172 Actualidad 01PDF

Confianza y Garantía
Informe Anual de Seguridad

en Instituciones Financieras
17 de febrero de 2009
© 2009 Deloitte Touche Tohmatsu

Índice de contenidos
Informe Anual de Seguridad en Instituciones Financieras
• Introducción y metodología p. 3
• Tendencias clave p. 6
• Gobierno de la seguridad p. 12
• Inversión en seguridad p. 21
• Oportunidades y amenazas p. 25
• Conclusiones p. 35
2 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

Introducción y metodología

- El Informe Anual de Seguridad en Instituciones Financieras, realizado por Deloitte,
analiza el estado de las entidades financieras en materia de seguridad de la información.
- El informe, que cumple este año su sexta edición, profundiza en la estrategia de las
entidades financieras respecto a:
- La seguridad de la información, la figura

del CISO (Chief Information Security
Officer) y la relación de la función de
seguridad con la estrategia de negocio de
la organización.
- El presupuesto destinado a seguridad de
la información en entidades financieras y
el destino de las inversiones.
- Las principales amenazas y ataques que
sufren las entidades y las tecnologías y
soluciones más destacadas para
combatirlas.
- Más de 200 instituciones financieras, bancos
y compañías aseguradoras de todo el mundo
han participado en el informe.
Fuente: Deloitte

- La mitad de los entidades participantes en el estudio pertenecen a la región de EMEA

(Europa, Oriente Medio y África), un 40% a Norteamérica y Latinoamérica, y el resto a
Japón y a la región de Asia y Pacífico.
- Por facturación, el 40% de las entidades financieras encuestadas factura anualmente

menos de mil millones de dólares. Un 22% factura entre 1.000 y 14.000 millones, y un
13% de los participantes más de 15.000 millones de dólares.
- La representación del mercado español viene dada por las aportaciones de destacadas
entidades financieras, clientes de la firma en España. El informe no cuenta con
estadísticas propias de España, al haber sido realizado a los niveles regionales antes
mencionados.
- El tamaño y la presencia en mercados internacionales de las instituciones españolas que

han tomado parte en esta encuesta hace que las conclusiones locales estén alineadas a
las alcanzadas en la región de EMEA.

Tendencias clave

Tendencias clave en el mundo
Seguridad en el sector financiero
Principales factores en materia de seguridad durante 2008:
1. Cumplimiento regulatorio.
2. Gestión de accesos e identidades.
3. Protección de información y prevención de fugas.
4. Mejoras en las infraestructuras de seguridad.
5. Gobierno de la seguridad.

• Evolución del CISO (Chief Information Security Officer):
1. Incremento de la presencia del CISO en las organizaciones.
2. Incremento de la frecuencia de reporting del CISO a la alta dirección.
3. Mayor enfoque hacia el gobierno, estrategia y planificación de la seguridad.
• Evolución de la función de seguridad de la información:
1. El cumplimiento regulatorio continúa siendo el principal impulsor de la función.
2. Mayor peso de la función de seguridad en el Comité de Riesgos.
3. Restricciones presupuestarias como agente represor.

• Estrategia en seguridad de la información:
1. El 61% de las organizaciones posee ya una estrategia de seguridad.
2. El 63% sostiene que los objetivos de la seguridad se alinean con los del negocio.
3. El 40% emplea métricas para la gestión del rendimiento de la seguridad.
• Gestión de accesos:
1. Esta gestión se ha convertido en la principal prioridad durante el pasado año y la

segunda en la presente edición.
2. Regulaciones globales y sectoriales más restrictivas.
3. Mayor movilidad y dispersión geográfica de los empleados.

Principales resultados por regiones (I)
Asia Norte Global Global

La función de seguridad … Japón EMEA LACRO
Pacífico* América 08 07
recae en puestos directivos o es una función clave en el
77% 79% 70% 63% 78% 72% 81%
Comité de Dirección.
cuenta con responsabilidad y presupuesto para cubrir las
69% 65% 56% 58% 63% 59% 73%
necesidades normativas.
ha elaborado formalmente un documento sobre la
62% 50% 64% 62% 68% 61% 63%
estrategia de seguridad.
está alineada con las iniciativas del negocio. 31% 30% 32% 28% 40% 32% 38%
cuenta con un presupuesto que se ha ido incrementando. 54% 25% 60% 65% 75% 60% 98%
tiene unos gastos planificados o previstos. 31% 5% 50% 26% 59% 43% 52%
Fuente: Deloitte Valores más altos Valores más bajos *Excluye Japón
- El número de entidades financieras que incrementó el presupuesto destinado a

seguridad se redujo considerablemente en 2008 respecto a 2007. El pasado año, un
60% de las organizaciones incrementó su presupuesto en relación con la seguridad,
frente al 98% de entidades que lo hicieron en 2007.

Principales resultados por regiones (y II)
Asia Norte
La función de seguridad… Japón EMEA LACRO Global 08 Global 07
Pacífico* América
ha incorporado aplicaciones de seguridad y privacidad
38% 40% 26% 32% 41% 31% 32%
como parte del desarrollo habitual de su software.
cuenta con las competencias para gestionar las
23% 25% 41% 33% 33% 34% 30%
necesidades actuales y futuras.
ha ofrecido cursos a sus empleados sobre seguridad y
58% 90% 64% 82% 82% 72% 78%
privacidad.
tiene un responsable de privacidad a nivel ejecutivo. 23% 85% 58% 82% 24% 57% 66%
dispone de un programa para gestionar la normativa sobre
38% 84% 43% 76% 18% 48% 70%
privacidad.
ha tenido de forma repetida ataques internos en el último
33% 17% 26% 24% 30% 27% 30%
año.
ha tenido de forma repetida ataques externos en el último
58% 17% 49% 51% 50% 47% 65%
año.
Fuente: Deloitte Valores más altos Valores más bajos *Excluye Japón
- La evolución de los ataques tiende a reducirse en comparación con el año anterior. Así,
el porcentaje de empresas que afirman ser víctimas de repetidos ataques externos se
ha reducido hasta el 47%.
- Las entidades de la región de Asia Pacífico son las más afectadas por ataques, tanto
externos como internos. Los países donde tradicionalmente se originan más ataques
continúan siendo Rusia, China, países latinoamericanos y de Europa del Este.

Gobierno de la seguridad

Gobierno de la seguridad en el mundo
La figura del CISO
La figura del CISO en la empresa (en porcentaje)

100%
80%
60%
40%
20%
0%
Sí Sí, más de uno No
Fuente: Deloitte
La figura del CISO

- El 80% de las entidades encuestadas dispone de un responsable de seguridad o
de una posición equivalente.
- Este hecho confirma la creciente preocupación de las entidades por la seguridad
de la información a niveles estratégicos, tácticos y operativos.

Nivel de reporte
Fuente: Deloitte
- 1 de cada 3 CISOs encuestados reporta directamente al Director de Sistemas de la

organización.
- La seguridad pasa a ser una función estratégica en las entidades. De esta manera, la
seguridad se alinea cada vez más con el negocio. El reporte se hace cada vez con mayor
frecuencia al más alto nivel de la entidad.
Estrategia de seguridad
Un 92% de las entidades asume

como fundamental la definición e
implantación de líneas
estratégicas relacionadas con la
seguridad de la información:
- El 61% de las
organizaciones tiene
definida y formalmente
documentada su estrategia
de seguridad.
- El 21% ha definido su
estrategia y se encuentra
en estado borrador.
- Un 10% tratará de tenerla
preparada en los próximos
12 meses. Fuente: Deloitte

Alineamiento de la seguridad con el negocio
Fuente: Deloitte
- La gran mayoría de entidades mantienen adecuadamente alineada la seguridad con

la estrategia del negocio.

Involucración del negocio con la seguridad
Fuente: Deloitte
- Cada vez es mayor la involucración de los responsables de negocio con el desarrollo

de las estrategias de seguridad en las organizaciones.
- Uno de cada cuatro encuestados afirma estar involucrado en el desarrollo de la
estrategia de seguridad de su entidad.
Obstáculos en la seguridad de la información
- En sintonía con la coyuntura

actual, las restricciones
presupuestarias suponen el mayor
impedimento para garantizar la
seguridad de la información (un
56%).
- La sofisticación de los ataques (un
38%) y las aparición de
tecnologías emergentes se
consolidan como los siguientes
impedimentos.
- La escasez de profesionales
especializados en materia de
seguridad en las entidades es otra
de las grandes preocupaciones.
Fuente: Deloitte

Evolución en los últimos 12 meses (I)
Principales conclusiones de auditoría en el último año
Excesivos privilegios Escasos privilegios

de acceso 31% 69% de acceso
Segregación de Homogeneización de
funciones 30% 70% funciones
Falta de prueba de
Prueba de DRP/BCP 15% 85% DRP/BCP
Falta de
Documentación de
DRP/BCP 15% 85% documentación de
DRP/BCP
Falta de estándar en Estándar en los

los servidores
8% 92% servidores
Los servidores son

Los servidores no son
consistentes con el 13% 87% consistentes con el
estándar
estándar
0% 20% 40% 60% 80% 100%
Fuente: Deloitte

Evolución en los últimos 12 meses (y II)
Algunas de las principales iniciativas detectadas en seguridad en el último año son:
1. Las entidades tienen la percepción de que existe una excesiva concesión de privilegios
a los usuarios, bien debido a segregaciones de funciones, o por mantener los derechos
en los cambios de puesto en las entidades.
2. La gestión de la seguridad desde el punto de vista técnico se realiza ya en la gran

mayoría de las entidades, pasando a formar parte de un proceso totalmente integrado
en el área de sistemas de la información.
3. BCP: Pese a la relevancia de mantener actualizado el Plan de Continuidad de negocio

y Contingencias frente a los desastres, todavía existe un gran número de entidades que
no han integrado este aspecto dentro de la gestión de procesos permanente.
4. La gran mayoría de iniciativas puestas en marcha por las entidades se refieren a
aspectos técnicos, quedando todavía mucho camino por recorrer en aspectos
organizativos y de negocio.

Inversión en seguridad

Inversión en seguridad en el mundo
Presupuesto destinado a seguridad
Presupuesto de IT dedicado a seguridad Porcentaje del presupuesto de IT dedicado a

seguridad, en función del grado de madurez
8%
6%
4% 3%-
3% 4%
TRIBAL SILO TOP- INTEGRADO RISK

DOWN INTELLIGENT
Fuente: Deloitte Fuente: Gartner y Deloitte
- El porcentaje de presupuesto de tecnología dedicado a seguridad sigue siendo escaso.

- El 29% de las entidades consultadas dedica entre un 1% y un 3% de su presupuesto.
- Sólo el 5% de las organizaciones destinan más de un 10% de su presupuesto de
tecnología a la seguridad.
Distribución de la inversión
Fuente: Deloitte

Distribución de la inversión
- Cada vez se transfiere más la inversión que hacen las entidades hacia la gestión de la
seguridad frente a la adquisición de productos y herramientas dedicadas a gestionarla
adecuadamente.
- Más del 60% del presupuesto se dedica a la contratación de profesionales

especializados en seguridad. Esto es debido a la escasez de personal especializado en
seguridad dentro de las entidades.
- El siguiente segmento que más presupuesto recibe es el de productos de mercado

orientados a garantizar la seguridad en accesos, antivirus, etc.
- El último gran segmento del presupuesto está dedicado a iniciativas relacionadas con
la estrategia de la seguridad, como planes de continuidad, cumplimiento normativo, etc.

Oportunidades y amenazas

Oportunidades y amenazas en el mundo
Amenazas percibidas (I)
Fuente: Deloitte
- La principal causa por la que fallan los proyectos de seguridad en las entidades es la
carencia de recursos, derivada de las restricciones presupuestarias.
- La adopción de estrategias en seguridad que establecen parámetros de actuación
concretos hace que se haya reducido el cambio constante de prioridades.

Amenazas percibidas (y II)
Fuente: Deloitte
- El error humano sigue siendo el motivo principal de los fallos de los sistemas (86%), por
delante de la propia tecnología.

Previsión de amenazas (I)
Fuente: Deloitte

Previsión de amenazas (y II)
- La pérdida de activos de información, bien por fugas, negligencias o de forma accidental,
es la principal amenaza prevista para el próximo año.
- El uso inapropiado de información confidencial está íntimamente ligado a las fugas de

información, y es un factor crítico que puede derivar en fraudes o que información
estratégica sea conocida por otras entidades interesadas.
- Phising y Pharming son dos amenazas clásicas dentro del sector financiero, y se prevé
que durante el presente año se sigan presentando ataques de este tipo.
- El ciber-terrorismo aparece como amenaza. Las entidades conocen la existencia de

organizaciones dedicadas a realizar ataques en la red de forma organizada. El sector
financiero es uno de los blancos potenciales de estas organizaciones.

Ataques externos Tipos
Una Varias
vez veces
Ataques de virus/gusanos 11% 15%
- La principal fuente de ataques externos Ataque vía e-mails (spam..) 10% 24%
detectados son virus/gusanos, correo Spyware 7% 11%
basura y programas de spyware. Las Redes Zombie 4% 3%
soluciones comerciales implantadas en Denegación de servicio 6% 2%
las entidades abordan estos problemas. Alteración de página web 5% 1%
Acceso remoto malintencionado 2% 2%
- Se han detectado igualmente repetidos
Extorsión online 2% 1%
ataques de Phising, en sintonía con los
Ataque a través de tecnología sin cable 3% 1%
años anteriores.
Phising/pharming 7% 22%
- Las conductas inapropiadas de los Ingeniería social 5% 7%
empleados también suponen un Conducta inapropiada por parte de
11% 11%
elevado porcentaje (11%) en los empleados
ataques externos. Robo de propiedad intelectual 6% 1%
Fraude financiero externo a través de IT 4% 10%
- Un 20% afirma que no ha sufrido ataque
Exposición de datos relevantes a un
externo alguno durante el último año. ataque vía web
4% 2%
Amenazas físicas 7% 6%
Hechos puntuales 8% 5%
Otras formas de ataque externo 4% 2%
No hemos tenido un ataque externo 20% 7%
Fuente: Deloitte
Ataques internos
Tipos Una vez Varias veces

Ataque de virus/ gusanos 11% 9%
Ataque con tecnología sin cable 3% 1%
Pérdida de información de clientes y falta de privacidad 8% 9%
Fraude financiero a través de los sistemas de información 6% 6%
Robo de propiedad intelectual 4% 1%
Hechos puntuales 9% 10%
Otras formas de ataque interno 5% 3%
No hemos tenido un ataque interno 30% 8%
Fuente: Deloitte
- La principal fuente de ataques internos son los relativos a virus/gusanos. Para evitar
estas cuestiones se recurre a labores de concienciación interna.
- Las pérdidas de privacidad de la información, así como las fugas de activos de
información, han experimentado un ascenso en los últimos tiempos. Se ha catalogado
como una de las amenazas más comunes previstas para el año.
- Un 30% de los encuestados afirma no haber sufrido ningún ataque interno en el
último año.

Reporting de seguridad
Comité de Comité de Consejero Comité
Tipos
Dirección Auditoría Delegado Ejecutivo
Semanal 2% 0% 2% 5%
Mensual 19% 13% 20% 30%
Trimestral 19% 19% 19% 17%
Semestral 7% 7% 4% 3%
Anual 11% 13% 6% 3%
Ad hoc 19% 24% 23% 24%
Nunca 10% 12% 9% 3%
Sólo cuando ocurre 9% 8% 11% 12%
Prefiero no estar informado 0% 0% 1% 0%

Fuente: Deloitte
- La mayor parte de los encuestados afirma que reportan bajo demanda, distribuyendo la
información de forma adecuada, dependiendo el nivel al que lo hacen (consejo de
administración, director financiero, comité de auditoría).
- El reporte mensual indica que las entidades cuentan con comités de seguridad u órganos
consultivos similares. Esto denota un grado apreciable de formalización en los procesos
de seguridad de la información.

Tecnologías y soluciones de seguridad empleadas
Fuente: Deloitte
- Las tecnologías líderes continúan siendo las soluciones de antivirus y filtrado de spam,
así como los cortafuegos.
- La parte reactiva de la gestión de seguridad está en un estadio maduro, y cada vez
surgen iniciativas orientadas a actuar de forma más preventiva.
Revisiones de seguridad
Tipos Trimestral Semestral Anual Ad hoc Nunca

Análisis de vulnerabilidad 43% 9% 13% 27% 6%
Test de intrusión interna 16% 12% 23% 33% 14%
Test de intrusión externa 19% 13% 33% 24% 10%
Test de intrusión por terceras partes 13% 14% 34% 26% 10%
Revisión de las aplicaciones de los
6% 5% 8% 41% 29%
códigos de seguridad
Fuente: Deloitte
• Tomando cinco tipologías de revisión de seguridad recomendadas por las mejores

prácticas en la seguridad de los sistemas de información, los encuestados han
respondido que:
- Los análisis de vulnerabilidades es la práctica más realizada y conocida.
- Como consecuencia del grado de exposición de sus sistemas (e-commerce), los
test de intrusión externa, tanto realizados por un tercero, como por personal
interno, son prácticas muy difundidas en el sector.
- Destaca la escasa periodicidad con la que se realizan los test de intrusión
internos, máxime cuando el factor humano es uno de los principales problemas
de seguridad.
- Por último, la práctica menos extendida es la revisión de código en los procesos
de desarrollo de aplicaciones.

Conclusiones

Conclusiones
• Necesidad de Seguridad. El concepto de gobierno de la seguridad se asienta en las
organizaciones. La figura del CISO (Chief Information Security Officer) adquiere
relevancia. El 80% de las instituciones financieras dispone ya de un responsable de
seguridad de la información.
• Función de seguridad. La seguridad se alinea con el negocio. El CISO reporta cada

vez a más alto nivel de la organización.
• Estrategia de seguridad. La seguridad adquiere cada vez más un enfoque estratégico

que posteriormente deriva en una gestión más optimizada. Un 92% de las entidades
considera fundamental implantar una estrategia a nivel de seguridad de la información.
• Obstáculos a la seguridad. La escasez de recursos y de profesionales especializados

en seguridad son los principales impedimentos a la hora de desarrollar una estrategia
eficiente de seguridad. En este sentido, la principal causa por la que fallan los proyectos
de seguridad es la carencia de recursos, y el error humano es el motivo principal de los
fallos de los sistemas.

Conclusiones
• Inversión en seguridad. El presupuesto que las entidades dedican a seguridad de la
información es escaso. El 29% de las organizaciones consultadas destina entre un 1% y
un 3% de su presupuesto de tecnología, mientras que sólo un 5% destina más del 10%
del presupuesto.
• Disminución de los ataques. El año pasado, la frecuencia de ataques externos en las

entidades financieras se redujo respecto a 2007. Así, el porcentaje de empresas que
afirmaron ser víctimas de repetidos ataques externos en 2008 fue del 47%, frente al
65% del año anterior. El nivel de sofisticación de los ataques hace que éstos sean más
críticos.
• Ataques más frecuentes. La principal fuente de ataques externos hacia las entidades
financieras son virus/gusanos, correo basura y programas de spyware. El phising
continúa siendo frecuente en el sector, mientras que las conductas inapropiadas de los
empleados suponen ya un elevado porcentaje (11%) motivo de ataques externos. Hasta
un 20% de las entidades afirma no haber sufrido ataque externos durante el último año.
• Tecnologías y soluciones. La parte reactiva de la gestión de la seguridad se encuentra

en un estadio maduro. Cada vez surgen más iniciativas orientadas a actuar de forma
preventiva.


172 Actualidad 01PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

172 Actualidad 01PDF

Загружено:

Авторское право:

Доступные форматы

Confianza y Garantía

Informe Anual de Seguridad

© 2009 Deloitte Touche Tohmatsu

2 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

© 2009 Deloitte Touche Tohmatsu

- La seguridad de la información, la figura

4 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

- La mitad de los entidades participantes en el estudio pertenecen a la región de EMEA

- Por facturación, el 40% de las entidades financieras encuestadas factura anualmente

- El tamaño y la presencia en mercados internacionales de las instituciones españolas que

5 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

© 2009 Deloitte Touche Tohmatsu

Principales factores en materia de seguridad durante 2008:

2. Gestión de accesos e identidades.

3. Protección de información y prevención de fugas.

4. Mejoras en las infraestructuras de seguridad.

7 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

• Evolución del CISO (Chief Information Security Officer):

1. Incremento de la presencia del CISO en las organizaciones.

2. Incremento de la frecuencia de reporting del CISO a la alta dirección.

3. Mayor enfoque hacia el gobierno, estrategia y planificación de la seguridad.

• Evolución de la función de seguridad de la información:

1. El cumplimiento regulatorio continúa siendo el principal impulsor de la función.

2. Mayor peso de la función de seguridad en el Comité de Riesgos.

3. Restricciones presupuestarias como agente represor.

8 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

• Estrategia en seguridad de la información:

1. El 61% de las organizaciones posee ya una estrategia de seguridad.

3. El 40% emplea métricas para la gestión del rendimiento de la seguridad.

1. Esta gestión se ha convertido en la principal prioridad durante el pasado año y la

2. Regulaciones globales y sectoriales más restrictivas.

3. Mayor movilidad y dispersión geográfica de los empleados.

9 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

Asia Norte Global Global

- El número de entidades financieras que incrementó el presupuesto destinado a

10 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

11 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

© 2009 Deloitte Touche Tohmatsu

La figura del CISO en la empresa (en porcentaje)

La figura del CISO

13 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

- 1 de cada 3 CISOs encuestados reporta directamente al Director de Sistemas de la

Un 92% de las entidades asume

15 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

- La gran mayoría de entidades mantienen adecuadamente alineada la seguridad con

16 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

- Cada vez es mayor la involucración de los responsables de negocio con el desarrollo

- En sintonía con la coyuntura

18 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

Principales conclusiones de auditoría en el último año

Excesivos privilegios Escasos privilegios

Falta de estándar en Estándar en los

Los servidores son

0% 20% 40% 60% 80% 100%

19 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

2. La gestión de la seguridad desde el punto de vista técnico se realiza ya en la gran

3. BCP: Pese a la relevancia de mantener actualizado el Plan de Continuidad de negocio

20 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu

© 2009 Deloitte Touche Tohmatsu

Presupuesto de IT dedicado a seguridad Porcentaje del presupuesto de IT dedicado a

TRIBAL SILO TOP- INTEGRADO RISK

Fuente: Deloitte Fuente: Gartner y Deloitte

- El porcentaje de presupuesto de tecnología dedicado a seguridad sigue siendo escaso.