Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad de la
informacin en un
mundo sin fronteras
Es momento de replantear el tema
Contenido
Es momento de replantear el tema
Proteger lo ms importante
10
12
14
56%
6%
Proteger lo ms importante
Habilitar el
desempeo
del negocio
Un buen ejemplo
Muchas compaas exitosas de seguridad de la informacin comienzan por aprovecharse de una pequea debilidad para
lograr un objetivo ms grande. Por ejemplo, durante una evaluacin reciente de seguridad, nuestro equipo pudo violar una
cuenta individual simplemente al utilizar el proceso estndar de cambio de contrasea del cliente e investigar un poco sobre
informacin pblicamente disponible. Al descubrir algunas de las respuestas clave a las preguntas (Cmo se llam tu primera
mascota? y Cul es el apellido de soltera de tu mam?), el equipo pudo cambiar exitosamente la contrasea del usuario
y luego ingresar a su cuenta, lo cual deriv en una violacin del sistema de RH para el cual dicho usuario tena autorizacin.
Con base en estos resultados, la organizacin ajust su poltica, procesos y controles para la administracin de identidades y
accesos.
Proteger lo ms importante
Elaborar una estrategia de seguridad
enfocada en los impulsores de negocio
y en proteger los datos de alto valor.
Aceptar que habr violaciones mejorar los procesos para planear,
proteger, detectar y responder.
Equilibrar los fundamentos con
la administracin de amenazas
emergentes.
Establecer y racionalizar los
modelos de control de acceso para las
aplicaciones e informacin.
Cules de los siguientes controles ha implementado para mitigar los riesgos nuevos o
que van en aumento?
Ajustes a polticas
64%
Ms actividades de concientizacin de la
seguridad
47%
34%
Tcnicas de encriptacin
Controles ms slidos de administracin de
identidad y accesos
31%
39%
Ms habilidades de auditora
34%
Cambios arquitectnicos
29%
17%
8%
24%
20%
30%
40%
50%
60%
Un buen ejemplo
Una compaa de petrleo y gas crea que no tena problemas de fuga de datos. Sin embargo, debido a un ataque que sufri
uno de sus pares, la empresa decidi contratar un proveedor externo para asegurar que su informacin estuviera segura.
En el segundo da de revisin de Ernst & Young, nuestro equipo descubri que una jurisdiccin extranjera estaba robando
informacin sensible acerca de su propiedad intelectual patentada y vendindola en el extranjero. Esta compaa no tena
clientes en esa jurisdiccin y no haba una razn de negocios vlida por la cual los datos estuvieran filtrndose hacia esa
direccin.
Con base en los resultados, los cuales sorprendieron al consejo y comit de auditora, la organizacin replante completamente
su enfoque para manejar la informacin, es decir, cmo proteger esta y a la vez permitir el uso de la misma.
6
70%
Detectar y monitorear
Las compaas inteligentes estn cambiando su enfoque
para construir capacidades eficaces de deteccin predictiva y
respuesta. Esto significa capturar nuevas fuentes de informacin,
almacenar esta durante ms tiempo y analizarla para detectar
seales de intrusin o actividades anormales que indiquen que
est en peligro. Debido a que las amenazas actuales actan de
manera sigilosa, no basta con solamente correr un sistema de
deteccin de intrusiones para sealar las acciones maliciosas
conocidas. Sus equipos de seguridad deben poder utilizar
indicadores predictivos para analizar las actividades de la red
que podran parecer normales pero que realmente son dainas.
Una administracin de amenazas eficaz nicamente comienza
con la deteccin. Despus es importante contar con la capacidad
para responder a los ataques al momento de detectarse. Los
estudios de referencia demuestran que los equipos de respuesta
ante incidentes son una parte cada vez ms primordial del
equipo de seguridad de la informacin. Aunque la respuesta
ante incidentes anteriormente se limitaba a luchar contra virus y
gusanos, los equipos actuales no solo deben tener conocimientos
tcnicos, sino ser capaces de formar relaciones con las
organizaciones pares para compartir informacin, colaborar con
agencias gubernamentales para fines de inteligencia y dirigir
equipos globales grandes.
Considerar selectivamente la
posibilidad de subcontratar reas del
programa de seguridad operativa.
Un buen ejemplo
Durante el proceso de integracin despus de una adquisicin reciente, una compaa global analiz detenidamente la eficacia
general de su organizacin de seguridad, sus procesos y su tecnologa. El anlisis de Ernst & Young resalt muchas reas que
podran optimizarse, incluyendo:
Simplificar sus diversos marcos de cumplimiento y controles al consolidarlos en un marco de gobierno ms completo que
aborda las mltiples necesidades de cumplimiento al mismo tiempo.
Sustentar un programa
empresarial
Asegurar que las funciones
de gobierno sean las adecuadas
convertir la seguridad en una
prioridad a nivel del consejo de
administracin.
Aceptar los riesgos manejables que
mejoran el desempeo.
Un buen ejemplo
Durante cinco aos, una institucin financiera haba invertido en un programa para identificar y desarrollar tratamientos que
remediaran 10 aos de riesgos extremos de seguridad de la informacin. Con la ayuda de Ernst & Young, la compaa realiz
actividades para integrar una prctica de administracin de riesgos sustentable en el programa bajo un marco acelerado de tres
aos. El proyecto fue lanzado en una divisin de la empresa, con el fin de implementarlo en otras dependiendo de su xito.
En el periodo de tres aos al que se haba comprometido, la organizacin fue capaz de:
10
Han habido cambios sorprendentes en los ltimos aos en el entorno reglamentario en cuanto a la
proteccin de la informacin. Se esperan ms leyes y reglamentos en los prximos aos. Las compaas
responsables buscan adelantarse a estos reglamentos para evitar interrupciones en los procesos de
negocio y para trabajar hacia normas y procesos globales y sin fisuras que habilitan, y hasta aceleran, el
crecimiento.
Nuala OConnor Kelly, Asesor Senior, Gobierno de Informacin y Director General de Privacidad, General Electric
Ante los cambios rpidos, su organizacin tiene dos opciones: resistirlos o aceptarlos.
Apoyamos firmemente la ltima opcin, de acuerdo con nuestro enfoque de seguridad
integrado. De hecho, puede utilizar las fuerzas del cambio para crear polticas de
seguridad ms inteligentes que permitan el uso de nuevas tecnologas en lugar de
prohibirlas.
La clave para tener un entorno ms seguro es lograr que sus empleados entiendan su
responsabilidad personal al momento de utilizar nuevas tecnologas o tener acceso
a informacin corporativa. Esta concientizacin va ms all de las polticas de alto
nivel e incluye ejemplos pragmticos, como las actividades permitidas y prohibidas al
momento de utilizar redes sociales, laptops, tabletas o telfonos inteligentes. Una lista
concreta de lo que debe y no debe hacerse es la forma ms eficaz de comunicar las
polticas y habilitar su uso responsable.
12
37%
Concientizacin y patrocionio
del alta direccin
Nivel de concientizacinen
seguridad de los empleados
24%
47%
24%
44%
Cambios en la organizacin
25%
Incertidumbre y cambios
regulatorios
26%
Tecnologas emergentes
26%
34%
8%
34%
29%
29%
28%
1%
7%
0%
11%
3%
13%
3%
16%
31%
20%
16%
21%
37%
16%
4%
9%
12%
No hay reto
13%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Reto significativo
10% 4%
31%
31%
18%
10%
24%
35%
6% 1%
18%
22%
18%
26%
34%
Presupuesto adecuado
31%
13
Conclusin
14
Contactos
Carlos Chalico
Tel: (55) 1101 6414
carlos.chalico@mx.ey.com
Erika Saucedo
Tel: (55) 1101 6412
erika.saucedo@mx.ey.com
15
*Disponibles en ey.com/informationsecurity
16
17