ESET Security Report. Latinoamérica. protegemos su mundo digital

Transcripción

1 ESET Security Report Latinoamérica protegemos su mundo digital

2 El presente informe revela los resultados de una serie de encuestas realizadas por ESET en distintos países de Latinoamérica durante el año 2009, con el cometido de analizar cuáles son las principales preocupaciones en materia de seguridad de la información, para diversos integrantes de empresas del mercado. Las encuestas han sido realizadas en distintos eventos en los que ESET ha participado durante el año, y para la elaboración del presente reporte han sido tenidos en cuenta los datos recavados en los siguientes encuentros desarrollados a lo largo de Latinoamérica: Segurinfo Argentina (marzo de 2009), Technology Day en Costa Rica, Honduras, Guatemala, República Dominicana, El Salvador y Nicaragua (entre los meses de marzo y agosto de 2009), Segurinfo Chile (agosto de 2009) e Infosecurity Perú (septiembre de 2009). Durante los congresos, ESET invitó al público asistente, conformado mayoritariamente por CEOs, CSOs, CIOs, otras áreas gerenciales en general y profesionales de áreas de IT y seguridad de la información; a que completaran una encuesta diseñada exclusivamente para la ocasión. Los datos presentados en este informe, corresponden a la información brindada por 947 profesionales de los distintos países mencionados anteriormente. La distribución de los mismos, según el tamaño de la empresa a la que pertenecen, es la siguiente: seguridad de la información indica que las empresas han comprendido el valor que los datos e información poseen sean o no digitales, aunque mayoritariamente lo son y la criticidad de éstos para la organización. A continuación se ubican como las amenazas más preocupantes aquellas que también afectan a la pérdida de datos, aunque en este caso de forma indirecta. El malware, con el 57.13% de respuestas afirmativas, seguido por las vulnerabilidades de software, con el 51,32%, son las amenazas que completan las tres de mayor relevancia para los encuestados. De lo anterior se concluye que, frente a la preocupación por comprometer de alguna manera la confidencialidad, integridad y/o disponibilidad de la información, resulta de vital importancia la implementación de soluciones efectivas para su prevención. En este sentido, mantener actualizadas todas las aplicaciones que se utilicen en la compañía incluido el sistema operativo y utilizar un software de seguridad antivirus con capacidades de detección proactivas de malware, contribuye a mejorar la seguridad de los equipos y las redes de trabajo en empresas de cualquier envergadura. Estas tres amenazas también se han ubicado como las más relevantes en los informes presentados anteriormente por ESET para Argentina y Centroamérica (incluso en esta última ubicándose en igual posición y con valores similares). En el siguiente gráfico pueden observarse todas las respuestas con sus valores asociados: 1-10 empleados: 13% empleados: 9% empleados: 17% empleados: 26% Más de 1000 empleados: 35% Las distintas respuestas brindadas por los encuestados, ofrecen un claro panorama del estado de la seguridad de la información en la región latinoamericana; destacando cuáles son las principales preocupaciones en la materia y cuál es la situación en las empresas de la región. Amenazas de mayor preocupación en la materia La primera consulta respecto a la seguridad de la información contestada por los profesionales fue la siguiente: Cuál es su mayor preocupación en materia de seguridad informática? Los resultados grafican el orden de relevancia que las organizaciones asignan a los riesgos más importantes. La amenaza identificada por los encuestados como la más relevante, es la pérdida de datos, seleccionada por el 58,08% de la gente. Claramente, la madurez en materia de

3 En el gráfico también se observa que el fraude es considerado una amenaza de igual gravedad, tanto éste sea externo (34,64%) como interno (35,69%). Esto resulta llamativo, teniendo en cuenta que el fraude que proviene de personal interno a las empresas suele causar mucho mayor impacto en las organizaciones, que aquel cometido por personas ajenas a la compañía. Este resultado demuestra que en las empresas todavía falta comprender la relevancia de las amenazas internas ya que muchas veces se suele creer erróneamente que el ataque provendrá del exterior cuando quien tiene todas las herramientas para cometer un delito es el personal interno. Por tal motivo, resulta de vital importancia la implementación de políticas de seguridad que reglamenten el uso y alcance de cada integrante de la organización sobre los recursos de información. Asignación de presupuesto a la seguridad de la empresa A diferencia del dato referido a las regulaciones y estándares, resulta llamativo que ante la consulta por el presupuesto que las empresas asignan a la seguridad de la información, no se observen diferencias significativas a medida que cambia el tamaño de la organización. Nótese en el siguiente gráfico, la similitud entre las respuestas aisladas para empresas entre 1 y 10 empleados, y aquellas con más de mil empleados: Respecto a las regulaciones y estándares, claramente se nota un incremento en la importancia asignada a dicho campo, a medida que aumenta el tamaño de la organización. Mientras que el promedio considerando todos los encuestados es del 18,80%; este valor disminuye o aumenta de acuerdo al tamaño de las empresas, demostrando que esta es una problemática considerada de importancia sólo en grandes empresas de más de 1000 empleados,, tal como puede observarse en el siguiente gráfico: Los resultados totales indican que más de la mitad de los encuestados (57,86%) afirmaron que menos del 5% del presupuesto de IT es utilizado para seguridad, siendo tan sólo un 15,95% de las personas las que manifestaron que en sus empresas se asigna más del 10% del presupuesto del departamento de informática y sistemas a la seguridad de la información. El siguiente gráfico muestra los porcentajes para cada una de las respuestas:

4 periódicamente actividades de este tipo, con el objetivo de capacitar al personal en materia de seguridad de la información y protección contra amenazas. Estos valores son constantes si se toma cada país por separado, ya que por ejemplo si se considera la pregunta de qué porcentaje de los encuestados considera esencial la concientización del personal, se observa que República Dominicana es quien obtuvo los mayores valores (62%) mientras que Nicaragua con un 47,5% obtuvo los menores, lo cual no constituye una diferencia significativa. A su vez entre los países que más realizan capacitaciones periódicas se encuentran Chile (50%) y El Salvador (51,06%). De este modo, si se observan las respuestas totales, presentadas en el siguiente gráfico; y considerando aquellos que calificaron como muy alta (30,2%) la importancia de la concientización, se determina que más del 80% de los profesionales acuerdan que la capacitación y educación de los usuarios es substancial para la seguridad de la información. Tomando los valores de cada país por separado, se observa que no existen mayores variaciones entre todos los casos, y que además éstos no difieren de los resultados totales mencionados. Si se considera el ítem de las empresas que utilizan menos del 5% del presupuesto de IT en seguridad, Nicaragua es el país con mayor porcentaje (60%) mientras que El Salvador se constituye como una excepción ya que el 36,17% de los encuestados dedica esa cantidad del presupuesto IT a seguridad informática. Entre los países que más invierten su presupuesto se encuentra la Argentina con un 35%, y son Perú y Nicaragua (7,5%) quienes han obtenido los porcentajes más bajos con respecto a las empresas que utilizan más del 10% de su presupuesto IT en seguridad informática. Aunque la seguridad necesita de muchos tipos de recursos, la asignación de presupuestos es un componente fundamental que, en caso de ser escaso, puede causar la demora en una implementación eficiente de controles y medidas de seguridad. Además, estas cifras demuestran cuál es la valoración que los responsables de la asignación de presupuestos en las organizaciones tienen de la seguridad de la información. Si bien ésta es un soporte para el negocio, las áreas gerenciales deben comprender que la información en sí misma también es un bien de valor y por eso deben protegerla. Para ello es necesaria la inversión en esta materia. Concientización en seguridad Al igual que en los reportes ya publicados, se nota una clara discrepancia en las respuestas respecto a la educación en seguridad que los usuarios reciben en la empresa. Una vez más, a pesar de que la mayoría de los encuestados (específicamente un 53,55%) manifestó que la concientización del personal es esencial; sólo el 37,94% de los encuestados realiza Pero, aunque los valores asignados a la importancia de la concientización son altos y constantes, ante la consulta si se llevan adelante actividades de este tipo en la empresa, se observa que las compañías más pequeñas tienen más facilidad para llevar a cabo iniciativas de este estilo. De esta manera se observa que, en empresas de entre 1 y 10 empleados, un 51,67% contestó que realizan periódicamente actividades de este tipo; y en organizaciones que cuentan entre 11 y 50 usuarios, el valor fue 43,2%. Estos valores son superiores al promedio anteriormente mencionado, y también con respecto a los resultados referidos a empresas de mayor tamaño, lo que demuestra que en compañías de menor envergadura resulta más aplicable la implementación de proyectos de concientización en seguridad de la información.

5 Conclusiones La realización de este tipo de encuestas permite conocer de primera mano cuál es la situación actual, ya que la información proviene de profesionales que interactúan diariamente con las tecnologías y los usuarios en empresas de toda la región. El análisis de los resultados de la opinión de los distintos profesionales de Latinoamérica, demuestra que en materia de seguridad aún resta mucho trabajo por hacer. La falta de asignación de presupuestos, la dificultad para implementar con constancia planes de concientización y la poca claridad e irregularidad para priorizar las principales problemáticas en seguridad son algunos de los síntomas de lo que le ocurre a empresas y profesionales en materia de seguridad de la información. A medida que se consiga madurez en el campo, será posible mejorar la gestión de la seguridad en las compañías, alineando a los diferentes actores (con el compromiso de los altos mandos) y perfeccionando la implementación de controles mediante la optimización de los recursos internos y de los de proveedores especializados en la materia. De esta manera, la concientización de toda la organización es fundamental para avanzar en ese rumbo. Esta tarea es lo que, desde hace años, ESET viene realizando en países latinoamericanos a través de sus recursos de capacitación y educación. ESET Latinoamérica Av. Libertador to. Piso C1428 ARS Buenos Aires tel.: fax.: protegemos su mundo digital 2009 ESET, LLC. Todos los derechos reservados. ESET, el logo de ESET, ESET SMART SECURITY, ESET.COM, ESET.EU, NOD32, VIRUS RADAR, THREATSENSE, THREAT RADAR, y THREATSENSE.NET son marcas registradas, marcas de servicios y/o marcas registradas de ESET, LLC y/o ESET, spol. s.r.o. en los Estados Unidos y cualquier otra jurisdicción. Todas las otras marcas registradas y marcas que aparecen en estas páginas son propiedad de sus respectivos dueños y son utilizadas sólo en referencia a dichas compañías y servicios.