BUSCAR

 

  

 

  

 
    INICIO » ESTUDIOS » ESTUDIO DE SEGURIDAD INFORMÁTICA EN GRANDES EMPRESAS (MAYO 2007) » 
Imprimir

Estudio de Seguridad Informática en Grandes Empresas (Mayo 2007)

Breve descripción

A partir de la integración a redes, el compartir información con grupos de trabajo y el acceso a mayor cantidad de información clave almacenada en formato digital, como así también el Informática adquiere relevancia estratégica para las empresas. constante cambio de empleados en puestos importantes de una compañía, la Seguridad

En el marco de esta realidad, el Estudio de Seguridad Informática tiene el objetivo principal de conocer las Soluciones de Seguridad Informática que actualmente poseen las "Grandes Empresas"; los servicios vinculados; proveedores de las soluciones; integradores; presupuesto asignado a Seguridad Informática; normas extranjeras implementadas; entre mucha otra información de relevancia que se detalla a continuación.

En este contexto, Prince & Cooke ha finalizado un estudio con el fin de conocer el status actual y potencial de las grandes empresas en relación a la temática de seguridad informática.

La información se analiza para el conjunto de empresas relevadas, y por el tamaño de las compañías en función de empleados.


Tabla de contenidos

1  Ficha Técnica del Estudio

Objetivo y metodología

Metodología

1.1         Aclaraciones previas

1.2         Introducción

2 Composición de la muestra

2.1         Empleados totales

2.2         Empleados de oficina

2.3         Empleados de sistemas

2.4         Apertura por actividad

2.5         Ubicación Geográfica

3  Conocimiento espontáneo de empresas dedicadas a Seguridad Informática

3.2         Responsable específico de Seguridad Informática

3.3         Edad promedio del responsable de Seguridad Informática

3.4         Responsable de Seguridad Informática con título académico

3.5         Título académico del responsable de Seguridad Informática

3.6         Cantidad promedio de personas que trabajan en esta temática

3.7         Incremento de la cantidad de personas que trabajan en esta temática con respecto al año pasado

3.8         Plan de incrementar la cantidad de personas que trabajan en esta temática durante este año

3.9         Responsable de de Seguridad Informática. Cuadro comparativo – Serie histórica

3.10        Existencia de un departamento dedicado a Seguridad Informática

3.11        Nivel de importancia que le asigna la Gerencia General a Seguridad Informática

3.12        Periodicidad con que la Gerencia General recibe reportes sobre Seguridad Informática

3.13        Adopción de políticas formales para Seguridad Informática

3.14        Origen de las políticas formales

3.15        Reuniones con otras áreas gerenciales para evaluar la Seguridad Informática de la compañía

3.16        Existencia de un comité de Seguridad conformado por distintas áreas

3.17        Presupuesto específico para el área de Seguridad Informática

3.18        Presupuesto específico para el área de Seguridad Informática – Cuadro histórico

3.19        Área que administra el presupuesto de Seguridad Informática

3.20        Técnicas para medir la efectividad de la seguridad

3.21        Centralización de la seguridad física o permietral con el área de Seguridad Informática

3.22        Utilización de alguna métrica del tipo ROI, NPV para medir el costo/ beneficio de la inversión en seguridad informática

3.23        Implementación de planes de concientización con respecto a la problemática de Seguridad Informática en la empresa

3.24         Área que impulsa los planes de concientización

3.25         ¿Considera que el conocimiento de los encargados / personal de seguridad informática es suficiente para responder a los sofisticados ataques actuales?

3.26         Adopción de una herramienta para generar reportes de incidentes de seguridad

3.27         Preocupaciones inmediatas en cuanto a seguridad informática (lista predefinida)

3.28         Ataques o eventos de mayor preocupación hacia el futuro (Espontánea)

3.29         Motivos que llevaron a la empresa a invertir en Seguridad Informática (Lista predefinida de motivos)

3.30         Incidentes significativos de seguridad en los últimos 12 meses

3.31         Contratación de un seguro que cubra los posibles incidentes de seguridad informática

3.32         Utilización de herramientas que le permitan correlacionar todos los eventos de los distintos dispositivos de seguridad en la compañía, de manera de entender que esta pasando realmente cuando se tiene un incidente de seguridad

3.33         Percepción acerca de que dicha operatoria le ayudaría al accionar diario de su red

3.34         Situación de los ataques o amenazas a la seguridad informática en los últimos 12 meses

3.35         Autorización a los empleados para utilizar mensajeros instantáneos en el trabajos del tipo MSN o Yahoo Messenger

3.36         Empleados que han violado las políticas de la empresa descargando música o vídeos a las computadoras del trabajo

3.37         Adopción de herramientas de gestión de vulnerabilidades

3.38         Adopción de una solución que contempla gestión de parches

3.39         Cantidad de horas promedio que pasa un Server por mes fuera de operación

3.40         Percepción de si la empresa se encuentra protegida por las leyes Argentinas ante delitos informáticos

3.41    ¿Desde el punto de vista de la Ley 25.326 (Habeas Data), tiene clasificada la información contenida en sus bases de datos en “confidencial, crítica, importante, informativa, etc.”?

3.42         Tratamiento diferente de la información crítica de la que no la es

3.43         Estructura de seguridad acorde con el estándar 17.799/BS 7799

3.44         Outsourcing de algunas funciones de Seguridad Informática

3.45         Contacto comercial con los clientes y proveedores a través de Internet

3.46         Experimentación de incidentes en el sitio de la empresa

4   Soluciones de Seguridad Informática

4.1         Elección de un único proveedor o diversos proveedores para soluciones de Seguridad Informática

4.2         Soluciones de Seguridad Informática adoptadas

4.3         Antivirus

4.4         Firewall

4.5         Antispam

4.6         Autenticación de usuarios/ Control de acceso

4.7         Seguridad de Contenido

4.8         Antispyware

4.9         Sistema de detección de intrusos

4.10       Sistema de prevención de intrusiones

4.11       Evaluación de las vulnerabilidades

4.12       Encriptación de archivos/ Discos

4.13       Herramientas de administración “centralizada” de seguridad

4.14       Herramientas de automatización de procesos ante desastres

4.15       Antiphishing

4.16       Gateway de seguridad integrada

4.17       PKI

4.18       Encriptación de mail

4.19       Gestión de Identidades

4.20       Herramientas forenses de seguridad

4.21       Biometrics

4.22       Smart Card / One-Time password token

5   Servicios de consultoría contratados vinculados a Seguridad Informática

5.2         Capacitación en seguridad

5.3         Pruebas de intrusión

5.4         Asesoría en el cumplimiento de regulaciones y normativas

5.5         Asesoría en la adopción del sistema de gestión en seguridad Según las ISO 17.799/ BS 7799

5.6         Evaluación de riesgos/ diagnóstico de seguridad

5.7         Diseños de arquitectura de seguridad

5.8         Revisión, diseño de políticas y procedimientos

5.9         Servicios asociados a planes de contingencia / Disaster Recovery

5.10       IRT/ Análisis forense

6   Otros servicios de Seguridad Informática contratados

6.2         Mantenimiento y soporte técnico

6.3         Actualizaciones

6.4         Implementación de sistemas de seguridad

6.5         Migración de sistemas de seguridad

6.6         Integración de sistemas de seguridad

6.7         Outsourcing de la gestión de seguridad

7    Hardware, redes y otra información de relevancia

7.1         Adopción de una VPN

7.2         Adopción de una VPN del tipo IP-SEC

7.3         Conocimiento de la existencia de la solución Web VPN o SSL para sus VPN’s

7.4         Adopción en la compañía de una solución Web VPN o SSL

7.5         Adopción de redes Wireless

7.6         Medidas de seguridad tomadas para sus redes Wireless

7.7         Utilización de la red Wireless

7.8         Adopción de notebooks, PDA’s o celular

7.9         Notebooks, PDA’s o celular

7.10       Adopción de un método de control de acceso a la red que verifica la seguridad de Notebook’s/PDA’s/Celular

7.11       Al momento de conectarse chequean antivirus, firewall, software en general

7.12       Utilidad de que la información a la que accede un usuario de la red no pueda ser grabada en dispositivos del tipo Pen Drive

7.13       Existencia de información de carácter estratégica que es trasportada en Palms, Celulares, PDA’s o Pen Drives

7.14       Adopción de alguna medida para poder evitar en caso de robo el acceso a la a información que poseen los dispositivos móviles

7.15       Sistema operativo utilizado en las PC’s de escritorio

7.16       Adopción de Windows Vista

Nota


Ficha técnica

Cobertura: Nacional. Capital Federal, GBA e Interior del país.

Período de relevamiento: Abril – Mayo 2007.

Tamaño de la muestra: Ciento treinta y cinco (135) empresas.

Metodología utilizada: Entrevistas telefónicas.

Perfil del encuestado: Responsable de seguridad informática, Gerente y/o Jefe de sistemas/ tecnología.

Tipo de estudio: Encuestas telefónicas utilizando un cuestionario estructurado con preguntas cerradas, semiabiertas y escala de valoración.

Aclaración:

La adquisición del estudio da derecho al uso interno sólo en la empresa adquiriente. No habilita a su reproducción total ni parcial, ni a la difusión a personas ajenas a la empresa. Los grupos empresarios que deseen adquirir otros ejemplares para su uso en empresas vinculadas o controladas recibirán una bonificación progresiva por cada ejemplar adicional.

VOLVER