www.pwc.

com/gsiss
Ciberseguridad y la privacidad

Fortalecimiento de la sociedad digital, contra

choques cibernéticos
Las principales conclusiones de la situación mundial de
información Seguridad® Encuesta 2018
 Tabla de contenido

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.2

Cómo cibernética interdependencia conduce al riesgo global. . . . . . . . . . . . . . . . 0.5

Resiliencia: El absorbedor cibernético-shock

las empresas necesitan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.8

Pasos a seguir para los líderes de negocios globales. . . . . . . . . . . . . . . . . . . . . . 12

Metodología. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .dieciséis

Contactos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.17

segundo
Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 brechas de seguridad cibernética masivos se han convertido en algo
habitual, tomando regularmente titulares que los consumidores de
alarma y líderes. Sin embargo, para toda la atención este tipo de
incidentes han atraído en los últimos años, muchas organizaciones en
todo el mundo siguen luchando para comprender y gestionar los riesgos
cibernéticos emergentes en una sociedad digital cada vez más
complejo. A medida que nuestra dependencia de los datos y se hincha
de interconectividad, el desarrollo de la resistencia a soportar
choques-cibernético es que, eventos a gran escala con consecuencias
perjudiciales en cascada-nunca ha sido más importante.

2 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 No se han producido muertes reportadas por los ataques cibernéticos y relativamente poca destrucción. 1
Pero la fuerza destructora de las ciberataques es cada vez más evidente, sobre todo en las amenazas
geopolíticas. Por ejemplo, un ataque cibernético diciembre de 2015, Turquía impactado redes que
utilizan los bancos, medios de comunicación y el gobierno del país. 2 Más tarde ese mes, el primer
ataque cibernético conocido para acabar con una red de energía dirigida sistemas de distribución
eléctrica de Ucrania, cortando la electricidad a 230.000 residentes. 3 Ese ataque también dirige el
sistema telefónico del país, impidiendo que los clientes de los cortes de informes y dificultando así los
esfuerzos de restauración de potencia. 4 En junio de 2017, el ataque cibernético Petia, dirigida a los
ordenadores de Ucrania, interrumpió las operaciones de negocio en todo el mundo. riesgos de violación
de datos masivos están aumentando las preocupaciones sobre el poder de los ataques cibernéticos
creando tensión en la economía mundial. 5

Los resultados esperados de un ciberataque exitosa

contra los sistemas de automatización y / o robótica

40% 39%

La interrupción de las operaciones / Pérdida o compromiso de los

fabricación datos sensibles

32% 29% 22%

impacto negativo en la calidad de los El daño a la integridad física Daño a la vida humana

productos producidos propiedad

Fuente: PwC, CIO y CSO, el estado global de la información Seguridad® Encuesta de 2018, 18 de octubre de 2017. Base: 9.500 encuestados

1 El Breve Cipher, La disuasión es cibernética de Trabajo - Hasta Ahora 23 de julio de 2017 2 Universidad de Harvard Centro Belfer para la Ciencia y Asuntos
Internacionales, Conectado también para fallar , Mayo de 2 017 3 Wired, En el interior del truco astuto, sin precedentes en la red eléctrica de Ucrania 3 de marzo, el año
2016 Consejo Asesor de Seguridad Nacional de Estados Unidos 4, Informe final de la Subcomisión de Seguridad Cibernética: Parte I - Incidente

Respuesta , Junio ​el año 2016

5 The Wall Street Journal, La mañana Descargar El 11 de septiembre, 2017

3 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 Ejecutivos de todo el mundo reconocen cada vez más los altos riesgos de inseguridad cibernética. En
nuestro 2018 Estado Mundial de la Seguridad de la Información Survey® (GSISS), los líderes de las
organizaciones que utilizan la automatización o robótica indican su conocimiento de las
consecuencias potencialmente significativo de ataques cibernéticos. El cuarenta por ciento de los
encuestados citan la interrupción de las operaciones como el mayor posible consecuencia de un
ataque cibernético, 39% cita el compromiso de los datos sensibles, 32% cita daño a la calidad del
producto, el 29% cita daños a la propiedad física, y el 22% cita daño a vida humana.

“Muchas organizaciones necesitan evaluar su riesgo digital y centrarse en la construcción de

resiliencia para lo inevitable.”
- Sean Joyce, ciberseguridad de Estados Unidos y de privacidad Líder, PwC

Sin embargo, a pesar de esta toma de conciencia, muchas empresas corren el riesgo de ataques

cibernéticos siguen siendo preparados para lidiar con ellos. Cuarenta y cuatro por ciento de la

9.500 ejecutivos en 122 países encuestados por el 2018 GSISS decir que no tienen una estrategia global

de seguridad de la información. Cuarenta y ocho por ciento dice que no tienen un programa de

entrenamiento de concienciación sobre la seguridad de los empleados, y el 54% dicen que no tienen un

proceso de incidentresponse. “Muchas organizaciones necesitan evaluar su riesgo digital y centrarse en

la construcción de resiliencia para la inevitable”, dijo Sean Joyce, ciberseguridad de Estados Unidos de

PwC y privacidad Líder. Los líderes empresariales no están bien servidos por el comentario de

ciberseguridad que se desvía en cualquiera hipérbole sobre “Armageddon cibernética” o el punto de vista

compensatorios que las amenazas más cibernéticos son mundanos. Mucho más productivo sería una

conversación global robusta que da a los líderes de negocios asesoramiento procesable para aumentar

la resistencia contra los choques cibernéticos. En este trabajo, el primero de nuestra serie sobre las

principales conclusiones de la 2018-GSISS que intentamos hacer precisamente eso.

4 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 Cómo cibernética interdependencia conduce al riesgo global

Según el Foro Económico Mundial (FEM), la creciente interdependencia de las redes de

infraestructura cibernética es uno de los conductores de riesgo más importantes del mundo. El
WEF 2017 Global Risks informe encontró que los ataques informáticos, fallos de software y otros
factores podrían provocar fallos sistémicos que “en cascada a través de redes y afectan a la
sociedad de manera imprevista.” 6

reciente informe de las tendencias globales del Consejo Nacional de Inteligencia de Estados Unidos de
manera similar advirtió que la sociedad se enfrenta a riesgo “inminente” de la ciber-interrupción
potencialmente en una escala masiva “con consecuencias letales” -debido a la vulnerabilidad de la
infraestructura crítica. 7

Estudios de casos de desastres no cibernéticos han demostrado que los eventos en cascada a
menudo comienzan con la pérdida de los sistemas de energía y muchos se ven afectadas de forma
instantánea o dentro de un día, es decir, no es por lo general muy poco tiempo para abordar el
problema inicial antes de que cae en cascada. 8 Interdependencias entre las redes críticos y no críticos
a menudo pasan desapercibidos hasta que surgen problemas. 9

Muchas personas en todo el mundo, especialmente en Japón, Estados Unidos, Alemania, Reino Unido y

Corea del Sur están preocupados por los ataques cibernéticos procedentes de otros países. 10 Herramientas

para llevar a cabo ataques cibernéticos están proliferando en todo el mundo. naciones más pequeñas son

el objetivo de desarrollar capacidades como los utilizados por los países más grandes. Y la filtración de

herramientas de hacking Agencia Nacional de Seguridad de Estados Unidos (NSA) ha hecho muy

sofisticadas capacidades disponibles para los piratas informáticos maliciosos. 11 Cuando se producen los

ataques cibernéticos, empresas más víctimas dicen que no pueden identificar claramente a los culpables.

En nuestra GSISS 2018, sólo el 39% de los encuestados dicen que están muy seguros de sus

capacidades de atribución.

6 Foro Económico Mundial, 2017 Informe de Riesgos Globales , Enero 2017 7 Consejo Nacional de Inteligencia de Estados Unidos, Tendencias globales: Paradoja del
Progreso , Enero 2.017 8 CascEff, efectos en cascada: ¿Qué son y cómo afectan a la sociedad? 31 de julio de 2017 9 cortes de Internet después del 11 de septiembre de
2001, los ataques terroristas fueron causadas por una cadena de acontecimientos: la falta de electricidad

de potencia requiere un centro de datos principal de usar generadores de respaldo que dependían de combustible; mala calidad del aire en la ciudad debido al ataque obstaculizado
refrigeración del centro de datos, acelerando el consumo de combustible; de suministro de combustible normal se bloqueado por límites de tráfico de emergencia; y sin combustible,
los generadores no podrían funcionar. Ver la Universidad de Harvard Centro Belfer para Ciencia y Asuntos Internacionales, Conectado también para fallar , Mayo de 2017

10 El Centro de Investigación Pew, Primavera 2017 Encuesta Global Attitudes , Agosto de 2017 11 de PwC, Los pasos
audaces para Controlar geopolítico Ciberamenazas , 2017

5 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 La producción de las cosas alza internet-de-inseguros
dispositivos (IOT) es la creación de vulnerabilidades de seguridad

39% dicen que están muy cibernética generalizadas. 12

El aumento de las amenazas a la integridad de los datos

seguros de su ataque podrían socavar sistemas de confianza y causar daño

cibernético físico al dañar la infraestructura crítica. 13

capacidades de atribución.
En mayo de 2017, los líderes del G-7 se comprometieron a
Fuente: PwC, CIO y CSO, el estado global de la información Seguridad® Encuesta
de 2018, 18 de Octubre, 2017 trabajar juntos y con otros socios para hacer frente a los ataques

cibernéticos y mitigar su impacto en la infraestructura crítica y la

sociedad. Dos meses más tarde, los líderes del G20 reiteraron

la necesidad de la seguridad cibernética y la confianza en las tecnologías digitales. La tarea por

delante es enorme. Como escribió Unión Internacional de Telecomunicaciones de las Naciones
Unidas en su informe de 2017 Índice Global de Ciberseguridad, la interconectividad global podría
exponer a ‘cualquier cosa’ a los riesgos cibernéticos y ‘todo, desde la infraestructura crítica nacional
a nuestros derechos humanos básicos puede verse comprometida.’ 14

Hay una gran disparidad en la preparación para la ciberseguridad entre los países de todo el mundo,
tanto “entre y dentro de las regiones”, según el Índice de Ciberseguridad Global de la ONU 2017. 15 La
ONU encontró que sólo el 38% de los Estados miembros tienen una estrategia de seguridad
cibernética publicada, y sólo el 11% tienen una estrategia independiente dedicado. Sólo el 12% tiene
una estrategia de seguridad cibernética en el desarrollo. Aunque el 61% de los Estados miembros
tienen un equipo de emergencia con responsabilidad nacional, sólo el 21% de los estados publicar
métricas de incidentes de seguridad cibernética.

12 PwC, Descubrir el potencial de Internet de las Cosas 2017 13 El entonces director de Inteligencia Nacional, James Clapper dijo al Congreso en 2016 ,
“Operaciones cibernéticos futuros casi ciertamente incluir un mayor énfasis en el cambio o la manipulación de datos para comprometer su integridad (es
decir, precisión y fiabilidad) para afectar la toma de decisiones, reducir la confianza en los sistemas, o causar efectos físicos adversos. adopción más
amplia de dispositivos IO y AI-en entornos tales como los servicios públicos y solamente exacerbar estos efectos potenciales.”14 Unión tendrá cuidado de
la salud de las Naciones Unidas Internacional de Telecomunicaciones, informe de Índice Global de Ciberseguridad 2017 15 El informe clasificado Singapur,
Estados Unidos, Malasia, Omán, Estonia, Mauricio, Australia, Francia,

Georgia, y Canadá, los Estados miembros más comprometidos.

6 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 En nuestra GSISS 2018, se encontró que la frecuencia de las organizaciones que poseen una
estrategia global de seguridad cibernética es particularmente alta en Japón (72%), donde los ataques
cibernéticos son vistos como la amenaza principal la seguridad nacional dieciséis, y Malasia (74%), que
anotó muy bien en el índice de seguridad cibernética de la ONU. Los dos países están en el Este de
Asia y el Pacífico, una región donde el Foro Económico Mundial dice que los ataques cibernéticos
están entre los cinco riesgos de negocio. 17

Alta preparación no significa necesariamente bajo riesgo. 2017 Índice de Ciberseguridad Global de la

ONU ocupa los Estados Unidos entre los estados miembros más comprometidos con la seguridad

cibernética, sólo superada por Singapur. Sin embargo, la infraestructura de Estados Unidos sigue siendo

vulnerable a lo que el Foro Económico Mundial considera que el riesgo de negocio número 1 en América

del Norte: “ciberataques a gran escala o malware que causan grandes daños económicos, las tensiones

geopolíticas, o la pérdida generalizada de confianza en internet.” 18 El Departamento de Seguridad Nacional

de Estados Unidos ha identificado más de 60 entidades de Estados Unidos infraestructura crítica donde el

daño, causado por un solo incidente cibernético, podría razonablemente dar lugar a $ 50 mil millones en

daños económicos, o de 2.500 muertes inmediatas, o una severa degradación de los Estados Unidos de la

defensa nacional. 19

Para muchas personas, el riesgo es real. Una encuesta del Pew Research Center encontró que la gran

mayoría de los estadounidenses esperan grandes ciberataques en los próximos cinco años en los

Estados Unidos de infraestructura o de banca pública y sistemas financieros. La mayoría de los

profesionales de seguridad informática creen que la infraestructura crítica de Estados Unidos sufrirá

un ataque cibernético en los próximos dos años. 20

16 El Centro de Investigación Pew, Primavera 2017 Encuesta Global Attitudes , Agosto de 2017 17 Foro Económico Mundial de 2017 Informe de Riesgos Globales infografía
compartibles , Enero 2017 18 Foro Económico Mundial, 2017 Informe de Riesgos Globales , Enero 2.017 19 “vista adicionales” declaración por el senador Susan
Collins (R-ME) en Informe del Senado de Estados Unidos 114-32 15 de abril, el año 2015 20 Negro Sombrero, El Sombrero Negro Encuesta asistente 2017: Retrato
de una amenaza cibernética inminente , Julio de 2017

7 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 Esto pone de relieve la necesidad de que todas las organizaciones, independientemente de su nivel de

preparación piensan que podrían estar, para verificar si los objetivos estratégicos de seguridad cibernética

se están ejecutando. Consejo Asesor Nacional de Infraestructura de la Casa Blanca, escribió en un informe

de agosto de 2017 que muchas compañías de infraestructura de Estados Unidos no están practicando la

higiene básica cibernética a pesar de la disponibilidad de herramientas y prácticas eficaces. 21 De hecho, los

autores del informe señalan, muchas empresas no son conscientes de las herramientas federales

disponibles para la exploración, detección, mitigación, y la defensa contra las amenazas informáticas.

Resiliencia: Las empresas de absorción ciber-shock

requieren

“Estados de éxito del mañana”, el Consejo Nacional de Inteligencia de Estados Unidos, escribió en
2017, “será probablemente aquellos que invierten en infraestructura, el conocimiento y las
relaciones resilientes a los golpes ya sean económicos, ambientales, sociales, o cibernética.” La
misma idea se aplica a mañana -empresas exitosas aquellos que son resistentes serán mejor
posicionados para sostener las operaciones, construir confianza con los clientes, y lograr un alto
rendimiento económico. Entonces, ¿cómo pueden las organizaciones lograr la dureza necesaria
para absorber las perturbaciones causadas por un ataque cibernético? Los resultados de nuestro
2018 GSISS sugieren algunas respuestas.

Los líderes deben asumir una mayor responsabilidad para aumentar la resiliencia cibernético. En el

sector privado, los resultados del negocio de conducción también deben ser considerados responsables de

los riesgos asociados de hacer negocios. Las tablas deben ejercer una supervisión eficaz y la gestión de

riesgos proactiva. Estrategias para la continuidad del negocio, la planificación de la sucesión, la alineación

estratégica y análisis de datos son la clave. Sin embargo, el 2018 GSISS encontró que la mayoría de los

directorios de las empresas no están dando forma proactiva las estrategias de seguridad de sus empresas

o planes de inversión.

21 Consejo Asesor Nacional de Infraestructura, Asegurar recursos cibernéticos , Agosto de 2017

8 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 Sólo el 44% de los encuestados dicen que sus GSISS directorios de las empresas participan

activamente en la estrategia global de seguridad de sus compañías. “Muchas juntas todavía lo ven

como un problema de TI”, dijo Matt Olsen, cofundador y presidente de desarrollo de negocios y

estrategia para IronNet Ciberseguridad y ex jefe del Centro Nacional de Contraterrorismo de Estados

Unidos. De acuerdo con la Asociación Nacional de Directores Corporativos 2016-2017 encuestas de

directores público y privada empresa, algunos miembros de la junta se sienten muy seguros de que

sus empresas están protegidos adecuadamente contra los ataques cibernéticos. 22 A menudo el

resultado de la falta de participación en las medidas de seguridad tablas, esa duda no debería ser

una sorpresa. Un poco menos de la mitad de todos los encuestados GSISS de acuerdo en que el

riesgo solo impulsa el gasto en seguridad. Aproximadamente el 30% está en desacuerdo, y el resto

está en la cerca. La mayoría de los encuestados GSISS (66%) dicen que el gasto en seguridad de

sus organizaciones se alinea con los ingresos de cada línea de negocio, sino un resto importante

(34%) dicen que no es el caso o no están seguros. El jefe de seguridad de la información (CISO) es

cada vez más importante. De acuerdo con la GSISS 2018, es más común que los CISO de una

empresa o director de seguridad para informar directamente al director general o el consejo de

administración que al director de información. “El CISO debe ayudar a la Directiva entiende que la

empresa se encuentra en la provisión de seguridad cibernética para las redes de la compañía”, dijo

Keith Alexander, fundador y CEO de IronNet ciberseguridad, que anteriormente llevó Comando

Cibernético de Estados Unidos y la Agencia de Seguridad Nacional como un general de cuatro

estrellas . “La información proporcionada debe incluir cualquier ciberataques que se han producido,

así como deficiencias en la formación, equipos y herramientas en el dominio cibernético. El CISO

debe poner de relieve las deficiencias por lo que la tarjeta puede ejecutar sus responsabilidades en

la comprensión y tratamiento de los riesgos que enfrenta la compañía “.

22 Sólo el 5% de los directores de empresas públicas y el 4% de los directores por la empresa privada dijeron que estaban “muy confiado”.
La mayoría dijo que sólo eran “moderadamente confiados” (42% de los directores de empresas públicas y el 39% de los directores de la compañía-privadas),
de acuerdo con datos de la encuesta incluidos en el Asociación Nacional del Manual de Supervisión 2017 Cyber-Riesgo Corporate Directors'

9 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 ¿A quién se CISO, CSO, o ejecutivo senior de
seguridad de la información equivalente reportan
directamente?

40% 27% 24%

CEO Junta Directiva CIO (Chief

Information Officer)

17% 15%

CSO (Chief Jefe de Privacidad

Security Officer)

Fuente: PwC, CIO y CSO, el estado global de la información Seguridad® Encuesta de 2018, 18 de octubre de 2017. Base: 9.500 encuestados

Las organizaciones deben profundizar más para descubrir riesgos. El logro de una mayor
resistencia cibernética como sociedad y dentro de las organizaciones requerirá un esfuerzo más
concertado para descubrir y gestionar los nuevos riesgos inherentes a las tecnologías
emergentes. Las organizaciones deben tener el liderazgo y procesos adecuados para impulsar
las medidas de seguridad exigidas por los avances digitales. Muchas empresas están
comenzando este viaje.

Por ejemplo, son relativamente pocos los encuestados dicen que sus organizaciones planean para evaluar

los riesgos de la IO a través del ecosistema de negocios. La propiedad de la responsabilidad de la

seguridad de la IO varía en función de la organización, el 29% dicen que el deber pertenece a la CISO,

mientras que otros apuntan a que el personal de ingeniería (20%) o el director de riesgos (17%). ejecutivos

de seguridad cibernética, por su parte, siguen ausentes en muchas organizaciones. Sólo

aproximadamente la mitad (52%) de los encuestados dicen

10 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 sus organizaciones emplean un CISO; 45% dice que emplean un jefe

de seguridad; y el 47% dice que emplean personal de seguridad

34% dedicados a apoyar las operaciones internas de negocio. Muchas

organizaciones pueden gestionar los riesgos cibernéticos de manera

dicen que sus organizaciones más proactiva. Sólo la mitad de los encuestados dicen que sus

planean para evaluar los riesgos de la organizaciones llevan a cabo verificaciones de antecedentes. Muchos

procesos clave para descubrir los riesgos cibernéticos en los sistemas

IO a través del ecosistema de
de negocio, incluyendo las pruebas de penetración, evaluación de las
negocios. amenazas, la vigilancia activa de seguridad de la información y la

inteligencia y la vulnerabilidad assessments- han sido adoptados por

Fuente: PwC, CIO y CSO, el estado global de la información Seguridad® Encuesta
de 2018, 18 de Octubre, 2017 menos de la mitad de los encuestados.

Se necesita mayor intercambio de información y la coordinación entre las partes interesadas. Sólo
el 58% de los encuestados dicen que colaboran formalmente con otros en su industria,
incluyendo los competidores, para mejorar la seguridad y reducir el potencial de riesgos futuros.
Confiable, oportuna, información útil acerca de las amenazas informáticas es un elemento crítico
para la capacidad de respuesta rápida que apoyan la capacidad de recuperación. En todas las
organizaciones, sectores, países y regiones, la construcción de la capacidad para resistir choques
cibernéticos es un esfuerzo de equipo, cuya eficacia se verá disminuida sin la participación mayor
y más significativa.

Es importante que la información compartida para ser procesable. Entre los encuestados
GSISS que participan en la colaboración, sólo la mitad dicen que sus esfuerzos han llevado
a compartir y recibir información más procesable de sus pares de la industria.

Sólo la mitad de los encuestados dicen que sus organizaciones llevan a cabo verificaciones

de antecedentes.

Fuente: PwC, CIO y CSO, el estado global de la información Seguridad® Encuesta de 2018, 18 de Octubre, 2017

11 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 Pasos a seguir para los líderes de negocios globales

C-suites tienen que llevar la carga y tablas deben ser comprometido.

Altos líderes que impulsan el negocio debe tener la propiedad de aumentar la resiliencia cibernético.
El establecimiento de una estrategia de arriba hacia abajo para administrar cibernéticos y privacidad
riesgos en toda la empresa es esencial. La resiliencia debe integrarse en las operaciones
comerciales. estrategia de gestión de riesgos de una empresa debe ser informado por un
conocimiento sólido de las amenazas informáticas que enfrenta la organización y la conciencia de la
cual los activos clave requieren la mayor protección. Debe haber un marco coherente apetito por el
riesgo. El liderazgo debe conducir al desarrollo de una cultura de gestión del riesgo cibernético en
todos los niveles de la organización.

Perseguir la resiliencia como un camino hacia la recompensa, no simplemente para evitar riesgos. El

logro de una mayor capacidad de recuperación de riesgo es un camino a la más fuerte, el rendimiento

económico a largo plazo. Por ejemplo, las empresas que construyeron los procedimientos de gestión de

continuidad de en sus programas de gestión de riesgos de la empresa antes de que el tsunami japonés

2011 fueron capaces de reanudar las operaciones más rápidamente que sus competidores, lo que les

permite capturar la cuota de mercado después de la catástrofe. 23 Los gobiernos de todo el mundo tienen

intereses económicos y de seguridad nacional a largo plazo en el desarrollo y la difusión de prácticas y

tecnologías útiles para avanzar en la capacidad de recuperación en sectores clave.

23 PwC, La construcción de una organización Resistente Riesgo 2012

12 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 A propósito colaborar y lecciones aprendidas de apalancamiento.

líderes de la industria y del gobierno deben trabajar a través de fronteras organizativas, sectoriales y

nacionales para identificar, el mapa y la prueba de interconectividad cyberdependency y riesgos, así como la

capacidad de recuperación de sobretensiones y de gestión de riesgos. Los líderes también deben trabajar

juntos para abordar los problemas espinosos de la rendición de cuentas, la responsabilidad, la

responsabilidad, la gestión de las consecuencias, y las normas. Para ello, las organizaciones deben

capitalizar conocimientos disponibles:

• Buscar lecciones en estudios de caso de respuesta a desastres. Por ejemplo, un estudio de 2016 de

los factores subyacentes clave que hicieron que el restablecimiento del suministro de manera

efectiva después de huracán Sandy encontró que estos factores eran escasas en el ámbito de la

seguridad cibernética. El estudio propone maneras posibles para construir un sistema de “todos los

peligros”, destinado a abordar los desafíos únicos asociados a los ataques cibernéticos. 24

• La Asociación Nacional de ‘2017 CyberRisk Manual de Supervisión’ Corporate Directors' hace

hincapié en que los miembros del consejo ‘tienen que asegurar que la administración está

plenamente comprometida en la fabricación de sistemas de la organización tan resistente como

económicamente viable.’ 25

principios de resiliencia cibernéticos emitidas por el Foro Económico Mundial para los

tableros en enero de 2017 poseen una de las herramientas disponibles.

• Los desarrolladores de sistemas críticos deben diseñar que fallen “como era previsible y con
gracia como sea posible”, como se propugna en un Centro de 2014 un informe del New
American Security. 26

• pautas emergentes de la información compartida y la Organización Análisis (ISAO) organismo de

normalización podrían ayudar a los interesados ​a través de la economía de manera más eficaz

compartir información sobre amenazas cibernética y las lecciones aprendidas.

24 La Universidad Johns Hopkins Laboratorio de Física Aplicada LLC, Huracán Sandy: Implicaciones para la
Diseñar un sistema de post-cibernético poder de ataque Restauración , Marzo de el año 2016
25 Asociación Nacional de Directores de las empresas 2017 Manual de Supervisión Cyber-Riesgo
26 Centro para una Nueva Seguridad Estadounidense, Sobrevivir con una dieta de fruta envenenada: La reducción de la Seguridad Nacional
Los riesgos de la cibernéticos Dependencias de los Estados Unidos , 2014

13 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 • Un informe de septiembre de 2017 de The New York Task Force del Cyber ​recomienda

una variedad de seguridad cibernética se acerca a lograr el máximo impacto a escala de

costo mínimo. tecnologías basadas en la nube 27 tiene un gran potencial para mejorar la

seguridad cibernética, proporcionando una arquitectura y un fundamento que es seguro por

diseño, dijo Jason Healey, director ejecutivo del grupo de trabajo. “Ni siquiera hemos

empezado a ver la recompensa”, dijo Healey.

• Las nuevas investigaciones podría ofrecer nuevas oportunidades. En septiembre

2017, por ejemplo, el Departamento de Energía (DOE) anunció un premio de más de $ 20 millones a

los Laboratorios Nacionales y socios para el desarrollo de herramientas de seguridad cibernética del

Departamento de Energía para impulsar la capacidad de recuperación y gestión de riesgos de la red

eléctrica de Estados Unidos y la infraestructura de petróleo y gas . 28

interdependencias-prueba de esfuerzo. Todos los sectores clave de la industria en todo el

mundo harían bien en estrés probar sus interdependencias con los escenarios simulados ataque
informático diseñado para informar a la gestión de riesgos. Dan Geer, director de seguridad de la
información de In-Q-Tel, ha abogado por el desarrollo de escenarios de seguridad cibernética
destinadas a responder a la siguiente pregunta: “¿Puedo soportar el fracaso de otros en los
cuales dependo” 29 A puede 2017 estudio publicado por el Centro Belfer de la Universidad de
Harvard para la Ciencia y Asuntos Internacionales apoyó esa idea, lo que subraya el valor
potencial de los reguladores que tienen en los sectores de infraestructura crítica patrocina o
validar este tipo de pruebas. 30

Los esfuerzos voluntarios están llevando a cabo ahora en el sector financiero incluyen los recientes

movimientos por parte del Intercambio de Información de Servicios Financieros y el Centro de

Análisis (FS-ISAC) para establecer el Centro de Análisis y resiliencia sistémica Financiera (FSARC) y

la Federación Mundial de resiliencia. Esfuerzos como estos podrían proporcionar modelos de

seguridad cibernética relevantes para otros sectores. El FS-ISAC está explorando

27 Para una discusión sobre la nube, ver PwC, Se está avanzando con la ciberseguridad y la privacidad , 2017 y Nueva York Grupo de Trabajo de Cyber, La
construcción de un defendible ciberespacio 28 de septiembre, 2017
28 Departamento de Energía de Estados Unidos, presione soltar , Septiembre de 2017 29 Dan Geer, Por si acaso: Análisis de tensión, entrada: Volumen 39,
Número 6, USENIX, Diciembre 2014 30 Universidad de Harvard Centro Belfer para la Ciencia y Asuntos Internacionales, Conectado también para fallar , Mayo
de 2017

14 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 un enfoque de prueba de concepto para la construcción de una gama cibernético virtual diseñado para

permitir a las organizaciones para llevar a cabo ataques cibernéticos de espacio aislado simulado, que

ponen a prueba la capacidad de recuperación, dijo Bill Nelson, la organización de presidente y CEO. El

sector de la energía lleva a cabo un ejercicio bienal GridEx diseñado para simular un ataque

cibernético / físico en la red eléctrica y otras infraestructuras críticas en toda América del Norte. “Ese

tipo de juegos de guerra realista-no hay sustituto para eso”, dijo Matt Olsen IronNet de ciberseguridad.

Centrarse más en los riesgos que implican la manipulación de datos y la destrucción. En una
charla de abril de 2017, Dan Geer predijo la integridad suplantaría confidencialidad que el objetivo
más importante de la seguridad cibernética en el sector privado. En el sector militar, agregó, “las
armas contra la integridad ya son muy superiores a las armas en contra del secreto.” 31 La iniciativa
protegido puerto en el sector financiero podría ofrecer un modelo o lecciones para otros sectores
para hacer frente a estos riesgos emergentes. Este esfuerzo ha desarrollado estándares para
ayudar a los bancos recuperar y restaurar datos de la cuenta en caso de un ataque cibernético
importante, dijo Nelson. El Instituto Nacional de Estándares y guía la práctica de nueva tecnología,
“Integridad de los datos: Para recuperarse de ransomware y otros acontecimientos destructivos”,
publicado en el proyecto en septiembre de 2017 32, proporciona una guía para la recuperación
efectiva de un evento de corrupción de datos. Además, el uso de blockchain es probable que sea
“particularmente relevante cuando la integridad de las transacciones o datos es crítica”, como el
Comité Asesor de Telecomunicaciones de Seguridad Nacional señaló a principios de este año en un
proyecto de informe. 33

La conclusión es que los líderes pueden aprovechar la oportunidad ahora para tomar acciones

significativas diseñadas para reforzar la capacidad de recuperación de sus organizaciones, soportar las

amenazas informáticas disruptivas, y construir una sociedad digital segura. En el siguiente documento

sobre las principales conclusiones de nuestra 2,018 Estado Global de Información Seguridad® encuesta,

vamos a explorar temas relacionados a la privacidad y la confianza en la sociedad digital.

31 Dan Geer, discurso de cierre en la fuente, Boston, 27 de Abril, 2017 32 Instituto Nacional de Estándares y Tecnología de Estados Unidos, Integridad de los
datos: Para recuperarse de ransomware y Otros
Eventos destructivas, emitido en el proyecto en septiembre de 2017 Comité Asesor de Telecomunicaciones 33 de Seguridad Nacional, Proyecto de
Informe al Presidente Emergentes
Tecnologías de Visión Estratégica , 2017

15 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
Metodología
El Estado Global de Información Seguridad® Encuesta 2018 es un estudio en todo el mundo por PwC, CIO
y OSC. Se llevó a cabo en línea del 24 de abril, 2017 al 26 de mayo, 2017. Los lectores de CIO
y OSC y los clientes de PwC de todo el mundo fueron invitados por correo electrónico a participar en la encuesta.

Los resultados se analizan en este informe se basan en las respuestas de más de 9.500 CEOs, CFOs, CIOs, CISO,
OSC, VPS, y directores de TI y las prácticas de seguridad de más de 122 países.

Treinta y ocho por ciento de los encuestados son de América del Norte, 29% de Europa, el 18% de Asia
Pacífico, el 14% de América del Sur, y el 1% de Oriente Medio y África.

29% - Europa

38% - América del Norte

1% - Oriente Medio
y África
18% - Asia y el Pacífico

14% - América del Sur

El margen de error es menor que 1%; Las cifras pueden no sumar 100% debido al redondeo. Todas las cifras y gráficos

en este informe se obtienen de resultados de la encuesta.

dieciséis
Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
 PwC seguridad cibernética y privacidad
contactos por país

Australia Brasil
Richard Bergman Edgar D'Andrea
Compañero Compañero
richard.bergman@au.pwc.com edgar.dandrea@br.pwc.com

Steve Ingram
Canadá
Compañero
steve.ingram@au.pwc.com Sajith (Saj) Nair
Compañero
Andrew Gordon
s.nair@ca.pwc.com
Compañero
andrew.n.gordon@pwc.com David Craig
Compañero
Megan Haas
david.craig@pwc.com
Compañero
megan.haas@pwc.com Richard Wilson
Compañero
Robert Martin
richard.m.wilson@pwc.com
Compañero
robert.w.martin@pwc.com Justin Abel
Compañero
Austria justin.abel@pwc.com

cristiano Kurz kartik Kannan

Gerente senior Compañero
christian.kurz@pwc.com kartik.kannan@pwc.com

Bélgica
Filip De Wolf
Compañero
filip.de.wolf@be.pwc.com

17 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
China Alemania
Ramesh Musa Derk Fischer
Compañero Compañero
ramesh.moosa@cn.pwc.com derk.fischer@pwc.com
Kenneth Wong
India
Compañero
kenneth.ks.wong@hk.pwc.com Sivarama Krishnan
Compañero
Kok estaño Gan
sivarama.krishnan@in.pwc.com
Compañero
kok.t.gan@hk.pwc.com Indonesia
Marin Ivezic Subianto Subianto
Compañero
Compañero
marin.ivezic@hk.pwc.com subianto.subianto@id.pwc.com
Chun Yin Cheung
Compañero Israel
chun.yin.cheung@cn.pwc.com Rafael Maman
Lisa Li Compañero

Compañero rafael.maman@il.pwc.com
lisa.ra.li@cn.pwc.com
Italia
Samuel Sinn
Fabio Merello
Compañero
Compañero
samuel.sinn@cn.pwc.com
fabio.merello@it.pwc.com
Dinamarca
Japón
christian Kjaer
Yuji Hoshizawa
Compañero
Compañero
christian.x.kjaer@dk.pwc.com
yuji.hoshizawa@pwc.com
Mads Nørgaard Madsen
Sean king
Compañero
Compañero
mads.norgaard.madsen@dk.pwc.com
sean.c.king@pwc.com

Francia Naoki Yamamoto

Philippe Trouchaud Compañero

Compañero naoki.n.yamamoto@pwc.com
philippe.trouchaud@fr.pwc.com

18 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
Corea Nueva Zelanda

soyoung Parque Adrian van Hest

Compañero Compañero
s.park@kr.pwc.com adrian.p.van.hest@nz.pwc.com

Luxemburgo Noruega
Vicente Villers Lars Fjørtoft
Compañero lars.fjortoft@pwc.com
vincent.villers@lu.pwc.com pareja
Eldar Lorezntzen Lillevik
Méjico
Directora
Fernando Román Sandoval eldar.lillevik@pwc.com
Compañero
fernando.roman@mx.pwc.com Polonia
Yonathan Parada Rafal Jaczynski
Compañero Director
yonathan.parada@mx.pwc.com rafal.jaczynski@pl.pwc.com
Juan Carlos Carrillo Jacek Sygutowski
Director Director
carlos.carrillo@mx.pwc.com jacek.sygutowski@pl.pwc.com
Piotr Urban
medio este
Compañero
Mike Maddison piotr.urban@pl.pwc.com
Compañero
mike.maddison@ae.pwc.com Singapur
Tan Shong de Ye
Países Bajos
Compañero
Gerwin Naber shong.ye.tan@sg.pwc.com
Compañero
Jimmy Sng
gerwin.naber@nl.pwc.com
Compañero
Otto Vermeulen jimmy.sng@sg.pwc.com
Compañero
Paul O'Rourke
otto.vermeulen@nl.pwc.com
Compañero
Bram van Tiel paul.m.orourke@sg.pwc.com
Director
bram.van.tiel@nl.pwc.com

19 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
Sudáfrica Turquía
Sidriaan de Villiers Burak Sadic
Compañero Director
sidriaan.de.villiers@za.pwc.com burak.sadic@tr.pwc.com
Elmo Hildebrand
Reino Unido
Director / Socio
elmo.hildebrand@za.pwc.com Zubin Randeria
Compañero
Busisiwe Mathe
zubin.randeria@pwc.com
Socio / director
busisiwe.mathe@za.pwc.com Richard Horne
Compañero
España richard.horne@uk.pwc.com
Javier Urtiaga Baonza Alex Petsopoulos
Compañero Compañero
javier.urtiaga@es.pwc.com alex.petsopoulos@uk.pwc.com
Jesús Manuel Romero Bartolomé
Estados Unidos
Compañero
jesus.romero.bartolome@es.pwc.com Sean Joyce
sean.joyce@pwc.com
Israel Hernández Ortiz
Principal
Compañero
israel.hernandez.ortiz@es.pwc.com David Burg
david.b.burg@pwc.com
Suecia Principal
Martin Allen subvención Cascada
Director Compañero
martin.allen@se.pwc.com grant.waterfall@pwc.com
Rolf Rosenvinge
Compañero
rolf.rosenvinge@se.pwc.com

Suiza
Reto Haeni
Compañero
reto.haeni@ch.pwc.com

20 Las principales conclusiones de El Estado Mundial de la Seguridad de la Información ® encuesta 2018 © 2017 PwC
www.pwc.com/gsiss
www.pwc.com/cybersecurityandprivacy

los autores contribuyentes

Christopher Castelli, Barbara Gabriel, Jon Yates, y Philip

stand

En PwC, nuestro propósito es fomentar la confianza en la sociedad y resolver problemas importantes. Somos una red de firmas en 157 países con más de 223.000 personas que se han comprometido a ofrecer calidad en los
servicios de seguridad, de asesoramiento y de impuestos. Para saber más y decirnos lo que te importa visitándonos en www.pwc.com.

© 2017 PwC. Todos los derechos reservados. PwC se refiere a la red de PwC y / o uno o más de sus firmas miembro, cada una de las cuales es una entidad legal separada. Por favor, vea
www.pwc.com/structure para más detalles.

El Estado Global de Información Seguridad® es una marca comercial registrada de International Data Group, Inc.

PwC ha ejercido cuidado razonable en la recolección, procesamiento y presentación de esta información, pero no ha verificado de manera independiente, validado, o auditado los datos para verificar la exactitud o integridad de
la información. PwC no da ninguna garantía expresa o implícita, incluyendo, pero no limitado a cualquier garantía de comerciabilidad o aptitud para un propósito o uso particular y no será responsable de cualquier entidad o
persona que utiliza este documento, o tiene cualquier responsabilidad con respecto a este documento. Este informe es para fines generales, y no es un sustituto de la consulta con asesores profesionales.

377868-2018