S P E C I A L S T U D Y



Documentos relacionados
Cuando las empresas se rinden al cloud

SaaS: aumenta la adopción, se dispara el conocimiento

Detonates de la virtualización del puesto de usuario

INFORME EJECUTIVO DE IDC

CONGRESO SECTORIAL DINTEL DATA CENTERS ISO 27001, ISO e ISO para asegurar la Eficiencia, Disponibilidad y Seguridad en CPDs.

SEGURIDAD DE LA INFORMACIÓN

ISO/IEC Sistema de Gestión de Seguridad de la Información

puede aumentar la innovación en la cartera de productos?

Cuándo y qué virtualizar? Cuándo y qué virtualizar? 1

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

0. Introducción Antecedentes

Ahorrar costes de TI. Actualizar la infraestructura del hardware y software de la compañía. Disponer de una solución escalable, que aporte mayor

RESUMEN DEL ESTUDIO SOBRE LAS NECESIDADES DE CERTIFICACIÓN Y ACREDITACIÓN EN MATERIA DE CIBERSEGURIDAD

OHSAS 18001: La integración de la Seguridad y Salud en el Trabajo en las organizaciones

Norma ISO 14001: 2015

Infraestructura Convergente (CI)

Principios de privacidad móvil

CA Technologies. Estrategia corporativa Marcus Vinicius Giorgi VP Regional Field Marketing Latin America & Caribbean

PMI. Pulso de la profesión Informe detallado. Gestión de carteras

Riesgos asociados al CLOUD

Plataformas virtuales

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Resumen de la solución SAP SAP Technology SAP Afaria. Gestión de la movilidad empresarial para mayor ventaja competitiva

PARTE IV. Sistema de gestión de la calidad

CALIDAD DEL SOFTWARE TESTS DE EXAMEN ACTUALIZADO SEP TEMA 3 NORMALIZACIÓN Y CERTIFICACIÓN: NORMA ISO 9001:2000

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

Aumente su rapidez y flexibilidad con una implantación del software SAP en la nube gestionada

ESTRATEGIA PARA EL DESARROLLO DEL SECTOR DE TI

Política General de control y Gestión de riesgos 18/02/14

Política General de Control y Gestión de Riesgos

El director de tecnologías de la información del futuro Informe de investigación. Convertirse en un impulsor del cambio en los negocios

Generar confianza en la nube. Implantación de estándares de Seguridad y Gestión. ISO ISO BS25999 LOPD

CAPÍTULO 1 INTRODUCCIÓN

Offering de Seguridad Tecnológica Seguridad de los Sistemas de Información

ASOCIACIÓN INTERNACIONAL DE SUPERVISORES DE SEGUROS

MOBILE BUSINESS INTELLIGENCE

Norma ISO 14001: 2004

Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets

I PARTE MARCO TEORICO. La globalización de los mercados, la intensificación de la competencia, el acortamiento

INTRODUCCIÓN... 3 PARTICIPANTES EN EL ESTUDIO... 4 ANÁLISIS RESULTADOS EVOLUCIÓN SERVICIOS DE TI...

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Norma ISO 9001: Sistema de Gestión de la Calidad

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Introducción. La certificación bajo la norma ISO garantiza que una empresa tiene implantado un SGSI y refuerza su imagen de marca.

Bechtle Solutions Servicios Profesionales

El futuro de los servicios Cloud Software como Servicio. Resultado encuesta a expertos

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Estamos CERCA de ti, para que llegues LEJOS

Tratamiento del Riesgo

Introducción. La diferenciación positiva de las empresas de APROSER

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Los riesgos de un ambiente de negocios en constante transformación

SOLUCIONES DE CONTINUIDAD DE NEGOCIO

Guía EMPRESA INTELIGENTE 2.0 para la PYME

Perspectivas de los servicios financieros sobre el papel y el impacto real de la nube

Escritorios virtuales

Uso del BSC en la Gestión de Riesgos TI

Presentación. Sage Innova

LA LOGÍSTICA COMO FUENTE DE VENTAJAS COMPETITIVAS

Aviso Legal. Entorno Digital, S.A.

Auditorías Energéticas obligatorias antes del 5 de diciembre de 2015

EmE 2012 Estudio de la Movilidad en las Empresas

El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas

EN LA LA EMPRESA EMPRESA

RESUMEN EJECUTIVO. EmE Estudio de la Movilidad en las Empresas. Octubre 2014

Estatuto de Auditoría Interna

Introducción. 2 Estudio de Seguridad Patrimonial Deloitte Advisory, S.L.

El director de innovación del futuro Informe de investigación

NORMATIVA ISO Tasador colaborador con con la la justicia

Antes O1 de invertir INVERSOR MINORISTA? Su entidad le clasificará normalmente como inversor minorista. Qué tipo de cliente 1.1 es usted?

SYSMAN SOFTWARE. Soluciones efectivas

Gestión de Seguridad Informática


GUÍA PARA LA MEJORA DE LA GESTIÓN PREVENTIVA. Contratación y subcontratación de actividades GUÍA CONTRATACIÓN Y SUBCONTRATACIÓN DE ACTIVIDADES

BYOD - Retos de seguridad

Enfoque de la subcontratación en PRL

La calidad no está reñida con los costes

PLANES PARA LA CONTINUIDAD DEL NEGOCIO BUSINESS CONTINUITY MANAGEMENT (BCM)

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

INTRODUCCIÓN. 1. Definición del problema

INFORME UCSP Nº: 2011/0070

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC Antonio Villalón Huerta Grupo S2

Pragmatica C O N S U L T O R E S

Sistema de Administración del Riesgos Empresariales

Ley Orgánica de Protección de Datos

INFORME SOBRE LA COMPETENCIA EN EL MANTENIMIENTO DE ASCENSORES REALIZADO POR LOS ORGANISMOS DE CONTROL AUTORIZADOS EN EXTREMADURA INTRODUCCIÓN

LOPD EN LA EMPRESA. Cómo proteger el acceso a los datos en formato automatizado (parte I) Proteger el acceso al servidor.

Necesita proteger su información? Tome medidas con ISO/IEC de BSI.

Técnicas de valor presente para calcular el valor en uso

Protocolos de los Indicadores G3: Responsabilidad sobre productos (PR) GRI. Version 3.0

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

Horizons. BYOD y virtualización. Introducción. Las 10 ideas principales del estudio Cisco IBSG. Horizons

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

Tecnologías y servicios para la Administración Pública del S.XXI

IV SESIÓN DE TRABAJO DE FORO DE EXPERTOS EN RSE El Informe de RSE como motor de la Responsabilidad Social

servicios públicos establecer un plan director de almacenamiento

CAS- CHILE S.A. DE I.

Proceso: AI2 Adquirir y mantener software aplicativo

Transcripción:

www.necsia.es

IDC España Plaza Colón, 2. Torre I. Planta 4º. 28046, Madrid Spain Tel.: (+34) 91 787 21 50 Fax: (+34) 91 787 21 65 S P E C I A L S T U D Y R e s u m e n E j e c u t i v o : A n á l i s i s d e l a S e g u r i d a d d e l a I n f o r m a c i ó n e n E s p a ñ a 2 0 1 2 José Curto Patrocinado por Near Technologies I D C O P I N I Ó N En el nuevo contexto en el que operan las organizaciones, las tecnologías de la información juegan un papel fundamental al acortar y automatizar los ciclos de negocio y convertirse en pieza angular de los procesos de una compañía. En este mercado en constante aceleración, las empresas requieren actuar con mayor agilidad, flexibilidad y mejores niveles de servicio. Pero al mismo tiempo, las organizaciones se enfrentan a la proliferación de regulaciones, amenazas, riesgos, dispositivos, usuarios, procesos y datos. Un reto que pone en jaque al departamento TI. Por lo que las organizaciones tienen una doble responsabilidad respecto a la información. Por un lado, proteger el dato que se ha convertido un activo de valor y, por otro, cumplir con las regulaciones aplicables al sector correspondiente. Esto propicia que la gestión de seguridad de la información esté adquiriendo cada vez mayor importancia en las organizaciones. Se establece necesario dotar a las empresas de sistemas adecuados y eficientes para reducir la complejidad que generan los factores anteriores. Comprender lo que los consumidores, y en particular lo que las grandes empresas, están realizando en España respecto la seguridad de la información nunca ha sido más crítico. Algunos de los aspectos más destacados de este estudio son: El 94,1 % de las empresas dispone de un área específica para la seguridad de la información, si bien está integrada mayoritariamente en el departamento TI (74,35%). La figura del CISO aún está en minoría en las organizaciones (10,95%) y la seguridad de la información recae principalmente en un responsable integrado dentro del departamento TI. Existe una gran sensibilidad hacia los temas de seguridad de la información por parte de las empresas. En particular, algunas empresas del estudio aseguran tener una certificación ISO 27001, BS 25999 y BS 25777, cuando los datos oficiales confirman que el número de empresas es menor. De forma que: El 78,2% de los encuestados usa un sistema de gestión de la seguridad de la información (SGSI) y el 44,3% afirma estar certificado bajo la norma ISO 27001/2, aunque los datos oficiales sitúa esta cifra alrededor del 15%. El 71,3% de los encuestados usa un sistema de gestión de la continuidad de negocio (SGCN) y el 29,2% asegura estar certificados bajo la norma BS- Información a cumplimentar: febrero 2012, IDC España #1 : Special Study

25999, mientras, en realidad, tan sólo el 0,99% de dichas empresas está certificado. El 90,1% de los encuestados usan plan de recuperación ante desastres (DRP) y el 30,8% asegura estar certificados bajo la norma BS-25777, aunque en realidad, según BSI group, no hay empresas certificadas bajo esta norma en España. Las empresas españolas conocen de forma significativa aquellas normativas de la seguridad de la información (como LOPD) que tienen un fuerte impacto en la cuenta de resultados por su incumplimiento o por el riesgo operacional o de negocio que entraña no cumplirlas. Existen sin embargo marcadas lagunas de conocimientos o uso que potencian los riesgos asociados a la no conformidad con las regulaciones vigentes. Los principales factores de preocupación en el ámbito de la seguridad de la información son las regulaciones y los riesgos / amenazas (con una nota media de 4,1 sobre 5). Los principales riesgos detectados son: el control de acceso de redes (72,3% de los encuestados), el control de acceso a las aplicaciones (69,3%) y los dispositivos móviles y portátiles (69,3%). Todos ellos fruto de la proliferación de datos, usuarios y aplicaciones. El presupuesto en seguridad de la información se estancará (55,3%) y en el menor de los casos crecerá (10,6%) por el valor que perciben por parte de los proveedores y para responder a la proliferación de riesgos y amenazas. Según el estudio, el número medio de proyectos disminuirá de 6 a 4 proyectos hecho que confirma la creciente complejidad de los mismos. IDC observa una creciente preocupación por la gestión de la seguridad de la información. Las empresas tienen el gran reto de balancear la gestión de la complejidad mientras controlan la inversión puesto que la proliferación de retos, amenazas, regulaciones, etc., se va a continuar acelerando. Por ello, se establece necesario no sólo un gasto eficiente de los presupuestos sino también el despliegue de sistemas que reduzca dicha complejidad. IDC recomienda a las organizaciones: Disponer de la persona adecuada para la gestión de la seguridad de la información, que para aquellas organizaciones grandes será el CISO. No realizar reducciones de presupuesto en la seguridad de la información. Aceptar la existencia o el incremento de las vulnerabilidades como medida de ahorro de costes no es una estrategia adecuada. Apoyarse en las certificaciones como mecanismo para asegurar el correcto funcionamiento del Sistema de Gestión de la Seguridad de la Información, del Plan de Continuidad de Negocio y del Plan de Contingencia Tecnológica. Siendo la consumerización un proceso inexorable, es necesario asignar presupuesto para evaluar los riesgos asociados y gestionarlos adecuadamente. #1 2012 IDC España

Esta misma idea debe aplicarse a la nube. Para el proveedor de cloud computing es necesario aplicar un nivel estricto de evaluación crítica de sus servicios, para a posteriori reevaluar la seguridad de información interna. 2012 IDC España #1

T A B L A D E C O N T E N I D O S PÁG. IDC Opinion 1 Metodología y muestra 1 Organización 1 Gobierno 1 Riesgos 3 Pro yectos e inversión 4 #1 2012 IDC España

Í N D I C E D E G R Á F I C O S 1 Nivel de Madurez... 3 2 Aspectos más relevantes en la seguridad de la información... 4 PÁG. 2012 IDC España #1

M E T O D O L O G Í A Y M U E S T R A Este resumen ejecutivo es un extracto del estudio sobre la seguridad de información en España 2011 que se realizó mediante llamadas telefónicas en Diciembre 2011 a 101 empresas. El estudio se focalizó en cuatro aspectos: organización, gobierno, riesgos y proyectos e inversión. Las empresas que participaron en este estudio tienen en su mayoría más de 500 empleados (70,3%), con especial presencia del sector financiero (22,8%) y la administración pública (21,8%). El 74,3% de los encuestados son responsables de seguridad TI y el 10,9%, el responsable de seguridad de la información. O R G A N I Z A C I Ó N La seguridad de la información ha adquirido relevancia en las organizaciones como confirman las empresas que han participado en el estudio: el 94,1% dispone de un área específica para la seguridad de la información y tan sólo el 5,9% no dispone de esta área. En la mayoría de casos esta área forma parte del departamento TI (74,35%) por la vinculación natural con la tecnología en lugar de con el negocio. Además, el 47,5% de ellas hacen uso de recursos externos como forma de reducir costes y aumentar la eficiencia ante la constante variabilidad y proliferación de amenazas y regulaciones. IDC considera a medida que se comprenda el impacto de la seguridad de la información en el negocio así como que el rol del departamento TI se transforme hacia un gestor de servicios en la nube que debe asumir más roles de innovación de negocio, más y más empresas se apoyarán en servicios externos y que las empresas se decantaran progresivamente por unidades independientes para el área de la seguridad de la información a partir del momento en que el foco de importancia esté centrado más en el negocio que en la tecnología. G O B I E R N O Garantizar el nivel de protección absoluto en una organización es virtualmente imposible, incluso en el caso de disponer de presupuesto ilimitado. Existen diversos sistemas que juegan un papel fundamental al permitir conocer los riesgos existentes y tener planes de acción frente a eventuales situaciones de riesgos. En esta línea, el estudio pone en manifiesto que: Las empresas apuesta por el uso de sistemas que mejoran la seguridad de la información como los sistemas de gestión de seguridad de la información (SGSI), implementado en un 78,2% de los casos: los sistemas de gestión de la continuidad de negocio (SGCN) implementado en un 71,3% de los encuestados; y los planes de recuperación ante desastres (DRP), implementados en un 90,1% de las empresas encuestadas. El nivel de certificación de las empresas respecto los sistemas anteriores es mucho menor de lo indicado tal y como pone en manifiesto los datos oficiales de 2012 IDC España #1 1

British Standards Institution Group (BSI Group), AENOR y Applus. Esta marcada divergencia puede explicarse por diversos motivos: (1) la existencia de una sensibilidad significativa ante el no cumplimiento de la normativa y expresar públicamente dicho incumplimiento, (2) una confusión entre SGSI y la propia normativa y/o (3) un desconocimiento de la propia norma. Por ejemplo, tan sólo alrededor del 15% de las empresas encuestadas están certificadas bajo la norma ISO 27001/2 que establece los requisitos a cumplir en la seguridad de la información, si bien según la encuesta el 44,3% de los SGSI implantados están certificados. Las organizaciones se enfrentan a la complejidad de conocer e implantar múltiples regulaciones y normas. Respecto este punto, las empresas tienen un mayor conocimiento respecto las regulaciones y normas existentes que tienen un impacto directo sobre la cuenta de resultados. Por ejemplo, el 99% de los encuestados conoce la Ley Orgánica de Protección de Datos (LOPD) mientras el 92,1% la ha implementado. Pero destaca de forma significativa que ciertas regulaciones que son de carácter obligatorio como la Ley Orgánica de Protección de datos (LOPD) o la Ley de Servicios de la Sociedad de la Información (LSSI) - de obligado cumplimiento si la actividad que se genera en la web genera beneficios económicos de forma directa o indirecta -, no sólo no sean conocidas por el 100% de los encuestados sino principalmente que no estén 100% implementadas (ver Gráfico 1). IDC considera que las organizaciones deben hacer un esfuerzo para completar las lagunas de conocimiento en el ámbito de la seguridad de la información como medida inicial para conocer sus necesidades y, en segundo lugar, incrementar el uso para reducir uno de los principales riesgos asociados: el incumplimiento. Como resultado también será mucho más fácil determinar cuál debe ser la estrategia en esta área a implementar. 2 #1 2012 IDC España

G R Á F I C O 1 N i v e l d e M a d u r e z P. Para cada una de las siguientes normas indique las si conoce y/o usa. n=101 Fuente: IDC 2012 R I E S G O S Para las empresas encuestadas las regulaciones y los riesgos / amenazas (ambas con una nota media de 4,1 sobre 5) son los principales factores de preocupación, si bien el 42% de los encuestados consideran que las regulaciones tienen la mayor importancia (ver Gráfico 2). Todo parece indicar que las organizaciones se sienten mucho más presionadas por las penalizaciones asociadas a las regulaciones que por los propios riesgos. En términos de riesgos concretos, la gran mayoría de empresas coinciden tanto en los principales riesgos detectados como en aquellos para los que han destinado presupuesto para el año 2012. Los tres principales riesgos detectados son: Control de acceso de redes: el 72,3% lo detecta como riesgo mientras el 47% lo considera como riesgo presupuestado. Control de acceso a las aplicaciones: el 69,3% lo detecta como riesgo mientras el 50,6% lo considera como riesgo presupuestado. Dispositivos móviles y portátiles: el 69,3% lo detecta como riesgo mientras el 51,8% lo considera como riesgo presupuestado. Para todos los riesgos analizados existe un marcado gap entre las necesidades identificadas y en qué iniciativas se va a poner foco, en muchos casos con una diferencia por encima del 20%. 2012 IDC España #1 3

G R Á F I C O 2 A s p e c t o s m á s r e l e v a n t e s e n l a s e g u r i d a d d e l a i n f o r m a c i ó n P. Podría indicar de las siguientes opciones cual es el grado de relevancia en su organización en el ámbito de la seguridad de la información? Costes 19% 33% 37% 21% Regulaciones 8% 19% 32% 42% Riesgos / Amenazas 8% 13% 43% 36% Complejidad 17% 37% 36% 19% 0 20 40 60 80 100 1 2 3 4 5 n=101, valoración del 1 al 5 siendo 1 menos relevancia y 5 mayor relevancia Fuente: IDC 2012 P R O Y E C T O S E I N V E R S I Ó N Las empresas españolas van a invertir en una gran variedad de proyectos relacionados con la seguridad de la información. Entre ellos destacan las regulaciones (15,2%), la implantación de SGSI (6,8%) y, en menor medida, la securización frente a la nube, a las redes, la movilidad y la proliferación de dispositivos. A medida que crecen el número de amenazas, mayor la dificultad de proporcionar unos servicios de seguridad de la información eficientes, de forma que aumenta la brecha entre las capacidades de autodefensa y el número de amenazas. Aunque el presupuesto medio asignado a la seguridad de información va a crecer un 14,96% en el 2012, este crecimiento sólo se va efectuar para aquellas empresas de más de 10.000 empleados. Por otro lado, el número de proyectos realizados en este ámbito va a pasar de 6 a 4. Todo parece indicar que a medida que se incrementan los efectos de las redes sociales, la movilidad, las nuevas amenazas y regulaciones en el seno de las empresas, también se incrementa la complejidad en el despliegue de dichos proyectos. Por lo que, las empresas españolas se enfrentan al reto de invertir eficientemente en la seguridad de la información. En esta situación, las empresas deben focalizarse en gastar de forma eficiente su presupuesto en la seguridad de la información. Según 4 #1 2012 IDC España

IDC, lograr esta eficiencia pasa por la negociación en la renovación de los servicios, aprovecharse de la consolidación del mercado de fabricantes e integradores, considerar la migración a SaaS (que tiene un impacto claro en el OPEX) y plantearse cuales de los servicios de seguridad de la información son susceptibles de beneficiarse de la virtualización y el cloud. D e r e c h o s R e s e r v a d o s Este documento de IDC ha sido publicado como parte de un servicio continuo de investigación ofrecido por IDC, proporcionando material escrito, interacción con analistas, teleconferencias y conferencias. Visítenos en Internet en www.idc.com/spain para conocer más acerca de los servicios de consultoría y suscripciones que IDC ofrece. Para acceder a todas las oficinas de IDC a nivel mundial visite www.idc.com/offices. También puede contactar con nosotros en la línea de atención al público de IDC España, tel. (+34) 91 787 21 50. Envíenos un e- mail a spainform@idc.com para solicitar información sobre la compra de algún servicio de IDC, cotización, copias adicionales o derechos de autor. IDC España, 2012 Copyright 2012 IDC. Todos los derechos reservados. Prohibida su reproducción total o parcial, por cualquier medio o forma, sin la autorización expresa y por escrito de su titular. 2012 IDC España #1 5

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback