5a. Academia de Actualización

Transcripción

1 5a. Academia de Actualización Profesional 2008 Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de PwC

2 Agenda 1. Introducción 2. Principales inversiones: Cambios sutiles pero significativos 3. Prioridades recientes 4. Brechas: Muchos no conocen información básica 5. Oportunidades 6. Tendencias regionales 7. Prácticas de gestión de proyectos

3 Agenda 1. Introducción 2. Principales inversiones: Cambios sutiles pero significativos 3. Prioridades recientes 4. Brechas: Muchos no conocen información básica 5. Oportunidades 6. Tendencias regionales 7. Prácticas de gestión de proyectos

4 1. Introducción Metodología El estudio mundial, Global State of Information Security 2008, fue realizado por, CIO Magazine y CSO Magazine, entre el 25 de marzo y el 26 de junio de Es el año 11 de la encuesta online para PwC, y el 6to con las revistas CIO y CSO Lectores de las revistas CIO y CSO y clientes de PwC de 119 países Más de respuestas de CEOs, CFOs, CIOs, CSOs, VPs y directores de IT y seguridad Casi 40 preguntas en temas relacionados a privacía y seguridad de la información 36% de las compañías con ganancias de más de US$100 millones Múltiples industrias representadas Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 4

5 1. Introducción Distribución de las compañías entrevistadas según sus ganancias Don't No sabe Know 13% Gobierno/educación/sin Nonprofit/Gov./Edu. fines de lucro 12% Grande Large (> (> $1Billion U$S1 US) billón) 20% Small Pequeña (< $100M (<U$S100M) US) 38% Mediana Medium (U$S100M- ($100M - U$S1billón) $1Billion US) 17% Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 5

6 1. Introducción Cargos de los entrevistados CISO/CSO/CIO/CTO 12% IT&Seguridad (Otro) IT & Security (Other) 33% CEO, CFO, COO 16% Cumplimiento/ Compliance Riesgo/ /Risk/Privacy Privacía 5% IT&Seguridad & Security (Mgmt) (Gerencia) 34% Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 6

7 1. Introducción Distribución por región Asia 17% Oriente Middle East/Africa medio/áfrica 2% América North America del Norte 39% Europa Europe 27% América South America del Sur 15% Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 7

8 1. Introducción Distribución según la industria Productos Consumer de Products consumo, & 6% Retail; 6% Telecomunicaciones Telecommunications; 6% Other; Otra 6% Ingeniería/ Engineering/ Construcción Construction, 4% Tecnología Technology; 12% Consultoría/Servicios Consulting/ Profesionales Professional Services, 12% Health Salud Industries; 6% Government Gobierno Services; 8% Industrial Manufactura Manufacturing; 8% Educación/Sin Education/Non fines profit; de lucro 10% Servicios Financial financieros Services; 9% Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 8

9 1. Introducción Metodología La encuesta Insights and Trends: Current Programme and Project Management Practices, la segunda encuesta global en el nivel actual de madurez de Project management en las organizaciones. Realizada en el año 2006 Respuestas de 213 encuestados (alta gerencia y gerentes de proyectos) de 26 países Compañías de varios tamaños, sectores y estructuras de negocio 65 preguntas cerradas Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 9

10 Agenda 1. Introducción 2. Principales inversiones: Cambios sutiles pero significativos 3. Prioridades recientes 4. Brechas: Muchos no conocen información básica 5. Oportunidades 6. Tendencias regionales 7. Prácticas de gestión de proyectos

11 2. Principales inversiones: Cambios sutiles pero significativos El Cambio compite con Cumplimiento como la principal causa de gastos 60% 57% 50% 40% 46% 44% 40% 30% 20% 10% 0% Continuidad Business continuity/ Disaster Internal policy compliance Regulatory compliance Cambio Change Recuperación recovery de desastres la política interna Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 11

12 2. Principales inversiones: Cambios sutiles pero significativos Sin embargo los ejecutivos no concuerdan con las inversiones en seguridad Cuál es el principal rubro de inversión en seguridad? Los CEOs y CFOs incluso los CIOs apuntan a la Continuidad del negocio/recuperación ante desastres. Los CSOs no concuerdan. Ellos indican Cumplimiento con regulaciones. CEO CFO CIO CSO Continuidad del negocio/recuperación ante desastres Cumplimiento con regulaciones Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 12

13 2. Principales inversiones: Cambios sutiles pero significativos Los CSOs perciben la gran brecha entre la alineación de la inversión en seguridad y los objetivos de negocio CEO CFO CIO CSO Las políticas de seguridad están completamente alineadas con los objetivos de negocio 34% 28% 31% 38% La inversión en seguridad está completamente alineada con los objetivos de negocio 34% 30% 21% 22% Brechas de alineación 0 pts. -2 pts. 10 pts. 16 pts. Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 13

14 2. Principales inversiones: Cambios sutiles pero significativos Inversiones en seguridad en 2008 La gran mayoría de los encuestados 74% reportaron que la inversión en seguridad aumentaría o se mantendría igual en % 45% 44% 40% 35% 30% 30% 25% 20% 21% 15% 10% 5% 0% Aumento Igual Disminuye No sabe Increase Stay the same Decrease Don't know 5% Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 14

15 Agenda 1. Introducción 2. Principales inversiones: Cambios sutiles pero significativos 3. Prioridades recientes 4. Brechas: Muchos no conocen información básica 5. Oportunidades 6. Tendencias regionales 7. Prácticas de gestión de proyectos

16 3. Prioridades recientes Tendencias Este año, en todas las industrias, países y regiones, modelos de negocio y compañías de distinto tamaño, los encuestados reportan grandes avances en implementar nuevas tecnologías en todos los dominios de seguridad, desde la prevención a la detección. Los encuestados reportan grandes ganancias en la encripción de datos - no solo en laptops, como en bases de datos, archivos compartidos, respaldos y medios removibles. Encripción Removable Medios removibles Media Backup Cintas Tapes de respaldo Laptops Laptops 28% 40% 47% 37% 50% 40% File Archivos Shares compartidos 37% 48% Bases Databases de datos 45% 55% 0% 10% 20% 30% 40% 50% 60% Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 16

17 3. Prioridades recientes Tendencias Otra área de foco ha sido la implementación de tecnologías Web/Internet. Tecnologías Web/Internet Web Seguridad services de servicios security web 48% 58% Seguridad Secureen browsers 55% 66% Certificación Website de certification Websites 48% 58% Filtros de Content contenido filters 51% 69% 0% 20% 40% 60% 80% Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 17

18 3. Prioridades recientes Tendencias Las compañías han invertido mucho en otras áreas. Otras tecnologías Wireless Seguridadhandheld de dispositivos device security wireless 33% 42% Asegurar el acceso remoto via Secure remote access via VPN VPN 59% 68% Herramientas de prevención de Intrusion prevention intrusión tools 52% 62% Herramientas para descubrir Tools dispositivos to discover no unauthorized autorizados devices 40% 51% 0% 20% 40% 60% 80% Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 18

19 3. Prioridades recientes Procesos y personas El foco en tecnología en el último año no ha sido correspondido con un compromiso robusto con otros drivers esenciales del valor de la seguridad como ser: los procesos de seguridad críticos que soportan tecnología- y las personas que lo corren. Capacidades relativas a los procesos y las personas Have people dedicated Monitoreoto de monitoring los activosemployee de información use of Internet/information assets Realizar verificaciones de antecedentes del personal Conduct personnel background checks 50% 48% 51% 52% Usar niveles de autenticación por capas Use tiered authentication levels 29% 36% Usar procesos de administración de la información Use centralized information management process centralizados 44% 51% 0% 10% 20% 30% 40% 50% 60% Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 19

20 Agenda 1. Introducción 2. Principales inversiones: Cambios sutiles pero significativos 3. Prioridades recientes 4. Brechas: Muchos no conocen información básica 5. Oportunidades 6. Tendencias regionales 7. Prácticas de gestión de proyectos

21 4. Brechas: Muchos no conocen información básica Número de incidentes de seguridad Más de 3 de 10 encuestados no puede responder preguntas básicas sobre los riesgos de la información más sensible de la empresa. Número de incidentes de seguridad que ocurrieron en los últimos 12 meses Este año, el 35% reporta que no conoce cuántos incidentes ocurrieron 30 % None 1 to 2 3 to 9 Over 10 Don't Know Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 21

22 4. Brechas: Muchos no conocen información básica Tipos de incidentes de seguridad Al 44% no le interesa que tipo de incidente de seguridad ocurrió % Application Aplicación exploited Data Datosexploited System Sistemaexploited Network Red exploited Humano exploited Unknown Desconocidos Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 22

23 4. Brechas: Muchos no conocen información básica Origen de los incidentes de seguridad % Employee Empleado Hacker Former Empleado employee anterior Don't No sabe know (No suma el 100%. Los encuestados fueron solicitados a indicar todo lo que corresponda.) Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 23

24 4. Brechas: Muchos no conocen información básica Impactos en el negocio Muchos encuestados reportan impactos serios en el negocio como brechas de seguridad % Financial Pérdidas losses financieras Theft Roboof de intellectual propiedadproperty intelectual Compromise Compromiso to con brand/reputation la marca/reputación Fraude Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 24

25 Agenda 1. Introducción 2. Principales inversiones: Cambios sutiles pero significativos 3. Prioridades recientes 4. Brechas: Muchos no conocen información básica 5. Oportunidades 6. Tendencias regionales 7. Prácticas de gestión de proyectos

26 5. Oportunidades Lo que más importa: Liderazgo y un plan Menos de 6 en 10 encuestados dicen que su empresa tiene una estrategia de seguridad global o emplearon un CSO. 60% 60% 56% 57% 59% 50% 40% 30% 20% 10% 0% Contrataron Employ a CISO un CSO or CSO Tiene Have una an overall estrategia information de seguridad security de strategy la información Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 26

27 5. Oportunidades Cumplimiento: Pocas empresas tienen una visión definida Más de 7 de 10 encuestados dicen que confían en que los activos de información de los usuarios cumplen las políticas de seguridad interna. Pero la mayoría no lo está verificando. 50% 40% 40% 44% 30% 20% 10% 0% Realiza Conduct pruebas compliance de cumplimiento testing Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 27

28 5. Oportunidades Protección de la privacía Está claro que mejorar la privacía de los datos no ha sido una prioridad. 50% 40% 30% 20% 22% 21% 28% 25% 33% 36% 44% 47% 41% 37% 10% 0% Employ Contratar Chief un Privacy Chief Privacy Officer Officer Auditar Audit losprivacy estándares standards de privacía through porthird party terceros assessment Tener Have un inventario accurate de Revisar Review las políticas privacy de donde inventory se almacenan of where privacía policies at al least menos once unaa lospersonal datos personales data for vezyear al año de employees los empleados and y customers clientes is stored Require Requerir third a terceros parties to comply cumplir with con our nuestras privacy políticas policies de privacía Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 28

29 5. Oportunidades Control de acceso: El progreso es claro, pero aún falta mucho por hacer Los encuestados indican que menos de la mitad de las organizaciones tienen un set robusto para identity management y control de acceso. 60% 55% 50% 40% 47% 42% 48% 35% 30% 20% 28% 22% 27% 15% 19% 10% 0% Almacenamiento Centralized user data centralizado de datos de store usuario Herramientas de User activity monitoreo de monitoring actividades tools de usuarios Software de single Reduced/single signon sign-on software Cuentas Automated automatizadas account deprovisioning Biométrico Biometrics Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 29

30 5. Oportunidades Tercerizaciones, alianzas La mayoría de los encuestados confían un poco (53%) o nada (10%) en las prácticas de seguridad de sus socios o proveedores. Esto se debe probablemente a que la protección de la seguridad de relaciones de colaboración no han alcanzado aún la masa crítica. 50% 40% 43% 37% 30% 28% 22% 20% 10% 0% Have Tener security una baselines de for seguridad partners, customers, para socios, suppliers clientes, and proveedores vendors Requerir Require a terceros third parties cumplir to comply con with las políticas privacy policies de seguridad Conduct Conducirdue unadiligence revisión de of terceros third parties manejando handling datos personales data de of employees/customers empleados/clientes Tener Have un inventory inventario of third de los parties terceros handling manejando sensitive datos sensitivos data 2008 Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 30

31 Agenda 1. Introducción 2. Principales inversiones: Cambios sutiles pero significativos 3. Prioridades recientes 4. Brechas: Muchos no conocen información básica 5. Oportunidades 6. Tendencias regionales 7. Prácticas de gestión de proyectos

32 6. Tendencias regionales India Estados Unidos Reino Unido Brasil China Australia Contar con una estrategia general de seguridad de la información 72% 65% 61% 46% 54% 51% Conducir análisis de riesgos de la organización al menos en el último año 78% 60% 58% 63% 74% 57% Contratar un CSO 77% 52% 48% 54% 68% 28% Tener un plan de Continuidad del Negocio o Recuperación de desastres 63% 62% 60% 43% 33% 50% Monitorear y analizar activamente la inteligencia de la seguridad 69% 56% 55% 54% 41% 45% Tener herramientas de prevención de intrusión 69% 63% 59% 64% 57% 55% Tener harramientas de detección de intrusión 68% 65% 62% 67% 46% 57% Capacitar al personal en la concientización de la seguridad 68% 61% 51% 45% 52% 54% No sabe que tipo de incidentes de seguridad ocurrieron 28% 49% 52% 39% 16% 46% Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 32

33 6. Tendencias regionales Europa-América del Sur Asegurar el Secure disposal of deshecho de technology hardware hardw are Europe, 61% South America, 54% Plan de Continuidad Business del negocio/ Recuperación continuity/disaster de desastres recovery plan Europe, 48% South America, 40% Procedimientos Established establecidos para procedures for el deployment de infraestructura infrastructure deployment Europe, 42% South America, 45% Proceso centralizado de Centralized security administración de la seguridad information de la management información process North America, 36% Europe, 46% South America, 49% 0% 10% 20% 30% 40% 50% 60% 70% Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 33

34 Agenda 1. Introducción 2. Principales inversiones: Cambios sutiles pero significativos 3. Prioridades recientes 4. Brechas: Muchos no conocen información básica 5. Oportunidades 6. Tendencias regionales 7. Prácticas de gestión de proyectos

35 7. 7. Prácticas de gestión de proyectos Razones para el fracaso de los proyectos Malas estimaciones/deadlines incumplidos Cambio del ambiente Cambio en la estrategia Metas imprecisas Insuficiente presupuesto Insuficiente motivación Insuficientes recursos Falta de apoyo de la gerencia Mala comunicación Mala calidad de los entregables Primera razón Segunda razón Cambios en el alcance Interesados no involucrados adecuadamente Mala gestión del proyecto Número de respuestas Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 35

36 7. Prácticas de gestión de proyectos Desarrollo del personal y performance de proyectos Alta performance (60-100%) Baja performance (0-40%) Porcentaje de Respuestas Siempre A veces Rara vez Nunca Programa de Desarrollo Siempre A veces Rara vez Nunca Programa de Desarrollo Versus Performance Programa de Desarrollo del Personal Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 36

37 7. Prácticas de gestión de proyectos Nivel de performance sin usar una metodología de Project Management Porcentaje de Respuestas Bajo Medio Alto <= 40% 41-59% >= 60% Nivel de Performance Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 37

38 7. Prácticas de gestión de proyectos Software de Project Management Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 38

39 7. Prácticas de gestión de proyectos Software de Project Management versus Performance Porcentaje de Respuestas (Dentro de cada Categoría de performance) Performance del Proyecto Uso de software de PM No uso de software de PM Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 39

40 7. Prácticas de gestión de proyectos Software de Project Management versus Nivel de Madurez Porcentaje de Respuestas Uso de software de PM No uso de software de PM Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel de Madurez * *Nivel de madurez alineado con el Project Management Institute s (PMI) PM2 Process Maturity Model Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 40

41 7. Prácticas de gestión de proyectos Portfolio Management - Áreas de gestión de Portafolio cubiertas por la Metodología Número de Respuestas Administración Administración Administración Administración Administración Administración de la capacidad de las competencias de la innovación de la priorización de la selección de beneficios de proyectos de proyectos Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 41

42 7. Prácticas de gestión de proyectos Portfolio Management Criterios usados para seleccionar y priorizar proyectos Retorno de la inversión Factor de riesgo Complejidad de los proyectos Alineación estratégica Tipo de proyecto (p.ej. Mantenimiento) Dependencia con el principal proyecto/programa Urgencia y reacción al mercado Tiempo para completarlo Esperar obtener beneficios Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 42

43 Nuestra Visión Ser la Firma líder en servicios profesionales, reconocida por ser diferente en su enfoque innovador, comportamiento ético, calidad, multidisciplinariedad, integración en torno al cliente y su aporte al desarrollo de la comunidad, que se caracteriza por relacionamientos profesionales de largo plazo, con rentabilidad sostenida en el tiempo y por la satisfacción y compromiso de sus talentos. Nivel de madurez de IT en las organizaciones - Presentación de la encuesta de Diapositiva 43