ESET Security Report

Mxico
protegemos su mundo digital

ESET Security Report Mxico

El presente informe es un anlisis del estado de la seguridad de la informacin en Mxico. El mismo fue realizado esencialmente a partir del resultado de una serie de encuestas realizadas por ESET a los asistentes del congreso sobre tecnologa B3 Forum (Broadband for Bussines), realizado en febrero de 2010 en Mxico DF. Las encuestas fueron diseadas para relevar la opinin de los profesionales de IT y otros integrantes de las organizaciones (como CEOs, CSOs, CIOs y otros cargos jerrquicos), respecto a la situacin actual de la seguridad de la informacin en las empresas de la regin, tanto desde la concepcin de la misma como as tambin a las medidas de proteccin que actualmente estn implementadas en las organizaciones. Los datos presentados a lo largo del informe corresponden a las respuestas brindadas por los profesionales que contestaron la encuesta durante el evento y a la informacin recavada posteriormente por ESET, a travs de consultas particulares a expertos y encuestas digitales a los asistentes. Durante los tres das del congreso, 758 personas respondieron a la encuesta en el stand de ESET, distribuidas de la siguiente manera segn el tamao de la organizacin donde trabajan: 1-10 empleados: 28.93% 11-50 empleados: 27.56% 51-200 empleados: 18.11% 201-1000 empleados: 13.54% Ms de 1000 empleados: 11.86% Los resultados grafican el orden de relevancia que asignan las organizaciones a las amenazas ms importantes y, coincidiendo con los resultados en los informes previos presentados por ESET para Argentina, Centro Amrica y Latinoamrica; la prdida de datos es la opcin ms elegida por los consultados con el 57,62% de los resultados. En segundo lugar, la opcin de vulnerabilidades de software y sistemas fue seleccionada por casi el 40% de los encuestados, ratificando la relevancia de los problemas de seguridad en aplicaciones dentro del marco general de la seguridad de la informacin. Sin embargo, ante la consulta respecto a cul es la poltica en la empresa de instalacin de parches de seguridad, slo un 11,6% manifest que no se implementan actualizaciones y un 46,6% indic que se realizan slo para el sistema operativo o aplicaciones. A su vez, 4 de cada 10 personas que contestaron la encuesta digital manifestaron que en su organizacin se mantienen instalados los parches tanto para los sistemas operativos como para el software que ste utiliza. Completando las tres preocupaciones ms importantes, el fraude informtico fue seleccionado en tercera ubicacin en partes prcticamente iguales sea tanto externo (37.60%) como interno (37.24%). No casualmente, esta preocupacin se condice con la del gobierno del pas, siendo que durante 2009 se incorporaron

Se presentan a continuacin los principales datos que ofrecen los resultados, analizados por el equipo de expertos en seguridad de ESET Latinoamrica.

Amenazas de mayor preocupacin en la materia

La primera consulta contestada por los profesionales, y presentada en el siguiente grfico, fue la siguiente: Cul es su mayor preocupacin en materia de seguridad informtica?

ESET Security Report Mxico

al Cdigo Penal Federal los artculos 211 bis 1 a 211 bis 7 que sancionan el acceso no autorizado a sistemas o servicios y la destruccin de programas o datos. Tal como se ha visto, los valores fueron El Ing. Francisco Javier Alvarez, seleccionados en igual magnitud del departamento de Informtica para los ataques tanto internos de Liverpool, tambin afirma como externos. En las consultas a preocuparse ms por los ataques reconocidas organizaciones de la externos: en teora son los que ms regin, se observa la misma paridad pueden tener algo por que atacar a sobre cules son los ataques que la empresa, internamente se tienen ms preocupan. Al respecto, el controles de seguridad por perfiles Ing. Rubn Garduo Crespo, de la de usuario en cada acceso que se Universidad Iberoamericana, afirma tiene a la empresa. En los ltimos que aunque se ocupan de ambos, los 5 aos slo ha habido un ataque ataques los internos los preocupan interno de borrar informacin mal en mayor magnitud, dado que al ser intencionada del usuario y sta se una universidad y al tener alumnos logr recuperar, pero externamente conectados a las redes, resulta muy en ese mismo tiempo se ha tenido tentador, sobre todo en estudiantes alrededor de 300 ataques de todo de ingeniera, realizar algn ataque tipo, unos 60 por ao. a los servidores. El Lic. Jorge Nadales Mendoza, Jefe de la Seccin de Mantenimiento de Software y Hardware de la Universidad Autnoma Metropolitana completa: El enemigo puede estar ms en casa que afuera. Por otro lado, el Lic. Efrn Almaraz Clorio, Gerente de Sistemas de COMETRA, indica que dado que tenemos un sistema baja de productividad por problemas en los sistemas o presencia de los equipos en redes botnets, entre los ms importantes. Sin ir ms lejos, segn datos de ThreathSense.Net, el Sistema de Alerta Temprana de malware de ESET que permite realizar estadsticas de deteccin de cdigos maliciosos, en ms de un 20% de los sistemas en Mxico ha sido detectado algn malware del tipo INF/ Autorun(amenazas que se propagan a travs de la funcionalidad autorun de los sistemas Microsoft Windows) y en un 12% se ha encontrado distintas variantes del gusano Conficker (cdigo malicioso que se propag a partir de octubre de 2008 en proporciones masivas explotando una vulnerabilidad en sistemas Microsoft Windows, y luego a travs de recursos compartiros o dispositivos USB en posteriores variantes). Corroborando la falta de informacin en lo que respecta a cdigos maliciosos, ante la consulta sobre si se utilizan herramientas centralizadas para la gestin de las soluciones antivirus, el 55,8% contest que no, siendo el desconocimiento de la existencia de estas aplicaciones el principal motivo para ms de la mitad de los que dieron esta respuesta para no llevar a cabo este tipo de acciones. Por otro lado, en una visin ms optimista, podra interpretarse que los encuestados no indican a los cdigos maliciosos como una preocupacin, ya que prcticamente todos manifestaron contar con soluciones antivirus en los sistemas de la empresa (slo 3 personas indicaron no utilizar software de seguridad contra malware). An as, aunque la mera presencia de una solucin de seguridad es parte importante y esencial en la proteccin, los usuarios concientes de la problemtica saben que deben complementar la proteccin contra cdigos maliciosos con otras medidas, tanto mediante la configuracin en los sistemas como con tareas de concientizacin a los usuarios. Para graficar la importancia del malware, segn el Information Security Breaches Survey 2010 realizado por Infosecurity Europe, un 62% de las empresas han sufrido alguna infeccin de cdigos maliciosos durante el ao. En cualquiera de los casos, la respuesta no deja de ser llamativa y deja en claro no slo la necesidad de que los usuarios sean ms concientes ante la amenaza que representa el malware, sino tambin la necesidad de mayor educacin en la materia.

fuerte en lo que es reclutamiento de personal [] sabemos que es ms posible sufrir un ataque externo y en eso ESET NOD32 Antivirus y el firewall nos han resultado muy bien.

La relevancia del malware

A diferencia de otras regiones donde fue realizado el ESET Security Report, en el caso de Mxico es la primera oportunidad donde el malware no fue seleccionado entre los tres temas de mayor preocupacin entre los encuestados, lo cual resulta curioso teniendo en cuenta el crecimiento en la cantidad de cdigos maliciosos que estn afectando en la actualidad a las redes corporativas. Tan slo un 21,32% indic al malware como un tema de preocupacin. Este dato puede interpretarse de dos formas distintas. La primera de ella, ms pesimista, es que los profesionales no son concientes de los peligros que puede representar una infeccin para una red empresarial: prdida de datos o dinero,

Concientizacin en seguridad
Respecto a la concientizacin en seguridad, al igual que en los reportes previos, ante la consulta sobre la importancia que sta tiene en la empresa, los encuestados dan como respuesta predilecta que la misma es esencial (con el 54,67% de las respuestas), siendo muy alta la segunda respuesta seleccionada (30,58%).

ESET Security Report Mxico

A la vez, casi la mitad de los profesionales indicaron que realizan peridicamente actividades de concientizacin en la empresa; un valor alto e interesante, en un campo donde muchas organizaciones de Amrica Latina an estn en deuda. Corroborando el dato obtenido en las encuestas, los profesionales consultados individualmente confirman diversas tendencias para realizar actividades de concientizacin en las empresas: el Lic. Almaraz Clorio, de COMETRA, indic que envan cada mes un boletn tecnolgico online y ah se envan consejos para concientizacin, al igual que lo indicado por el Jefe de Soporte del Senado de La Repblica, quien afirm que cada dos meses se enva un mail para toda la institucin con informacin y consejos. En el caso de Liverpool, segn el Ing. Alvarez, tienen un esquema menos estructurado, y se avisa cuando hay una

amenaza de algn correo malicioso mundial, o est infectado algn servidor en alguna tienda y se pide e indica al usuario final lo que tiene que hacer o no hacer.
Dos datos paradjicos se desprenden de estas preguntas. Mientras que al consultar de forma especfica respecto a la concientizacin (cun importante considera la concientizacin de sus usuarios?), los encuestados la indican como prioritaria y relevante. Sin embargo, ante la consulta de los temas ms preocupantes (presentados con anterioridad) y estando la concientizacin de usuarios como una opcin ms entre otras, poco ms del 10% de los usuarios (en promedio) entendieron que la educacin en seguridad era un tema de preocupacin, comparado con otros. En segundo lugar, resulta an ms llamativo cmo, separando los resultados segn el tamao de la organizacin, a mayor cantidad de usuarios es menor la seleccin de la concientizacin como un tema de preocupacin por los profesionales. Es decir, los encuestados integrantes de organizaciones ms grandes, entendieron como menos prioritaria la educacin en seguridad comparados con otros de empresas con menos usuarios, un dato no muy alentador teniendo en cuenta que las instituciones de mayor envergadura suelen estar ms preparadas y organizadas en la materia, ya que por lo general cuentan con mayor personales dedicado y ms recursos tecnolgicos para detectar y solventar incidentes.

Esto refleja claramente la situacin en lo que respecta a educacin en seguridad: aunque es fcil acordar su importancia, an no ocupa un lugar prioritario para las empresas. Del anlisis de los resultados de las encuestas, surgen algunos datos de valor sobre las inversiones en seguridad y los usuarios mviles. En primer lugar, analizando el presupuesto asignado a seguridad se desprende la importancia que tiene la misma para las organizaciones. Ms de la mitad de los encuestados indicaron que del presupuesto de IT, menos del 5% del mismo es asignado a la seguridad de la informacin, tal como indica el siguiente grfico:

ESET Security Report Mxico

Menos del 20% de los profesionales indicaron que en su organizacin, ms del 10% del presupuesto de IT es asignado a la proteccin de la informacin. La falta de recursos para la asignacin de controles de seguridad es un claro impedimento para la implementacin de controles por parte de los responsables de la seguridad de la informacin en la empresa. Adems, es un manifiesto de la falta de procesos de decisin respecto a la medicin de costos en lo referido a seguridad y a los clculos y anlisis respecto a las inversiones en dicho campo.

De las empresas consultadas, algunas indicaron contar con reas especficas de seguridad, como el caso de COMETRA y Liverpool (se cuenta con la Gerencia de Seguridad, que es quien lleva el Rol de Guardin de Servicios y Redes a nivel de Seguridad IT) u otras organizaciones que incluyen las tareas de seguridad en el equipo de IT, como indicaron desde el Senado de la Repblica.

En referencia al ltimo grfico es preciso destacar que las laptops son los dispositivos mviles para los que las empresas estn ms preparadas para asignar controles, y adems son las ms susceptibles al robo, habiendo varias alertas del aumento de este tipo de incidentes en ciudades mexicanas como Mxico DF o Guadalajara. El robo de una computadora porttil puede exponer la informacin de la empresa, adems de causar prdidas monetarias importantes para la misma.

Conclusiones
La voz de los profesionales que trabajan diariamente en las empresas son datos valiosos para comprender el estado de la seguridad de la informacin en las organizaciones mexicanas. El anlisis de los resultados deja en claro que existe un aspecto pendiente en la materia: la distancia entre las intenciones y los hechos. Por un lado, es altamente positivo que en la voz de los profesionales, la seguridad de la informacin ocupa cada vez un lugar ms importante a considerar, lo que demuestra que el pblico es conciente de los riesgos a los que se expone la informacin de las organizaciones. Por el otro, cuando se consulta sobre los controles reales implementados, los mismos no suelen ser coherentes con la relevancia que se le asigna a la seguridad en las empresas de la regin. Lo mismo ocurre con la educacin en seguridad, prcticamente todos los encuestados mencionaron la importancia de educar, pero pocos pudieron indicar planes de concientizacin reales y peridicos en las organizaciones.

Finalmente, ante la consulta sobre la implementacin de polticas para usuarios mviles, los resultados demuestran que las computadoras porttiles son, a la fecha, los medios donde ms empresas han implementado polticas y controles (el 60% de los encuestados indicaron afirmativamente esta opcin), mientras que 3 de cada 10 personas indicaron que an en su organizacin no se implementaron polticas en ese sentido.

ESET Security Report Mxico

Por otro lado, se desprende la necesidad que los organigramas de las empresas comprendan equipos dedicados exclusivamente a la seguridad de la informacin, como reas independientes del rea de IT; otro aspecto que segn la informacin obtenida an no ha sido establecido como estndar. Ms all de que puede tener a priori un costo mayor esta divisin, en le mediano y largo plazo no es necesariamente as, ya que la divisin de tareas puede permitir tambin el ahorro de dinero, por ejemplo, en la prevencin de incidentes. En pases como Mxico, econmicamente activos y relevantes en lo que respecta al escenario latinoamericano, los ataques estn a la orden del da; ya que es justamente por estas caractersticas en cuanto a podero econmico o cantidad de habitantes que los atacantes ponen el foco en este tipo de pases, detectndose una mayor cantidad de ataques que en otros pases de la regin. En ese contexto, las asignaturas pendientes en la materia deben ser trabajadas con la conviccin de que proteger la informacin es un aspecto primordial para las organizaciones, y dicha conviccin debe ir acompaada con la velocidad que requieren los incidentes y amenazas existentes.

ESET Latinoamrica Av. Libertador 6250 - 6to. Piso C1428 ARS Buenos Aires tel.: + 54 11 4788 9213 fax.: +54 11 4788 9629 www.eset-la.com

protegemos su mundo digital

2009 ESET, LLC. Todos los derechos reservados. ESET, el logo de ESET, ESET SMART SECURITY, ESET.COM, ESET.EU, NOD32, VIRUS RADAR, THREATSENSE, THREAT RADAR, y THREATSENSE.NET son marcas registradas, marcas de servicios y/o marcas registradas de ESET, LLC y/o ESET, spol. s.r.o. en los Estados Unidos y cualquier otra jurisdiccin. Todas las otras marcas registradas y marcas que aparecen en estas pginas son propiedad de sus respectivos dueos y son utilizadas slo en referencia a dichas compaas y servicios.