2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina
ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que impulsan la seguridad están cambiando....10 Hallazgo 3: Los ciberataques impactan a las organizaciones...12 Hallazgo 4: Qué están haciendo las empresas con respecto a seguridad?...16 Recomendaciones clave...18 Reporte sobre Seguridad Empresarial 2011 3
Introducción En su Reporte sobre Seguridad Empresarial 2011, Symantec buscó actualizar su perspectiva global acerca de amenazas de seguridad, tendencias y respuestas claves en varios tipos de negocios en todo el mundo, incluyendo PYMEs y empresas más grandes, en total 3,300. Claro está, los hallazgos obtenidos de esta encuesta brindan una visión estratégica del mercado para Symantec. Sin embargo, al mismo tiempo, el compartir resultados con la industria en general y con profesionales de TI en particular, resultará en estándares de comparación para evaluar el estado de su propia preparación con respecto a la ciberseguridad. Globalmente, los encuestados consideran que es críticamente importante para su negocio proteger sus redes y datos. Muchos identifican una amenaza creciente en ciberataques, con importantes costos directos e indirectos que resultan de ellos. Con el panorama de TI continuando su migración del cómputo de escritorio a la móvil, combinado con el aumento de empleados móviles y remotos, los conductores de ciberseguridad de la industria reflejan estos cambios. Las organizaciones son cada vez mejores en su lucha contra las amenazas cibernéticas. Mientras que la mayoría de los encuestados sufrieron daños como resultado de ciberataques, de manera general los encuestados reportaron una disminución en la cantidad y frecuencia de estos ataques, comparado con 2010. Sin embargo, la encuesta reveló que muchas empresas-casi más de la mitad-podría hacer aún más para proteger sus redes y activos de información. En respuesta a esto, las compañías están incrementando personal y presupuesto de ciberseguridad. Este informe proporciona más datos acerca del Reporte sobre Seguridad Empresarial 2011, incluyendo nuestros cuatro principales hallazgos, seguido de recomendaciones para mejorar la ciberseguridad, al igual que una compilación de los datos más pertinentes de la encuesta detrás de nuestros hallazgos. Para más información acerca del contenido de este informe, por favor contacte a su representante Symantec o visite nuestra página web en www.symantec.com/la/ seguridad2011 4 Reporte sobre Seguridad Empresarial 2011
Reporte sobre Seguridad Empresarial 2011 5
Metodología Por encargo de Symantec, Applied Research contactó entre abril y mayo de 2011 a un total de 3,300 empresas, la mayoría de ellas, de entre 5 y más de 5,000 empleados. Los resultados en este reporte están basados en 250 empresas en América Latina que representan un abanico de industrias. En el caso de pequeñas empresas, los encuestados eran responsables de los recursos informáticos de la empresa, mientras que los entrevistados de empresas grandes eran ejecutivos de TI en táctica y estrategia o a nivel corporativo. La encuesta tiene un nivel de confiabilidad de 95%, con un margen de error de +/- 6.2%. 6 Reporte sobre Seguridad Empresarial 2011
Cuántos empleados tiene su empresa en todo el mundo? 5 a 49 9% 50 a 99 8% 100 a 249 10% 250 a 499 10% 500 a 999 12% 1,000 a 2,499 26% 2.500 a 4.999 (empresa mediana) 12% 5.000 ó más (empresa grande) 12% 0% 5% 10%1 5% 20%2 5% 30% Reporte sobre Seguridad Empresarial 2011 7
Hallazgo 1 La ciberseguridad es importante para el negocio Hoy en día las empresas se preocupan por una variedad de amenazas, incluyendo la actividad criminal, los sucesos relacionados a la marca, los desastres naturales y los ataques a nivel nacional como el terrorismo. Sin embargo, de acuerdo con los resultados de nuestra encuesta, sus inquietudes más importantes están relacionadas a la ciberseguridad. Su mayor preocupación está en los ciberataques, seguido de incidentes de TI causados por personal bienintencionado al igual que amenazas relacionadas con TI generadas internamente. No sólo han incrementado los ciberataques al primer lugar de la lista de peligros de las empresas, sino que la importancia de estas amenazas también ha aumentado para muchos de los encuestados. De hecho, 42% piensa que la ciberseguridad es más importante hoy de lo que era hace apenas un año. Esto se compara con 19% que dice que la importancia de la ciberseguridad está disminuyendo un poco o significativamente. Claramente, las empresas están cada vez más convencidas que es de suma importancia para sus operaciones mantener sus redes y su información seguras. Amenazas 8 Reporte sobre Seguridad Empresarial 2011
Por favor clasifique los siguientes riesgos en orden de importancia para su empresa (Se muestra el promedio. 1 - muy importante, 7 poco importante) 0 Ciberataques Incidentes de TI causados por personal bienintencionado Amenazas relacionadas con TI generado internamente Actividad criminal tradicional Desastres naturales Sucesos relacionados a marcas Terrorismo 1 2 3 4 3.24 3.56 3.90 4.07 4.12 4.18 5 4.86 6 7 Cómo ha cambiado en los últimos 12 meses la importancia de asegurar las plataformas y la información de su empresa? Significativamente muy importante 12% Algo muy importante 30% Es lo mismo 40% Algo menos importante 12% Significativamente menos importante 7% 0% 5% 10% 15% 20% 25% 30% 35% 40% La seguridad de TI se ve amenazada por tendencias como: Las amenazas más críticas son: Reporte sobre Seguridad Empresarial 2011 9
Hallazgo 2 Los factores que impulsan la seguridad están cambiando Hoy las preocupaciones sobre ciberseguridad corporativa están aumentando, por qué? Con el mercado saturado de dispositivos móviles, no es de extrañar que 49% de los encuestados considera que la movilidad es uno de los principales desafíos en términos de ciberseguridad. La movilidad puede estar revolucionando el panorama de productividad, pero TI considera que es muy difícil asegurar redes y datos corporativos. Además de la movilidad, 49% de los encuestados indica que otros motivos de preocupación inminentes provienen del aumento de redes sociales. Si bien estos canales de comunicación presentan oportunidades de mercadotecnia y colaboración únicas, las posibilidades de dar clic en enlaces maliciosos o publicar información confidencial, es preocupante para TI. Aún mayor es la preocupación por la consumerización de TI, dice 51% de los encuestados. Mientras que los usuarios finales adoptan nuevas tecnologías, como las computadoras tablet que van desde mercados de consumidores a mercados de negocio, TI debe atender los retos adicionales de brindar seguridad a esos puntos finales, así como a la conectividad de la red corporativa a estos dispositivos. Cuáles son las principales fuentes de amenazas de seguridad? El 54% de los encuestados señala a los hackers. En segundo lugar están los ataques dirigidos, según 48% de los encuestados. En tercer lugar, 47% dice que la principal fuente de amenazas de seguridad proviene de personal bienintencionado. 10 Reporte sobre Seguridad Empresarial 2011
Tendencias de la industria que dificultan la seguridad Infraestructura/Plataforma-como-Servicio público 43% Software-como-Servicio público 43% Virtualización 44% Cumplimiento 44% Cambios en el panorama de amenazas Cómputo en la nube privada 46% Cómputo móvil 49% Redes sociales 49% Crecimiento de la aplicación 50% Consumerización de TI 51% 0% 10% 20% 30% 40% 50% 60% Amenazas de seguridad bastante o algo importantes Ataques a nivel nacional 39% Hacktivismo 41% Personal malintencionado Criminales Espionaje industrial 46% Personal bienintencionado 47% Ataques dirigidos 48% Hackers 54% 0% 10% 20% 30% 40% 50% 60% 78% de los encuestados sufrió un ataque en el último año, incluyendo ataques de código malicioso, de ingeniería social y ataques externos malintencionados 23% de los encuestados observa que la frecuencia de los ataques está aumentando y que 1 de 5 ataques es bastante o significativamente eficaz Reporte sobre Seguridad Empresarial 2011 11
Hallazgo 3 Los ciberataques impactan a las organizaciones La preocupación de los encargados de TI por los hackers está basada en la cantidad de empresas víctimas de ciberataques. El 78% de las empresas sufrió ataques en los últimos 12 meses; 95% de los encuestados reportó pérdidas causadas por estos incidentes. El 23% reportó un aumento en la frecuencia de los ataques. Las tres pérdidas más importantes fueron el tiempo de inactividad, el robo de identidad de clientes y empleados, y el robo de propiedad intelectual. Cuán destructivos son estos ataques en términos de costos directos? En una palabra: sustanciales. En América Latina, 20% incurrió por lo menos en USD$181,220 por gastos por ataques en el último año. Los encuestados dicen que las principales fuentes de estos costos son la pérdida de productividad, pérdida de ingresos, y los costos para cumplir con regulaciones después de un ataque. Según los resultados de la encuesta, los métodos que utilizan los cibercriminales en sus ataques reflejan la evolución de la seguridad. Los ataques de código malicioso son los primeros en la lista, y 24% de los encuestados dijo que sufrieron una gran cantidad de este tipo de ataques en los últimos 12 meses. Efectos de los Ganancias 12 Reporte sobre Seguridad Empresarial 2011
El 22% dice haber sufrido una cantidad alta de ataques maliciosos externos en el año. Las acciones internas no intencionales también son un problema, afectando a 20% de los encuestados en el año. Curiosamente, los encuestados también consideran que dos de estos tres métodos de ciberataque están creciendo rápidamente, con ataques maliciosos externos reemplazando acciones internas no intencionales, en los primeros tres de la lista. Cómo vió los ciberataques hacia su empresa en los últimos 12 meses? Hubo una cantidad muy grande de ciberataques 2% Hubo una gran cantidad de ciberataques 6% Hubo ciberataques frecuentemente 23% Sólo hubo unos cuantos ciberataques 47% No hubo ciberataques 22% 0% 5% 10%1 5% 20%2 5% 30%3 5% 40%4 5% 50% 95% sufrió pérdidas debido a ciberataques incluyendo tiempo de inactividad, robo de identidad de clientes y empleados y robo de propiedad intelectual 86% de estas pérdidas se traduce en costos reales (productividad, ingresos, cumplimiento después de un ataque) 20% de los negocios US$181 perdió por lo menos USD$181,220 como resultado de ciberataques Reporte sobre Seguridad Empresarial 2011 13
Tipo de ataques con una cantidad muy alta en los últimos 12 meses Ataques dirigidos 15% Ataques de negación de servicio 16% Ataques malintencionados internos 17% Ataques de ingeniería social 19% Acciones internas no deliberadas 20% Ataques maliciosos externos 22% Ataques de código malicioso 24% 0% 5% 10%1 5% 20%2 5% Ataques que aumentaron un poco o muy rápido Ataque de código malicioso 18% Ataques de ingeniería social 18% Ataques maliciosos externos 19% Ataques dirigidos 20% Ataques malintencionados internos 24% Acciones internas no deliberadas 25% Ataques de negación de servicio 30% 0% 5% 10%1 5% 20%2 5% 30%3 5% 14 Reporte sobre Seguridad Empresarial 2011
Tipos de pérdidas sufridas por ciberataques Robo de información médica de empleados 15% Robo de identidad 16% Robo de otra información corporativa 19% Robo de información médica de clientes 19% Robo de información financiera de clientes 19% Robo de propiedad intelectual 23% Robo de identidad de empleados 24% Robo de identidad de clientes 25% Tiempo de inactividad de nuestro ambiente 30% 0% 5% 10%1 5% 20%2 5% 30%3 5% Costos de ciberataques Desconocemos lo que ha sido robado o haya sido afectado 13% Costos de litigio Precio de acciones reducido Costos financieros directos (dinero o bienes) Pérdida de información de la organización, del cliente o del empleado Reputación de la marca dañada Multas regulatorias Pérdida de confianza del cliente / relaciones con clientes dañadas 16% 16% 16% 17% 17% 17% 18% Costos para cumplir con regulaciones después de un ataque Pérdida de ingresos 21% 22% Pérdida de productividad 36% 0% 5% 10%1 5% 20%2 5% 30%3 5% 40% Reporte sobre Seguridad Empresarial 2011 15
Hallazgo 4 Qué hacen las empresas con respecto a la seguridad? Cuando se trata de medidas de seguridad, las empresas deben tener la capacidad de prevenir los ataques y también reaccionar cuando éstos se produzcan. También es importante desarrollar iniciativas estratégicas como cimientos para una protección futura. Con base en los resultados de la encuesta, las empresas tienen espacio para mejorar en cómo se preparan para y responden a amenazas. La encuesta reveló que las compañías son las más preparadas cuando se trata de medidas de seguridad rutinarias. El 54% reportó que están avanzando en esta área, y 53% dice que están preparados para hacer frente a ciberataques. Por otro lado, sólo 51% considera que están avanzando en el área de iniciativas de seguridad estratégicas, 50% están avanzando con el cumplimiento, y sólo 44%están llevando a cabo asuntos de seguridad innovadora. Para enfrentar estas carencias, las empresas están reclutando personal para el departamento de TI. En particular, están agregando capital humano para encargarse de la seguridad de ambientes virtualizados, de la seguridad Web, y de la seguridad móvil. Además, están aumentando sus presupuestos para la seguridad de puntos finales y redes al igual que para seguridad Web. Está claro que las empresas están intensificando sus esfuerzos para mejorar su protección, pero muchas empresas casi la mitad de las que tomaron la encuesta todavía tienen mucho trabajo por delante en la protección de sus redes y activos de información. Guardias Cómo 16 Reporte sobre Seguridad Empresarial 2011
Acciones que están avanzando bien o muy bien Llevar a cabo temas de seguridad innovadores o de vanguardia 44% Demostrar cumplimiento 50% Crear iniciativas de seguridad estratégicas 51% Hacer frente a ataques o fallas de seguridad 53% Tomar medidas de seguridad rutinarias 54% 0% 10%2 0% 30%4 0% 50%6 0% El personal está aumentando en: Evaluación/detección de vulnerabilidades 39% Administración de riesgos 40% Responder a incidentes de seguridad 42% Políticas y procedimientos 42% Reporteo 43% Auditoría / Cumplimiento 43% Administración de sistemas de seguridad 43% Seguridad de mensajeo 44% Seguridad para iniciativas en nube públicas 44% Capacitación y concientización del usuario Seguridad de red Evitar pérdida de información Seguridad de puntos finales Seguridad para iniciativas en nube privadas Seguridad móvil 47% Seguridad en la Web 48% Seguridad para ambientes virtuales 49% 0% 10%2 0% 30%4 0% 50%6 0% El presupuesto de seguridad está creciendo en: Capacitación y concientización del usuario Seguridad de mensajeo Políticas y procedimientos Respuesta ante incidente Seguridad para iniciativas en nube públicas Reporteo Administración de sistemas de seguridad Administración de riesgos Seguridad para ambientes virtuales Seguridad móvil Seguridad para iniciativas en nube privadas Evaluación/detección de vulnerabilidades Auditoría y cumplimiento de TI Evitar pérdida de información Seguridad en la Web Seguridad de la red Seguridad 0% 5% 10%1 5% 20%2 5% 30%3 5% 40%4 5% 50% 35% 35% 35% 37% 38% 38% 40% 41% 41% 41% 41% 41% 41% 42% 49% de los encuestados está reclutando personal en el área de seguridad de ambientes virtuales 42% de los encuestados está aumentando los presupuestos de prevención de pérdida de datos de los encuestados está aumentando los presupuestos de seguridad Web, de redes y de puntos finales Reporte sobre Seguridad Empresarial 2011 17
Las empresas deben desarrollar y hacer cumplir las políticas de TI. Al priorizar los riesgos y definir políticas que embarcan todas las ubicaciones. Los clientes pueden hacer cumplir las políticas a través de la automatización incorporada y del flujo de trabajo para proteger la información, identificar amenazas y reparar incidentes en cuanto sucedan o anticiparlos. Las compañías necesitan proteger información de manera proactiva, con un enfoque centrado en la información para proteger tanto la información como las interacciones. El adoptar un enfoque del contenido para proteger la información es clave en la identificación y clasificación de información confidencial y sensible, sabiendo donde reside, quién tiene acceso a ella, y cómo entra o sale de la organización. El codificar de manera proactiva los puntos finales también ayudará a las organizaciones a minimizar las consecuencias asociadas con los dispositivos perdidos. Para controlar los accesos, los administradores de TI necesitan validar y proteger la identidad de usuarios, sitios y dispositivos en todas sus organizaciones. Por otra parte, necesitan proporcionar conexiones de confianza y autenticar transacciones, en su caso. Las empresas deben administrar los sistemas mediante la implementación de ambientes operativos seguros, la distribución y haciendo cumplir niveles de parches, la automatización de procesos para optimizar la eficiencia, y supervisar e informar sobre el estado de sistemas. Los administradores de TI necesitan proteger su infraestructura, asegurando la totalidad de sus puntos finales, incluyendo el número creciente de dispositivos móviles, junto con entornos de mensajería y Web. La protección de servidores críticos internos y la implementación de la capacidad de hacer copias de seguridad y recuperación de datos, también debe ser una prioridad. Además, las organizaciones necesitan visibilidad e inteligencia de seguridad para responder a las amenazas con rapidez. 18 Reporte sobre Seguridad Empresarial 2011
Reporte sobre Seguridad Empresarial 2011 19
Acerca de Symantec Symantec es líder mundial en soluciones de seguridad, almacenamiento y administración de sistemas que ayudan a las empresas y consumidores a proteger y administrar su información. Nuestro software y servicios protegen contra más riesgos, en más puntos y de manera más completa y eficiente, generando confianza en donde quiera que la información se utilice o guarde. Más información en www.symantec.com/la Derechos Reservados 2011 Symantec Corporation. Symantec y el logo de Symantec son marcas registradas de Symantec Corporation o sus afiliados en USA y otros países.