Vulnerabilidad de Empresas en Ciberseguridad Noviembre 2016

Transcripción

1 Vulnerabilidad de Empresas en Ciberseguridad Noviembre 2016 Bernardita Silva A. Directora Ejecutiva OCI Chile Cámara Nacional de Comercio Sebastián Palacios Director Jurídico de Asuntos P.I. Microsoft

2 Objetivos Conocer el nivel de vulnerabilidad tecnológica de las empresas en relación a incidentes cibernéticos, indagando en las medidas que han sido implementadas para enfrentarlos. De manera específica, el estudio abordará los siguientes temas: Definir y cuantificar el perfil de la empresa en relación a: N de trabajadores/empleados N de usuarios de PC/notebooks o similares. Conexión a Internet Conexión remota a servidores de la empresa Área de TI/ encargados del área Programas que son utilizados en la empresa Restricciones para acceder a Internet

3 Objetivos Experiencias de incidentes cibernéticos Antivirus y claves de acceso Uso de programas gratis Información sobre Cloud / Nube

4 Metodología Tipo de estudio Técnica Cuantitativo Descriptivo Encuesta, telefónica en base a un cuestionario estándar, diseñado principalmente con preguntas cerradas, con una duración de 10 minutos en su aplicación. Target Ejecutivos - responsables de las áreas de : administración / finanzas / informática de empresas medianas y pequeñas (PYMES ), localizados en el Gran Santiago, Gran Valparaíso y Gran Concepción. Muestra Se realizaron 612 entrevistas distribuidas de la siguiente forma: Gran Santiago 202 Gran Valparaíso 205 Gran Concepción 205 Trabajo de campo Se realizó entre el 20 de Agosto y el 20 de Octubre, 2016

5 Principales Resultados

6 Contexto general Base: 612 casos CANTIDAD EQUIPOS 8 1,8 Promedio: 48,5 17,5 72,7 15 a a a y más CADA CUÁNTO CAMBIAN LOS EQUIPOS? 8,7 19,1 22,4 12,4 14,7 7 3,3 Promedio: 3,5 años 0,2 1,1 11,1 1 año 2 años 3 años 4 años 5 años 6 a 7 años 8 a 10 años mas de 10 años Nunca No sabe

7 Conexión remota NS/NR; 0,3 Base: 612 casos NO; 34,8 SI; 64,9 77,2 CIUDAD 61 56,6 SI TAMAÑO EMPRESA 61,5 67, ,4 NO 38,2 32,3 22,8 Santiago Valparaíso Concepción Pequeña Mediana

8 % Trabajadores con acceso a Internet Base: 612 casos PROMEDIO 67,95%

9 Restricciones para acceder a Internet Base: 612 casos NO; 36,1 SI; 63,9 CIUDAD TAMAÑO EMPRESA

10 Tienen área o encargado de TI? Base: 612 casos CIUDAD TAMAÑO EMPRESA

11 Experiencia con incidentes

12 Incidentes de ciberseguridad Han sido víctima? Base: 612 casos CIUDAD TAMAÑO EMPRESA

13 Incidentes experimentados Base: 612 casos > Medianas VIRUS / INFECCIONES POR VIRUS 28,1 INTENTO DE VULNERAR EL SITIO- NO PODÍA NAVEGAR 3,9 CLONACIÓN DE INFORMACIÓN / DATOS 1,3 ROBO DE BASE DE DATOS 1,3 SUPLANTACIÓN DE IDENTIDAD- PHISHING 1,3

14 Cómo detectaron? 34 Base: 212 casos Cómo lo detectaron? 22,6 10,8 9,9 9,9 6,1 5,7 4,2 Por el antivirus Funcionaron mal los equipos Programa informatico - Firewall No abrian los programas Correos de Alguien revisó dudosa y notó procedencia - cambios Span/Virus Se borraron archivos Descubrieron Correos Electronicos Encriptados -

15 Qué hicieron en esa ocasión? Base: 212 casos NADA (27,4%)

16 Denunciaron los hechos? Base: 212 casos Por qué no denunciaron? Base: 185 casos > Concepción > Concepción

17 Antivirus y Claves de Acceso

18 Frecuencia de actualización de antivirus Base: 612 casos 36,3 30,2 10,8 13,1 5,2 0,2 1,6 0,5 1,8 Diariamente Cada 2 ó 3 dias 1 vez a la semana 2 veces al mes 1 vez al mes - Menos de 1 vez al mes Es automatico No sabe - No responde NO TIENEN ANTIVIRUS

19 Uso de password claves 5,1 3,9 NUMERICAS 15,2 ALFANUMERICAS NO SABE Base: 612 casos 87,1 NO USAN PASSWORD / CLAVE Frecuencia de cambio Base: 588 casos Promedio Cada 5 meses

20 Uso de Softwares sin Licencia

21 Han detectado Software sin licencia Base: 612 casos 12,4 9,6 NO HAN DETECTADO HA DETECTADO 77,9 NS/NR Ciudad Tamaño de empresa

22 Con qué frecuencia detectan uso de Software sin licencia? Base: 612 casos 77,9 12,4 NO HAN DETECTADO HA DETECTADO NS/NR Frecuencia detección (MESES) CADA 1 MES 6 9,6 CADA 2 MESES 1,5 CADA 3 MESES 1,8 ENTRE 4 Y 5 MESES 0,7 ENTRE 6 Y 12 MESES 2,5 Frecuencia promedio Total Santiago Valparaíso Concepción Pequeña Mediana PROMEDIO 3,092 3, ,105 2,625 3,308

23 Cómo detectan / evitan el uso de software sin licencia? Cómo detectan? Base: 78 casos 21,8 15,4 12,8 11,5 10,3 Cómo evitan? Base: 78 casos ,7 5,1 Bloqueamos las descargas Limitando acceso a Internet Programa detecta uso - Tiene corta fuego Firewall- Se informa empleados sobre polìticas de empresa Por revisión y mantenciòn de equipos No se evita el uso, se permite Se advierte sobre problemas y eliminan programa Se revisa / controla el tráfico de cada equipo Controlamos dia a dia - se hace auditorìa a equipos A traves de un filtro, todos los sistemas tienen un filtraje

24 Qué hacen cuando detectan el uso de Software sin licencia? Base: 78 casos 67,9 14,1 12,8 3,8 3,8 ELIMINAN EL PROGRAMA PERMITEN EL USO DEL PROGRAMA COMPRAN EL PROGRAMA NADA NS/ NR

25 Hay libertad para bajar música o videos gratis? 1,1 Base: 612 casos 68,3 30,6 SI NO NS/ NR Ciudad Tamaño de empresa

26 Consciencia sobre peligros por bajar programas gratis de la web Base: 612 casos 22,7% 54,7% Ciudad Tamaño de empresa

27 Información sobre Cloud

28 Utilizan Cloud? Base: 612 casos NS SI USAN; 2,9 NO CONOCE CLOUD; 0,5 Para qué lo usan? NO; 57,8 SI; 38,7 Base: 237 casos

29 % Operaciones atendidas por Cloud en el tiempo Base: 237 casos 7,6 0,8 25,7 65,8 Mayor Igual Menor NR/NS

30 Tipo de Nube utilizada Base: 237 casos Ciudad Tamaño de empresa PRIVADA 64 55,7 58,3 PUBLICA 7 21,5 22,2 HIBRIDA NS/ NR 4,7 2,5 5,6 25,6 21,5 15,3 Santiago Valparaíso Concepción

31 Por qué no usa la Nube pública? Base: 372 casos NS SI USAN; 2,9 NO CONOCE CLOUD; 0,5 SI; 38,7 NO; 57,8

32 Conclusiones

33 91% de las compañías admiten haber sido víctimas de un ciberataque en B Es el costo económico estimado, que va a provenir de la industria al cibercrimen en el M víctimas anuales del cibercrimen $ M anuales les cuestan los ciberataques a las empresas $160M De registros de información personal filtrada dentro de los 8 mayores ataques cibernéticos del Tiene promedio entre una infección y su detección

34

35 Estudios Falsificación de Software y Malware 1 de cada 3 Software falsificado contiene Malware 0.79 Correlación entre el software sin licencia y las amenazas de seguridad +60% Posibilidad de encontrar malware en un equipo comprado con software pirata País Tasa Software Tasa de sin Licencia Malware Argentina Brazil Chile Colombia Dominican Republic Ecuador Guatemala Mexico Peru Uruguay Venezuela 88 32

36 Nivel de Madurez en Ciberseguridad

37 Tendencias 1/3 empresas ha sido víctima de un incidente de seguridad. Coincide con Kaspersky (2015): 91% de las empresas encuestadas fue víctima de un delito informático. Incidente fue detectado después de ocurrido. McKinsey (2015) Las empresas demoran más de 200 días en detectar incidentes de seguridad. En cuanto a las acciones tomadas, el 27,4% no hizo NADA. Quienes si realizaron alguna acción, mencionan que compraron antivirus, lo que representa al 13,7% Según Kaspersky: A pesar del aumento de los delitos informáticos, solo 43% utiliza sistemas preventivos de ataques y el 15% desconoce sistemas de seguridad contra malware avanzado.

38 Qué hacer? 87,3% no denuncia Ley de Delitos Informáticos , es de 1993, Adopción Convenio de Budapest de Medidas Preventivas: Alto nivel de uso de Antivirus (98,2%) Alto nivel de uso de Claves de acceso (96,1%) Alto nivel de restricción para bajar música o videos gratis (68,3%) Las empresas que usan claves de acceso: Tienen un Encargado de IT para el control de ellas (52%): Políticas/procesos claros son críticos para proteger el entorno digital de una organización.

39 Nivel de Consciencia Medio de los Riegos 54,7% consciente de los peligros. 43,3% Nada o Algo consciente McKinsey concluye que la ciberseguridad paso a ser un asunto propio de los directores de las empresas y no de los gerentes de TI.

40 Uso de la Nube El 38,7% Usa la Nube: Respaldar, Almacenar y Compartir datos. 33% no la usa por Desconfianza. Percepción de aumento de uso de la Nube: 64,98% aumenta a 3 años. Estudio Chile 4.0 de Fundación Chile (2016): Riesgos asociados al uso de la Nube: Seguridad 68% y Principales riesgos a la Seguridad provienen de empleados antiguos y actuales.

41 Enfoque Integral Actualización de TI Educación Alianzas Público/Privadas Actualización Legal

42 Muchas Gracias! Chile