 |
 |
 |
|
|
 |
|
|
||||||||||
| INICIO » ESTUDIOS » ESTUDIO DE SEGURIDAD INFORMÁTICA EN GRANDES EMPRESAS (ABRIL 2006) » |
|
Estudio de Seguridad Informática en Grandes Empresas (Abril 2006) Breve descripción A partir
de la integración a redes, el compartir información con grupos de
trabajo y el acceso a mayor cantidad de información clave almacenada en
formato digital, como así también el constante cambio de empleados en
puestos importantes de una compañía, la Seguridad Informática adquiere
relevancia estratégica para las empresas. En el marco de esta realidad, el Estudio de Seguridad Informática tiene el objetivo principal de conocer las Soluciones de Seguridad Informática que actualmente poseen las "Grandes Empresas"; los servicios vinculados; proveedores de las soluciones; integradores; presupuesto asignado a Seguridad Informática; normas extranjeras implementadas; entre mucha otra información de relevancia que se detalla a continuación. En este contexto, Prince & Cooke ha finalizado un estudio con el fin
de conocer el status actual y potencial de las grandes empresas en relación
a la temática de seguridad informática. La información se analiza para el conjunto de empresas relevadas, y por el tamaño de las compañías en función de empleados. Ficha Técnica del Estudio Objetivo y metodología Metodología 1.1
Aclaraciones previas 1.2
Introducción 1.3
Emergentes principales: 2 Composición de la muestra 2.1
Empleados totales 2.2
Empleados de oficina 2.3
Empleados de sistemas 2.4
Apertura por actividad 3 Conocimiento espontáneo de
empresas dedicadas a Seguridad Informática 4 Conocimiento espontáneo de
empresas dedicadas a “Servicios” de Seguridad Informática 4.2
Adopción de políticas formales para Seguridad Informática 4.3
Nivel de importancia que le asigna la Gerencia General a Seguridad
Informática 4.4
Adopción de una herramienta para generar reportes de incidentes de
seguridad 4.5
Reuniones con otras áreas gerenciales para evaluar la Seguridad
Informática de la compañía 4.6
Periodicidad con que la Gerencia General recibe reportes sobre
Seguridad Informática 4.7
Existencia de un comité de Seguridad conformado por distintas áreas 4.8
Responsable específico de Seguridad Informática 4.9
Existencia de un departamento dedicado a Seguridad Informática 4.10
Presupuesto específico para el área de Seguridad Informática 4.11
¿Considera que el conocimiento de los encargados/ personal a cargo
de seguridad informática es suficiente para responder a los sofisticados
ataques actuales? 4.12
Motivos que llevaron a la empresa a invertir en Seguridad Informática
(Lista predefinida de motivos) 4.13
Área que administra el presupuesto de Seguridad Informática 4.14
Utilización de alguna métrica del tipo ROI, NPV, IRR para medir
el costo/ beneficio de la inversión en seguridad informática 4.15
Implementación de planes de concientización con respecto a la
problemática de Seguridad Informática en la empresa 4.16
¿Desde el punto de vista de la Ley 25.326 (Habeas Data), tiene
clasificada la información contenida en sus bases de datos en
“confidencial, critica, importante, informativa, etc.”? 4.17
¿Su empresa esta en condiciones de presentar la información para
el registro obligatorio? 4.18
Tratamiento diferente de la información crítica de la que no lo
es 4.19
Contratación de un seguro que cubra los posibles incidentes de
seguridad informática 4.20
Contacto comercial con los clientes y proveedores a través de
Internet 4.21
Experimentación de incidentes en el sitio de la empresa 5 Normas extranjeras por las
que se ve alcanzada la empresa 5.1
Normas implementadas 5.2
A comenzar en breve 5.3
Adopción de una VPN 5.4
Conocimiento de la existencia de la solución Web VPN o SSL para
sus VPN’s 5.5
Conocimiento de marcas de equipos multifunción (Firewall,
antivirus, IPS, VPN’s y otros) 5.6
Adopción de notebooks, PDA’s o celular 5.7
Percepción de acerca de la utilidad de que no se pueda pasar la
información de la red a un dispositivo del tipo Pen Drive 5.8
Existencia de información de carácter estratégica que es
trasportada en Palms, Celulares, PDA’s o Pen Drives 5.9
Adopción de medidas de seguridad para poder evitar en caso de robo
el acceso a la información 5.10
Cantidad de horas promedio horas que pasa un Server por mes fuera
de operación 5.11
Adopción de herramientas de gestión de vulnerabilidades 5.12
Preferencia de tener un único proveedor o de diversos proveedores
para una solución de seguridad de arquitectura 5.13
Adopción de algún mecanismo de autenticación para acceder a la
red 5.14
Contrataría consultoría en desarrollo de aplicaciones seguras 5.15
Factibilidad de tercerizar los servicios relacionados con seguridad
para que sean administrados remotamente 5.16
Preocupaciones inmediatas en cuanto a seguridad informática (lista
predefinida) 5.17
Estructuras de seguridad de las empresas que cumplen con el estándar
17.799/BS 7799 5.18
Utilización de herramientas que le permitan correlacionar todos
los eventos de los distintos dispositivos de seguridad en la compañía,
de manera de entender que esta pasando realmente cuando se tiene un
incidente de seguridad 5.19
Percepción acerca de que la operatoria le ayudaría al accionar
diario de su red 5.20
Adopción de un método de control de acceso a la red que verifica
la seguridad de Notebook’s/PDA’s/Celular 5.21
Adopción de redes Wireless 5.22
Medidas de seguridad tomadas para sus redes Wireless 5.23
Utilización de la red Wireless 5.24
Incidentes significativos de seguridad en los últimos 12 meses 5.25
Disposición de contratar un hacker para que testear la Seguridad
Informática de la compañía 5.26
Sistema operativo utilizado en las PC’s de escritorio 5.27
Cantidad promedio de cuentas de Correo 5.28
Cantidad promedio de cuentas de usuarios con acceso a Internet 5.29
Autorización de los empleados para utilizar mensajeros instantáneos
en los trabajos del tipo MSN o yahoo Messenger 5.30
Adopción de Intranet/Extranet 5.31
Ataques de mayor preocupación hacia el futuro 5.32
Consideración acerca de si la empresa se encuentra protegida por
las leyes Argentinas ante delitos informáticos 6 Soluciones de Seguridad Informática 6.1
Antivirus 6.2
Firewall 6.3
Autenticación de usuarios/ Control de acceso 6.4
Antifishing 6.5
Antispyware 6.6
Herramientas de automatización de procesos ante desastres 6.7
Gateway de seguridad integrada 6.8
Antispam 6.9
Sistema de detección de intrusos 6.10
Seguridad de Contenido 6.11
Sistema de prevención de intrusiones 6.12
Evaluación de las vulnerabilidades 6.13
Herramientas de administración “centralizada” de seguridad 6.14
Encriptación de archivos/ Discos 6.15
Encriptación de mail 6.16
PKI 6.17
Gestión de Identidades 7 Servicios de consultoría
contratados vinculados a seguridad informática 7.1
Evaluación de riesgos/ diagnóstico de seguridad 7.2
Revisión, diseño de políticas y procedimientos 7.3
Servicios asociados a planes de contingencias/ Disaster Recovery 7.4
Pruebas de intrusión 7.5
Diseños de arquitectura de seguridad 7.6
Capacitación en seguridad 7.7
Asesoría en el cumplimiento de regulaciones y normativas 7.8
IRT/ Análisis forense 7.9
Asesoría en la adopción del sistema de gestión en seguridad Según
las ISO 17.799/ BS 7799 8 Otros servicios de
Seguridad Informática contratados 8.1
Adopción de mantenimiento y soporte técnico 8.2
Adopción de actualizaciones 8.3
Adopción de implementación de sistemas de seguridad 8.4
Adopción de integración de sistemas de seguridad 8.5
Adopción de migración de sistemas de seguridad Ficha
técnica Cobertura:
Nacional. Capital Federal, GBA
e Interior del país. Período
de relevamiento: Abril
2006. Tamaño de
la muestra: Ciento
treinta y un (131) empresas. Metodología
utilizada:
Entrevistas telefónicas. Perfil del
encuestado:
Responsable de seguridad informática, Gerente y/o Jefe de sistemas/
tecnología.
Aclaraciones La
adquisición del estudio da derecho al uso interno sólo en la empresa
adquirente. No habilita a su reproducción total ni parcial, ni a la
difusión a personas ajenas a la empresa. La adquisición del estudio da derecho al uso interno sólo en la empresa adquiriente. No habilita a su reproducción total ni parcial, ni a la difusión a personas ajenas a la empresa. Los grupos empresarios que deseen adquirir otros ejemplares para su uso en empresas vinculadas o controladas recibirán una bonificación progresiva por cada ejemplar adicional. |
