www.necsia.es
IDC España Plaza Colón, 2. Torre I. Planta 4º. 28046, Madrid Spain Tel.: (+34) 91 787 21 50 Fax: (+34) 91 787 21 65 S P E C I A L S T U D Y R e s u m e n E j e c u t i v o : A n á l i s i s d e l a S e g u r i d a d d e l a I n f o r m a c i ó n e n E s p a ñ a 2 0 1 2 José Curto Patrocinado por Near Technologies I D C O P I N I Ó N En el nuevo contexto en el que operan las organizaciones, las tecnologías de la información juegan un papel fundamental al acortar y automatizar los ciclos de negocio y convertirse en pieza angular de los procesos de una compañía. En este mercado en constante aceleración, las empresas requieren actuar con mayor agilidad, flexibilidad y mejores niveles de servicio. Pero al mismo tiempo, las organizaciones se enfrentan a la proliferación de regulaciones, amenazas, riesgos, dispositivos, usuarios, procesos y datos. Un reto que pone en jaque al departamento TI. Por lo que las organizaciones tienen una doble responsabilidad respecto a la información. Por un lado, proteger el dato que se ha convertido un activo de valor y, por otro, cumplir con las regulaciones aplicables al sector correspondiente. Esto propicia que la gestión de seguridad de la información esté adquiriendo cada vez mayor importancia en las organizaciones. Se establece necesario dotar a las empresas de sistemas adecuados y eficientes para reducir la complejidad que generan los factores anteriores. Comprender lo que los consumidores, y en particular lo que las grandes empresas, están realizando en España respecto la seguridad de la información nunca ha sido más crítico. Algunos de los aspectos más destacados de este estudio son: El 94,1 % de las empresas dispone de un área específica para la seguridad de la información, si bien está integrada mayoritariamente en el departamento TI (74,35%). La figura del CISO aún está en minoría en las organizaciones (10,95%) y la seguridad de la información recae principalmente en un responsable integrado dentro del departamento TI. Existe una gran sensibilidad hacia los temas de seguridad de la información por parte de las empresas. En particular, algunas empresas del estudio aseguran tener una certificación ISO 27001, BS 25999 y BS 25777, cuando los datos oficiales confirman que el número de empresas es menor. De forma que: El 78,2% de los encuestados usa un sistema de gestión de la seguridad de la información (SGSI) y el 44,3% afirma estar certificado bajo la norma ISO 27001/2, aunque los datos oficiales sitúa esta cifra alrededor del 15%. El 71,3% de los encuestados usa un sistema de gestión de la continuidad de negocio (SGCN) y el 29,2% asegura estar certificados bajo la norma BS- Información a cumplimentar: febrero 2012, IDC España #1 : Special Study
25999, mientras, en realidad, tan sólo el 0,99% de dichas empresas está certificado. El 90,1% de los encuestados usan plan de recuperación ante desastres (DRP) y el 30,8% asegura estar certificados bajo la norma BS-25777, aunque en realidad, según BSI group, no hay empresas certificadas bajo esta norma en España. Las empresas españolas conocen de forma significativa aquellas normativas de la seguridad de la información (como LOPD) que tienen un fuerte impacto en la cuenta de resultados por su incumplimiento o por el riesgo operacional o de negocio que entraña no cumplirlas. Existen sin embargo marcadas lagunas de conocimientos o uso que potencian los riesgos asociados a la no conformidad con las regulaciones vigentes. Los principales factores de preocupación en el ámbito de la seguridad de la información son las regulaciones y los riesgos / amenazas (con una nota media de 4,1 sobre 5). Los principales riesgos detectados son: el control de acceso de redes (72,3% de los encuestados), el control de acceso a las aplicaciones (69,3%) y los dispositivos móviles y portátiles (69,3%). Todos ellos fruto de la proliferación de datos, usuarios y aplicaciones. El presupuesto en seguridad de la información se estancará (55,3%) y en el menor de los casos crecerá (10,6%) por el valor que perciben por parte de los proveedores y para responder a la proliferación de riesgos y amenazas. Según el estudio, el número medio de proyectos disminuirá de 6 a 4 proyectos hecho que confirma la creciente complejidad de los mismos. IDC observa una creciente preocupación por la gestión de la seguridad de la información. Las empresas tienen el gran reto de balancear la gestión de la complejidad mientras controlan la inversión puesto que la proliferación de retos, amenazas, regulaciones, etc., se va a continuar acelerando. Por ello, se establece necesario no sólo un gasto eficiente de los presupuestos sino también el despliegue de sistemas que reduzca dicha complejidad. IDC recomienda a las organizaciones: Disponer de la persona adecuada para la gestión de la seguridad de la información, que para aquellas organizaciones grandes será el CISO. No realizar reducciones de presupuesto en la seguridad de la información. Aceptar la existencia o el incremento de las vulnerabilidades como medida de ahorro de costes no es una estrategia adecuada. Apoyarse en las certificaciones como mecanismo para asegurar el correcto funcionamiento del Sistema de Gestión de la Seguridad de la Información, del Plan de Continuidad de Negocio y del Plan de Contingencia Tecnológica. Siendo la consumerización un proceso inexorable, es necesario asignar presupuesto para evaluar los riesgos asociados y gestionarlos adecuadamente. #1 2012 IDC España
Esta misma idea debe aplicarse a la nube. Para el proveedor de cloud computing es necesario aplicar un nivel estricto de evaluación crítica de sus servicios, para a posteriori reevaluar la seguridad de información interna. 2012 IDC España #1
T A B L A D E C O N T E N I D O S PÁG. IDC Opinion 1 Metodología y muestra 1 Organización 1 Gobierno 1 Riesgos 3 Pro yectos e inversión 4 #1 2012 IDC España
Í N D I C E D E G R Á F I C O S 1 Nivel de Madurez... 3 2 Aspectos más relevantes en la seguridad de la información... 4 PÁG. 2012 IDC España #1
M E T O D O L O G Í A Y M U E S T R A Este resumen ejecutivo es un extracto del estudio sobre la seguridad de información en España 2011 que se realizó mediante llamadas telefónicas en Diciembre 2011 a 101 empresas. El estudio se focalizó en cuatro aspectos: organización, gobierno, riesgos y proyectos e inversión. Las empresas que participaron en este estudio tienen en su mayoría más de 500 empleados (70,3%), con especial presencia del sector financiero (22,8%) y la administración pública (21,8%). El 74,3% de los encuestados son responsables de seguridad TI y el 10,9%, el responsable de seguridad de la información. O R G A N I Z A C I Ó N La seguridad de la información ha adquirido relevancia en las organizaciones como confirman las empresas que han participado en el estudio: el 94,1% dispone de un área específica para la seguridad de la información y tan sólo el 5,9% no dispone de esta área. En la mayoría de casos esta área forma parte del departamento TI (74,35%) por la vinculación natural con la tecnología en lugar de con el negocio. Además, el 47,5% de ellas hacen uso de recursos externos como forma de reducir costes y aumentar la eficiencia ante la constante variabilidad y proliferación de amenazas y regulaciones. IDC considera a medida que se comprenda el impacto de la seguridad de la información en el negocio así como que el rol del departamento TI se transforme hacia un gestor de servicios en la nube que debe asumir más roles de innovación de negocio, más y más empresas se apoyarán en servicios externos y que las empresas se decantaran progresivamente por unidades independientes para el área de la seguridad de la información a partir del momento en que el foco de importancia esté centrado más en el negocio que en la tecnología. G O B I E R N O Garantizar el nivel de protección absoluto en una organización es virtualmente imposible, incluso en el caso de disponer de presupuesto ilimitado. Existen diversos sistemas que juegan un papel fundamental al permitir conocer los riesgos existentes y tener planes de acción frente a eventuales situaciones de riesgos. En esta línea, el estudio pone en manifiesto que: Las empresas apuesta por el uso de sistemas que mejoran la seguridad de la información como los sistemas de gestión de seguridad de la información (SGSI), implementado en un 78,2% de los casos: los sistemas de gestión de la continuidad de negocio (SGCN) implementado en un 71,3% de los encuestados; y los planes de recuperación ante desastres (DRP), implementados en un 90,1% de las empresas encuestadas. El nivel de certificación de las empresas respecto los sistemas anteriores es mucho menor de lo indicado tal y como pone en manifiesto los datos oficiales de 2012 IDC España #1 1
British Standards Institution Group (BSI Group), AENOR y Applus. Esta marcada divergencia puede explicarse por diversos motivos: (1) la existencia de una sensibilidad significativa ante el no cumplimiento de la normativa y expresar públicamente dicho incumplimiento, (2) una confusión entre SGSI y la propia normativa y/o (3) un desconocimiento de la propia norma. Por ejemplo, tan sólo alrededor del 15% de las empresas encuestadas están certificadas bajo la norma ISO 27001/2 que establece los requisitos a cumplir en la seguridad de la información, si bien según la encuesta el 44,3% de los SGSI implantados están certificados. Las organizaciones se enfrentan a la complejidad de conocer e implantar múltiples regulaciones y normas. Respecto este punto, las empresas tienen un mayor conocimiento respecto las regulaciones y normas existentes que tienen un impacto directo sobre la cuenta de resultados. Por ejemplo, el 99% de los encuestados conoce la Ley Orgánica de Protección de Datos (LOPD) mientras el 92,1% la ha implementado. Pero destaca de forma significativa que ciertas regulaciones que son de carácter obligatorio como la Ley Orgánica de Protección de datos (LOPD) o la Ley de Servicios de la Sociedad de la Información (LSSI) - de obligado cumplimiento si la actividad que se genera en la web genera beneficios económicos de forma directa o indirecta -, no sólo no sean conocidas por el 100% de los encuestados sino principalmente que no estén 100% implementadas (ver Gráfico 1). IDC considera que las organizaciones deben hacer un esfuerzo para completar las lagunas de conocimiento en el ámbito de la seguridad de la información como medida inicial para conocer sus necesidades y, en segundo lugar, incrementar el uso para reducir uno de los principales riesgos asociados: el incumplimiento. Como resultado también será mucho más fácil determinar cuál debe ser la estrategia en esta área a implementar. 2 #1 2012 IDC España
G R Á F I C O 1 N i v e l d e M a d u r e z P. Para cada una de las siguientes normas indique las si conoce y/o usa. n=101 Fuente: IDC 2012 R I E S G O S Para las empresas encuestadas las regulaciones y los riesgos / amenazas (ambas con una nota media de 4,1 sobre 5) son los principales factores de preocupación, si bien el 42% de los encuestados consideran que las regulaciones tienen la mayor importancia (ver Gráfico 2). Todo parece indicar que las organizaciones se sienten mucho más presionadas por las penalizaciones asociadas a las regulaciones que por los propios riesgos. En términos de riesgos concretos, la gran mayoría de empresas coinciden tanto en los principales riesgos detectados como en aquellos para los que han destinado presupuesto para el año 2012. Los tres principales riesgos detectados son: Control de acceso de redes: el 72,3% lo detecta como riesgo mientras el 47% lo considera como riesgo presupuestado. Control de acceso a las aplicaciones: el 69,3% lo detecta como riesgo mientras el 50,6% lo considera como riesgo presupuestado. Dispositivos móviles y portátiles: el 69,3% lo detecta como riesgo mientras el 51,8% lo considera como riesgo presupuestado. Para todos los riesgos analizados existe un marcado gap entre las necesidades identificadas y en qué iniciativas se va a poner foco, en muchos casos con una diferencia por encima del 20%. 2012 IDC España #1 3
G R Á F I C O 2 A s p e c t o s m á s r e l e v a n t e s e n l a s e g u r i d a d d e l a i n f o r m a c i ó n P. Podría indicar de las siguientes opciones cual es el grado de relevancia en su organización en el ámbito de la seguridad de la información? Costes 19% 33% 37% 21% Regulaciones 8% 19% 32% 42% Riesgos / Amenazas 8% 13% 43% 36% Complejidad 17% 37% 36% 19% 0 20 40 60 80 100 1 2 3 4 5 n=101, valoración del 1 al 5 siendo 1 menos relevancia y 5 mayor relevancia Fuente: IDC 2012 P R O Y E C T O S E I N V E R S I Ó N Las empresas españolas van a invertir en una gran variedad de proyectos relacionados con la seguridad de la información. Entre ellos destacan las regulaciones (15,2%), la implantación de SGSI (6,8%) y, en menor medida, la securización frente a la nube, a las redes, la movilidad y la proliferación de dispositivos. A medida que crecen el número de amenazas, mayor la dificultad de proporcionar unos servicios de seguridad de la información eficientes, de forma que aumenta la brecha entre las capacidades de autodefensa y el número de amenazas. Aunque el presupuesto medio asignado a la seguridad de información va a crecer un 14,96% en el 2012, este crecimiento sólo se va efectuar para aquellas empresas de más de 10.000 empleados. Por otro lado, el número de proyectos realizados en este ámbito va a pasar de 6 a 4. Todo parece indicar que a medida que se incrementan los efectos de las redes sociales, la movilidad, las nuevas amenazas y regulaciones en el seno de las empresas, también se incrementa la complejidad en el despliegue de dichos proyectos. Por lo que, las empresas españolas se enfrentan al reto de invertir eficientemente en la seguridad de la información. En esta situación, las empresas deben focalizarse en gastar de forma eficiente su presupuesto en la seguridad de la información. Según 4 #1 2012 IDC España
IDC, lograr esta eficiencia pasa por la negociación en la renovación de los servicios, aprovecharse de la consolidación del mercado de fabricantes e integradores, considerar la migración a SaaS (que tiene un impacto claro en el OPEX) y plantearse cuales de los servicios de seguridad de la información son susceptibles de beneficiarse de la virtualización y el cloud. D e r e c h o s R e s e r v a d o s Este documento de IDC ha sido publicado como parte de un servicio continuo de investigación ofrecido por IDC, proporcionando material escrito, interacción con analistas, teleconferencias y conferencias. Visítenos en Internet en www.idc.com/spain para conocer más acerca de los servicios de consultoría y suscripciones que IDC ofrece. Para acceder a todas las oficinas de IDC a nivel mundial visite www.idc.com/offices. También puede contactar con nosotros en la línea de atención al público de IDC España, tel. (+34) 91 787 21 50. Envíenos un e- mail a spainform@idc.com para solicitar información sobre la compra de algún servicio de IDC, cotización, copias adicionales o derechos de autor. IDC España, 2012 Copyright 2012 IDC. Todos los derechos reservados. Prohibida su reproducción total o parcial, por cualquier medio o forma, sin la autorización expresa y por escrito de su titular. 2012 IDC España #1 5