Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Transcripción

1 Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega "tal cual". La información y los puntos de vista expresados en este documento, incluidas las URL y otras referencias a sitios web de Internet, pueden cambiar sin aviso previo. Usted asume el riesgo de usar estas referencias. Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Copyright 2014 Microsoft Corporation. Todos los derechos reservados.

2 Tendencias de seguridad en el sector financiero Los panoramas de tecnología de la información (IT) en las organizaciones bancarias y financieras mundiales están cambiando rápidamente, en parte a causa del descubrimiento de que más de un 75 % de los clientes están dispuestos a cambiar de institución financiera si se ofrece mejor tecnología. 1 En consecuencia, las organizaciones bancarias y financieras están trabajando para brindar soluciones que usen tecnologías más nuevas a usuarios cada vez más tecnológicos. Adicionalmente, las organizaciones bancarias y financieras usan las capacidades de vanguardia de las redes sociales para ayudar a aumentar su participación en el mercado. Estos factores requieren una atención especial para desarrollar capacidades de TI y una buena comprensión de los reglamentos financieros clave, como Sarbanes-Oxley (SOX); un estudio sugiere que entre un 30 % y un 50 % de las organizaciones financieras están gastando sus presupuestos de TI discrecionales en el cumplimiento de normas. 2 La computación en la nube puede ayudar a mejorar los perfiles de seguridad de las organizaciones financieras al entregar a los proveedores de servicios en la nube (CSP, por sus siglas en inglés) la carga de garantizar el cumplimiento de normas y minimizar riesgos. Aunque la nube ofrece beneficios considerables, las organizaciones que adoptan soluciones basadas en la nube también se pueden beneficiar de tener una comprensión de la relativa madurez de sus propias prácticas de seguridad. Las tendencias de seguridad que se identifican en este informe son el resultado de datos anónimos que se recolectaron a partir de participantes en una encuesta que se realizó durante el periodo de noviembre de 2012 a febrero de Las tendencias son representativas de una muestra mundial. Para obtener más información, incluidos los resultados mundiales y las tablas a partir de las cuales se elaboraron los descubrimientos, visite Forecast: Tech Trends in Commercial Banking (Pronóstico 2014: Tendencias tecnológicas en la banca comercial) : 2 Market Trends: Banking, Worldwide 2014 (Tendencias del mercado: Banca, Mundial 2014) (PDF) 2 TENDENCIAS DE SEGURIDAD

3 Descubrimientos clave 20% de las organizaciones financieras encuestadas no utiliza un control de acceso basado en roles Las organizaciones financieras que no usan roles de empleados (como administrador, usuario e invitado) para gestionar el acceso pueden permitir el acceso ilegal a recursos y crear vulnerabilidades. El 26 % de todos los sectores encuestados en el mundo no utiliza un control de acceso basado en roles, lo que sugiere que las organizaciones financieras (un 20 %) son más maduras al respecto. Adicionalmente, el 38 % de las respuestas indican que las organizaciones financieras están registrando y auditando el acceso de usuarios en base a políticas y prácticas adecuadas. Casi un 20 % de las organizaciones financieras no cuenta con los mecanismos, las políticas o los procedimientos para retirar o cambiar el acceso de un empleado cuando es despedido o reasignado, que es el mismo porcentaje que el promedio del sector mundial. El factor humano es uno de los contribuyentes más importantes al éxito de un plan de seguridad de la información, pero también representa uno de los mayores riesgos. El personal malicioso o descontento con acceso a elementos de información importante pueden ser una amenaza significativa a la seguridad de esos elementos. Incluso las personas sin intenciones maliciosas pueden representar un peligro si no comprenden claramente sus responsabilidades relativas a la seguridad de la información. Restringir el acceso por rol y también por necesidad de información Restringir la cantidad de personas que pueden otorgar autorizaciones a un grupo relativamente pequeño de integrantes del personal de confianza y realizar un seguimiento de las autorizaciones con un sistema de tickets o acceso Revisar y actualizar frecuentemente una lista de personal autorizado. Los mayores CSP normalmente realizan revisiones de antecedentes antes y después de contratar a sus empleados. 21% de las organizaciones financieras encuestadas no es eficaz en la gestión del acceso físico Esta falta de habilidad para administrar el acceso físico puede dejar archivos y espacios considerados seguros vulnerables y sin nadie responsable. ABRIL DE

4 El 30 % de todos los sectores encuestados en el mundo no es eficaz en la gestión del acceso físico, lo que sugiere que las organizaciones financieras (un 21 %) son más maduras al respecto. Mantener actualizado el control del acceso físico es uno de los pasos más importantes que puede tomar una organización para proteger sus elementos de información confidencial. Si una entidad maliciosa obtiene acceso no autorizado a las instalaciones que alojan datos confidenciales, hardware y componentes de red de la empresa, los elementos de información pueden verse en un grave riesgo de divulgación, corrupción o pérdida. Solo el personal autorizado debe tener acceso a los datos y a los entornos de centros de datos. Los mecanismos de seguridad comunes incluyen puertas aseguradas por lectores biométricos o de tarjetas de ID, personal de recepción que debe identificar positivamente a los empleados y contratistas autorizados y, además, políticas que requieran que los visitantes autorizados sean escoltados y lleven tarjetas de invitado. Los CSP normalmente realizan operaciones en instalaciones de alta seguridad, protegidas por una variedad de mecanismos que controlan el acceso a las áreas restringidas. Usar un CSP como tal puede ayudar a reducir los costos de gestión de centros de datos en las instalaciones. 37% de las organizaciones financieras encuestadas no utiliza una clasificación de datos estandarizada Esto sugiere que la información secreta y confidencial puede estar mal calificada o no calificada en lo absoluto. El 42 % de todos los sectores encuestados en el mundo no utiliza una clasificación de datos estandarizada, lo que sugiere que las organizaciones financieras (un 37 %) son más maduras en cuanto al uso de clasificación de datos. La clasificación de datos estandarizada, que involucra asociar cada elemento de datos con un conjunto de atributos estándar, puede ayudar a una organización a identificar qué elementos requieren un manejo especial para brindar seguridad y protección a la privacidad. Las organizaciones deben asegurar que los almacenes de datos que contienen información de clientes estén clasificados como elementos confidenciales que requieren un nivel de seguridad elevado. Los CSP normalmente clasifican los datos y otros elementos de acuerdo a políticas bien definidas, las que dictan un conjunto estándar de atributos de seguridad y privacidad, entre otros. 4 TENDENCIAS DE SEGURIDAD

5 23% de las organizaciones financieras encuestadas cuenta con políticas y prácticas de eliminación segura de datos adecuadas Además, en más de un 14 % de las organizaciones bancarias, los empleados individuales deben realizar sus propias funciones de retención y respaldo de documentos, sin una política o procedimiento formal, lo que puede llevar a infracciones de retención de datos. El 31 % de todos los sectores encuestados en el mundo cuenta con políticas y prácticas de eliminación segura de datos adecuadas, lo que sugiere que las organizaciones financieras (un 23 %) son menos maduras al respecto. Una política de eliminación de datos efectiva brinda una orientación acerca de cómo y dónde eliminar los datos de forma segura y ayuda a proporcionar a los usuarios las herramientas necesarias para cumplir con la política. Las organizaciones deben tener un plan de respaldo y recuperación de datos que defina un enfoque acerca del respaldo y la recuperación de datos en caso de necesidad. Un plan de respaldo y recuperación de datos común asigna responsabilidades claras a miembros específicos del personal y define objetivos para el respaldo y la recuperación. Además, las estrictas políticas que regulan la eliminación adecuada de registros electrónicos y en papel ayudan a evitar que se divulguen datos confidenciales sin autorización. Los CSP normalmente mantienen un marco de trabajo de respaldo y recuperación de datos consistente con las prácticas del sector. Adicionalmente, los datos electrónicos almacenados por los proveedores de servicios en la nube normalmente se encuentran sujetos a estrictas políticas de eliminación de datos, las que se derivan de los programas de clasificación de datos y que requieren que los medios eliminados sean destruidos o corregidos, según lo indicado por un programa de retención y recuperación de datos. 22% de las organizaciones financieras encuestadas no ha establecido un programa de gestión de riesgos formal Además, el mismo 22 % probablemente solo realiza evaluaciones de riesgo cuando ocurren incidentes. El 27 % de todos los sectores encuestados en todo el mundo no ha establecido un programa de gestión de riesgos formal, lo que sugiere que las organizaciones financieras (un 22 %) son más maduras al respecto. ABRIL DE

6 Realizar evaluaciones de riesgo frecuentes puede ayudar a una organización a realizar un seguimiento de cómo se almacena y transmite la información confidencial entre aplicaciones, bases de datos, servidores y redes. La evaluación de riesgos ayuda al cumplimiento con periodos de retención definidos y requisitos de eliminación al final de la vida útil y ayuda a proteger los datos del uso no autorizado, el acceso, la pérdida, la destrucción y la falsificación. Las organizaciones deben tener un plan de seguridad de la información. Esos planes son más eficaces cuando se integran con un mayor marco de trabajo de gestión de riesgos de la información. Los CSP normalmente realizan evaluaciones de riesgo frecuentes que evalúan las amenazas a la confidencialidad, la integridad y la disponibilidad de los datos y otros elementos bajo su control; normalmente usan marcos de trabajo de gestión de riesgos de la información. 29% de las organizaciones financieras encuestadas no cuenta con un plan para responder a las violaciones de seguridad Este descubrimiento puede significar que el mismo 29 % de las organizaciones nunca ha realizado una prueba respecto al peor escenario posible y que solo toman medidas cuando se les exige que lo hagan. El 40 % de todos los sectores encuestados en el mundo no cuenta con un plan para responder a las violaciones de seguridad, lo que sugiere que las organizaciones financieras (un 29 %) son más maduras al respecto. Cuando ocurre un incidente de seguridad, realizar un informe adecuado y oportuno puede significar la diferencia entre contener el daño y sufrir una violación mayor o perder elementos de información importantes. Para una respuesta ante incidentes efectiva, es importante comunicar que la información de los eventos de seguridad se debe informar a las entidades correspondientes de forma inmediata y clara. Los CSP normalmente requieren que su personal informe cualquier incidente de seguridad, debilidad o mal funcionamiento de inmediato con procedimientos documentados y probados. 6 TENDENCIAS DE SEGURIDAD

7 38% de las organizaciones financieras encuestadas no cuenta con planes de recuperación ante desastres presupuestados Un plan de recuperación ante desastres define el enfoque y los pasos que deberá tomar una organización para continuar sus operaciones bajo condiciones adversas como desastres naturales, ataques o disturbios. El 35 % de todos los sectores encuestados en el mundo no cuenta con planes de recuperación ante desastres presupuestados, lo que sugiere que las organizaciones financieras (un 38 %) son menos maduras al respecto. Se debe crear un plan de recuperación ante desastres que asigne responsabilidades claras a miembros específicos del personal, defina objetivos de recuperación, delinee los estándares de notificación, escalamiento y desaceleración y brinde capacitación para todas las entidades correspondientes. Los CSP normalmente mantienen marcos de trabajo de recuperación ante desastres consistentes con las prácticas del sector. ABRIL DE