Mexico trends mx 042116 (003)

Patrocinado por Thales e-Security Conducido de forma independiente por Ponemon Institute LLC Fecha de publicación: abril del 2016

Estudio sobre tendencias globales de cifrado 2016: México

Ponemon Institute© Informe de investigación

Estudio sobre tendencias globales de

Ponemon Institute© Informe de investigación Página 1

Estudio sobre tendencias globales de cifrado 2016: México

Tabla de Contenidos De la página

A la página

Parte 1. Resumen ejecutivo 2 3

Parte 2. Hallazgos clave 4 15

Estrategia, amenazas y principales impulsores 4 6

Opciones de implementación 7 9

Actitudes acerca de la administración de claves 10 12

Importancia de los módulos de seguridad de hardware (HSM) 13 13

Asignación de presupuesto 14 14

Cifrado en la nube 14 15

Apéndice 1. Métodos y limitaciones 16 18

Apéndice 2. Tablas de datos de la encuesta 20 26


Estudio sobre tendencias globales de cifrado 2016: México Ponemon Institute, abril del 2016

Parte 1. Resumen ejecutivo Ponemon Institute se complace en presentar los hallazgos del Estudio sobre tendencias globales de cifrado 2016: México, patrocinado por Thales e-Security. Encuestamos a 429 individuos en organizaciones mexicanas. El objetivo de esta investigación es analizar el uso del cifrado y el impacto de esta tecnología en la postura que adoptan las organizaciones frente a la seguridad. El primer estudio sobre tendencias de cifrado se llevó a cabo en el 2005 sobre una muestra de encuestados de los EE. UU.1 Desde entonces, hemos expandido el alcance de la investigación para incluir encuestados de todas las regiones del mundo.

Las megainfracciones y los ataques cibernéticos han aumentado la urgencia de las empresas para mejorar su postura frente a la seguridad. De hecho, el 77 % de las organizaciones representadas en este estudio adoptan algún tipo de estrategia de cifrado, como se muestra en la Figura 1. Creemos que este y otros hallazgos demuestran la importancia del cifrado y la administración de claves para lograr una postura sólida frente a la seguridad.

A continuación, se presenta un resumen de nuestros principales hallazgos. En la próxima sección, se proporcionan más detalles para cada uno de los hallazgos clave que aquí se mencionan.

! El área de operaciones de TIes la más influyente a la hora de dirigir estrategias de cifrado. Si bien la responsabilidad dela estrategia de cifrado está repartida entre toda la organización, el área de operaciones de TI(32 % de los encuestados) es la más influyente para determinar la estrategia de cifrado de laorganización. El 24 % de los encuestados dijo que ninguna función es exclusivamenteresponsable de la estrategia de cifrado.

! ¿Qué tipos de datos son los que se cifran con mayor frecuencia? Los datos deRecursos Humanos son el tipo de datos que más se tiende a cifrar, lo que sugiere que elcifrado ha pasado a un ámbito donde debe ser abordado por empresas de todo tipo. El tipode datos que menos se tiende a cifrar es la información relacionada con la salud.

! Los errores de los empleados son las amenazas más significativas para los datosconfidenciales. Según el 33 % de los empleados, las amenazas más significativas deexposición de datos confidenciales son los errores de los empleados. El 33 % de losempleados dijo que los hackers son una amenaza importante. Por el contrario, las solicitudesde datos legales y las escuchas ilegales del gobierno casi nunca constituyen una amenaza.

1El análisis de tendencias que se muestra en este estudio se realizó sobre muestras de países combinadas que abarcan 11 años (desde el 2005).

Figura 1. ¿Cuál de las siguientes declaraciones describe mejor la estrategia de cifrado de su organización?


§ El cumplimiento con las normas y los requisitos externos de privacidad o seguridad de los datos es el principal impulsor para el cifrado. El 55 % de los encuestados informa el cumplimiento como el motivo principal para cifrar datos, mientras que el 51 % afirma que el cifrado de los datos se realiza para proteger la información personal de los clientes y para proteger la información contra amenazas específicas e identificadas. Sólo el 8 % de los encuestados dijo que un impulsor principal es evitar la divulgación pública después de una infracción a los datos.

§ El mayor desafío en la ejecución de una estrategia de cifrado de datos es descubrir dónde residen los datos confidenciales en la organización. El 60 % de los encuestados dice que un desafío importante es descubrir dónde residen los datos confidenciales en la organización. Asimismo, la implementación inicial de la tecnología de cifrado resulta difícil.

§ No existe una única tecnología de cifrado que domine las organizaciones, ya que las

organizaciones tienen necesidades muy diversas. Las bases de datos, los discos duros de las portátiles, las comunicaciones por Internet, las copias de seguridad y los archivos son los que más y con mayor frecuencia se cifran. Por el contrario, es menos probable que se cifren los servicios de nube pública y los repositorios de big data.

§ Ciertas características de cifrado se consideran más críticas que otras. La

administración de claves, el rendimiento y la latencia del sistema, y el cumplimiento de políticas se consideran las características de cifrado más importantes. En cambio, la integración con otras herramientas de seguridad (p. ej., SIEM y administración de ID) y la compatibilidad con la segregación regional son menos importantes.

§ ¿Cuán difícil es la administración de claves? Mediante una escala de 10 puntos, se pidió

a los encuestados que puntúen la dificultad general asociada con administrar claves dentro de su organización, donde 1 = impacto mínimo a 10 = impacto grave. El 52 % de los encuestados eligió puntuaciones de 7 o más, lo que sugiere un umbral de dificultad bastante alto para las organizaciones representadas en esta investigación.

§ ¿Por qué es difícil la administración de claves? Los motivos principales son: falta de

personal capacitado, propiedad confusa y sistemas aislados y fragmentados. § ¿Cuáles son las claves más difíciles de administrar? Los tipos de claves considerados

más difíciles de administrar son: claves para servicios externos (p. ej., servicios de nube u hospedados), claves para sistemas de terceros (p. ej., socios, clientes, inicio de sesión único, federación, etc.) y claves SSH.

§ Las empresas siguen utilizando una variedad de sistemas de administración de

claves. Los sistemas más comúnmente implementados son: proceso manual (p. ej., hoja de cálculo, en papel) y política de administración de claves formal (KMP).

§ La importancia de los HSM para una estrategia de cifrado o administración de claves

crecerá en los próximos 12 meses. El 30 % de estos encuestados afirma que los HSM son importantes hoy en día y el 38 % dice que serán importantes en los próximos 12 meses. Los usos principales son cifrado a nivel de la aplicación y SSL/TLS. En los próximos 12 meses, el cifrado de base de datos y la firma de documentos son los que tienen más probabilidades de ser implementados.

§ ¿Las empresas usan cifrado u otros métodos para proteger los datos estáticos? El

50 % de los encuestados dice que usan el cifrado para proteger los datos estáticos (29 % de los encuestados) o hacen que los datos sean ilegibles a través de otros métodos (21 % de los encuestados). El 50 % de los encuestados dice que sus organizaciones no protegen los datos estáticos en la nube.

§ ¿Cómo se protegen los datos estáticos en la nube? El 39 % de los encuestados afirma que

los datos se cifran antes de ser enviados a la nube y el 12 % de los encuestados dice que se cifran en la nube mediante el uso de herramientas colocadas en la nube por la compañía. El 49 % de los encuestados dice que el proveedor de la nube cifra los datos estáticos en la nube.


Parte 2. Hallazgos clave En esta sección, presentamos un análisis de los hallazgos clave. Los hallazgos auditados completos se presentan en el apéndice del informe. Hemos organizado el informe de acuerdo con los siguientes temas: ! Estrategia, amenazas y principales impulsores ! Opciones de implementación ! Actitudes acerca de la administración de claves ! Importancia de los módulos de seguridad de hardware (HSM) ! Asignación de presupuesto ! Cifrado en la nube Estrategia, amenazas y principales impulsores El área de operaciones de TI es la más influyente a la hora de dirigir estrategias de cifrado. Como se muestra en la Figura 2, si bien la responsabilidad de la estrategia de cifrado está repartida entre toda la organización, el área de operaciones de TI (32 % de los encuestados) es la más influyente para determinar la estrategia de cifrado de la organización. El 24 % de los encuestados dijo que ninguna función es exclusivamente responsable de la estrategia de cifrado. Figura 2. Influencia del área de operaciones de TI, líneas de negocio y seguridad

3%

5%

18%

18%

24%

32%

0% 10% 20% 30% 40%

Cumplimiento

Finanzas

Líneas de negocio (LOB) o administración general

Seguridad

Ninguna función es responsable

Operaciones de IT


¿Qué tipos de datos son los que se cifran con mayor frecuencia? La Figura 3 proporciona una lista de siete tipos de datos que son cifrados rutinariamente por las organizaciones de los encuestados. Como se muestra, los datos de Recursos Humanos son el tipo de datos que más se tiende a cifrar, lo que sugiere que el cifrado ha pasado a un ámbito donde debe ser abordado por empresas de todo tipo. Los datos que menos se cifran son los relacionados con la salud. Figura 3. Tipos de datos que se cifran rutinariamente Se permite más de una respuesta

Los errores de los empleados son las amenazas más significativas para los datos confidenciales. La Figura 4 revela que las amenazas más significativas de exposición de datos confidenciales son los errores de los empleados, según el 38 % de los encuestados. El 33 % de los empleados dijo que los hackers son una amenaza importante. Por el contrario, las solicitudes de datos legales y las escuchas ilegales del gobierno casi nunca constituyen una amenaza. Figura 4. Principales amenazas que pueden dar como resultado la exposición de datos confidenciales Se permiten dos respuestas

21%

23%

27%

44%

46%

47%

71%

0% 20% 40% 60% 80%

Información relacionada con la salud

Información empresarial no financiera

Información de clientes

Propiedad intelectual

Registros financieros

Datos relacionados con pagos

Datos de empleados/HR

13%

18%

19%

21%

29%

29%

33%

38%

0% 5% 10% 15% 20% 25% 30% 35% 40%

Solicitudes de datos legales (p. ej., por parte de la policía)

Infiltrados malintencionados

Espionaje del gobierno

Mal funcionamiento del sistema o proceso

Trabajadores temporales o contratados

Proveedores de servicios de terceros

Hackers

Errores de empleados


El cumplimiento con las normas y los requisitos externos de privacidad o seguridad de los datos es el principal impulsor para el cifrado. En la Figura 5, se presentan ocho impulsores para la implementación del cifrado. El 55 % de los encuestados informa el cumplimiento, mientras que el 51 % informa la protección de la información personal de los clientes y la protección de la información contra amenazas específicas e identificadas también son importantes para la adopción del cifrado. Sólo el 8 % de los encuestados dijo que un impulsor principal es evitar la divulgación pública después de una infracción a los datos. Figura 5. Principales impulsores para usar soluciones de tecnología de cifrado Se permiten tres respuestas

8%

13%

37%

38%

47%

51%

51%

55%

0% 10% 20% 30% 40% 50% 60%

Para evitar la divulgación pública después de una infracción a los datos

Para cumplir con políticas internas

Para reducir el alcance de las auditorías de cumplimiento

Para proteger la propiedad intelectual de la empresa

Para limitar la responsabilidad en casos de infracciones o divulgación involuntaria

Para proteger la información contra amenazas específicas e identificadas

Para proteger la información personal de los clientes

Para cumplir las normas y los requisitos externos de privacidad o seguridad de los datos


Opciones de implementación El mayor desafío en la ejecución de una estrategia de cifrado de datos es descubrir dónde residen los datos confidenciales en la organización. La Figura 6 muestra una lista de seis desafíos que una organización enfrenta para la ejecución eficaz de la estrategia de cifrado de datos en orden de importancia descendente. El 60 % de los encuestados dice que un desafío importante es descubrir dónde residen los datos confidenciales en la organización. Asimismo, la implementación inicial de la tecnología de cifrado resulta difícil. Figura 6. Mayores desafíos en la planificación y ejecución de una estrategia de cifrado de datos Se permiten dos respuestas

10%

24%

28%

33%

45%

60%

0% 10% 20% 30% 40% 50% 60% 70%

Determinar cuáles son las tecnologías de cifrado más eficaces

Administrar de manera continua el cifrado y las claves

Capacitar a los usuarios para que utilicen el cifrado correctamente

Clasificar qué datos deben cifrarse

Implementar inicialmente la tecnología de cifrado

Descubrir dónde residen los datos confidenciales en la organización


No existe una única tecnología de cifrado que domine las organizaciones. Les pedimos a los encuestados que indiquen si, en sus organizaciones, se implementan extensivamente o sólo parcialmente las tecnologías de cifrado específicas. “Implementación extensiva” significa que la tecnología de cifrado se implementa en toda la empresa. “Implementación parcial” significa que la tecnología de cifrado está confinada o limitada a un propósito específico (también conocida como solución puntual). Como se muestra en la Figura 7, no existe una única tecnología dominante, ya que las organizaciones tienen necesidades muy diversas. Las bases de datos, los discos duros de las portátiles, las copias de seguridad y los archivos son los que más y con mayor frecuencia se cifran. Por el contrario, es menos probable que se cifren los servicios de nube pública y los repositorios de big data. Figura 7. Uso de tecnologías de cifrado

41%

58%

45%

50%

36%

35%

32%

16%

22%

35%

17%

23%

27%

15%

38%

19%

30%

24%

28%

29%

30%

46%

34%

18%

28%

22%

17%

21%

21%

23%

26%

27%

36%

36%

37%

38%

44%

48%

55%

56%

56%

64%

0% 10% 20% 30% 40% 50% 60% 70%

Aplicaciones empresariales

Repositorios de big data

Infraestructura de nube privada

Servicios de nube pública

Sistemas de archivos

Gateway de nube

Redes internas (p. ej., VPN/LPN)

Correo electrónico

Almacenamiento de centros de datos

Discos duros de equipos de escritorio y estaciones de trabajo

Comunicaciones por Internet (p. ej., SSL)

Copia de seguridad y archivos

Discos duros de portátiles

Bases de datos

Implementado extensivamente Implementado parcialmente No implementado


Ciertas características de cifrado se consideran más críticas que otras. La Figura 8 muestra una lista de las características de la tecnología de cifrado. Cada porcentaje define las respuestas como muy importantes e importantes (en una escala de cuatro puntos). Se pidió a los encuestados que puntúen las características de la tecnología de cifrado que consideran más importantes para la postura que adoptan sus organizaciones frente a la seguridad. Según los hallazgos, la administración de claves, el rendimiento y la latencia del sistema, y el cumplimiento de políticas se consideran las características de cifrado más importantes. En cambio, la integración con otras herramientas de seguridad (p. ej., SIEM y administración de ID) y la compatibilidad con la segregación regional son menos importantes. Figura 8. Características más importantes de las soluciones de tecnología de cifrado Combinación de respuestas Muy importante e Importante

44%

45%

49%

55%

60%

62%

68%

68%

69%

70%

87%

90%

0% 20% 40% 60% 80% 100%

Compatibilidad con segregación regional (p. ej., residencia de datos)

Integración con otras herramientas de seguridad (p. ej., SIEM y administración de ID)

Separación de tareas y controles basados en roles

Compatibilidad con algoritmos emergentes (p. ej., ECC)

Compatibilidad con varias aplicaciones o entornos

Escalabilidad del sistema

Resistencia a la alteración por medio de hardware dedicado (p. ej., HSM)

Compatibilidad para implementación en nube y local

Certificación de seguridad formal de producto (p. ej., FIPS 140)

Cumplimiento de políticas

Rendimiento del sistema y latencia

Administración de claves


Actitudes acerca de la administración de claves ¿Cuán difícil es la administración de claves? Mediante una escala de 10 puntos, se pidió a los encuestados que puntúen la dificultad general asociada con administrar claves dentro de su organización, donde 1 = impacto mínimo a 10 = impacto grave. La Figura 9 muestra que el 52 % de los encuestados (20 + 32) eligió puntuaciones de 7 o más, lo que sugiere un umbral de dificultad bastante alto para las organizaciones representadas en esta investigación. Figura 9. ¿Cuán difícil es la administración de claves? 1 = impacto mínimo a 10 = impacto grave

¿Por qué es difícil la administración de claves? La Figura 10 muestra los motivos de por qué la administración de claves es tan difícil. Los motivos principales son: falta de personal capacitado, propiedad confusa y sistemas aislados y fragmentados. Figura 10. ¿Qué hace que la administración de claves sea tan difícil? Se permiten tres respuestas

12% 12%

24%

20%

32%

0%

5%

10%

15%

20%

25%

30%

35%

1 o 2 3 o 4 5 o 6 7 u 8 9 o 10

9%

12%

20%

22%

39%

44%

44%

54%

56%

0% 10% 20% 30% 40% 50% 60%

Los procesos manuales son propensos a errores y no son confiables

La tecnología y los estándares están inmaduros

Falta de comprensión clara acerca de los requisitos

Recursos insuficientes (tiempo/dinero)

Demasiado cambio e incertidumbre

Las herramientas de administración de claves son inadecuadas

Los sistemas están aislados y fragmentados

Propiedad confusa

Falta de personal capacitado


¿Cuáles son las claves más difíciles de administrar? Según la Figura 11, los tipos de claves considerados más difíciles de administrar son: claves para servicios externos (p. ej., servicios de nube u hospedados), claves para sistemas de terceros (p. ej., socios, clientes, inicio de sesión único, federación, etc.) y claves SSH. Figura 11. Tipos de claves más difíciles de administrar Combinación de respuestas Muy difícil y Difícil

16%

28%

30%

40%

40%

44%

48%

52%

53%

57%

59%

62%

0% 10% 20% 30% 40% 50% 60% 70%

Claves y certificados de dispositivos incrustados (p. ej., productos que usted hace)

Claves de cifrado de red (p. ej., IPSEC)

Claves de cifrado para copias de seguridad y almacenamiento

Claves de cifrado para datos archivados

Claves relacionadas con pagos (p. ej., ATM, POS, etc.)

Claves de cifrado de usuarios finales (p. ej., correo electrónico, cifrado de disco completo)

Claves de aplicaciones (p. ej., firma, autenticación, cifrado)

Claves y certificados asociados con SSL/TLS

Claves privadas para emisión de certificación

Claves SSH

Claves para sistemas de terceros (p. ej., socios, clientes, inicio de sesión único, federación, etc.)

Claves para servicios externos (p. ej., servicios de nube u hospedados)


Como se muestra en la Figura 12, las empresas de los encuestados siguen utilizando una variedad de sistemas de administración de claves. Los sistemas más comúnmente implementados son: proceso manual (p. ej., hoja de cálculo, en papel) y política de administración de claves formal (KMP). Figura 12. ¿Qué sistemas de administración de claves se utilizan actualmente en su organización? Se permite más de una respuesta

11%

14%

18%

28%

30%

31%

34%

34%

38%

64%

0% 10% 20% 30% 40% 50% 60% 70%

Módulos de seguridad de hardware

Tiendas y billeteras de claves basadas en software

Tarjetas inteligentes

Medios extraíbles (p. ej., memoria USB, CDROM)

Definición formal de roles y responsabilidades de la KMI, incluida la separación de tareas

Declaración de prácticas de administración de claves formal (KMPS)

Infraestructura de administración de claves formal (KMI)

Sistema/servidor de administración de claves central

Política de administración de claves formal (KMP)

Proceso manual (p. ej., hoja de cálculo, en papel)


Importancia de los módulos de seguridad de hardware (HSM) La importancia de los HSM para una estrategia de cifrado o administración de claves crecerá en los próximos 12 meses. Les preguntamos a los encuestados de organizaciones que actualmente implementan HSM cuán importante son estos para la estrategia de cifrado o administración de claves. El 30 % de estos encuestados afirma que son importantes hoy en día y el 38 % dice que serán importantes en los próximos 12 meses. La Figura 13 resume los propósitos principales o casos de uso para la implementación de HSM. Como se muestra, los usos principales son cifrado a nivel de la aplicación y SSL/TLS. Esta figura también muestra las diferencias entre el uso actual de los HSM y la implementación dentro de 12 meses. En los próximos 12 meses, el cifrado de base de datos y la firma de documentos son los que tienen más probabilidades de ser implementados. Figura 13. Cómo están implementados los HSM o cómo se implementarán en los próximos 12 meses

5%

21%

8%

28%

20%

6%

17%

17%

19%

18%

26%

29%

27%

15%

5%

6%

7%

8%

10%

15%

16%

19%

21%

21%

26%

27%

29%

30%

0% 10% 20% 30% 40%

Cifrado de big data

Firma de códigos

Criptomoneda

Firma de documentos (p. ej., facturación electrónica)

Procesamiento de transacciones de pago

No planea usarlo

Autenticación de dispositivos Internet de las Cosas (IoT)

Cifrado en nube privada

Cifrado en nube pública

PKI o administración de credenciales

Emisión de credenciales de pago (p. ej., móvil, EMV)

Cifrado de bases de datos

SSL/TLS

Cifrado a nivel de aplicación

Implementado ahora Implementado en los próximos 12 meses


Asignación de presupuesto En promedio, las organizaciones mexicanas gastan MXN 2.3 mil millones en TI, como se muestra en la Tabla 1. Se gasta un promedio de 8.6 % en seguridad de TI. Aproximadamente, se asigna un promedio de 27.7 % del presupuesto para seguridad de TI a la protección de datos y el 13.4 % del presupuesto para seguridad de TI se gasta en cifrado. Tabla 1. Presupuesto de TI para seguridad de TI, protección de datos y cifrado Valor extrapolado

Presupuesto de TI de la organización para el año 2015 (miles de millones) MXN 2.3

Presupuesto del 2016 que se destinará a actividades de seguridad de TI 8.6 % Presupuesto de seguridad de TI 2016 que se destinará a actividades de protección de datos 27.7 % Presupuesto de seguridad de TI 2016 que se destinará a actividades de cifrado 13.4 %

Cifrado en la nube La mayoría de las organizaciones están transfiriendo datos confidenciales a la nube. Como se muestra en la Figura 14, el 49 % de los encuestados dice que sus organizaciones actualmente transfieren datos confidenciales a la nube (ya sea cifrados o no cifrados, o convertidos en ilegibles mediante otro mecanismo) y el 39 % de los encuestados planea hacerlo en los próximos 12 a 24 meses. La mitad de los encuestados (50 %) dice que el proveedor de la nube es el mayor responsable de proteger los datos confidenciales que se transfieren a la nube. Figura 14. ¿Actualmente transfiere datos confidenciales a la nube?

49%

39%

12%

0%

10%

20%

30%

40%

50%

60%

Sí, actualmente utilizamos No, pero planeamos hacerlo en los próximos 12 a 24 meses

No


¿Las empresas usan cifrado u otros métodos para proteger los datos estáticos en la nube? Como se muestra en la Figura 15, el 29 % de los encuestados dice que usan el cifrado para proteger los datos estáticos o hacen que los datos sean ilegibles a través de otros métodos (21 % de los encuestados). El 50 % de los encuestados dice que sus organizaciones no protegen los datos estáticos en la nube. Figura 15. ¿Su organización protege los datos estáticos en la nube mediante el uso de cifrado u otra medida que convierta los datos en ilegibles?

¿Cómo se protegen los datos estáticos en la nube? El 39 % de los encuestados afirma que los datos se cifran antes de ser enviados a la nube y el 12 % de los encuestados dice que se cifran en la nube mediante el uso de herramientas colocadas en la nube por su organización, como se muestra en la Figura 16. El 49 % de los encuestados dice que el proveedor de la nube cifra los datos estáticos en la nube. Figura 16. Si los datos estáticos están protegidos por cifrado, ¿cómo se aplica esa protección?

29%

21%

50%

0%

10%

20%

30%

40%

50%

60%

Sí (los datos estáticos se protegen mediante cifrado)

Sí (los datos estáticos se convierten en ilegibles mediante

otros métodos)

No

12%

39%

49%

0% 10% 20% 30% 40% 50% 60%

Los datos estáticos en la nube se cifran en la nube mediante herramientas colocadas allí por

su organización

Se envían a la nube los datos cifrados antes (excluya el uso de SSL/IPSec u otro cifrado de

red en la respuesta)

Los datos estáticos en la nube son cifrados en la nube por el proveedor de la nube


Apéndice 1. Métodos y limitaciones La Tabla 2 representa la respuesta de la muestra para México. La respuesta de la muestra para este estudio se recopiló durante un período de 49 días que finalizó en febrero del 2016. Nuestro marco de muestreo consolidado de profesionales en México estuvo conformado por 10,430 individuos que poseen credenciales confiables en campos de TI o seguridad. A partir de este marco de muestreo, obtuvimos 489 devoluciones, de las cuales 60 fueron rechazadas por cuestiones de legibilidad. Nuestra muestra final consolidada del 2016 fue de 429, que dio como resultado una tasa de respuesta general de 4.1 %. Tabla 2. Respuesta de la muestra Frec. % Marco de muestreo total 10,430 100 % Devoluciones totales 489 4.7 % Encuestas rechazadas o filtradas 60 0.58 % Muestra final 429 4.1 %

La Figura 17 resume los niveles de puestos aproximados que ocupan los encuestados de nuestro estudio. Como se puede ver, el 46 % de los encuestados están en el nivel de supervisor o superior. Figura 17. Distribución de encuestados según el nivel de puesto

La Figura 18 informa los principales segmentos de mercado de las organizaciones a las que pertenecen los encuestados. Como se observa, el 18 % de los encuestados pertenece a la industria de servicios financieros, que incluye banca, gestión de inversiones, seguro, corretaje, pagos y tarjetas de crédito. El 10 % pertenece a organizaciones de fabricación y otro 9 % corresponde a hotelería y esparcimiento.

Figura 18. Distribución de encuestados según la clasificación de industria principal

2% 3%

19%

22%

52%

2%

Ejecutivo sénior

Vicepresidente

Director

Gerente/supervisor

Auxiliar/personal/técnico

Otro

18%

10%

9%

7% 7% 7%

7%

7%

6%

4%

4%

4% 4%

3% 3% Servicios financieros Fabricación Hotelería y esparcimiento Comunicación Entretenimiento y medios Cuidado de la salud y farmacéutica Sector público Tecnología y software Servicios Agricultura y alimentos Productos de consumo Educación e investigación Transporte Energía y servicios públicos Minorista


La Figura 19 informa el área funcional de los encuestados. Como se muestra, el 65 % de los encuestados se ubica en el área de operaciones de TI, el 14 % en seguridad y 8 % en cumplimiento. Figura 19. Distribución de encuestados según el área funcional

Según la Figura 20, la mayoría de los encuestados (75 %) pertenece a organizaciones grandes con un recuento de personal global de más de 1,000 empleados. Figura 20. Distribución de encuestados según el recuento de personal de la organización

65%

14%

8%

5% 4% 4%

Operaciones de IT

Seguridad

Cumplimiento

Líneas de negocio (LOB)

Finanzas

Otro

12%

13%

49%

17%

6% 3%

Menos de 500

500 a 1,000

1,001 a 5,000

5,001 a 25,000

25,001 a 75,000

Más de 75,000


Limitaciones Existen limitaciones inherentes a la investigación basada en encuesta que se deben considerar detenidamente antes de hacer inferencias a partir de los hallazgos presentados. Los siguientes puntos son limitaciones específicas relacionadas con la mayoría de los estudios de investigación basada en encuesta. § Sesgo de no respuesta: los presentes hallazgos se basan en una muestra de devoluciones

de una encuesta. Enviamos encuestas a una muestra representativa de profesionales de TI y seguridad de TI en 11 países, lo que dio como resultado un gran número de respuestas devueltas utilizables. A pesar de las pruebas de no respuesta, siempre es posible que los individuos que no participaron difieran considerablemente en términos de creencias subyacentes de aquellos que completaron la encuesta.

§ Sesgo de marco de muestreo: la precisión de los resultados de la encuesta dependen del grado en que nuestros marcos de muestreo representan a los individuos que son profesionales de TI o seguridad de TI dentro de la muestra de 11 países seleccionados.

§ Resultados autoinformados: la calidad de la investigación basada en encuesta depende de la

integridad de las respuestas confidenciales recibidas de los encuestados. Si bien se incorporaron ciertas comprobaciones y balances en nuestro proceso de evaluación de encuestas, incluidas las comprobaciones de validez, siempre existe la posibilidad de que algunos encuestados no hayan dado respuestas verdaderas.


Apéndice 2. Tablas de datos de la encuesta Las siguientes tablas proporcionan los resultados para la muestra del país México. Respuesta de la encuesta MX Marco de muestreo Devoluciones totales 489 Encuestas rechazadas o filtradas 60 Muestra final 429 Tasa de respuesta 4.1 % Ponderaciones de la muestra 0.09

Parte 1. Postura frente al cifrado MX

Tenemos un plan o una estrategia de cifrado general que se aplica de forma coherente en toda la empresa 26 % Tenemos un plan o una estrategia de cifrado que se ajusta a diferentes tipos de aplicaciones y datos 26 %

Tenemos un plan o una estrategia de cifrado limitados para ciertos tipos de datos confidenciales, como números de seguro social o cuentas de tarjeta de crédito

25 % No tenemos ningún plan ni estrategia de cifrado 23 % Total 100 %

P2. A continuación, hay 14 áreas donde se pueden implementar tecnologías de cifrado. Marque las áreas donde el cifrado es implementado extensivamente, parcialmente o aún no es implementado por su organización. Además, marque si usted está directamente involucrado en la implementación de cada área que se presenta.

P2a-1 Copia de seguridad y archivos MX Implementado extensivamente 56 % Implementado parcialmente 22 % No implementado 23 % Total 100 %

P2b-1. Repositorios de big data MX Implementado extensivamente 23 % Implementado parcialmente 19 % No implementado 58 % Total 100 %

P2c-1. Aplicaciones empresariales MX Implementado extensivamente 21 % Implementado parcialmente 38 % No implementado 41 % Total 100 %

P2d-1. Almacenamiento de centros de datos MX Implementado extensivamente 44 % Implementado parcialmente 34 % No implementado 22 % Total 100 %


P2e-1. Bases de datos MX Implementado extensivamente 64 % Implementado parcialmente 21 % No implementado 15 % Total 100 %

P2f-1. Discos duros de equipos de escritorio y estaciones de trabajo MX Implementado extensivamente 48 % Implementado parcialmente 18 % No implementado 35 % Total 100 %

P2g-1. Correo electrónico MX Implementado extensivamente 38 % Implementado parcialmente 46 % No implementado 16 % Total 100 %

P2h-1. Servicios de nube pública MX Implementado extensivamente 27 % Implementado parcialmente 24 % No implementado 50 % Total 100 %

P2i-1. Sistemas de archivos MX Implementado extensivamente 36 % Implementado parcialmente 28 % No implementado 36 % Total 100 %

P2j-1. Comunicaciones por Internet (p. ej., SSL) MX Implementado extensivamente 55 % Implementado parcialmente 28 % No implementado 17 % Total 100 %

P2k-1. Redes internas (p. ej., VPN/LPN) MX Implementado extensivamente 37 % Implementado parcialmente 30 % No implementado 32 % Total 100 %

P2l-1. Discos duros de portátiles MX Implementado extensivamente 56 % Implementado parcialmente 17 % No implementado 27 % Total 100 %

P2m-1 Infraestructura de nube privada MX Implementado extensivamente 26 % Implementado parcialmente 30 % No implementado 45 % Total 100 %


P2n-1 Gateway de nube (2016 únicamente) MX Implementado extensivamente 36 % Implementado parcialmente 29 % No implementado 35 % Total 100 %

P4. En su organización, ¿quién es responsable o es más influyente para dirigir la estrategia de la organización para el uso del cifrado? Seleccione una opción. MX Ninguna función es responsable 24 % Operaciones de TI 32 % Finanzas 5 % Líneas de negocio (LOB) o administración general 18 % Seguridad 18 % Cumplimiento 3 % Total 100 %

P5. ¿Cuáles son los motivos por los que su organización realiza el cifrado de datos confidenciales? Seleccione los tres motivos principales. MX Para evitar la divulgación pública después de una infracción a los datos 8 % Para proteger la información contra amenazas específicas e identificadas 51 % Para cumplir con políticas internas 13 %

Para cumplir las normas y los requisitos externos de privacidad o seguridad de los datos 55 %

Para reducir el alcance de las auditorías de cumplimiento 37 % Para proteger la propiedad intelectual de la empresa 38 % Para proteger la información personal de los clientes 51 % Para limitar la responsabilidad en casos de infracciones o divulgación involuntaria 47 % Total 300 %

P7. ¿Cuáles son los mayores desafíos en la planificación y ejecución de una estrategia de cifrado de datos? Seleccione los dos motivos principales. MX Descubrir dónde residen los datos confidenciales en la organización 60 % Clasificar qué datos deben cifrarse 33 % Determinar cuáles son las tecnologías de cifrado más eficaces 10 % Implementar inicialmente la tecnología de cifrado 45 % Administrar de manera continua el cifrado y las claves 24 % Capacitar a los usuarios para que utilicen el cifrado correctamente 28 % Total 200 %

P8. ¿Cuán importantes son las siguientes características asociadas con las soluciones de cifrado que puede utilizar su organización? Combinación de respuestas Muy importante e Importante. MX Cumplimiento de políticas 70 % Administración de claves 90 % Compatibilidad con varias aplicaciones o entornos 60 % Separación de tareas y controles basados en roles 49 % Escalabilidad del sistema 62 % Resistencia a la alteración por medio de hardware dedicado (p. ej., HSM) 68 % Integración con otras herramientas de seguridad (p. ej., SIEM y administración de ID) 45 % Compatibilidad con segregación regional (p. ej., residencia de datos) 44 % Rendimiento del sistema y latencia 87 % Compatibilidad con algoritmos emergentes (p. ej., ECC) 55 % Compatibilidad para implementación en nube y local 68 % Certificación de seguridad formal de producto (p. ej., FIPS 140) 69 %


P9. ¿Qué tipos de datos cifra su organización? Seleccione todos los que correspondan. MX Información de clientes 27 % Información empresarial no financiera 23 % Propiedad intelectual 44 % Registros financieros 46 % Datos de empleados/HR 71 % Datos relacionados con pagos 47 % Información relacionada con la salud 21 % P10. ¿Cuáles son las principales amenazas que pueden dar como resultado la exposición de datos confidenciales? Seleccione las dos opciones principales. MX Hackers 33 % Infiltrados malintencionados 18 % Mal funcionamiento del sistema o proceso 21 % Errores de empleados 38 % Trabajadores temporales o contratados 29 % Proveedores de servicios de terceros 29 % Solicitudes de datos legales (p. ej., por parte de la policía) 13 % Espionaje del gobierno 19 % Total 200 %

Parte 2. Administración de claves

P12. Puntúe el grado de dificultad general asociado con administrar claves o certificados dentro de su organización, donde 1 = impacto mínimo a 10 = impacto grave.

MX 1 o 2 12 % 3 o 4 12 % 5 o 6 24 % 7 u 8 20 % 9 o 10 32 % Total 100 %

P13. ¿Qué hace que la administración de claves y certificados sea tan difícil? Seleccione los tres motivos principales. MX Propiedad confusa 54 % Recursos insuficientes (tiempo/dinero) 22 % Falta de personal capacitado 56 % Falta de comprensión clara acerca de los requisitos 20 % Demasiado cambio e incertidumbre 39 % Las herramientas de administración de claves son inadecuadas 44 % Los sistemas están aislados y fragmentados 44 % La tecnología y los estándares están inmaduros 12 % Los procesos manuales son propensos a errores y no son confiables 9 % Total 300 %


P14. A continuación, hay una variedad de claves que pueden ser administradas por su organización. Puntúe el grado de dificultad general asociado con la administración de cada tipo de clave. Combinación de respuestas Muy difícil y Difícil. MX Claves de cifrado para copias de seguridad y almacenamiento 30 % Claves de cifrado para datos archivados 40 % Claves y certificados asociados con SSL/TLS 52 % Claves SSH 57 % Claves de cifrado de usuarios finales (p. ej., correo electrónico, cifrado de disco completo) 44 % Claves de cifrado de red (p. ej., IPSEC) 28 % Claves de aplicaciones (p. ej., firma, autenticación, cifrado) 48 % Claves relacionadas con pagos (p. ej., ATM, POS, etc.) 40 % Claves y certificados de servicios incrustados (p. ej., productos que usted hace) 16 % Claves para servicios externos (p. ej., servicios de nube u hospedados) 62 % Claves para sistemas de terceros (p. ej., socios, clientes, inicio de sesión único, federación, etc.) 59 % Claves privadas para emisión de certificación 53 %

P15a. ¿Qué sistemas de administración de claves se utilizan actualmente en su organización? MX Política de administración de claves formal (KMP) 38 % Declaración de prácticas de administración de claves formal (KMPS) 31 % Infraestructura de administración de claves formal (KMI) 34 % Definición formal de roles y responsabilidades de la KMI, incluida la separación de tareas 30 % Proceso manual (p. ej., hoja de cálculo, en papel) 64 % Sistema/servidor de administración de claves central 34 % Módulos de seguridad de hardware 11 % Medios extraíbles (p. ej., memoria USB, CDROM) 28 % Tiendas y billeteras de claves basadas en software 14 % Tarjetas inteligentes 18 % Total 302 %

Parte 3. Módulos de seguridad de hardware P16. ¿Qué es lo que mejor describe su nivel de conocimiento sobre HSM? MX

Muy conocedor 20 % Conocedor 25 % No conocedor (pase a la P19) 55 % Total 100 %

P17a. ¿Su empresa implementa HSM? MX Sí 20 % No (pase a la P19) 80 % Total 100 %


P17b. ¿Con qué propósito su organización actualmente implementa o planea implementar HSM? Seleccione todos los que correspondan.

P17b-1. HSM implementado hoy MX Cifrado a nivel de aplicación 30 % Cifrado de bases de datos 27 % Cifrado de big data 5 % Cifrado en nube pública 21 % Cifrado en nube privada 19 % SSL/TLS 29 % PKI o administración de credenciales 21 % Autenticación de dispositivos Internet de las Cosas (IoT) 16 % Firma de documentos (p. ej., facturación electrónica) 8 % Firma de códigos 6 % Procesamiento de transacciones de pago 10 % Emisión de credenciales de pago (p. ej., móvil, EMV) 26 % Criptomoneda 7 % No planea usarlo 15 % Total 240 % P17b-2. Se planea implementar HSM en los próximos 12 meses MX Cifrado a nivel de aplicación 15 % Cifrado de bases de datos 29 % Cifrado de big data 5 % Cifrado en nube pública 19 % Cifrado en nube privada 17 % SSL/TLS 27 % PKI o administración de credenciales 18 % Autenticación de dispositivos Internet de las Cosas (IoT) 17 % Firma de documentos (p. ej., facturación electrónica) 28 % Firma de códigos 21 % Procesamiento de transacciones de pago 20 % Emisión de credenciales de pago (p. ej., móvil, EMV) 26 % Criptomoneda 8 % No planea usarlo 6 % Total 256 % P18. Según su opinión, ¿cuán importantes son los HSM para su estrategia de cifrado o administración de claves? Combinación de respuestas Muy importante e Importante MX P18a. Importancia actual 30 % P18b. Importancia en los próximos 12 meses 38 %

Parte 4. Preguntas sobre presupuesto P19a. ¿Usted es responsable de administrar todo o parte del presupuesto para TI de su

organización? MX Sí 49 % No (pase a la P20) 51 % Total 100 %

P19b. Aproximadamente, ¿cuál es el rango de dólares que mejor describe el presupuesto para TI de su organización para el año 2015? Peso Valores extrapolados expresados en millones (mil millones para JPY, RUB, Rupia y Peso) 2.3

P19c. Aproximadamente, ¿qué porcentaje del presupuesto para TI del 2016 se destinará a actividades de seguridad de TI? MX Valor extrapolado 8.6 %


P19d. Aproximadamente, ¿qué porcentaje del presupuesto para seguridad de TI del 2016 se destinará a actividades de protección de datos? MX Valor extrapolado 27.7 %

P19e. Aproximadamente, ¿qué porcentaje del presupuesto para seguridad de TI del 2016 se destinará a actividades de cifrado? MX Valor extrapolado 13.4 %

Parte 6: Cifrado en la nube: Cuando responda las siguientes preguntas, asuma que se refieren únicamente a servicios de nube pública.

P37a. ¿Su organización utiliza actualmente servicios de computación en nube para alguna clase de datos o aplicación, ya sean confidenciales o no confidenciales? MX Sí, actualmente utilizamos 45 % No, pero planeamos hacerlo en los próximos 12 a 24 meses 30 % No (pase a la Parte 7 si no utiliza servicios de nube para ninguna clase de datos o aplicación) 25 % Total 100 %

P37b. ¿Actualmente transfiere datos confidenciales a la nube (ya sea cifrados o no, o convertidos en ilegibles mediante otro mecanismo)?

MX Sí, actualmente utilizamos 49 % No, pero planeamos hacerlo en los próximos 12 a 24 meses 39 % No (pase a la Parte 7 si no utiliza ni planea utilizar servicios de nube para datos confidenciales) 12 % Total 100 %

P37c. Según su opinión, ¿quién es el mayor responsable de proteger los datos confidenciales que se transfieren a la nube? MX El proveedor de la nube 50 % El usuario de la nube 24 % Responsabilidad compartida 26 % Total 100 %

P37d. ¿Su organización protege los datos estáticos en la nube mediante el uso de cifrado u otra medida que convierta los datos en ilegibles (p. ej., tokenización)?

MX Sí (los datos estáticos se protegen mediante cifrado) 29 % Sí (los datos estáticos se convierten en ilegibles mediante otros métodos) 21 % No 50 % Total 100 %

P37e. Si los datos estáticos en la nube están protegidos por cifrado, ¿cómo se aplica esa protección? MX Se envían a la nube los datos cifrados antes (excluya el uso de SSL/IPSec u otro cifrado de red en la respuesta) 39 % Los datos estáticos en la nube se cifran en la nube mediante herramientas colocadas allí por su organización 12 % Los datos estáticos en la nube son cifrados en la nube por el proveedor de la nube 49 % Total 100 %


P37f. Para el cifrado de datos estáticos en la nube, la estrategia de mi organización es . . . MX Usar únicamente claves controladas por mi organización 35 % Usar únicamente claves controladas por el proveedor de la nube 11 % Usar una combinación de claves controladas por mi organización y por el proveedor de la nube 54 % Total 100 %

Parte 7: Rol y características organizacionales D1. ¿Qué nivel de la organización describe mejor su puesto actual? MX

Ejecutivo sénior 2 % Vicepresidente 3 % Director 19 % Gerente/supervisor 22 % Auxiliar/personal/técnico 52 % Otro 2 % Total 100 %

D2. Marque el área funcional que mejor describe su ubicación en la organización. MX Operaciones de TI 65 % Seguridad 14 % Cumplimiento 8 % Finanzas 4 % Líneas de negocio (LOB) 5 % Otro 4 % Total 100 %

D3. ¿Qué industria describe mejor el enfoque en la industria de su organización? MX Agricultura y alimentos 4 % Comunicación 7 % Productos de consumo 4 % Defensa 0 % Educación e investigación 4 % Energía y servicios públicos 3 % Entretenimiento y medios 7 % Servicios financieros 18 % Cuidado de la salud y farmacéutica 7 % Hotelería y esparcimiento 9 % Fabricación 10 % Sector público 7 % Minorista 3 % Servicios 6 % Tecnología y software 7 % Transporte 4 % Otro 0 % Total 100 %

D4. ¿Cuál es el recuento global de empleados de su organización? MX Menos de 500 12 % 500 a 1,000 13 % 1,001 a 5,000 49 % 5,001 a 25,000 17 % 25,001 a 75,000 6 % Más de 75,000 3 % Total 100 %


Acerca de Ponemon Institute Ponemon Institute© se dedica a promover información responsable y prácticas de gestión de la privacidad en empresas y el gobierno. Para lograr este objetivo, el Instituto realiza investigaciones independientes, capacita a líderes de los sectores público y privado, y verifica las prácticas de privacidad y protección de datos de las organizaciones en una variedad de industrias.

Acerca de Thales e-Security Thales e-Security es un proveedor global líder de soluciones de gestión de confianza y protección de datos que protegen las aplicaciones y la información más confidenciales del mundo. Las soluciones de Thales abordan desafíos relacionados con la identidad y la privacidad mediante el uso de cifrado basado en hardware y software, firma digital y capacidades de administración. En el mundo cada vez más conectado de hoy, nuestras soluciones ayudan a impedir ataques dirigidos y a reducir el riesgo de exposición de datos confidenciales introducidos por la computación en nube y la virtualización, dispositivos de consumidores en el lugar de trabajo, mayor movilidad, big data, etc. www.thales-esecurity.com Acerca de Thales Thales es un líder global en tecnología para los mercados de transporte, defensa, seguridad y aeroespacial. Con 62,000 empleados en 56 países, Thales informó ventas por !14 mil millones en el año 2015. Con más de 22,000 ingenieros e investigadores, Thales tiene la capacidad exclusiva para diseñar e implementar equipos, sistemas y servicios para cumplir los requisitos de seguridad más complejos. Su excepcional huella internacional le permite trabajar en estrecha colaboración con sus consumidores en todo el mundo. Posicionada como integrador de sistemas, proveedor de equipos y proveedor de servicios de valor agregado, Thales es uno de los actores principales de Europa en el mercado de seguridad. Los equipos de seguridad del Grupo trabajan con organismos de gobierno, autoridades locales y clientes empresariales para desarrollar e implementar soluciones integradas y resistentes para proteger a los ciudadanos, los datos confidenciales y las infraestructuras críticas.

Mexico trends mx 042116 (003)

Technology

Transcript of Mexico trends mx 042116 (003)