo el riesgo de pérdida debido a que el

mercado aún no cuenta con la oferta necesaria”.

Incidentes cubiertos por seguros de ciberseguridad

Información de la identificación personal

Datos de tarjetas de pago

Propiedad intelectual/ Secretos de negocio

Daños a la reputación de la marca

Respuesta a incidentes

47%

36%

41%

31%

38%

59%Ha contratadoseguro deciberseguridad

47%

10

“Hoy, un líder en seguridad es un administrador general con experiencia en comunicación, presentación y negocios, en resumen, todas las habilidades que se esperan de un director de operaciones”.

Involucramiento de ejecutivos y directorio en ciberseguridad

Los avances tecnológicos que se avecinan prometen contener ciber amenazas que, hoy en día, son inmanejables. Poner el foco sólo en los avances técnicos, puede desviar la atención que requiere el desarrollo de las competencias y la formación de las personas sobre la materia.

Es más probable alcanzar dicho nivel de responsabilidad cuando el líder en seguridad de la información de la empresa reporta directamente al CEO u otro ejecutivo encargado de supervisar y gestionar el riesgo y la estrategia.

Tiene un CISO2

a cargo delprograma de

seguridad

54%

Habilidades y competencias de los líderes de seguridad de la información

43% 43% 41% 36% 35%

Comunica directamentea los líderes ejecutivos

información acercade la seguridad de losriesgos y estrateguas

Enfoque de laseguridad de la

información como untema de gestión de

riesgos de laempresa

Entiende losproblemas delnegocio de la

organización y elentorno

Colabora con gruposde interés para

entender problemasy necesidades del

negocio

Proporcionaactualizaciones sobre

riesgos deseguridad de lainformación al

Directorio, al menos,cuatro veces al año

2 CISO (Chief Information Security officer): oficial principal de seguridad de la información

2016 - Resultados de la encuesta global sobre Seguridad de la Información 11

Otro punto importante a destacar es que los ataques de seguridad informática producen daños que afectan a toda la empresa, ya sea en las operaciones, reputación y, por lo tanto a los ingresos. Es por ello, que los directores lo han definido como un tema de riesgo altamente estratégico.

En cuanto al presupuesto de seguridad informática, alcanzó un incremento del 24%. Otros resultados notables, citado por los encuestados, son la identificación de los principales riesgos, el fomento de una cultura organizacional basada en la seguridad y una mejor alineación de la seguridad cibernética con los objetivos del negocio

Participación del Directorio en la seguridad de la información

45%Directorio

participa enla estrategia

general deseguridad

2014 2015

40%

46%

Presupuestode seguridad

42%

45%

36%

41%

30%

37%

25%

32%

Estrategia globalde seguridad

Políticasde seguridad

Tecnologíasde seguridad

Revisión de riesgosde seguridad y

privacidad

12

Due diligence de seguridad informática ante fusiones y adquisiciones

Un modo que escogen los atacantes para lograr su objetivo es burlar la seguridad informática de pequeñas compañías debido a su estructura generalmente sencilla. Luego esperan el momento en que éstas sean adquiridas por organizaciones de mayor volumen para lanzar su principal ataque. Es por eso que realizar un Due Diligence acerca de la seguridad informática de las compañías está cobrando un rol protagónico.

Durante la evaluación de los riesgos de seguridad informática, tres áreas deben ser consideradas:

1 Países donde las compañías tienen sede y operan

2 Industrias en las que opera la organización

3 Prácticas de seguridad individuales de la compañía y el historial de incidentes

2016 - Resultados de la encuesta global sobre Seguridad de la Información 13

El futuro de la seguridad informática

A medida que las tecnologías evolucionan, los atacantes mejoran sus habilidades.

Las vidas personales serán cada vez más digitalizadas, creando una mayor avalancha de datos que puede ser recopilada, analizada y potencialmente comprometida. Las empresas seguirán generando y compartiendo más información acerca de las personas. Es por eso que deben estar mejor preparadas para afrontar estos riesgos, y aún más para el fenómeno “Internet of Things (IoT)” que se avecina.

14

Apéndice A 15

Apéndice A: Respuesta al aumento de ciber riesgos

16

Global América del Sur Argentina

Aumento de incidentes de seguridad detectados en 2015

Aumento del impacto a causa de incidentes de seguridad en 2015

Aumento del presupuesto en seguridad de la información en 2015

Aumento de pérdidas financieras a causa de incidentes de seguridad

38%

50%

24%

-5%

109%

18%

58%

44%

7%

21%

137%

56%

Apéndice A 17

Argentina 2015 Argentina 2014 América del Sur 2015 América del Sur 2014 Global 2015 Global 2014

Empleados actuales Proveedores de servico actuales

Ex empleados Ex proveedores de servicio

Socios del negocio

Fuentes de los incidentes de seguridad

25%

29%

35%

35%

34% 35

%

33%

46%

37% 39

%

29%

30%

22% 23

%

23%

24%

22%

18%

24%

22%

18%

11%

19%

15%

19%

10%

17%

17%

16%

13%

18

Adopción de iniciativas estratégicas en seguridad

Implementación de garantías de seguridad

69%Ciberseguridad

basada enla nube

59%Análisis de

Big Data

59%Seguro de

ciberseguridad

91%Framework de

seguridad basadaen el riesgo 65%

Colaboraformalmente

con otros

Estrategia de seguridad de la

información

Normas de seguridad para terceros

Estrategia de seguridad de información

Capacitación en seguridad

Ciso a cargo del programa de

seguridad

Capacitación en seguridad

49%

46%

44%

56%

53%

53%

58%

49%52

%

42%

34%

52%53

%

48%

48%

43%

54%56

%

Global América del Sur Argentina

Muchas organizaciones están incorporando iniciativas estratégicas para mejorar la

seguridad y reducir riesgos.

Apéndice A 19

Forrester Research reconoció en 2009 a PwC como líder mundial en áreas de Seguridad de la Información y Consultoría de Riesgos de Tecnología:

“PwC ofrece una práctica de seguridad madura, que se encuentra integrada con la privacidad y la gestión de los riesgos en una sola estructura. La compañía tiene una fuerte presencia global de empleados y clientes, focalizándose generalmente en emprendimientos de gran escala. En nuestra evaluación, PwC también ha obtenido los mejores puntajes en materia de administración de clientes y cuentas”.

The Forrester Wave™: Security Consulting.

En PwC Argentina, contamos con una práctica que tiene más de 15 años en el mercado. La misma está compuesta por profesionales con vasta experiencia y diversidad de conocimientos en materia de seguridad de la información, especializados por industria, plataforma y aplicación.

Contamos además con un laboratorio de seguridad especialmente diseñado para llevar a cabo estudios de seguridad y análisis.

Asimismo, asistimos a nuestros clientes en:

• Cyber-security: Modelado de ciber-amenazas, Ejecución de Cyber-ejercicios, Cyber-intelligence

• Pruebas de intrusión (Ethical Hacking)

• Implantación de soluciones de gestión de identidades y accesos

• Investigaciones forenses en el campo de la seguridad informática

• Cumplimiento normativas: PCI DSS, SOX, Ley de protección de datos personales y BCRA 4609/A

• Alineación con estándares ISO 27001, BS25999, ISO22301, COBIT e ITIL

• Revisiones de seguridad de sitios web, aplicaciones, tecnologías de base, seguridad física y patrimonial

• Estudios de vulnerabilidades de plataformas

• Testeo de seguridad de soluciones específicas

• Implantación de esquemas de seguridad para diversas tecnologías y plataformas

• Simulación de ambientes informáticos

• Pruebas de software y herramientas de seguridad

• Medición de Audiencia Online

• Desarrollo de infraestructuras PKI

• Implantación de VPNs

• Definición de planes de respuesta ante incidentes

• Desarrollo e implantación de planes de continuidad del negocio

• Elaboración de estrategia y plan de seguridad

Acerca de nuestros servicios en Seguridad de la Información

© 2016 En Argentina, las firmas miembro de la red global de PricewaterhouseCoopers International Limited son las sociedades Price Waterhouse & Co. S.R.L, Price Waterhouse & Co. Asesores de Empresas S.R.L. y PwC Legal S.R.L, que en forma separada o conjunta son identificadas como PwC Argentina.

Contactos

Oficinas

Enzo Taibi | Socio(54 11) 4850 - 6819enzo.i.taibi@ar.pwc.com

Diego Taich | Director(54 11) 4850-6811diego.taich@ar.pwc.com

Buenos AiresBouchard 557, Piso 7°(C1106ABG) Buenos Aires Tel.: (54 11) 4850-0000 Fax: (54 11) 4850-1800

CórdobaAv. Colón 610, Piso 8°(X5000EPT) CórdobaTel.: (54-351) 420-2300Fax: (54-351) 420-2332

Mendoza9 de Julio 921, Piso 1°(M5500DOX) MendozaTel.: (54-261) 429-5300Fax: (54-261) 429-5300 (int. 1116)

RosarioMadres de Plaza 25 de Mayo 3020, Piso 3°(S2013SWJ ) RosarioTel.: (54-341) 446-8000Fax: (54-341) 446-8016