Академический Документы
Профессиональный Документы
Культура Документы
17 de febrero de 2009
• Introducción y metodología p. 3
• Tendencias clave p. 6
• Gobierno de la seguridad p. 12
• Inversión en seguridad p. 21
• Oportunidades y amenazas p. 25
• Conclusiones p. 35
- La representación del mercado español viene dada por las aportaciones de destacadas
entidades financieras, clientes de la firma en España. El informe no cuenta con
estadísticas propias de España, al haber sido realizado a los niveles regionales antes
mencionados.
1. Cumplimiento regulatorio.
5. Gobierno de la seguridad.
2. El 63% sostiene que los objetivos de la seguridad se alinean con los del negocio.
• Gestión de accesos:
Fuente: Deloitte Valores más altos Valores más bajos *Excluye Japón
Asia Norte
La función de seguridad… Japón EMEA LACRO Global 08 Global 07
Pacífico* América
ha incorporado aplicaciones de seguridad y privacidad
38% 40% 26% 32% 41% 31% 32%
como parte del desarrollo habitual de su software.
cuenta con las competencias para gestionar las
23% 25% 41% 33% 33% 34% 30%
necesidades actuales y futuras.
ha ofrecido cursos a sus empleados sobre seguridad y
58% 90% 64% 82% 82% 72% 78%
privacidad.
tiene un responsable de privacidad a nivel ejecutivo. 23% 85% 58% 82% 24% 57% 66%
dispone de un programa para gestionar la normativa sobre
38% 84% 43% 76% 18% 48% 70%
privacidad.
ha tenido de forma repetida ataques internos en el último
33% 17% 26% 24% 30% 27% 30%
año.
ha tenido de forma repetida ataques externos en el último
58% 17% 49% 51% 50% 47% 65%
año.
Fuente: Deloitte Valores más altos Valores más bajos *Excluye Japón
- La evolución de los ataques tiende a reducirse en comparación con el año anterior. Así,
el porcentaje de empresas que afirman ser víctimas de repetidos ataques externos se
ha reducido hasta el 47%.
- Las entidades de la región de Asia Pacífico son las más afectadas por ataques, tanto
externos como internos. Los países donde tradicionalmente se originan más ataques
continúan siendo Rusia, China, países latinoamericanos y de Europa del Este.
80%
60%
40%
20%
0%
Sí Sí, más de uno No
Fuente: Deloitte
Fuente: Deloitte
Fuente: Deloitte
Fuente: Deloitte
- La escasez de profesionales
especializados en materia de
seguridad en las entidades es otra
de las grandes preocupaciones.
Fuente: Deloitte
Segregación de Homogeneización de
funciones 30% 70% funciones
Falta de prueba de
Prueba de DRP/BCP 15% 85% DRP/BCP
Falta de
Documentación de
DRP/BCP 15% 85% documentación de
DRP/BCP
Fuente: Deloitte
1. Las entidades tienen la percepción de que existe una excesiva concesión de privilegios
a los usuarios, bien debido a segregaciones de funciones, o por mantener los derechos
en los cambios de puesto en las entidades.
8%
6%
4% 3%-
3% 4%
Fuente: Deloitte
- Cada vez se transfiere más la inversión que hacen las entidades hacia la gestión de la
seguridad frente a la adquisición de productos y herramientas dedicadas a gestionarla
adecuadamente.
- El último gran segmento del presupuesto está dedicado a iniciativas relacionadas con
la estrategia de la seguridad, como planes de continuidad, cumplimiento normativo, etc.
Fuente: Deloitte
- La principal causa por la que fallan los proyectos de seguridad en las entidades es la
carencia de recursos, derivada de las restricciones presupuestarias.
- La adopción de estrategias en seguridad que establecen parámetros de actuación
concretos hace que se haya reducido el cambio constante de prioridades.
Fuente: Deloitte
- El error humano sigue siendo el motivo principal de los fallos de los sistemas (86%), por
delante de la propia tecnología.
Fuente: Deloitte
- Phising y Pharming son dos amenazas clásicas dentro del sector financiero, y se prevé
que durante el presente año se sigan presentando ataques de este tipo.
Amenazas físicas 7% 6%
Hechos puntuales 8% 5%
Otras formas de ataque externo 4% 2%
No hemos tenido un ataque externo 20% 7%
Fuente: Deloitte
30 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu
Oportunidades y amenazas en el mundo
Ataques internos
- La principal fuente de ataques internos son los relativos a virus/gusanos. Para evitar
estas cuestiones se recurre a labores de concienciación interna.
- Las pérdidas de privacidad de la información, así como las fugas de activos de
información, han experimentado un ascenso en los últimos tiempos. Se ha catalogado
como una de las amenazas más comunes previstas para el año.
- Un 30% de los encuestados afirma no haber sufrido ningún ataque interno en el
último año.
Semanal 2% 0% 2% 5%
Mensual 19% 13% 20% 30%
Semestral 7% 7% 4% 3%
- La mayor parte de los encuestados afirma que reportan bajo demanda, distribuyendo la
información de forma adecuada, dependiendo el nivel al que lo hacen (consejo de
administración, director financiero, comité de auditoría).
- El reporte mensual indica que las entidades cuentan con comités de seguridad u órganos
consultivos similares. Esto denota un grado apreciable de formalización en los procesos
de seguridad de la información.
Fuente: Deloitte
- Las tecnologías líderes continúan siendo las soluciones de antivirus y filtrado de spam,
así como los cortafuegos.
- La parte reactiva de la gestión de seguridad está en un estadio maduro, y cada vez
surgen iniciativas orientadas a actuar de forma más preventiva.
33 Informe Anual de Seguridad en Instituciones Financieras © 2009 Deloitte Touche Tohmatsu
Oportunidades y amenazas en el mundo
Revisiones de seguridad
• Ataques más frecuentes. La principal fuente de ataques externos hacia las entidades
financieras son virus/gusanos, correo basura y programas de spyware. El phising
continúa siendo frecuente en el sector, mientras que las conductas inapropiadas de los
empleados suponen ya un elevado porcentaje (11%) motivo de ataques externos. Hasta
un 20% de las entidades afirma no haber sufrido ataque externos durante el último año.