Seguridad de la Información en el Sector Público de México Septiembre, 2009 La Unidad de Gobierno Digital de la Secretaría de la Función Pública, a través de la revista Política Digital, encargó una investigación para conocer la percepción que tienen los servidores públicos del país respecto a la información que administran sus dependencias. A continuación se presentan los resultados más relevantes del estudio. JOINT FUTURE SYSTEMS Índice Temas Diapositiva El cómo de esta investigación Objetivos del estudio Método de investigación Características de la muestra Principales hallazgos Estándares, normas y regulaciones Protección de la información interna Protección de la información del ciudadano Áreas que difunden aspectos sobre seguridad de la información Cómo es la difusión de temas de la seguridad de la información Prácticas que se llevan a cabo Capacitación Temas tratados en pláticas o cursos Conductas de riesgo frecuentes Qué es seguridad de la información en la Administración Pública En resumen, cómo percibe la seguridad de la información Conclusiones 4 7 8 12 16 18 20 21 22 25 26 27 29 30 33 SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 2 Seguridad de la Información en el Sector Público de México El cómo de esta investigación JOINT FUTURE SYSTEMS 3 El cómo de esta investigación Por Eduardo Zimbrón Ortiz La ejecución técnica y metodológica de este estudio fue encargada a Joint Future Systems, S.C., una empresa especializada en la investigación, análisis y consultoría de mercados en México. Objetivos del estudio El propósito era conocer la percepción y conocimiento sobre aspectos relacionados con la Seguridad de la Información, por parte de aquellos servidores públicos que –sea por sus funciones o por su área de trabajo– son cercanos a este ámbito en la institución donde laboran. Entre los aspectos investigados figuran: SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 4 El cómo de esta investigación (cont.) Entre los aspectos investigados figuran: • El grado de conocimiento que tienen los servidores públicos sobre los conceptos y lineamientos relacionados con el tema. • La percepción que tienen en cuanto al manejo que se da a la información interna de la dependencia, así como a los datos que aporta la ciudadanía. • La percepción que tienen respecto a difundir y promover la cultura de seguridad de la información en su dependencia. SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 5 El cómo de esta investigación (cont.) El estudio no pretende reflejar la percepción en torno al tema por parte del servidor público en general. Más bien está enfocado a recabar la opinión de aquellas personas que están más cercanas a las áreas o funciones relacionadas, como pueden ser los departamentos de Sistemas, Tecnología, Procesos, Planeación, Normatividad, etc., dentro de las dependencias o instituciones del gobierno. El perfil de entrevistados se definió así: • Para la muestra no-probabilística se recurrió al directorio de suscriptores de la revista Política Digital. • Participaron servidores públicos de los distintos órdenes de gobierno (federal, estatal, municipal). SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 6 El cómo de esta investigación (cont.) • Que tuvieran una antigüedad mínima de dos años como usuarios de soluciones informáticas en su entorno laboral. • Que emplearan soluciones informáticas ocho horas como mínimo a la semana. Método de investigación Se realizaron 864 entrevistas efectivas, en las cuales 13% correspondieron a servidores públicos del gobierno municipal, 36% del gobierno estatal y 51% del gobierno federal. Las encuestas respondidas por escrito y el instrumento de medición consistió en un cuestionario estructurado. ______________ Eduardo J. Zimbrón Ortiz ([email protected]) es Director de Investigación de Joint Future Systems. Su sitio web es www.jfs.com.mx SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 7 El cómo de esta investigación (cont.) Características de la muestra Tamaño de la muestra: 864 personas Instancia del sector público Legislativo Estatal 7 Judicial Federal 7 Judicial Estatal 8 Legislativo Federal 11 Organismo Autónomo 25 Gobierno Municipal 92 Ejecutivo Estatal 296 Ejecutivo Federal 418 0 100 200 300 400 500 SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 8 El cómo de esta investigación (cont.) Características de la muestra Tamaño de la muestra: 864 personas Instancia del sector público Legislativo Estatal 7 Judicial Federal 7 Judicial Estatal 8 Legislativo Federal 11 Organismo Autónomo 25 Gobierno Municipal 92 Ejecutivo Estatal 296 Ejecutivo Federal 418 0 100 200 300 400 500 SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 8 El cómo de esta investigación (cont.) Características de la muestra Área de trabajo Área donde labora Sistemas / Informática Evaluación Auditoría, responsabilidades, quejas e inconformidades Coordinación y enlace intra e interinstitucional NS / NC Planeación Asuntos jurídicos Desarrollo Institucional Normatividad y Gobierno Apoyo técnico Estadística Prestación de servicios Apoyo Administrativo Investigación Promoción y desarrollo Recursos Humanos Recursos financieros Seguridad y Protección Civil Comunicación Social Orientación e información Recursos materiales y servicios generales Programación Presupuestación Atención al público (ventanilla) Otros Total general Respuestas 405 47 44 37 33 28 25 24 21 20 18 18 17 14 14 14 12 12 11 10 10 8 6 4 12 864 SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 10 Seguridad de la Información en el Sector Público de México Principales hallazgos JOINT FUTURE SYSTEMS 11 Estándares, normas y regulaciones ¿Conoce algún estándar, norma o regulación que promueva la seguridad de la información en la dependencia donde usted trabaja? No conoce 49.31% Sí conoce 50.69% Instancia Ejecutivo Estatal Ejecutivo Federal Gobierno Municipal Total 136 246 28 % 45.95% 58.85% 30.43% 45.75% Instancia Niveles medios y operativos Mando superior Total 414 24 SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO % 50.61% 52.17% 12 Estándares, normas y regulaciones Sí conocen alguna norma, estándar o regulación que promueva la seguridad de la información: 429 personas Normas o regulaciones que conocen Reglamento interno LFTAIP COBIT ISO 27001 ISO 27000 ITIL ISO / IEC Lineamientos de protección datos personales ISO 27002 / ISO 17799 BS 7799 IFAI Comentario no válido Otros 0% 10% 20% 30% 40% 50% 60% 70% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 80% 13 Estándares, normas y regulaciones SI CONOCEN (mencionaron al menos una): Estándar o norma EJEC. ESTATAL 44.59% EJEC. FEDERAL 58.13% GOB. MUNICIPAL 30.43% % Ejec. Estatal % Ejec. Federal % Gob. Municipal Reglamento / Guía / Políticas internas 85.61% 65.02% 53.57% LFTAIP 34.85% 27.98% 75.00% Comentario no válido 26.52% 14.40% 14.29% 8.33% 16.46% 3.57% ISO 27001 10.61% 15.64% 0.00% ISO 27000 5.30% 13.99% 3.57% 12.12% 10.29% 7.14% ISO / IEC 9.85% 9.05% 7.14% Lineamientos de protección de datos personales 3.03% 9.88% 14.29% ISO 27002 / ISO 17799 3.79% 7.41% 3.57% BS 7799 1.52% 5.76% 0.00% IFAI 0.00% 4.53% 10.71% COBIT ITIL … SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 14 Estándares, normas y regulaciones MANDOS MEDIOS Y OPERATIVOS SI CONOCEN (mencionaron al menos una): 49.76% Estándar o norma Reglamento / Guía / Políticas internas LFTAIP Comentario no válido ……. Mandos medios y operativos 70.27% 32.43% 17.69% MANDO SUP. 47.83% Mando Superior 100.00% 40.91% 45.45% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 15 Protección de la información interna ¿Existen lineamientos de seguridad de la información interna? 70.0% 60.0% 60.3% 50.0% 40.0% 30.0% 20.0% 13.5% 10.0% 12.5% 7.2% 6.5% No sé Creo que no 0.0% Sí Creo que sí No SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 16 Protección de la información interna ¿Existen lineamientos de seguridad de la información interna? 70.0% 60.0% 50.0% 40.0% 30.0% 20.0% 10.0% 0.0% Sí Creo que sí No sé Creo que no No • 67.0% del Ejecutivo estatal opina que sí existen. • 18.5% del gobierno municipal afirma categóricamente que no existen • 92.3% de los mandos superiores, afirman que sí existen. SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 17 Protección de la información del ciudadano ¿Existen lineamientos de seguridad de la información de la ciudadanía? 70.0% 60.0% 50.0% 40.0% 30.0% 20.0% 10.0% 0.0% 60.3% 13.2% Sí Creo que sí 7.8% 5.6% No sé Creo que no 13.2% No SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 18 Protección de la información del ciudadano ¿Existen lineamientos de seguridad de la información de la ciudadanía? 70.0% 60.3% 60.0% 50.0% 40.0% 30.0% 20.0% 13.2% 13.2% 7.8% 10.0% 5.6% 0.0% Sí Creo que sí No sé Creo que no No • 67.0% del Ejecutivo federal opina que sí existe. • 22.8% del gobierno municipal afirma categóricamente que no existen. • 92.3% de los mandos superiores afirman que sí existen. SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 19 Áreas que difunden aspectos sobre seguridad de la información Área de Sistemas / TI 50.2% Dirección General 16.8% Secretaría de la Función Pública 14.8% Mi jefe directo 13.8% Oficialía Mayor 12.4% Ninguna 11.9% Forma parte de mi contrato 5.0% NS / NC 4.4% Otros 2.0% 0% 10% 20% 30% 40% 50% 60% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 20 Cómo es la difusión de temas de seguridad de la información La comunicación y difusión sobre aspectos relacionados con seguridad de la información en la dependencia donde trabaja, usted la considera: Muestra Total Respuesta NS / NC Demasiada Suficiente Regular Insuficiente Nula. No hay. Total general Total 3.1% 1.7% 19.9% 25.7% 38.2% 11.3% 100.0% • Sólo el 15.2% del Ejecutivo estatal opinó que la comunicación es suficiente. 49.5% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 21 Prácticas que se llevan a cabo ¿Cuál o cuáles de las siguientes prácticas se llevan a cabo en la dependencia o entidad donde usted trabaja? Toda la Muestra Prácticas mencionadas Contraseña de acceso a la PC Filtro de contenidos para Internet Acceso limitado a Internet Acceso restringido a la red Restricción para instalación de programas personales Cambio periódico de contraseña Contraseña para acceso a aplicaciones Cámara de vigilancia Respuesta 667 630 597 489 476 433 403 381 % de la muestra 77.20% 72.92% 69.10% 56.60% 55.09% 50.12% 46.64% 44.10% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 22 Prácticas que se llevan a cabo ¿Cuál o cuáles de las siguientes prácticas se llevan a cabo en la dependencia o entidad donde usted trabaja? Toda la Muestra Prácticas mencionadas Uso estricto de gafete por parte del personal Uso estricto de gafete por parte de visitantes Respaldo periódico de las PCs Políticas restrictivas para introducir dispositivos electrónicos de almacenamiento Escritorios "limpios" de información confidencial Contraseña para liberación de impresiones Procedimiento para eliminación definitiva de info. en dispositovs desechados Cifrado de información en computadoras portátiles Respuesta 376 356 280 % de la muestra 43.52% 41.20% 32.41% 206 179 153 23.84% 20.72% 17.71% 110 71 12.73% 8.22% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 23 Prácticas que se llevan a cabo ¿Qué le parecen estas medidas? Muestra Total Respuesta Exageradas Suficientes Insuficientes No sé Total 3.01% 40.74% 52.20% 4.05% 100.00% Gobierno Municipal Respuesta Exageradas Suficientes Insuficientes No sé Total 5.43% 27.17% 60.87% 6.52% 100.00% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 24 Capacitación ¿Recibe capacitación sobre seguridad de la información en la dependencia donde usted trabaja? Muestra total Ejecutivo Estatal Ejecutivo Federal Gobierno Municipal Niveles medios y operativos Mando Superior SÍ 17.36% 18.58% 15.55% 16.30% 16.38% 34.78% NO 82.64% 81.42% 84.45% 83.70% 83.62% 65.22% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 25 Temas tratados en pláticas o cursos Toda la Muestra Prácticas mencionadas Ninguno. No se dan pláticas ni capacitación sobre el tema. Reglamentos, políticas, normas, estándares, mejores prácticas Precauciones contra virus Valor de la información almacenada en sistemas informáticos Spam Uso adecuado de Internet Integridad de la información Prohibición de acceso a sitios pornográficos Confidencialidad de la información Spyware / Adware Software de seguridad Accesos inalámbricos a las redes Piratería como factor de riesgo Filtros de contenido en redes e Internet Precauciones contra intrusos Phishing e Ingeniería Social Hackers y otros agresores externos Hardware de seguridad Mecanismos para evitar la extracción de información Robo de identidad Pérdida de información Respuestas 410 235 227 185 178 159 152 151 136 135 118 116 116 110 105 103 100 99 98 94 81 % de la muestra 47.45% 27.20% 26.27% 21.41% 20.60% 18.40% 17.59% 17.48% 15.74% 15.63% 13.66% 13.43% 13.43% 12.73% 12.15% 11.92% 11.57% 11.46% 11.34% 10.88% 9.38% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 26 Conductas de riesgo frecuentes Muestra total Conducta de riesgo Usuarios que se ausentan sin cerrar sesión Se imprimen documentos sin necesidad de contraseña Se dejan documentos oficiales a la vista y sin protección No se hacen respaldos de los servidores públicos Se comparten carpetas y contenido en la red, sin necesidad de ID Se comparten las contraseñas Soporte técnico pide la contraseña al usuario Acceso a los equipos, sin ID Se percibe riesgo de incendio Sus superiores le solicitan la contraseña NS / NC Total % de la muestra 524 60.65% 500 57.87% 373 43.17% 343 39.70% 331 324 266 258 218 169 78 38.31% 37.50% 30.79% 29.86% 25.23% 19.56% 9.03% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 27 Conductas de riesgo frecuentes Principales diferencias Instancia del Sector Público Conducta de riesgo Se imprimen documentos sin necesidad de contraseña Acceso a los equipos, sin ID Se percibe riesgo de incendio % Ejec. Estatal 68.92% 35.81% 30.41% 42.94% % Ejec. Federal 48.80% 22.97% 18.90% 34.16% % Gob. Municipal 64.13% 43.48% 38.04% 44.57% Puesto del entrevistado Conducta de riesgo No se hacen respaldos de los servidores públicos Acceso a los equipos, sin ID Sus superiores le solicitan la contraseña % Niveles medio y operativo 40.59% 28.85% 20.05% % Mando Sup. 23.91% 47.83% 10.87% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 28 Qué es seguridad de la información en la Administración Pública Muestra total Confidencialidad de la información de la Ciudadanía. Resguardo de la información de la dependencia, para prevenir el robo. Que personas no autorizadas no puedan modificar la información de la dependencia. Que los servicios a los ciudadanos y otras entidades funcionen 7 días a la semana, las 24 horas. Que la información pueda ser consultada en forma permanente. Que se pueda trabajar en un lugar alterno, en caso de que por algún motivo no se pueda tener acceso a las instalaciones. Que la información de las dependencias se mantenga en secreto. NS / NC 1 2 3 Total 252 198 101 551 238 178 109 525 154 201 184 539 54 70 80 204 42 66 128 236 30 65 142 237 25 17 51 93 69 69 69 69 SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 29 En resumen, cómo percibe la seguridad de la información Analizando el entorno general en el área donde usted trabaja, ¿qué tanta conciencia existe alrededor de los conceptos de seguridad de la información entre sus compañeros de trabajo? Muestra total Respuesta Total NS / NC 4.1% Muy alto 5.8% Razonable 16.2% Hace falta refuerzo 35.5% Casi no existe 29.5% No existe Total general 8.9% 100.0% Porcentaje que opina que el nivel de conciencia es bajo 74.0% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 30 En resumen, cómo percibe la seguridad de la información Diferencias más notorias entre los entrevistados quienes afirman que no existe conciencia alrededor de conceptos de seguridad de la información: Muestra Total Ejecutivo Estatal Ejecutivo Federal Gobierno Municipal Niveles medio y operativos Mando Superior % 8.91% 10.8% 5.3% 17.4% 9.0% 6.5% SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO 31 Seguridad de la Información en el Sector Público de México Conclusiones JOINT FUTURE SYSTEMS 11 Tras analizar los hallazgos del estudio, la empresa Joint Future Systems concluyó que la percepción de los servidores públicos respecto a la información que administran en sus dependencias presenta: • Un alto grado de conocimientos normativos en general, frente a otros estudios, con mayor énfasis entre los informáticos del Poder Ejecutivo Federal y mandos superiores. • Es notoria la preocupación por contar al menos con reglamentos internos sobre Seguridad de la Información. • Existe una fuerte identificación de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (LFTAIP), en sus rubros de Protección de Datos Personales y de Manejo de Documentos. SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO Conclusiones • Alta percepción de la existencia de normas para la protección de la información tanto interna como de la ciudadanía, aunque en los gobiernos municipales es mayor la cantidad de personas que opina que éstas no existen (18.5 y 22.8%, respectivamente). • La mitad de los entrevistados (50.2%) identifica al área de TI como la principal fuente de difusión de temas de seguridad de la información, seguida de las direcciones generales (16.8%). • Prácticamente la mitad de los entrevistados considera que esta difusión es insuficiente o nula. SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO Conclusiones • De acuerdo con los entrevistados, las buenas prácticas de seguridad de la información no se llevan a cabo con la frecuencia esperada. El uso de contraseña de acceso a la PC fue la más recurrente, con 77.2% de las menciones. • La capacitación respecto al tema es, en su mayoría, nula: 82.6% opina que no existe a nivel de capacitación formal, y 47.5% a nivel de pláticas. • La incidencia en algunas conductas de riesgo, tiende a ser alta de manera general. SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO Conclusiones • Respecto a cómo consideran la cultura de seguridad de la información en sus dependencias gubernamentales, tres cuartas partes de los servidores públicos entrevistados (74.0%) opinaron que aún hacen faltan esfuerzos para difundir esta cultura. El índice más alto de personas que señalaron categóricamente que No Existe, se dio entre los No-Informáticos de gobiernos municipales (26.4%). SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO