Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Latinoamrica 2015
Argentina Chile Colombia Costa Rica Ecuador
El Salvador Guatemala Honduras Mxico
Nicaragua Panam Paraguay Per Venezuela
CONTENIDO
01
Introduccin
02
03
6
7
8
9
Malware
Acceso indebido
Explotacin de Vulnerabilidades
04
05
06
Conclusiones
10
10
10
11
11
12
14
14
14
15
16
16
18
01 Introduccin
Como parte de las actividades desarrolladas por el Laboratorio de Investigacin
de ESET Latinoamrica, durante 2014 participamos en diversos eventos relacionados con la industria de la Seguridad Informtica a lo largo de toda la regin.
Para ESET es muy importante conocer el estado de la Seguridad de la Informacin
de empresas y gobiernos, de modo que aprovechamos estos eventos y encuentros para realizar encuestas a los participantes que, cabe destacar, pertenecen a
mltiples industrias, negocios y rubros por lo que el universo de las encuestas es
muy extenso y variado. En 2014 contamos con la participacin de ms de 3980
ejecutivos de toda Amrica Latina, quienes aportaron la informacin necesaria
para construir este reporte.
Con los datos recopilados podemos dar un panorama sobre cul es la forma en
que los ejecutivos abordan los problemas relacionados con la seguridad en sus
empresas. Adems, nos permite hacer un anlisis sobre el comportamiento de las
amenazas y la manera en que se abordan las medidas de control para enfrentarlas.
Como dijimos anteriormente, el desarrollo de este informe est enfocado en responder cuatro preguntas que nos van a permitir tener un panorama acerca de
cul es el estado de la Seguridad Informtica en las empresas de la regin. Primero nos ocuparemos de conocer alrededor de qu amenazas giran las preocupaciones de las empresas, llegando incluso a compararlas de acuerdo al tamao de
la empresa para encontrar semejanzas y diferencias.
3980
ejecutivos
Conocer las preocupaciones de las empresas nos servir de punto de partida para
compararlas con lo que ocurre en la realidad, es decir, las preocupaciones contra
los incidentes reales. Esto nos permitir saber si los esfuerzos para asegurar la
informacin de una compaa estn bien enfocados o no, ya que en ocasiones se
invierte dinero teniendo en cuentas las preocupaciones y no los incidentes que
suceden realmente.
Si bien se le presta atencin a los incidentes ocurridos, es igualmente importante
conocer qu hacen las empresas para protegerse. En este sentido, veremos qu
tipo de controles tecnolgicos y de gestin adoptan, las actividades de concientizacin que realizan y la variacin de presupuesto en materia de seguridad que
hay en las diferentes empresas encuestadas.
Finalmente, haremos un anlisis retrospectivo de los ltimos cinco aos sobre
algunos de los incidentes que han tenido mayores cambios en cuanto a la cantidad de empresas afectadas. Adems, observaremos cmo la materializacin de
estas amenazas pareciera no estar asociada con la adopcin de nuevos paradigmas de control que permitiran reducir los incidentes.
02
Vulnerabilidad de
software y sistemas
Malware
Fraude
Ataque de negacin
de servicio
Phishing
Grande
Mediana
Pequea
60%
De las empresas considera que el
mayor peligro proviene de la infeccin
con cdigos maliciosos
03
Qu incidentes sufrieron
las empresas durante 2014?
preocupa a las empresas, y particularmente a las de mayor tamao como el incidente que menos reportan como
Pequea
Mediana
Grande
Malware
A nivel regional, las empresas encuestadas en Colombia,
10%
Crecieron las amenazas de Botnes
en Colombia durante el 2014
GRFICO 3 / Infecciones con malware por pas.
Acceso indebido
A diferencia de lo ocurrido en aos anteriores, los incidentes
Explotacin de Vulnerabilidades
La explotacin de vulnerabilidades es uno de los incidentes
10
04
Encargados de la gestin
trado en el Grfico 6.
del 60% de las empresas encuestadas delega la responsabilidad de gestionar la Seguridad de la Informacin al rea
de TI, lo cual puede generar conflictos de operacin, o incluso de implementacin y seguimiento, ya que tambin
Menos de 1%
la organizacin.
Para las empresas ms grandes es ms habitual que la
11
Actividades de concientizacin
forma en lugar de recargar toda la responsabilidad de proteccin en la tecnologa, se evita la infeccin de raz gracias a contar con un usuario educado13.
Controles tecnolgicos
Los mayores esfuerzos para tratar de garantizar la Seguridad de la Informacin en una empresa giran alrededor de
la tecnologa. Si analizamos el Grfico 8, que surge de preguntar por los niveles de implementacin de las medidas de
control ms usuales en el mercado, vemos que hay una tendencia bastante marcada hacia cierto tipo de soluciones.
En el caso de los controles preventivos, vemos que el 92%
usa software antivirus y el 85%, firewalls. En el caso de los
controles correctivos, el backup es utilizado en el 74% de
empresas, y si bien es aceptable, se esperara que fuera
mucho ms cercano al 100% dada la importancia que reGRFICO 7 / Actividades de educacin en las empresas.
13 Desde el Laboratorio de ESET Latinoamrica sabemos la importancia que tiene la educacin en los planes de la Seguridad Informtica y que en muchas
ocasiones las empresas necesitan de cursos accesibles y orientados a sus empleados. Es dentro de este marco que la Plataforma Educativa de ESET (https://
edu.eset-la.com/ ) cuenta con material libre y gratuito para que las empresas puedan capacitar a sus colaboradores.
14 Resumen de amenazas 2014: cmo vivimos la seguridad este ao?. http://www.welivesecurity.com/la-es/2014/12/30/resumen-de-amenazas-2014-seguridad/
12
La gestin de la Seguridad
de la Informacin
Como ya mencionamos, contar con controles tecnolgicos no es suficiente para tener la informacin protegida. En
15 Laboratorio de Investigacin ESET Latinoamrica. Tendencias 2013: Vertiginoso crecimiento de malware para mviles. http://www.welivesecurity.
com/wp-content/uploads/2014/02/tendencias_2013_vertiginoso_crecimiento_malware_moviles.pdf
13
29%
De las empresas encuestadas cuentan
con un plan de respuesta a incidentes
14
05
15
gn rdito econmico.
en riesgo. De esta manera si limitamos los niveles de acceso a la informacin con controles como un doble factor
44%
Porcentaje de incidentes por infeccin
de cdigos maliciosos en las empresas
de Latinoamrica
A pesar de las normativas y la adopcin de nuevas y mejores prcticas de gestin, los incidentes relacionados con el
fraude externo o interno han tenido un crecimiento soste-
17 WeLiveSecurity. Operacin Windigo: Anlisis de una gran campaa de malware que roba credenciales desde servidores Linux. http://www.welivesecurity.com/wp-content/uploads/2014/03/Operaci%C3%B3n-Windigo-ESET-Espa%C3%B1ol.pdf
18 Operacin Windigo: malware utilizado para atacar ms de 500.000 computadoras. http://www.welivesecurity.com/la-es/2014/03/18/operacion-windigo-malware-utilizado-para-atacar-mas-500-000-computadoras/
16
Adopcin de controles
Por lo tanto, es necesario que los encargados de la Seguridad de la Informacin en las empresas evalen los riesgos
Manejo de incidentes:
el control que menos creci
Lo ideal dentro de una empresa sera estar libre de incidentes y que, por lo tanto, la informacin y la continuidad de
seguridad se presenta.
17
Los procedimientos de recuperacin, estrategias de comunicacin y documentacin de lecciones aprendidas son algunos
de los puntos a tenerse en cuenta dentro de un Plan de Continuidad del Negocio y de un Plan de Respuesta a Incidentes.
Lo que resulta preocupante es que en Latinoamrica este
tipo de controles basados en gestin no han tenido un crecimiento significativo en cuanto a su implementacin en
los ltimos tres aos. Considerar este tipo de planes ofrece
una ventaja al momento de responder de forma planeada
ante una crisis y minimizar su impacto en contra de los objetivos y misin de la empresa de manera proactiva.
20%
De las empresas en la regin
contaron con la fortuna de
estar libres de incidentes
18
06 Conclusiones
Cuando se habla de gestionar la seguridad dentro de una
capacidad de accin.
pueden sufrir.
Esta tesis nos sirve para derribar el mito de que los atacan-
19
ESET LATINOAMRICA
Con 25 aos de trayectoria en la industria de la seguridad de la informacin,
ESET es una compaa global de soluciones de software de seguridad,
creadora del legendario ESET NOD32 Antivirus y orientada a proveer
proteccin de ltima generacin contra amenazas informticas.
Actualmente cuenta con oficinas centrales en Bratislava (Eslovaquia) y
de Coordinacin en San Diego (Estados Unidos) Buenos Aires (Argentina)
y Singapur. Adems, posee otras sedes en Londres (Reino Unido), Praga
(Repblica Checa), Cracovia (Polonia), Jena (Alemania) San Pablo (Brasil) y
Mxico DF (Mxico). Desde el 2004, ESET opera para la regin de Amrica
Latina en Buenos Aires, Argentina, donde dispone de un equipo de
profesionales capacitados para responder a las demandas del mercado en
forma concisa e inmediata y un Laboratorio de Investigacin focalizado en el
descubrimiento proactivo de variadas amenazas informticas.
2015 ESET, LLC. Todos los derechos reservados. ESET, el logo de ESET, ESET SMART SECURITY, ESET.COM,
ESET.EU, NOD32, VIRUS RADAR, THREATSENSE, THREAT RADAR, y THREATSENSE.NET son marcas registradas,
marcas de servicios y/o marcas registradas de ESET, LLC y/o ESET, spol. s.r.o. en los Estados Unidos y cualquier
otra jurisdiccin. Todas las otras marcas registradas y marcas que aparecen en estas pginas son propiedad de
sus respectivos dueos y son utilizadas slo en referencia a dichas compaas y servicios.
/ESETLA
/@ESETLA
/company/eset-latinoamerica