Crear confianza en el mundo digital - Building a better ... | Encuesta Global sobre Seguridad de la...

Perspectivas sobre gobierno corporativo, riesgo y cumplimiento

Crear confianza en el mundo digital

Encuesta Global sobre Seguridad de la Información de EY de 2015

Contenido

Bienvenidos 1

Los ataques actuales en el mundo digital 3

¿Cómo se desarrollan los ataques? 10

¿Por qué las empresas continúan siendo tan vulnerables? 16

El cambio hacia la Defensa Activa 20

Utilizar la ciberseguridad como habilitador digital 28

Metodología del reporte 30

Encuesta Global sobre Seguridad de la Información de EY de 2015 | 1

Bienvenidos a Crear confianza en el mundo digital: Encuesta Global de Seguridad de la Información (GISS, por sus siglas en inglés) de EY 2015, nuestra 18.a edición investiga los asuntos de ciberseguridad más importantes que actualmente enfrentan los negocios. Este año nos complace contar con la participación de 1,755 compañías en este informe basado en las perspectivas extraídas de los resultados y de la amplia experiencia global que adquirimos al trabajar con nuestros clientes al ayudarlos a diseñar sus estrategias de ciberseguridad.

El año pasado identificamos las formas en las que las compañías se mantienen un paso adelante del cibercrimen al seguir el enfoque de tres etapas: Activar, Adaptar y Anticipar. Este concepto aún es aplicable, pero debido a que los ciberatacantes cambian constantemente sus tácticas, aumentan su persistencia y amplían sus habilidades, la naturaleza de las ciberamenazas ha evolucionado. Los atacantes día con día encuentran nuevas y mejores formas de aprovecharse de la rápida expansión de la digitalización y la creciente conectividad de los negocios, así como de las formas en que nuestras vidas personales están cada vez más entrelazadas con las tecnologías móviles y el internet.

Si les cuesta trabajo entender cómo pueden manejar esta situación, no están solos – más de una tercera parte de los participantes de esta encuesta aún consideran que es poco probable que puedan identificar un ciberataque sofisticado – y con base en nuestro conocimiento, sabemos que solo las empresas que están más alerta podrán detectar las pequeñas anomalías que son indicadores de una violación a largo plazo.

La ciberseguridad es más que una cuestión de tecnología y no puede pertenecer únicamente al ámbito de las Tecnologías de la Información.

Tampoco puede ser responsabilidad solo de la alta Dirección, ya que afecta a todos los niveles de una compañía y a las diferentes áreas estratégicas que la integran. Por ello, este reporte analiza cómo deben trabajar conjuntamente las diversas partes de una empresa e intercambiar experiencias para poder acumular evidencia a fin de identificar componentes donde los atacantes logran obtener acceso y acumulan información que pudiera afectar el valor esencial de la organización.

Su objetivo debe continuar siendo mantenerse un paso adelante de los ciberatacantes, lo cual representa aprender a estar en un estado constante de Defensa Activa, concepto cuyo significado y aplicación explicamos en este documento así como las alternativas con las que cuenta EY para apoyarlo en este rubro.

Agradecemos a nuestros clientes por invertir su tiempo en completar esta encuesta y esperamos que disfruten leer el informe.

John DixSocio de Asesoría de Negocios

Bienvenidos

2 | Encuesta Global sobre Seguridad de la Información de EY de 2015

Entender los retos de la ciberseguridad El mundo digital está lleno de oportunidades de innovación y las empresas, gobiernos y personas han enfocado su atención en los beneficios más significativos. Al crear nuevos mercados y productos, así como un novedoso entendimiento de los consumidores y al encontrar formas diferentes de conectarnos con ellos, el mundo digital ofrece un enorme potencial.

Desafortunadamente, debido a la premura por llevar esto a cabo, varias medidas de precaución son ignoradas y los riegos subestimados. Por ello, darse cuenta de que hay un lado negativo y que el mundo digital también plantea posibilidades de explotación para los criminales y otros individuos que buscan provocar problemas, se convierte en un mensaje que ha llegado demasiado tarde a las compañías. Además de esto, comienzan a surgir consecuencias complejas e imprevistas debido a la interconectividad que hay entre la gente, las organizaciones y las “cosas”.

Para que las organizaciones reconozcan los retos actuales y entiendan lo que tienen que hacer, deben analizar a fondo cada una de estas cuatro áreas:

• No hay suficientes medidas de control en el entorno actual

• No hay mecanismos para adaptarse al cambio

• El enfoque proactivo es lento para neutralizar los ciberataques

¿Por qué las empresas continúan siendo tan vulnerables?

El cambio hacia la Defensa Activa

• ¿Qué es la Defensa Activa?

• ¿Qué debe mejorar con su implementación?

• ¿Cómo construirla?

¿Cómo se desarrollan los ataques? • ¿Cuáles son los peores

escenarios?

• ¿Cómo detectar las señales sutiles?

• ¿Por qué el estado de alerta máxima debe ser constante en una organización?

Los ataques actuales en el mundo digital• ¿Cómo cambia el

mundo?

• ¿Cuáles son las principales amenazas y vulnerabilidades?

• ¿Cómo enfrentar los ataques?

Los ataques actuales en el mundo digital




88%de los encuestados considera que su programa de seguridad de la información no cumple plenamente con las necesidades de la compañía.

¿Cómo cambia el mundo? Las organizaciones no tienen otra opción más que operar en este entorno cambiante, por lo que los gobiernos y medios de comunicación inevitablemente están enfocando cada vez más su atención en qué es lo que pasa cuando el ciberespacio se une con el mundo físico. Es inaceptable que los datos personales de clientes sean robados y utilizados, y se sabe que el robo de propiedad intelectual es perjudicial para las empresas, al igual que las pérdidas y los costos de remediación correspondientes. El hackeo y la manipulación de los medios de comunicación, tecnologías de información, administración gubernamental y sistemas de defensa son vistos como una amenaza significativa a la seguridad nacional.

Entonces ¿qué significa para ustedes y sus compañías sobrevivir en el mundo digital?

Las empresas deben ser vistas desde una dimensión cibernética y todas estas áreas deben considerarse:

Utilizar la ciberseguridad para generar oportunidades y sustentabilidad digitalDimensión de la empresa

Ret

os d

e la

em

pres

a

Estrategia, innovación y crecimiento

Cadena de suministro y operaciones

Riesgo y ciberseguridad

Gente y organización

Experiencia del cliente

Tecnología Finanzas, legal e impuestos

Impulsar la innovación

Establecer una red de

distribución digital más ágil

Administrar el riesgo a

medida que se transforma el

negocio

Crear una cultura diversa de la innovación y pensamiento Mejorar la

experiencia de los clientes mediante el aprovechamiento de

la tecnología

Optimizar el ecosistema digital

Automatizar los procesos y

controles

Desarrollar el entorno sin límites

Utilizar las nuevas tecnologías

para mejorar las operaciones

Entender los riesgos generales

de las nuevas tecnologías

Transformar el conocimiento

en toda la organización

Profundizar las relaciones con y perspectivas de

los clientes

Equilibrar la innovación

digital con el mantenimiento

de TI

Evaluar la eficacia

del modelo operativo fiscal

digital Entender las amenazas y

oportunidades

Responder rápidamente

ante cambios en el mercado

Brindar confianza y privacidad digitales

Integrar las tecnologías

digitales para empoderar a la

genteUtilizar la tecnología para

obtener una mejor integración entre

las funciones

Integrar las aplicaciones

de clientes con los sistemas

administrativos

Dirigir los requisitos legales

y regulatorios

Alinear el modelo operativo para el

mundo digital

Gestionar tanto los recursos

internos como los proveedores

terceros

Mantener el avance del

incremento de la privacidad

en los riesgos y ciberataques

Rediseñar la organización para acoplarse a la era

digital Reunir

inteligencia a través de puntos

de contacto y medios de

comunicación

Habilitar totalmente

los sistemas digitales

Digitalizar facturas y

documentos

Cat

aliz

ador

es d

e ac

eler

ació

n

El Internet de las Cosas

Sensores Analítica Social Inteligencia artificial

Móvil Impresión 3D Nube Ciber

en gastos de consumidores a través de medios móviles

antes de 2018.Fuente: Goldman Sachs 2014

626 mil millones de dólares

de las relaciones comerciales manejadas sin interactuar con

un humano antes de 2020.Fuente: Gartner Group 2011

de todos los dispositivos que algún día podrían integrarse a la red aún

se encuentran desconectados.Fuente: Cisco, Rob Soderbury 2013

de las compañías probablemente no detectarán un ciberataque

sofisticado.Fuente: Encuesta EY Global Info Sec 2015

de los altos ejecutivos aceptan que los datos deben estar al centro de

toda toma de decisiones.Fuente: EY Becoming an analytics-driven

organization to create value 2015

85% 99% 36% 81%


¿Cuáles son las principales amenazas y vulnerabilidades? Para que su organización pueda ocupar un lugar más seguro y sustentable en el mundo digital, es necesario contar con una perspectiva de riesgos cibernéticos para todo lo que hagan.

Las empresas adoptan un enfoque adecuado para administrar sus riesgos y vulnerabilidades, mismo que no debe exponerlas a amenazas mayores. Ésta no es una responsabilidad que pueda delegarse a una o dos personas; más bien, debe considerarse y detallarse como una responsabilidad individual en toda la organización y en su ecosistema general, en el que las partes interesadas deberán reunirse para formar una sola perspectiva coherente y accesible. Esta perspectiva será diferente para la Dirección, los altos ejecutivos y para los empleados, así mismo será diferente para los socios, proveedores y otros terceros.

El problema es lograr mantenerse a flote entre tantos datos y no crear más trabajo y riesgos. Por lo tanto, los involucrados deben priorizar, simplificar y planear lo que un enfoque de ciberseguridad integral y eficiente significa para su compañía en particular. Puede que los elementos básicos sean comunes (como se describe en nuestro enfoque de las tres A – ver www.ey.com/GISS2014), pero únicamente podrán obtener un verdadero valor al personalizar su enfoque de ciberseguridad con base en su estrategia comercial, riesgos y prioridades.

Para poder guiar de manera eficiente a su compañía por los diversos niveles de riesgos y amenazas, los líderes deben tener la confianza para establecer su apetito de riesgo y estar preparados para implementar medidas decisivas para hacer frente a cualquier desafío. Por ejemplo, un tema que se ha observado claramente en los últimos dos años es que el impacto de un incidente es reducido considerablemente por los dirigentes, quienes aseguran que cuentan con un manejo inteligente y adecuado de los incidentes cibernéticos y una comunicación eficaz tanto interna como externamente para afrontar los resultados.

Preguntas que deben considerar las compañías:• ¿Entienden plenamente las amenazas y vulnerabilidades del mundo digital?

• ¿Han hecho el análisis necesario para determinar cómo el panorama de amenazas aplica para sus compañías y estrategia? ¿Han priorizado las medidas de ciberseguridad en torno a esto?

• ¿Conoce su apetito de riesgo para determinar las pérdidas y daños aceptables e inaceptables de los posibles incidentes como parte del diseño de su programa de administración de respuestas en caso de violaciones cibernéticas?

Su transformación digital solo será sustentable cuando el apetito de riesgo se establezca a un nivel con el cual la Dirección se sienta cómoda, y que la empresa pueda alcanzar.

67%de los participantes no considera que administrar el crecimiento en los puntos de acceso de su compañía sea un reto de seguridad de la información en el Internet de las Cosas.

68%de los encuestados no piensa que monitorear los ecosistemas de sus negocios sea un reto de seguridad de la información en el Internet de las Cosas.


Operar en un mundo digital - ¿qué hay de nuevo?• Los servicios y dispositivos inteligentes dan lugar a consecuencias imprevistas y a una

aglomeración de datos, con lo que aumentan las vulnerabilidades para la explotación; los humanos a menudo no participan en los procesos de toma de decisiones.

• Mediante las redes sociales y el programa trae tu propio dispositivo (BYOD, por sus siglas en inglés), los empleados, clientes y ciudadanos siempre están activos y comparten información, por lo que no toman en cuenta todas las implicaciones que esto conlleva para la privacidad y confidencialidad.

• Las compañías almacenan más datos en la nube y con terceros; esto es atractivo pero peligroso, ya que con la pérdida de control, mayores amenazas y una conectividad inesperada, se crea un ecosistema complejo.

• El comportamiento humano cambia de forma tanto positiva como negativa.

• La gran cantidad de leyes y regulaciones nuevas generan modificaciones en los procesos. Esto a su vez, significa que se crean otras vulnerabilidades, lo cual cambia el panorama de amenazas y la superficie de ataque de una compañía (a menudo al ampliar y no reducir el peligro).


Vulnerabilidad

Relacionado con el uso de redes sociales

Relacionado con el uso de la computación en la nube

Relacionado con el uso de la computación móvil

Arquitectura o controles de seguridad de la información obsoletos

Acceso no autorizado

Empleados descuidados o inconscientes

Amenaza

Desastres naturales (tormentas, inundaciones, etcétera)

Espionaje (por ejemplo, por la competencia)

Ciberataques para robar propiedad intelectual o datos

Ataques internos (por ejemplo, por empleados descontentos)

Ciberataques para robar información financiera

Ciberataques para interrumpir o dañar a la empresa

Fraude

Spam

Ataques de día cero

Phishing (suplantación de identidad)

Software malicioso (por ejemplo, virus, gusanos y troyanos)

Clave: 1 2 3 4 5

6% 14% 31% 25% 23%

10%

10%

18% 28% 21% 23%

9%

9%

9%

9%

23%

22%

31% 22% 15%

16%

12%

15%

15%

16% 16%

16%

17%

15%

19%

18%

19%

20%

31%

36%

26% 32% 14% 9%

11% 23% 22% 35%

14% 24% 31%22%

13% 17% 26% 22% 21%

18%

18%

18%

32% 23%

23%

19%

19%

19%

19%

19%

18%

19% 25%

29%

12% 22% 28%

9% 19%

19%

36% 22% 13%

32%

19% 25% 29%

30%

16% 12%

27% 9%

¿Qué amenazas* y vulnerabilidades** han aumentado su exposición a riesgos en los últimos 12 meses? (Calificar los siguientes puntos, en donde uno tiene la prioridad más alta y cinco la más baja)

*Amenaza: posibilidad de acciones hostiles por parte de terceros del entorno externo.

**Vulnerabilidad: exposición a la posibilidad de sufrir daños o ataques.



Comparación entre 2015 y 2014 Si analizamos las dos vulnerabilidades principales:

• Empleados descuidados o inconscientes

• Arquitectura o controles de seguridad de la información obsoletos

En 2014, estas vulnerabilidades eran consideradas mayores y de la más alta prioridad, pero las organizaciones indican que el grado de vulnerabilidad ha disminuido en estas áreas. Actualmente, solo el 44% se siente vulnerable con relación a los empleados inconscientes, en comparación con el 57% en 2014. Por otro lado, el 34% se siente vulnerable debido a sus sistemas obsoletos, comparado con el 52% en 2014. Esto demuestra que las compañías cubren sus vulnerabilidades de manera más eficaz en la actualidad.

Sin embargo, cuando analizamos las dos principales amenazas actuales:

• Phishing (suplantación de identidad)

• Software malicioso

Estas amenazas ocuparon el quinto y séptimo lugar en 2014 y el robo de información financiera, de propiedad intelectual, la amenaza de fraude, el espionaje y los ataques de día cero en ese entonces eran señalados como más altas. Esta percepción exacerbada del phishing y software malicioso como amenazas demuestra un claro cambio de opinión, pero ¿es el cambio correcto o un desvío hacia la dirección equivocada?

57% 44%2014 2015

Actualmente, solo 44% se siente vulnerable en relación con empleados inconscientes, en comparación con 57% en 2014.

39% 44%2014 2015

44% considera que el phishing es la principal amenaza en la actualidad, en comparación con 39% en 2014.

34% 43%2014 2015

43% indica que el software malicioso es la amenaza primordial en la actualidad, en comparación con 34% en 2014.

52% 34%2014 2015

Solamente 34% se siente vulnerable debido a sistemas obsoletos, comparado con 52% en 2014.



¿Cómo enfrentar los ataques? Es un hecho que su compañía sufrirá incidentes cibernéticos, esto es parte del mundo digital.

El punto de partida para ganar confianza como compañía es estar al tanto de la situación; esto es tener un entendimiento de cómo perciben su empresa los ciberataques.

• ¿Cómo proteger la compañía de un incidente cibernético si no conocemos cual es el objetivo del atacante?

• ¿Cómo obtendrán acceso y cómo dañaría esto a la organización y a sus activos críticos?

• ¿Cómo mantener la confianza sin conocer plenamente la capacidad que tiene la empresa para responder, contener y recuperarse de un ataque?

Las compañías a menudo están familiarizadas con buenos principios de administración de riesgos, y esto es un punto de partida útil para pensar en la ciberseguridad:

Principios clave de administración de riesgos ...

... Aplicados a los riesgos cibernéticos

Conocer sus activos de información críticos Identificar los activos de negocio críticos que son vulnerables a los ciberataques.

Hacer que los riesgos cibernéticos sean más tangibles Definir claramente los riesgos cibernéticos y las métricas subyacentes.

Alinear los esfuerzos con los marcos de riesgo existentes Financieros, operativos, regulatorios, clientes, reputación, entre otros.

Otorgar la debida relevancia a los riesgos cibernéticos Vincular los riesgos a nivel organizacional a las unidades de negocio individuales y sus activos de información.

Integrar el apetito de riesgo en las decisiones de inversión Priorizar las inversiones en los puntos críticos, empoderar a los negocios para tomar decisiones a nivel local.

Lo más importante es el enfoque Alinear el negocio y la cultura de riesgo específicamente.

Medir y reportar Incluir declaraciones cualitativas y medidas cuantitativas.

Naturaleza integral Abarcar todos los tipos de riesgo, tanto actuales como futuros.

Identificar el apetito de riesgo Establecer el apetito de las unidades de negocio y determinar tipos de riesgo.

Integrar con la planeación del negocio Los reguladores buscan mayor evidencia de cumplimiento. 5

4

3

2

1

42%de los encuestados piensa que conocer todos sus activos críticos es un reto clave de la seguridad de la información.



Los ciberataques a menudo son anunciados como eventos sensacionalistas y dramáticos, es decir, violaciones masivas donde los sistemas y sitios se vuelven inoperables y resultan en inconveniencias o daños repentinos para los consumidores. Los titulares de la prensa enfocan su atención en los eventos a gran escala en los que los atacantes extraen la información de millones de cuentas, filtran grandes cantidades de información confidencial en línea, roban la propiedad intelectual y dañan los sistemas.

Sin embargo, la naturaleza repentina de estos titulares puede ser engañosa. La mayoría de estos ataques comenzaron semanas o meses antes, cuando los cibercriminales encontraron su punto de acceso y esperaron pacientemente para explorar, localizar activos valiosos y hacer sus planes.

Además, los ciberataques no son aislados, sin importar qué tan simples o complejos, dirigidos o aleatorios sean o parezcan ser. Estas primeras señales sutiles y el impacto acumulado de ataques repetidos deben entenderse e incluirse en su planeación y apetito de riesgo.

Apetito de arriba hacia abajo

Marco de abajo hacia arriba

Apetito organizacional

Asignados a las

unidades de negocio

Presupuesto Escenarios

Activos críticos

Definidos a nivel

organización

Equipo rojo: es un grupo que reta abiertamente a una compañía para mejorar su seguridad a través de ejercicios específicos, como pruebas de penetración, ingeniería social, entre otros.


20%de los encuestados no puede estimar los daños financieros totales relacionados con incidentes cibernéticos en los últimos 12 meses.

Priorizaciones con base en

• Apetito de riesgo

• Criticidad de los activos

• Alineación de pares

Entorno de control

• Requisitos de control alineados con la criticidad de los activos (p. ej., Nivel 1, Nivel 2, etc.)

• Equipo rojo, benchmarking, pruebas de control

• Evaluaciones de riesgo, registros, KRI

Identificar los riesgos reales

• Definir de arriba hacia abajo el apetito de riesgo y activos de información crítica.

• Mapear los activos críticos en todos los sistemas y negocios (incluye a terceros).

Priorizar lo más importante

• ►Asumir que ocurrirán brechas. Mejorar los controles y procesos para identificar, proteger, detectar, responder y recuperarse de ataques.

• Equilibrar lo fundamental con las amenazas emergentes y capacidades de pares.

Gobernar y monitorear el desempeño

• ►Evaluar con regularidad el desempeño y el riesgo residual.

• ►Medir los principales indicadores para identificar los problemas cuando aún son pequeños.

Optimizar inversiones

• ►Aceptar los riesgos manejables cuando no haya presupuesto.

• ►Asegurar que el impacto sobre costos y el negocio habitual sean considerados para toda inversión.

Habilitar el desempeño del negocio

• ►Fomentar que la seguridad sea responsabilidad de todos.

• ►No limitar el uso de nuevas tecnologías; utilizar la fuerza del cambio para implementarlas.

¿Cómo se desarrollan los ataques?



¿Cuáles son los peores escenarios? Para identificar que las cosas no están del todo bien, primero es importante conocer el entorno al derecho y al revés. Esto permitirá localizar los aspectos críticos para el éxito de la compañía, así como determinar cuáles podrían ser algunos escenarios de riesgo de negocio cibernético importantes, y tener una idea de los daños que habría si cierta información se perdiera o se viera comprometida. Lo anterior ayudará a priorizar las precauciones y crear contramedidas en torno a las áreas más críticas y contextos de ataque más probables.

Un ejemplo de un escenario de ataque es el siguiente:

Una violación cibernética puede ser muy sutil – varios incidentes suceden al mismo tiempo

Ingeniería social avanzada (p. ej., estafa focalizada por correo electrónico (spear-phishing), ataques de espionaje (water-hole attacks)

Recopilación sofisticada de inteligencia durante seis meses

Pleno conocimiento de las debilidades de la empresa – gente, procesos y tecnología

El efecto acumulado sobre una compañía puede ser enorme

Afecta las decisiones de negocio, fusiones y adquisiciones, así como la posición competitiva

Ventas Cadena de suministro

Investigación y desarrollo

Cuentas por pagar

La manipulación estratégica de ventas y sistemas de correo

electrónico dan lugar a una pérdida de ventas de 2% a 3% antes de los periodos de reporte trimestrales o

anuales.

La manipulación de cadenas de suministro y del sistema de pedidos en línea conlleva a la degradación de la producción y de la

recaudación de cuentas por cobrar, lo que representa una pérdida de ingresos proyectados de 2% a 3%.

Las áreas de mayor rentabilidad y los esfuerzos de desarrollo de productos

de crecimiento son robados, lo cual da como

resultado una pérdida de ventas y ventaja

competitiva.

Las dificultades artificiales resultan en pérdidas del valor en libros >30%

Los rumores en las redes sociales resultan en pérdidas de capital de mercado >50%

El fraude periódico de cuentas por pagar da lugar

a pérdidas de millones de dólares por año. La

liberación masiva de datos de privacidad genera una pérdida de confianza del público y costos legales

adicionales.

Impacto de devaluaciónLas compañías son abordadas por posibles benefactores del ciberataque para adquirir a la entidad en problemas a valor deteriorado.

MercadoEl valor de mercado disminuye artificialmente para obtener ganancias financieras y permitir la adquisición de acciones materiales en compañías que cotizan en la Bolsa a un valor deteriorado.

Una vez proyectado uno o más de los principales escenarios de riesgo cibernético y del negocio, es posible identificar qué áreas en la organización deben vigilarse más de cerca que otras:

• ¿Sospechan que utilizan en su contra propiedad intelectual robada, de acuerdo a las cifras de ventas en una región específica?

• A medida que se prepara para una fusión y adquisición importante, ¿detectan una caída en el valor de mercado?

• ¿Existen varias compañías terceras involucradas en un área crítica de su negocio?

Organizaciones criminales 59%

Empleados 56%

Hacktivistas 54%

Hacker solitario 43%

Contratistas externos que trabajan en nuestro sitio 36%

Atacante patrocinado por el estado 35%

Proveedores 14%

Otro socio de negocios 13%

Clientes 12%

Otros (favor de especificar) 3%

¿Quién o qué consideran es la fuente más probable de un ataque?

¿Ya están infiltrados?Debido a que los cibercriminales pueden pasar meses dentro de una compañía, buscando información que almacenarán para un ataque futuro o reuniéndola para lograr otro cometido, también crearán medidas para protegerse de los esfuerzos para detectarlos. En ocasiones crearán tácticas de distracción para despistar la atención de lo que hacen y del éxito que tuvieron algunas de sus misiones. A menudo estos criminales guardan los datos robados y no los utilizan durante algún tiempo; otras veces los comparten entre la comunidad cibercriminal (tal vez a cambio de dinero), lo cual significa una amenaza aún más directa para la empresa.

En ocasiones, estas exploraciones criminales dejan rastros y sacudidas que se sentirán, pero que fácilmente podrán pasar desapercibidas. Por lo general, estas señales son tan sutiles que los pequeños altercados en las operaciones o las fallas aparentemente insignificantes en los sistemas a menudo no se mencionan ni se reportan, por lo que no se logra obtener un panorama amplio de la situación. Aun cuando la ciberseguridad sea un tema pendiente en la agenda del Consejo Directivo, a menudo no será evidente que estos pequeños eventos inexplicables que cada ejecutivo enfrenta individualmente en su área respectiva formen parte de una violación cibernética más grande y sofisticada que tenga el potencial de causar daños enormes.

¿Cómo detectar las señales sutiles? Prestar más atención, esfuerzos de prevención y contramedidas en torno a las áreas de mayor valor y riesgo es un paso clave para minimizar el daño de los ciberataques. El hecho de poder detectar los ciberataques lo antes posible es la siguiente acción crucial, lo cual únicamente es posible con un radar integral que abarque una variedad de indicadores y que pueda advertir cuando se crucen ciertos umbrales, los cuales se determinarán con base en el apetito de riesgo y los tipos de incidentes que le causarán el mayor daño a la compañía.

Algunos ataques serán repentinos y evidentes, en cuyo caso el enfoque se dirigirá a tener una respuesta eficaz. Sin embargo, es importante recordar que estos ataques también pueden ser tácticas de distracción, ya que las empresas necesitan analizar cada incidente para obtener suficiente información a fin de evaluar cómo surgen estos patrones con el paso del tiempo.

Hay muchas formas de infiltrarse en una empresa y los cibercriminales encontrarán los puntos de entrada más vulnerables. Algunas de éstas son obvias, por lo que será fácil fortalecerlas y deben monitorearse, pero al pensar de manera creativa en un escenario sobre cómo pudieran operar los atacantes, podrán ser incluidos barreras y monitores adicionales en lugares menos precisos (p. ej., sitios públicos, sistemas de terceros que se conectan con los suyos, sistemas industriales de conexión, la nube, entre otros).


53% 59%2014 2015

59% considera que las organizaciones criminales actualmente son la fuente más probable de ataques, en comparación con 53% en 2014.

46% 54%2014 2015

54% piensa que los hacktivistas son la fuente más probable, en comparación con 46% en 2014.

27% 35%2014 2015

35% indica que los atacantes patrocinados por el estado son la fuente más probable, en comparación con 27% en 2014.



Una vez infiltrados, los atacantes encontrarán la forma de llegar a los componentes de valor. Es en este punto es importante conocer las prioridades de un negocio, aquello que podría lastimarlo (en mayor medida), y lo que tiene valor para otra parte, es decir, el eje de intersección donde podrán ser detectados los indicadores o señales más sutiles.

Los departamentos de Finanzas, Mercadotecnia, Operaciones, Investigación y Desarrollo y RR.HH. son las áreas clave que deben conocer los riesgos de negocios cibernéticos para la compañía, incluidos en el rango de los aspectos de responsabilidad individuales. Deben permanecer alerta para detectar comportamientos raros y discutirlos con el contacto correspondiente para que pueda incluirlos en los informes.

Tal como sucede con las campañas públicas contra el terrorismo, el mensaje es que no está de más reportar algo que provoca sospechas. El factor crítico es darlo a conocer a las partes interesadas para armar el rompecabezas.

Algunos ejemplos de los indicadores que un radar debe detectar son los siguientes:

• Ataques sumamente visibles sin un propósito evidente; por ejemplo, DDoS; información robada que no tenga algún uso evidente para ellos.

• Movimientos inesperados en los precios de las acciones.

• Nuevos productos lanzados por competidores que son demasiado similares a su investigación, desarrollo y que llegan a los mercados justo antes que los productos de la compañía, lo cual indica que hubo robo de propiedad intelectual y de conocimiento de su estrategia de crecimiento y calendario.

• Interrupción en las actividades de fusiones y adquisiciones; licitaciones de la competencia que muestran similitudes y que podrían demostrar conocimiento de planes confidenciales, fusiones y adquisiciones que sufren incidentes cibernéticos (p. ej., robo de su propiedad intelectual).

• Comportamiento inusual de los clientes o de los negocios conjuntos: es importante recordar que estos no siempre serán clientes o socios genuinos debido a que los cibercriminales pueden unirse a compañías para tener fácil acceso a sus sistemas y datos.

• Conducta inusitada de empleados: los responsables del personal deben estar alerta a cambios de comportamiento, sobre todo cuando dicho personal trabaja en áreas sensibles.

• Interrupciones operativas sin un motivo aparente.

• Anormalidades en los sistemas de procesamiento de pagos o de pedidos.

• Las bases de datos de clientes o usuarios muestran información incongruente.

7%de las compañías cuenta con un programa de respuesta a incidentes robusto que incluye a terceros y autoridades y que está integrado con su función más amplia de administración de amenazas y vulnerabilidades.

56% 36%2014 2015

36% considera que es poco probable detectar un ataque sofisticado. Aunque se observa una mejora considerable respecto al hallazgo de 56% en 2014, las compañías deben recordar que el nivel de sofisticación aumenta continuamente.


Prevención de fuga de datos/pérdida de datos

Continuidad del negocio/capacidad de recuperación en caso de desastres

Administración de identidad y acceso

Capacitación y concientización en materia de seguridad

Capacidades de respuesta ante incidentes

Operaciones de seguridad (p. ej. antivirus, codificación de parches, encriptación)

Pruebas de seguridad (p. ej., ataque y penetración)

Administración de accesos privilegiados

Asegurar las tecnologías emergentes

Administración de eventos de incidentes de seguridad y Centro de Operaciones de Seguridad (SOC)

Administración de amenazas y vulnerabilidades

Tecnologías móviles

Computación en la nube

Seguridad de TI e integración de tecnología operativa

Medidas de privacidad

Transformación de la seguridad de la información (rediseño fundamental)

Administración de riesgos de terceros

Riesgos/amenazas de personas con información privilegiada

Rediseño de la arquitectura de seguridad

Offshoring/outsourcing de actividades de seguridad

Apoyo en caso de fraude

Propiedad intelectual

Apoyo forense

Redes sociales

Otros (especificar)

Clave: Alto Medio Bajo

56%

55%

33%

33%

47%

45%

46%

44%

44%

41%

38%

38%

38%

38%

37%

44%

44%

44%

45%

45%

42%

41%

11%

11%

12%

12%

12%

15%

15%

17%

18%

18%

21%

21%

21%

33%

32%

29%

29% 27%

30%

28%

25%

24%

23%

22%

21%

21%

20%

19%

13%

11%

47%

34% 34%

35%

32%

50%

44%

42%

46%

46%

49%

39%

40% 40%

37%

37% 44%

38% 49%

39% 50%

50% 30%


¿Cuáles de las siguientes áreas de seguridad de la información clasificarían como de prioridad alta, media y baja para sus compañías en los próximos 12 meses? (Elegir una respuesta para cada tema)

56% de los encuestados clasificó la prevención de fuga o pérdida de datos como un tema de alta prioridad para sus compañías en los próximos 12 meses.

50% de los encuestados señaló a las redes sociales como aspecto de baja prioridad.

49% de los encuestados catalogó los riesgos y las amenazas de personas con información privilegiada como de prioridad media, a pesar de que 56% considera que los empleados son una de las fuentes más probables de un ataque, y 36% señala a los contratistas externos como una fuente factible.



¿Por qué estar en alerta máxima debe ser constante en una organización? El mundo digital no permite que una compañía esté cómoda en el área de amenazas y vulnerabilidades de ciberseguridad. Es importante estar alerta en todo momento para detectar y responder al entorno cambiante. Se requiere un estado de preparación constante los 365 días al año, las 24 horas del día.

Pero con este grado de supervisión, es entendible que ciertas compañías se sientan fatigadas sobre estas áreas, y que se pregunten ¿cuándo será suficiente?

El bombardeo constante de tres a cuatro años de ataques numerosos, y el hecho de tener que reaccionar a los eventos cibernéticos, fácilmente puede dar lugar a un estado de complacencia. Un registro sólido de ahuyentar ataques típicos rutinarios (p. ej., phishing) y cerrar las brechas evidentes (p. ej., funcionamiento eficaz del programa de Administración de Identidad y Acceso) hace que las compañías crean que han “resuelto” el problema de la ciberseguridad, cuando en realidad la situación empeora. Esto resulta cierto debido a que es muy difícil demostrar el valor de la inversión en términos reales cuando los presupuestos son limitados.

En realidad, la mayoría de las compañías han sentado las bases para una ciberseguridad adecuada, sin darse cuenta que es solo el comienzo, y que el mundo digital requiere un enfoque constante y receptivo hacia la inversión. Una empresa únicamente puede considerar que tiene suficiente ciberseguridad cuando en todo momento es capaz de mantenerse dentro de los límites del apetito de riesgo establecido.

Sin embargo, a medida que aumenta la madurez de la ciberseguridad de una compañía, se vuelve más fácil demostrar el valor de estas inversiones. Proporcionar evaluaciones de costo más precisas por el daño que causarán diversos escenarios de ciberataques podrá ayudar a justificar la inversión y supervisión continuas. Cada vez que su Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) o los analistas de Inteligencia de Amenazas Internas identifican un ataque en sus primeras etapas, es posible demostrar el valor que esto tiene para el negocio al extrapolar los daños provocados si el escenario hubiera llegado al máximo grado.

De igual forma, entre más consciente se esté de la situación, más fácil será personalizar y priorizar los gastos, ya que se malgasta mucho dinero en controles o equipos innecesarios que realmente no mejoran la madurez de la ciberseguridad en las áreas que más lo requieren.

49%considera que requiere un aumento en el financiamiento de hasta 25% para proteger a la compañía de acuerdo con la tolerancia de riesgo de la administración.

62% destinará lo mismo o menos en las habilidades de respuesta a incidentes en el próximo año.

70%empleará lo mismo o menos en operaciones de seguridad (antivirus, codificación de parches, encriptación).

84% invertirá lo mismo o menos en seguridad de la información para la propiedad intelectual en el próximo año.




En nuestra Encuesta Global sobre Seguridad de la Información de 2014 identificamos tres etapas en el camino hacia la madurez en materia de ciberseguridad - Activar, Adaptar y Anticipar (las tres A) - que deben ejecutarse de manera consecutiva con el objetivo de lograr medidas aún más avanzadas e integrales en cada una.

Las tres A todavía son relevantes y los hallazgos de nuestra encuesta 2015 demuestran que aún hay avances que deben realizarse en ellas. Sin embargo, ante las amenazas actuales, muchas de las acciones que identificamos como más avanzadas han cobrado mayor importancia.

Activar Adaptar Anticipar


1. ActivarEn esta etapa la compañía debe tener una base sólida de ciberseguridad para el entorno actual al reunir un conjunto de medidas que permitan ofrecer una defensa básica, por lo que la organización requiere:

• Realizar una evaluación de seguridad y elaborar un plan de acción

• Obtener apoyo a nivel del Consejo Directivo para una transformación de seguridad

• Revisar y actualizar las políticas, procedimientos y estándares de apoyo a la seguridad

• Establecer un Centro de Operaciones de Seguridad

• Probar los planes de continuidad del negocio y los procedimientos de respuesta a incidentes

• Diseñar e implemente controles de ciberseguridad

Actualmente, ante la mayor sofisticación de los riesgos y ciberamenazas, hay dos tareas fundamentales adicionales:

• Definir el ecosistema de la compañía

• Implementar programas de capacitación de ciberseguridad para los empleados

13% 63% 12% 67%

2014 2015Porcentaje de encuestados que considera que su función de seguridad de la información cumple plenamente con las necesidades de la compañía; porcentaje de encuestados que indica que cumple parcialmente con las necesidades pero realizan mejoras.

42% 47% 2014 2015Porcentaje de encuestados que cuentan con un programa de Administración de Identidad y Acceso.

12% 18% 2014 2015Porcentaje de encuestados que no cuentan con un Centro de Operaciones de Seguridad.


Entonces, ¿dónde se encuentran los negocios en 2015? No hay suficientes medidas de control en el entorno actual

• Solamente el 12% de los encuestados señaló que su función de Seguridad de la Información cumple plenamente con las necesidades de la compañía, el 67% aún realiza mejoras.

• Hay una disminución del 1% en los encuestados que considera que las necesidades están plenamente completas, pero el número de los que están haciendo mejoras solamente ha aumentado un 4% desde 2014.

• El 69% considera que su presupuesto de seguridad de la información debe aumentar un 50% para proteger a la compañía de acuerdo con la tolerancia de riesgo de la administración.

• El 47% no cuenta con un SOC, en comparación con el 42% en 2014.

• El 37% no tiene un programa de protección de datos o únicamente cuenta con políticas o procesos ad hoc, en comparación con un 34% en 2014.

• Un 18% no cuenta con un programa de Administración de Identidad y Acceso, mientras que en 2014, esta cifra era del 12%, lo cual representa una caída considerable.

• Solo el 40% cuenta con un inventario preciso de su ecosistema (esto es, todos los proveedores terceros, conexiones de red y datos).

• El 27% señala que el phishing de usuarios finales fue la falla principal en sus controles o procesos lo que dio lugar a la violación de ciberseguridad más significativa en el último año.


2. Adaptar

Al aceptar que las medidas de seguridad de la información fundamentales serán menos eficaces con el paso del tiempo, esta etapa está enfocada en el entorno cambiante y resalta las acciones necesarias para asegurar que las compañías puedan adaptarse para mantenerse a la par y sincronizarse con los requisitos de negocio y la dinámica.

Hoy en día, la etapa de Adaptar requiere:

• Diseñar e implementar un programa de transformación para lograr mejoras en la madurez de la ciberseguridad, al utilizar ayuda externa para acelerar o incorporar prácticas líderes para diseñar el programa y asegurar una buena administración del mismo.

• Decidir qué tareas se realizarán internamente y cuáles se subcontratarán.

• Definir una matriz RACI (Responsable Aprobado Consultado Informado) para la ciberseguridad.

54%de las compañías no cuenta con un puesto o área en su función de seguridad de la información que se enfoque en las tecnologías emergentes y en su impacto.

53% 57% 2014 2015Porcentaje que considera que la falta de recursos especializados dificulta la contribución y el valor de la seguridad de la información a la compañía.

Porcentaje de encuestados que tiene previsto invertir más o lo mismo en la transformación de la seguridad de la información.

25% 64% 28% 61%

2014 2015


Entonces ¿dónde se encuentran los negocios en 2015? No hay mecanismos para al cambio

El 54% de las compañías no cuenta con un puesto o área en su función de seguridad de la información que se enfoque en las tecnologías emergentes y su impacto, esto incluye al 36% que no tiene planes para implementar uno.

Solo un 34% calificaría el monitoreo de su seguridad como maduro o muy maduro, lo cual solamente representa un aumento del 4% en comparación con 2014.

Solo un 53% señalaría el monitoreo de su red de seguridad como maduro o muy maduro, lo cual solamente representa un aumento del 1% desde 2014.

El 57% considera que la falta de recursos especializados dificulta la contribución y el valor de la seguridad de la información a la compañía, mientras que en 2014 esta cifra era del 53%.

Al preguntarles sobre “en comparación con el año anterior”, el 28% de los encuestados comentaron que tienen previsto invertir más en la transformación de la seguridad de la información (un rediseño fundamental): esto representa un aumento de solo un 3% respecto a las respuestas de la misma pregunta en 2014.


3. AnticiparEn la etapa Anticipar, una empresa debe diseñar estrategias para detectar y neutralizar los posibles ciberataques. Debe enfocarse en el entorno futuro y confiar más en su habilidad para enfrentar amenazas más predecibles, así como ataques inesperados.

Pocas organizaciones tienen este nivel de capacidad y hoy en día es necesario:

• ►Diseñar e implementar una estrategia de Inteligencia de Ciberamenazas

• Definir y englobar el ecosistema de ciberseguridad general de la compañía

• Adoptar un enfoque cibereconómico

• Utilizar la analítica de datos forenses y la Inteligencia de Ciberamenazas

• Asegurar que todos entiendan lo que sucede

• Estar preparados para lo peor al diseñar una estrategia integral de administración de respuestas en caso de violaciones de ciberseguridad

Entonces ¿dónde se encuentran los negocios en 2015?

El enfoque proactivo es lento para neutralizar los ciberataques

• El 36% no cuenta con un programa de Inteligencia de Amenazas, y un 30% adicional únicamente tiene un enfoque informal, mientras que el 5% considera que su compañía ha logrado una función avanzada de Inteligencia de Amenazas; en comparación con 2014, estas cifras no han cambiado, solo hubo una caída del 2% en aquellas compañías que cuentan con enfoque informal.

• El 63% considera que la administración de amenazas y vulnerabilidades es una prioridad media o baja, lo que representa una mejora menor comparada con los resultados de 2014.

• Solo el 12% ve más allá de sus proveedores a los proveedores de su proveedores (cuartas partes), lo cual representa solo una mejora mínima del 4% en comparación con 2014.

• Solamente un 31% de los terceros realizan una evaluación de riesgos, en comparación con el 27% en 2014.

• El 79% indica que la falta de concientización o comportamiento negativo por parte de los usuarios es el riesgo principal relacionado con los dispositivos móviles.

36%de los encuestados no cuenta con un programa de Inteligencia de Amenazas.

8% 12% 2014 2015Porcentaje de encuestados que observan más allá de sus proveedores a cuartas partes.

66% 63% 2014 2015Porcentaje de participantes que considera que la administración de amenazas y vulnerabilidades es una prioridad media o baja.




“Una Defensa Activa no reemplaza las operaciones de seguridad tradicionales – las organiza y mejora”. Ken Allan, Líder Global de Asesoría en Ciberseguridad de EY


¿Qué es la Defensa Activa? La ciberseguridad es una capacidad de defensa inherente para las compañías. Las secretarías de defensa del gobierno (y el ejército) podrán preparar medidas de ataque al crear armas cibernéticas y al realizar actividades de interrupción intrusivas, pero para las empresas fuera de ese escenario tan reducido, las operaciones ofensivas son innecesarias y a menudo se encuentran en una denominada “zona gris”.

Sin embargo, eso no significa que las organizaciones tienen que ser pasivas y esperar a ser víctimas.

Como se describió al principio de este informe, entender los riesgos cibernéticos de negocio críticos y saber lo que los atacantes quieren de las compañías permitirá establecer una defensa dirigida a través de la priorización (de activos, gente, áreas de negocio) y el endurecimiento de las vulnerabilidades. Asimismo, evaluar el panorama específico de amenazas de las empresas (con base en su entorno operativo, activos críticos y estrategia de negocios) ayudará a entender quiénes son los protagonistas más probables de las amenazas y los métodos posibles a utilizar, los cuales se proyectarán en diversos escenarios para medir el nivel de preparación. Todo lo anterior sirve para informar al SOC y debe ser la base para sustentar cualquier institución.

Implementar un SOC más avanzado y utilizar una estrategia de Inteligencia de Ciberamenazas para alinear eficazmente las operaciones permitirá llevar a cabo una Defensa Activa al utilizar antenas inteligentes para detectar posibles atacantes, analizar y evaluar la amenaza, así como neutralizar la amenaza antes de que dañe los activos críticos de la compañía. De igual forma, un SOC avanzado puede operar de la misma manera y detectar activamente las anomalías no deseadas y los visitantes o atacantes confirmados que ya se encuentran infiltrados en sus sistemas.

¿Qué debe mejorar con su implementación? Inteligencia de Ciberamenazas Avanzada: los diferentes niveles de evaluación de perfiles de amenazas que pueden llevarse a cabo, al escalar desde las preguntas más básicas. Una Inteligencia de Ciberamenazas más avanzada permitirá administrar proactivamente estas intimidaciones y contramedidas.

¿Es necesario mejorar su Inteligencia de Ciberamenazas?

• ►¿Qué información sobre la organización está disponible para cualquier atacante? ¿Cómo podría utilizarla?

Preguntas clave para la función de seguridad de la información de una empresa:

¿Cómo podría utilizarla?

• ¿Qué tipo de atacantes o adversarios son más probables (p. ej., hacktivistas, redes criminales buscando información que puedan vender, estafadores, atacantes a nivel nacional)?

• ¿Cuáles son sus ventajas (p. ej., recursos, tiempo, capacidades técnicas o para reclutar a personas con información privilegiada)?

• ►Para cada uno de los atacantes, ¿qué es lo que probablemente les interese más? (Comparar esto con la lista de lo que realmente le interesa a su negocio, es decir, sus activos más valiosos).

• ¿Qué tan vulnerables son los objetivos o activos deseados, y cómo podrían ser explotados?

• ¿Qué caminos específicos podrán tomar los atacantes para llegar a su objetivo (p. ej., a través de un sistema de aire acondicionado, por medio de un sistema de pago, al reclutar personas con información privilegiada, al realizar estafas focalizadas por correo electrónico a los integrantes del Consejo o a empleados que tienen acceso a la información)?

• ¿Cuáles son las contramedidas más eficaces?

• ¿Qué puedo aprender de mis encuentros anteriores con ciertos adversarios?

Una vez que se tienen las respuestas a estas preguntas, una compañía utilizaría los hallazgos para tomar decisiones de negocio estratégicas informadas a nivel ejecutivo y de la alta administración, reenfocar la actividad operativa en el SOC, y comunicarle los canales información sobre amenazas externas a las áreas más relevantes en ese momento específico.

24%de los encuestados no cuenta con un programa de identificación de vulnerabilidades.

34%cuenta con un programa de identificación de vulnerabilidades y lleva a cabo pruebas automatizadas de manera regular.

27%dice que sus políticas y procedimientos de protección de datos son informales o que tiene políticas adecuadas.



59%de los encuestados comenta que su SOC no cuenta con una suscripción pagada a los canales de información sobre Inteligencia de Ciberamenazas.


¿Cómo construirla? La Defensa Activa amplía la capacidad de las operaciones de seguridad tradicional de dos maneras, aunque primero es guiada por una estrategia de Inteligencia de Ciberamenazas analizada profesionalmente. Más que solo recibir informes sobre estas intimidaciones, estos análisis permiten a los profesionales de la Defensa Activa identificar a los atacantes probables, inferir sobre sus objetivos más probables dentro de la compañía y crear hipótesis acerca de las formas en que se presentarán dichos ataques. Estas perspectivas facilitan la implementación de contramedidas personalizadas.

El segundo diferenciador clave respecto al enfoque estándar de ciberseguridad es el ciclo operativo de la Defensa Activa. Al repetir un proceso definido y disciplinado para analizar la información disponible, formular conclusiones relevantes y tomar acción, los profesionales de la Defensa Activa aportan un elemento dinámico y proactivo a las operaciones de seguridad existentes de la empresa.

A diferencia de otras ofertas de servicios de seguridad, la Defensa Activa no busca mejorar un área funcional específica o implementar nuevas tecnologías. Más bien, integra y mejora las habilidades de seguridad existentes para alcanzar una mayor eficacia contra atacantes persistentes. Al adecuar y ejecutar un ciclo iterativo con mecanismos integrados a fin de alcanzar un aprendizaje y mejoras continuas, la compañía obtiene beneficios en cuanto a la eficiencia, responsabilidad y las capacidades de su gobierno corporativo, mismos que se traducen en mejores retornos sobre la inversión para los programas de seguridad al aumentar la efectividad de las operaciones de seguridad, lo cual a su vez reduce el potencial de los ataques dirigidos.

La Defensa Activa también debe incluir una evaluación de las implicaciones de riesgo en caso de una violación cibernética significativa y la creación de un marco de respuesta centralizado como parte de la estrategia de administración de riesgos empresariales. Este marco para responder a violaciones cibernéticas, con un modelo de gobierno corporativo claramente definido, debe abarcar el proceso de investigación de incidentes, recopilación y análisis de evidencia, evaluación de impactos y apoyo en litigios.

¿Cuándo es apropiado implementar la Defensa Activa en una compañía?

Si la respuesta a cualquiera de estas respuestas es sí, el enfoque de Defensa Activa debe ser considerado:

• Estamos considerando o trabajando un SOC, pero aún no encontramos evidencia de atacantes avanzados.

• Contamos con un SOC, no obstante, sufrimos una violación considerable.

• Contamos con un SOC subcontratado, sin embargo, nuestra propiedad intelectual y sistemas de negocio aún no se encuentran totalmente seguros.


Los pasos a seguir para generar confianza en un mundo digitalUna respuesta sencilla a “¿qué requiere mi compañía?” necesita todos los siguientes puntos:

• Conocimiento de lo que puede dañar a la organización e interrumpir el logro de su estrategia

• Una identificación clara de sus activos críticos, o activos más valiosos

• Escenarios de riesgos cibernéticos de negocio que muestren un panorama preciso de cómo puede darse un ataque

• Un Consejo Directivo y altos ejecutivos que puedan determinar con precisión el apetito de riesgo para la empresa

• Una evaluación de la madurez actual de la ciberseguridad y un comparativo del nivel de madurez que realmente requiere para cumplir con el apetito de riesgo

• Un plan de acción de mejoras

• Perfiles de riesgo personalizados y una Inteligencia de Ciberamenazas avanzada

• Un SOC más avanzado: interno, conjunto o subcontratado

• Una estrategia proactiva y multifuncional de administración de repuestas en caso de violaciones cibernéticas

Para poder avanzar en su plan de acción e implementación de ciberseguridad, será necesario que haya un cambio de mentalidad en su compañía que requerirá claridad en torno a la función del Consejo Directivo, es decir, una alternativa y marco holísticos que estén totalmente alineados con el desempeño del negocio. Es probable que la organización deba contratar recursos externos para conseguir lo anterior. Hoy en día, una evaluación a nivel de Dirección de su espectro de madurez actual podría ser un ejercicio inicial y sumamente efectivo para determinar la escala del cambio que se requiere.

Las siguientes páginas incluyen el espectro completo de los estados de madurez – sobre la situación actual de la empresa - y ¿en dónde consideran que debe estar? El enfoque de defensa dirigido no sugiere que el estado ideal sea esencial para cada aspecto.

66%de los encuestados que sufrieron incidentes de ciberseguridad significativos recientes que no fueron descubiertos por su SOC comenta que éste no tiene una suscripción pagada a los canales de información de Inteligencia de Ciberamenazas.



El espectro de madurez y dónde se encuentran las compañías actualmente

Pregunta de madurez 1 – No existe 2 3 4 5 — Muy maduro

¿Cuál es la madurez de su programa de Inteligencia de Amenazas?

El 36% de los encuestados no cuenta con un programa de Inteligencia de Amenazas.

El 30% cuenta con un programa informal de Inteligencia de Amenazas que incluye información de terceros de confianza y listas de distribución de correo electrónico.

El 20% cuenta con un programa formal de Inteligencia de Amenazas que incluye suscripciones a canales de información sobre amenazas de proveedores externos y fuentes internas, como una herramienta de administración de incidentes y eventos de seguridad.

El 10% cuenta con un equipo de Inteligencia de Amenazas que recopila información interna y externa sobre amenazas y vulnerabilidades para analizar la credibilidad y relevancia en su entorno.

El 5% cuenta con una función de Inteligencia de Amenazas avanzada con canales de información internos y externos, así como analistas de inteligencia y asesores externos que evalúan la información para su credibilidad, relevancia y exposición a los protagonistas de las intimidaciones.

¿Cuál es la madurez de su capacidad de identificación de vulnerabilidades?

El 24% de los encuestados no tiene un programa de identificación de vulnerabilidades.

El 34% tiene un programa informal de identificación de vulnerabilidades y lleva a cabo pruebas automatizadas de manera regular.

Un 20% utiliza una variedad de enfoques de revisión, incluyendo ingeniería social y pruebas manuales.

El 18% tiene una función formal de inteligencia de vulnerabilidades con un programa de evaluaciones basada en las amenazas del negocio que utilizan pruebas profundas de ataque y penetración de proveedores, pruebas periódicas de procesos de negocio y de proyectos (p. ej., nuevos sistemas).

Un 5% tiene una función avanzada de inteligencia de vulnerabilidades y realiza evaluaciones basadas en riesgos, cuyos resultados y remediaciones son revisados con la función de riesgo a lo largo del año.

¿Cuál es la madurez de su programa de detección de violaciones de Ciberseguridad?

El 18% de los encuestados no cuenta con un programa de detección; un 4% adicional no implementa procesos de respuesta y escalamiento formales implementados.

Un 23% cuenta con dispositivos de seguridad de redes perimetrales (esto es, sistema de detección de intrusos); un 21% adicional utiliza una solución de administración de seguridad y eventos (SIEM, por sus siglas en inglés) para monitorear la red activamente, el sistema de detección de intrusos/sistema de prevención de intrusos y bitácoras de sistemas.

El 6% cuenta con procesos informales de respuesta y escalamiento; un 5% adicional utiliza procesos apropiados para la recopilación, integración, respuesta y escalamiento de amenazas.

El 13% cuenta con un programa formal de detección que aprovecha las tecnologías modernas (detección local y basada en la red del software malicioso, detección de anomalías en el funcionamiento, entre otras) para monitorear el tráfico interno y externo.

El 11% cuenta con una función de detección formal y avanzada que reúne todas las categorías de la tecnología moderna (detección local de software malicioso, antivirus, detección basada en la red de software malicioso, prevención de pérdida de datos, sistemas de localización de intrusos, firewalls de la próxima generación, bitácoras) y utiliza un análisis de datos sofisticado para identificar anomalías, tendencias y correlaciones. Sin embargo, solo el 2% implementa procesos formales para la recopilación de amenazas, diseminación, integración, respuesta, escalamiento y predicción de ataques.

¿Cuál es la madurez de su capacidad de respuesta ante incidentes informáticos?

Un 14% no cuenta con una capacidad de respuesta ante incidentes

El 21% tiene un plan de respuesta ante incidentes con el que pueden recuperarse de un software malicioso y mal comportamiento de los empleados, sin embargo, no se realizan investigaciones más profundas sobre las causas raíz.

El 43% cuenta con un programa formal de respuesta ante incidentes y realiza investigaciones después de un incidente.

Un 16% cuenta con un programa formal de respuesta ante incidentes y acuerdos establecidos con proveedores externos para servicios de investigaciones de repuesta más completos.

El 7% cuenta con un programa robusto de respuesta ante incidentes que incluye a terceros y a las autoridades, y está integrado con la función más amplia de administración de amenazas y vulnerabilidades; también crean registros para posibles incidentes y realizan pruebas regulares a los mismos a través de simulacros.

¿Cuál es la madurez de su programa de protección de datos?

El 10% de los participantes no cuenta con un programa de protección de datos.

Un 27% considera que las políticas y procedimientos de protección de datos son informales o que cuenta con políticas adecuadas.

Un 19% considera que las políticas y procedimientos de protección de datos se definen a nivel de la unidad de negocio.

El 26% indica que las políticas y los procedimientos de protección de datos se definen a nivel de grupo.

El 17% comenta que las políticas y procedimientos de protección de datos se definen a nivel de grupo, se reflejan a nivel corporativo y se comunican a todo el negocio; las unidades de negocio específicas se documentan, monitorean y revisan anualmente.

¿Cuál es la madurez de su programa de administración de acceso e identidades?

El 18% de los encuestados aún no tiene un programa de administración de acceso e identidades.

El 25% cuenta con un equipo que supervisa los procesos de administración de acceso y el repositorio central; no se realizan revisiones formales.

El 34% cuenta con un equipo formal para supervisar los procesos de administración de acceso definidos, aunque esto es principalmente manual; tiene un directorio central, no obstante, interactúa con un número limitado de aplicaciones y no es revisado con regularidad.

Un 23% tiene un equipo formal que interactúa con las unidades de negocio para lograr la supervisión de la administración de acceso e identidades; cuenta con procesos bien definidos, flujos de trabajo automatizados limitados, registros de fuente única para la mayoría de las aplicaciones y lleva a cabo revisiones regulares.


Pregunta de madurez 1 – No existe 2 3 4 5 — Muy maduro

¿Cuál es la madurez de su programa de Inteligencia de Amenazas?

El 36% de los encuestados no cuenta con un programa de Inteligencia de Amenazas.

El 30% cuenta con un programa informal de Inteligencia de Amenazas que incluye información de terceros de confianza y listas de distribución de correo electrónico.

El 20% cuenta con un programa formal de Inteligencia de Amenazas que incluye suscripciones a canales de información sobre amenazas de proveedores externos y fuentes internas, como una herramienta de administración de incidentes y eventos de seguridad.

El 10% cuenta con un equipo de Inteligencia de Amenazas que recopila información interna y externa sobre amenazas y vulnerabilidades para analizar la credibilidad y relevancia en su entorno.

El 5% cuenta con una función de Inteligencia de Amenazas avanzada con canales de información internos y externos, así como analistas de inteligencia y asesores externos que evalúan la información para su credibilidad, relevancia y exposición a los protagonistas de las intimidaciones.

¿Cuál es la madurez de su capacidad de identificación de vulnerabilidades?

El 24% de los encuestados no tiene un programa de identificación de vulnerabilidades.

El 34% tiene un programa informal de identificación de vulnerabilidades y lleva a cabo pruebas automatizadas de manera regular.

Un 20% utiliza una variedad de enfoques de revisión, incluyendo ingeniería social y pruebas manuales.

El 18% tiene una función formal de inteligencia de vulnerabilidades con un programa de evaluaciones basada en las amenazas del negocio que utilizan pruebas profundas de ataque y penetración de proveedores, pruebas periódicas de procesos de negocio y de proyectos (p. ej., nuevos sistemas).

Un 5% tiene una función avanzada de inteligencia de vulnerabilidades y realiza evaluaciones basadas en riesgos, cuyos resultados y remediaciones son revisados con la función de riesgo a lo largo del año.

¿Cuál es la madurez de su programa de detección de violaciones de Ciberseguridad?

El 18% de los encuestados no cuenta con un programa de detección; un 4% adicional no implementa procesos de respuesta y escalamiento formales implementados.

Un 23% cuenta con dispositivos de seguridad de redes perimetrales (esto es, sistema de detección de intrusos); un 21% adicional utiliza una solución de administración de seguridad y eventos (SIEM, por sus siglas en inglés) para monitorear la red activamente, el sistema de detección de intrusos/sistema de prevención de intrusos y bitácoras de sistemas.

El 6% cuenta con procesos informales de respuesta y escalamiento; un 5% adicional utiliza procesos apropiados para la recopilación, integración, respuesta y escalamiento de amenazas.

El 13% cuenta con un programa formal de detección que aprovecha las tecnologías modernas (detección local y basada en la red del software malicioso, detección de anomalías en el funcionamiento, entre otras) para monitorear el tráfico interno y externo.

El 11% cuenta con una función de detección formal y avanzada que reúne todas las categorías de la tecnología moderna (detección local de software malicioso, antivirus, detección basada en la red de software malicioso, prevención de pérdida de datos, sistemas de localización de intrusos, firewalls de la próxima generación, bitácoras) y utiliza un análisis de datos sofisticado para identificar anomalías, tendencias y correlaciones. Sin embargo, solo el 2% implementa procesos formales para la recopilación de amenazas, diseminación, integración, respuesta, escalamiento y predicción de ataques.

¿Cuál es la madurez de su capacidad de respuesta ante incidentes informáticos?

Un 14% no cuenta con una capacidad de respuesta ante incidentes

El 21% tiene un plan de respuesta ante incidentes con el que pueden recuperarse de un software malicioso y mal comportamiento de los empleados, sin embargo, no se realizan investigaciones más profundas sobre las causas raíz.

El 43% cuenta con un programa formal de respuesta ante incidentes y realiza investigaciones después de un incidente.

Un 16% cuenta con un programa formal de respuesta ante incidentes y acuerdos establecidos con proveedores externos para servicios de investigaciones de repuesta más completos.

El 7% cuenta con un programa robusto de respuesta ante incidentes que incluye a terceros y a las autoridades, y está integrado con la función más amplia de administración de amenazas y vulnerabilidades; también crean registros para posibles incidentes y realizan pruebas regulares a los mismos a través de simulacros.

¿Cuál es la madurez de su programa de protección de datos?

El 10% de los participantes no cuenta con un programa de protección de datos.

Un 27% considera que las políticas y procedimientos de protección de datos son informales o que cuenta con políticas adecuadas.

Un 19% considera que las políticas y procedimientos de protección de datos se definen a nivel de la unidad de negocio.

El 26% indica que las políticas y los procedimientos de protección de datos se definen a nivel de grupo.

El 17% comenta que las políticas y procedimientos de protección de datos se definen a nivel de grupo, se reflejan a nivel corporativo y se comunican a todo el negocio; las unidades de negocio específicas se documentan, monitorean y revisan anualmente.

¿Cuál es la madurez de su programa de administración de acceso e identidades?

El 18% de los encuestados aún no tiene un programa de administración de acceso e identidades.

El 25% cuenta con un equipo que supervisa los procesos de administración de acceso y el repositorio central; no se realizan revisiones formales.

El 34% cuenta con un equipo formal para supervisar los procesos de administración de acceso definidos, aunque esto es principalmente manual; tiene un directorio central, no obstante, interactúa con un número limitado de aplicaciones y no es revisado con regularidad.

Un 23% tiene un equipo formal que interactúa con las unidades de negocio para lograr la supervisión de la administración de acceso e identidades; cuenta con procesos bien definidos, flujos de trabajo automatizados limitados, registros de fuente única para la mayoría de las aplicaciones y lleva a cabo revisiones regulares.



¿Cuentan con una matriz RACI?Debido a que el Consejo Directivo marca la pauta y el nivel de expectativa, contar con la colaboración de toda la compañía es fundamental, así como vigilar de qué forma los riesgos cibernéticos y ciberataques afectan su función. Una administración de seguridad eficaz impacta cada una de las funciones y partes de una empresa.

Una matriz RACI, un buen gobierno corporativo y empleados satisfechos son esenciales desde nuestro enfoque de las tres A, es un elemento clave en el nivel Adaptar.

Analizar cómo debe ser una matriz RACI para su organización, y asegúrense de tener claro que la ciberseguridad ya no es un tema que le concierne únicamente al área de TI.

32%de los encuestados señaló que la información de benchmarking acerca de la madurez de las organizaciones de pares fue la más útil así como su prioridad más alta.


El camino para mejorar Pocas empresas en la actualidad cuentan con las habilidades y recursos adecuados a nivel interno para asegurar eficazmente sus activos de información y al mismo tiempo optimizar el desempeño del negocio. Las organizaciones de todos los sectores pueden beneficiarse de una evaluación objetiva de sus programas y estructuras de seguridad de la información.

Una evaluación eficaz debe tener como propósito ayudar a la compañía con lo siguiente:

• Entender la exposición de riesgos de su compañía

• Evaluar la madurez de su programa de ciberseguridad actual e identificar áreas de mejora

• Diseñar un roadmap priorizado para las inversiones en proyectos e iniciativas de cambio organizacional

• Recopilar información para crear comparativos (Benchmarks) con otras organizaciones

• ►Determinar si sus inversiones en seguridad mejoran su nivel de madurez

Esta evaluación debe ser amplia y de alto nivel, así como totalmente enfocada en áreas y componentes específicos, y aquí es donde EY puede ayudar. Las métricas de seguridad permiten que una empresa determine lo que se requiere para apoyar la continua evaluación, transformación y sustentabilidad de la estrategia de seguridad de la información.

Por otro lado, es un ejemplo de las calificaciones de madurez que pueden ayudar a la compañía con el espectro relevante en cuanto a su estado actual, competitivo y futuro.

Restricciones presupuestarias 62%

Falta de recursos especializados 57%

Falta de conocimiento o apoyo por parte de los ejecutivos 32%

Falta de herramientas de calidad para administrar la seguridad de la información 28%

Asuntos de administración y gobierno corporativo 28%

Fragmentación de cumplimiento/regulaciones 23%

Otros (favor de especificar) 7%

La eficacia de la seguridad de la información

¿Cuáles son los principales obstáculos o razones que cuestionan la aportación y el valor de la operación de seguridad de la información para la compañía? (Seleccionar todas las opciones que apliquen)


Comparativo de madurez de ciberseguridad del estado actual entre la Compañía X y sus pares

La madurez del estado actual de la compañía X se encuentra aproximadamente en el mismo nivel que la de sus pares comparables. El estado futuro definido aumenta considerablemente el nivel de madurez.

Organización X versus pares

Page 1

Maturity level descriptions

1 Initial

2 Repeatable

3 Defined

4 Managed

5 Optimizing

0.0

1.0

2.0

3.0

4.0

5.0Architecture

Asset Management

Awareness

BCP/DR

Data Infrastructure(Events/Alerts/ Logs)

Data Protection

Governance andOrganization

Host Security

Identity and AccessManagement

Incident ManagementMetrics and Reporting

Network Security

Operations

Privacy

Policy and StandardsFramework

Security Monitoring

Software Security

Strategy

Third Party Mgmt

Threat and VulnerabilityManagement

X’s current state maturity is approximately on the same level than in the comparable industries. Defined future state increases the maturity level considerably.

Current state maturity benchmarking between X and industry

Administración de amenazas y vulnerabilidades

Administración de identidad y acceso

Infraestructura de datos (eventos/alertas/bitácoras)

Gobierno Corporativo y OrganizaciónMarco de políticas y

normas

Arquitectura

Métricas y reportes

Plan de continuidad de negocio/recuperación en caso de desastres

Concientización

Administración de activos

Administración de incidentes

Seguridad de la Computadora Central

(Host)

Protección de Datos

Administración de terceros

Estrategia

Seguridad del software

Monitoreo de seguridad

Privacidad

Operaciones

Seguridad de la red

Estado actual

Estado futuro

Comparativo

Porcentaje de encuestados que señalaron que su nivel de madurez era “muy maduro”.


Arch

itect

ure

Metric

s and

re

porti

ng

Asse

t man

agem

ent

Netw

ork s

ecur

ity

Awar

enes

s

Oper

ation

s

BCP/

DR

Polic

y and

stan

dard

s fra

mew

ork

Data

infra

stru

ctur

e

Priva

cy

Data

prot

ectio

n

mon

itorin

g

Secu

rity

Gove

rnan

ce an

d

org

aniza

tion

Softw

are s

ecur

ity

Host

secu

rity

Stra

tegy

Ident

ity an

d acc

ess

m

anag

emen

t

Third

-par

ty

man

agem

ent

Incide

nt

man

agem

ent

Thre

at an

d

vulne

rabil

ity

man

agem

ent

7%

4%

5%

12%

6%

7%

10%

10%

8%

7%

7%

7%

8%

5%

10%

8%

9%

3%

8%

7%

Percentage of respondents stating that their processes are ‘very mature’

Maturity of information security management processes

Arqui

tect

ura

Mét

ricas

y re

port

es

Segu

ridad

de

la re

d

Opera

cion

es

Priv

acid

adM

arco

de

polít

icas

y n

orm

as

Mon

itore

o de

seg

urid

ad

Segu

ridad

del

sof

twar

e

Estr

ateg

iaAdm

inis

trac

ión

de te

rcer

osAdm

inis

trac

ión

de a

men

azas

y

vuln

erab

ilida

des

Admin

istr

ació

n de

act

ivos

Conc

ient

izac

ión

Prot

ecci

ón d

e Da

tos

Gobi

erno

Cor

pora

tivo

y

Organ

izac

ión

Segu

ridad

de

la C

ompu

tado

ra

Cent

ral (

Hos

t)

Admin

istr

ació

n de

iden

tidad

y

acce

so

Admin

istr

ació

n de

inci

dent

es

Infr

aest

ruct

ura

de d

atos

(ev

en-

tos/

aler

tas/

bitá

cora

s)

Plan

de

cont

inui

dad

de n

egoc

io/

recu

pera

ción

en

caso

de

desa

stre

s


La ciberseguridad es un habilitador digital


La ciberseguridad no debe ser percibida como un inhibidor sino como una forma de conseguir que el mundo digital sea operativo y sustentable.

También es un elemento clave para promover la innovación así como la expansión de una empresa, y que con un enfoque personalizado, así como orientado a la compañía y a sus posibles riesgos permite concentrar la atención nuevamente en las oportunidades y la exploración.

De este modo, crea confianza en un negocio que opera de manera exitosa dentro del Internet de la Cosas, que apoya y protege plenamente a las personas y a sus dispositivos móviles personales (desde un simple teléfono, un dispositivo del cuidado de la salud, aparatos hasta automóviles inteligentes) es un diferenciador competitivo clave y debe ser una prioridad.

Al actuar ahora, las compañías podrán ajustar el equilibrio del mundo digital con la sustentabilidad y seguridad a fin de alcanzar un mayor nivel de protección y fomentar confianza en su marca.


La Encuesta Global sobre Seguridad de la Información de EY 2015 se llevó a cabo entre junio y septiembre del mismo año. Contó con la participación de más de 1,755 encuestados de 67 países y de todas las principales industrias.

Invitamos a los CIO, CISO, CFO, CEO y otros ejecutivos de seguridad de la información a participar en esta encuesta. Repartimos un cuestionario a los profesionales de EY designados en cada país, junto con instrucciones para una administración congruente del proceso de la misma.

La mayoría de las respuestas fueron recopiladas durante las entrevistas en persona. Cuando esto no fue posible, el cuestionario fue contestado en línea.

Si desea participar en la Encuesta Global sobre Seguridad de la Información de EY, favor de contactar al representante o a la oficina local de EY o ingresar a www.ey.com/glss y completar una breve solicitud.

Encuestados por área (1,755 encuestados)

Región:

EMEIA 51%

Américas 29%

Asia - Pacífico 15%

Japón 5%

Encuestados por ingresos totales anuales de la compañía

Menos de USD$10 millones 5%

USD$10 millones a <USD $250 millones 5%

USD$25 millones a < USD$50 millones 4%




USD$500 millones a < USD$1 mil millones 11%

USD$1.1 mil millones a < USD $2 mil millones 10%

USD$2 mil millones a < USD$3 mil millones 7%



USD$5 mil millones a < USD$7.5 mil millones 4%

USD$7.5 mil millones a < USD$10 mil millones 3%




USD$50 mil millones o más 3%

Gobierno, no lucrativo 6%

No aplica 4%

Metodología de la encuesta

1,755encuestados

67países de todo el mundo

25sectores de la industria

Perfil de los participantes


Encuestados por industria

Banca y mercados de capital 16%

Tecnología 10%

Gobierno y sector público 7%

Seguros 6%

Productos de consumo 6%

Electricidad y servicios públicos 5%

Menudeo y mayoreo 5%

Telecomunicaciones 5%

Productos industriales

diversificados4%

Petróleo y gas 3%

Cuidados de la salud 3%

Automotriz 3%

Transporte 3%

Patrimonio y administración de

activos3%

Minería y metales 3%

Medios de comunicación y

entretenimiento2%

Ciencias de la vida 2%

Firmas profesionales y servicios 2%

Productos químicos 1%

Aerolíneas 1%

Aeroespacial y defensa 1%

Otros 6%

Encuestados por cantidad de empleados

<1,000 31%

1,000 — 1,999 14%

2,000 — 2,999 7%

3,000 — 3,999 5%

4,000 — 4,999 4%

5,000 — 7,499 7%

7,500 — 9,999 5%

10,000 — 14,999 7%

15,000 — 19,999 2%

20,000 — 29,999 4%

30,000 — 39,999 3%

40,000 — 49,999 2%

50,000 — 74,999 3%

75,000 — 99,999 1%

Por encima de los 100,000 5%

Encuestados por cargo

Director de Seguridad de la

Información30%

Ejecutivo de Seguridad de la

Información19%

Director de Información 17%

Ejecutivo de Tecnologías de la

Información16%

Director de Seguridad 5%

Director/Gerente de Auditoría Interna 3%

Director de Tecnología 3%

Ejecutivo/Vicepresidente de la Unidad de Negocios

2%

Administrador de Red/Sistema 2%

Director de Operaciones 1%

Director de Riesgos 1%

Director de Cumplimiento 1%

32 | EY’s Global Information Security Survey 2015

Perspectivas sobre gobierno corporativo, riesgos y cumplimiento es una serie continua de informes de liderazgo intelectual enfocada en TI y otros riesgos de negocios, así como en lo relacionado con sus retos y oportunidades. Estas publicaciones oportunas y con temas específicos están diseñadas para ayudarles a entender estos asuntos y proporcionarles perspectivas valiosas para el futuro. Consulten esta serie en www.ey.com/GRCinsights.

Insights on governance, risk and compliance

October 2014

Get ahead of cybercrimeEY’s Global Information Security Survey 2014

Cybersecurity and the Internet of Things


March 2015

Cyber breach response managementBreaches do happen.Are you ready?

Cyber Threat Intelligence − how to get ahead of cybercrime

www.ey.com/CTI

Security Operations Centers — helping you get ahead of cybercrime

www.ey.com/SOC

Achieving resilience in the cyber ecosystem

www.ey.com/cyberecosystem

Managed SOC — EY’s Advanced Security Center: world-class cybersecurity working for you

http://www.ey.com/managedSOC

Get ahead of cybercrime: EY’s Global Infomation Security Survey 2014

www.ey.com/GISS2014

Cybersecurity and the Internet of Things

www.ey.com/IoT

Using cyber analytics to help you get on top of cybercrime: Third-generation Security Operations Centers

www.ey.com/3SOC

Cyber Program Management: identifying ways to get ahead of cybercrime

www.ey.com/CPM

Cyber breach response management — Breaches do happen. Are you ready?

www.ey.com/cyberBRM


December 2014

Achieving resilience in the cyber ecosystem

¿Desean obtener mayor información?


¿Reconocerían estar bajo un ciberataque?Para el área de Asesoría de EY, un mejor entorno de negocios significa resolver problemas grandes y complejos de la industria, y aprovechar oportunidades para asegurar resultados que permitan crecer, optimizar y proteger los negocios de nuestros clientes. Hemos formado un ecosistema global de asesores, profesionales de la industria y alianzas con una sola idea en la mente: nuestros clientes.

Creemos que anticipar y defenderse activamente de los ciberataques es la única manera de ir un paso adelante de los cibercriminales. Al enfocarnos en las necesidades de los clientes hacemos mejores preguntas acerca de sus operaciones, prioridades y vulnerabilidades. Posteriormente, trabajamos en conjunto para crear respuestas más innovadoras que brinden las alternativas que requieren. De esta forma, ayudamos a alcanzar duraderos y mejores resultados, desde la estrategia hasta la ejecución.

Pensamos que a través de impulsar una buena administración de la ciberseguridad, lograremos construir un mejor entorno de negocios.

Entonces, ¿se percataría en caso de estar bajo un ciberataque? Pregunte a EY.

The better the question. The better the answer. The better the world works.

Líder Global de Riesgos

Paul van Kessel +31 88 40 71271 [email protected]

Líderes de Riesgos del Área

Americas

Amy Brachio +1 612 371 8537 [email protected]

EMEIA

Jonathan Blackmore +971 4 312 9921 [email protected]

Asia-Pacific

Iain Burnet +61 8 9429 2486 [email protected]

Japan

Yoshihiro Azuma +81 3 3503 1100 [email protected]

Nuestros líderes de ciberseguridad son:

Líder de Ciberseguridad Global

Ken Allan +44 20 795 15769 [email protected]

Líderes de Ciberseguridad del Área

Americas

Bob Sydow +1 513 612 1591 [email protected]

EMEIA

Scott Gelber +44 207 951 6930 [email protected]

Asia-Pacific

Paul O’Rourke +65 8691 8635 paul.o’[email protected]

Japan

Shinichiro Nagao +81 3 3503 1100 [email protected]

Nuestros Líderes de Asesoría en Riesgos son:

EY | Aseguramiento | Asesoría de Negocios | Fiscal-Legal | Fusiones y Adquisiciones

Acerca de EY

EY es líder global en servicios de aseguramiento, asesoría, impuestos y transacciones. Las perspectivas y los servicios de calidad que entregamos ayudan a generar confianza y seguridad en los mercados de capital y en las economías de todo el mundo. Desarrollamos líderes extraordinarios que se unen para cumplir nuestras promesas a todas las partes interesadas. Al hacerlo, jugamos un papel fundamental en construir un mejor entorno de negocios para nuestra gente, clientes y comunidades.

Para obtener más información acerca de nuestra organización, visite el sitio

www.ey.com/mx.

© 2016 Mancera S.C.Integrante de Ernst & Young GlobalDerechos Reservados EY se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes

Contacto en México: [email protected]

Crear confianza en el mundo digital - Building a better ... | Encuesta Global sobre Seguridad de la...

Documents

Transcript of Crear confianza en el mundo digital - Building a better ... | Encuesta Global sobre Seguridad de la...