Ver los resultados del estudio

Anuncio
Seguridad de la Información
en el Sector Público de México
Septiembre, 2009
La Unidad de Gobierno Digital de la Secretaría de la
Función Pública, a través de la revista Política Digital,
encargó una investigación para conocer la percepción
que tienen los servidores públicos del país respecto a la
información que administran sus dependencias.
A continuación se presentan los resultados más
relevantes del estudio.
JOINT FUTURE SYSTEMS
Índice
Temas
Diapositiva
El cómo de esta investigación
Objetivos del estudio
Método de investigación
Características de la muestra
Principales hallazgos
Estándares, normas y regulaciones
Protección de la información interna
Protección de la información del ciudadano
Áreas que difunden aspectos sobre seguridad de la información
Cómo es la difusión de temas de la seguridad de la información
Prácticas que se llevan a cabo
Capacitación
Temas tratados en pláticas o cursos
Conductas de riesgo frecuentes
Qué es seguridad de la información en la Administración Pública
En resumen, cómo percibe la seguridad de la información
Conclusiones
4
7
8
12
16
18
20
21
22
25
26
27
29
30
33
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
2
Seguridad de la Información
en el Sector Público de México
El cómo de esta investigación
JOINT FUTURE SYSTEMS
3
El cómo de esta investigación
Por Eduardo Zimbrón Ortiz
La ejecución técnica y metodológica de este estudio fue encargada a
Joint Future Systems, S.C., una empresa especializada en la
investigación, análisis y consultoría de mercados en México.
Objetivos del estudio
El propósito era conocer la percepción y conocimiento sobre aspectos
relacionados con la Seguridad de la Información, por parte de aquellos
servidores públicos que –sea por sus funciones o por su área de
trabajo– son cercanos a este ámbito en la institución donde laboran.
Entre los aspectos investigados figuran:
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
4
El cómo de esta investigación (cont.)
Entre los aspectos investigados figuran:
• El grado de conocimiento que tienen los servidores públicos sobre los
conceptos y lineamientos relacionados con el tema.
• La percepción que tienen en cuanto al manejo que se da a la
información interna de la dependencia, así como a los datos que
aporta la ciudadanía.
• La percepción que tienen respecto a difundir y promover la cultura de
seguridad de la información en su dependencia.
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
5
El cómo de esta investigación (cont.)
El estudio no pretende reflejar la percepción en torno al tema por parte
del servidor público en general. Más bien está enfocado a recabar la
opinión de aquellas personas que están más cercanas a las áreas o
funciones relacionadas, como pueden ser los departamentos de
Sistemas, Tecnología, Procesos, Planeación, Normatividad, etc., dentro
de las dependencias o instituciones del gobierno. El perfil de
entrevistados se definió así:
• Para la muestra no-probabilística se recurrió al directorio de
suscriptores de la revista Política Digital.
• Participaron servidores públicos de los distintos órdenes de gobierno
(federal, estatal, municipal).
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
6
El cómo de esta investigación (cont.)
• Que tuvieran una antigüedad mínima de dos años como usuarios de
soluciones informáticas en su entorno laboral.
• Que emplearan soluciones informáticas ocho horas como mínimo a
la semana.
Método de investigación
Se realizaron 864 entrevistas efectivas, en las cuales 13%
correspondieron a servidores públicos del gobierno municipal, 36% del
gobierno estatal y 51% del gobierno federal. Las encuestas
respondidas por escrito y el instrumento de medición consistió en un
cuestionario estructurado.
______________
Eduardo J. Zimbrón Ortiz ([email protected]) es Director de Investigación
de Joint Future Systems. Su sitio web es www.jfs.com.mx
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
7
El cómo de esta investigación (cont.)
Características de la muestra
Tamaño de la muestra: 864 personas
Instancia del sector público
Legislativo Estatal
7
Judicial Federal
7
Judicial Estatal
8
Legislativo Federal
11
Organismo Autónomo
25
Gobierno Municipal
92
Ejecutivo Estatal
296
Ejecutivo Federal
418
0
100
200
300
400
500
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
8
El cómo de esta investigación (cont.)
Características de la muestra
Tamaño de la muestra: 864 personas
Instancia del sector público
Legislativo Estatal
7
Judicial Federal
7
Judicial Estatal
8
Legislativo Federal
11
Organismo Autónomo
25
Gobierno Municipal
92
Ejecutivo Estatal
296
Ejecutivo Federal
418
0
100
200
300
400
500
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
8
El cómo de esta investigación (cont.)
Características de la muestra
Área de trabajo
Área donde labora
Sistemas / Informática
Evaluación
Auditoría, responsabilidades, quejas e inconformidades
Coordinación y enlace intra e interinstitucional
NS / NC
Planeación
Asuntos jurídicos
Desarrollo Institucional
Normatividad y Gobierno
Apoyo técnico
Estadística
Prestación de servicios
Apoyo Administrativo
Investigación
Promoción y desarrollo
Recursos Humanos
Recursos financieros
Seguridad y Protección Civil
Comunicación Social
Orientación e información
Recursos materiales y servicios generales
Programación
Presupuestación
Atención al público (ventanilla)
Otros
Total general
Respuestas
405
47
44
37
33
28
25
24
21
20
18
18
17
14
14
14
12
12
11
10
10
8
6
4
12
864
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
10
Seguridad de la Información
en el Sector Público de México
Principales hallazgos
JOINT FUTURE SYSTEMS
11
Estándares, normas y regulaciones
¿Conoce algún estándar, norma o regulación que
promueva la seguridad de la información en la dependencia
donde usted trabaja?
No conoce
49.31%
Sí conoce
50.69%
Instancia
Ejecutivo Estatal
Ejecutivo Federal
Gobierno Municipal
Total
136
246
28
%
45.95%
58.85%
30.43%
45.75%
Instancia
Niveles medios y operativos
Mando superior
Total
414
24
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
%
50.61%
52.17%
12
Estándares, normas y regulaciones
Sí conocen alguna norma, estándar o regulación que
promueva la seguridad de la información: 429 personas
Normas o regulaciones que conocen
Reglamento interno
LFTAIP
COBIT
ISO 27001
ISO 27000
ITIL
ISO / IEC
Lineamientos de protección datos personales
ISO 27002 / ISO 17799
BS 7799
IFAI
Comentario no válido
Otros
0%
10%
20%
30%
40%
50%
60%
70%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
80%
13
Estándares, normas y regulaciones
SI CONOCEN (mencionaron al menos una):
Estándar o norma
EJEC. ESTATAL
44.59%
EJEC. FEDERAL
58.13%
GOB. MUNICIPAL
30.43%
% Ejec. Estatal % Ejec. Federal
% Gob.
Municipal
Reglamento / Guía / Políticas internas
85.61%
65.02%
53.57%
LFTAIP
34.85%
27.98%
75.00%
Comentario no válido
26.52%
14.40%
14.29%
8.33%
16.46%
3.57%
ISO 27001
10.61%
15.64%
0.00%
ISO 27000
5.30%
13.99%
3.57%
12.12%
10.29%
7.14%
ISO / IEC
9.85%
9.05%
7.14%
Lineamientos de protección de datos personales
3.03%
9.88%
14.29%
ISO 27002 / ISO 17799
3.79%
7.41%
3.57%
BS 7799
1.52%
5.76%
0.00%
IFAI
0.00%
4.53%
10.71%
COBIT
ITIL
…
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
14
Estándares, normas y regulaciones
MANDOS MEDIOS
Y OPERATIVOS
SI CONOCEN (mencionaron al menos una):
49.76%
Estándar o norma
Reglamento / Guía / Políticas internas
LFTAIP
Comentario no válido
…….
Mandos medios y
operativos
70.27%
32.43%
17.69%
MANDO SUP.
47.83%
Mando Superior
100.00%
40.91%
45.45%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
15
Protección de la información interna
¿Existen lineamientos de seguridad de la información interna?
70.0%
60.0%
60.3%
50.0%
40.0%
30.0%
20.0%
13.5%
10.0%
12.5%
7.2%
6.5%
No sé
Creo que
no
0.0%
Sí
Creo que sí
No
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
16
Protección de la información interna
¿Existen lineamientos de seguridad de la información interna?
70.0%
60.0%
50.0%
40.0%
30.0%
20.0%
10.0%
0.0%
Sí
Creo que sí
No sé
Creo que no
No
• 67.0% del Ejecutivo
estatal opina que sí
existen.
• 18.5% del gobierno
municipal afirma
categóricamente que no
existen
• 92.3% de los mandos
superiores, afirman que
sí existen.
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
17
Protección de la información del ciudadano
¿Existen lineamientos de seguridad de la información de la
ciudadanía?
70.0%
60.0%
50.0%
40.0%
30.0%
20.0%
10.0%
0.0%
60.3%
13.2%
Sí
Creo que
sí
7.8%
5.6%
No sé
Creo que
no
13.2%
No
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
18
Protección de la información del ciudadano
¿Existen lineamientos de seguridad de la información de la
ciudadanía?
70.0%
60.3%
60.0%
50.0%
40.0%
30.0%
20.0%
13.2%
13.2%
7.8%
10.0%
5.6%
0.0%
Sí
Creo que sí
No sé
Creo que no
No
• 67.0% del Ejecutivo
federal opina que sí
existe.
• 22.8% del gobierno
municipal afirma
categóricamente que no
existen.
• 92.3% de los mandos
superiores afirman que
sí existen.
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
19
Áreas que difunden aspectos sobre
seguridad de la información
Área de Sistemas / TI
50.2%
Dirección General
16.8%
Secretaría de la Función Pública
14.8%
Mi jefe directo
13.8%
Oficialía Mayor
12.4%
Ninguna
11.9%
Forma parte de mi contrato
5.0%
NS / NC
4.4%
Otros
2.0%
0%
10%
20%
30%
40%
50%
60%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
20
Cómo es la difusión de temas de
seguridad de la información
La comunicación y difusión sobre aspectos relacionados
con seguridad de la información en la dependencia donde
trabaja, usted la considera:
Muestra Total
Respuesta
NS / NC
Demasiada
Suficiente
Regular
Insuficiente
Nula. No hay.
Total general
Total
3.1%
1.7%
19.9%
25.7%
38.2%
11.3%
100.0%
• Sólo el 15.2% del
Ejecutivo estatal opinó
que la comunicación es
suficiente.
49.5%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
21
Prácticas que se llevan a cabo
¿Cuál o cuáles de las siguientes prácticas se llevan a cabo
en la dependencia o entidad donde usted trabaja?
Toda la Muestra
Prácticas mencionadas
Contraseña de acceso a la PC
Filtro de contenidos para Internet
Acceso limitado a Internet
Acceso restringido a la red
Restricción para instalación de programas personales
Cambio periódico de contraseña
Contraseña para acceso a aplicaciones
Cámara de vigilancia
Respuesta
667
630
597
489
476
433
403
381
% de la
muestra
77.20%
72.92%
69.10%
56.60%
55.09%
50.12%
46.64%
44.10%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
22
Prácticas que se llevan a cabo
¿Cuál o cuáles de las siguientes prácticas se llevan a cabo
en la dependencia o entidad donde usted trabaja?
Toda la Muestra
Prácticas mencionadas
Uso estricto de gafete por parte del personal
Uso estricto de gafete por parte de visitantes
Respaldo periódico de las PCs
Políticas restrictivas para introducir dispositivos electrónicos de
almacenamiento
Escritorios "limpios" de información confidencial
Contraseña para liberación de impresiones
Procedimiento para eliminación definitiva de info. en dispositovs
desechados
Cifrado de información en computadoras portátiles
Respuesta
376
356
280
% de la
muestra
43.52%
41.20%
32.41%
206
179
153
23.84%
20.72%
17.71%
110
71
12.73%
8.22%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
23
Prácticas que se llevan a cabo
¿Qué le parecen estas medidas?
Muestra Total
Respuesta
Exageradas
Suficientes
Insuficientes
No sé
Total
3.01%
40.74%
52.20%
4.05%
100.00%
Gobierno Municipal
Respuesta
Exageradas
Suficientes
Insuficientes
No sé
Total
5.43%
27.17%
60.87%
6.52%
100.00%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
24
Capacitación
¿Recibe capacitación sobre seguridad de la información en
la dependencia donde usted trabaja?
Muestra total
Ejecutivo Estatal
Ejecutivo Federal
Gobierno Municipal
Niveles medios y operativos
Mando Superior
SÍ
17.36%
18.58%
15.55%
16.30%
16.38%
34.78%
NO
82.64%
81.42%
84.45%
83.70%
83.62%
65.22%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
25
Temas tratados en pláticas o cursos
Toda la Muestra
Prácticas mencionadas
Ninguno. No se dan pláticas ni capacitación sobre el tema.
Reglamentos, políticas, normas, estándares, mejores prácticas
Precauciones contra virus
Valor de la información almacenada en sistemas informáticos
Spam
Uso adecuado de Internet
Integridad de la información
Prohibición de acceso a sitios pornográficos
Confidencialidad de la información
Spyware / Adware
Software de seguridad
Accesos inalámbricos a las redes
Piratería como factor de riesgo
Filtros de contenido en redes e Internet
Precauciones contra intrusos
Phishing e Ingeniería Social
Hackers y otros agresores externos
Hardware de seguridad
Mecanismos para evitar la extracción de información
Robo de identidad
Pérdida de información
Respuestas
410
235
227
185
178
159
152
151
136
135
118
116
116
110
105
103
100
99
98
94
81
% de la
muestra
47.45%
27.20%
26.27%
21.41%
20.60%
18.40%
17.59%
17.48%
15.74%
15.63%
13.66%
13.43%
13.43%
12.73%
12.15%
11.92%
11.57%
11.46%
11.34%
10.88%
9.38%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
26
Conductas de riesgo frecuentes
Muestra total
Conducta de riesgo
Usuarios que se ausentan sin cerrar sesión
Se imprimen documentos sin necesidad de contraseña
Se dejan documentos oficiales a la vista y sin protección
No se hacen respaldos de los servidores públicos
Se comparten carpetas y contenido en la red, sin
necesidad de ID
Se comparten las contraseñas
Soporte técnico pide la contraseña al usuario
Acceso a los equipos, sin ID
Se percibe riesgo de incendio
Sus superiores le solicitan la contraseña
NS / NC
Total % de la muestra
524
60.65%
500
57.87%
373
43.17%
343
39.70%
331
324
266
258
218
169
78
38.31%
37.50%
30.79%
29.86%
25.23%
19.56%
9.03%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
27
Conductas de riesgo frecuentes
Principales diferencias
Instancia del Sector Público
Conducta de riesgo
Se imprimen documentos sin necesidad de contraseña
Acceso a los equipos, sin ID
Se percibe riesgo de incendio
% Ejec. Estatal
68.92%
35.81%
30.41%
42.94%
% Ejec. Federal
48.80%
22.97%
18.90%
34.16%
% Gob. Municipal
64.13%
43.48%
38.04%
44.57%
Puesto del entrevistado
Conducta de riesgo
No se hacen respaldos de los servidores públicos
Acceso a los equipos, sin ID
Sus superiores le solicitan la contraseña
% Niveles medio y
operativo
40.59%
28.85%
20.05%
% Mando Sup.
23.91%
47.83%
10.87%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
28
Qué es seguridad de la información en la
Administración Pública
Muestra total
Confidencialidad de la información de la Ciudadanía.
Resguardo de la información de la dependencia, para prevenir el
robo.
Que personas no autorizadas no puedan modificar la
información de la dependencia.
Que los servicios a los ciudadanos y otras entidades funcionen 7
días a la semana, las 24 horas.
Que la información pueda ser consultada en forma permanente.
Que se pueda trabajar en un lugar alterno, en caso de que por
algún motivo no se pueda tener acceso a las instalaciones.
Que la información de las dependencias se mantenga en
secreto.
NS / NC
1
2
3
Total
252
198
101
551
238
178
109
525
154
201
184
539
54
70
80
204
42
66
128
236
30
65
142
237
25
17
51
93
69
69
69
69
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
29
En resumen, cómo percibe la
seguridad de la información
Analizando el entorno general en el área donde usted
trabaja, ¿qué tanta conciencia existe alrededor de los
conceptos de seguridad de la información entre sus
compañeros de trabajo?
Muestra total
Respuesta
Total
NS / NC
4.1%
Muy alto
5.8%
Razonable
16.2%
Hace falta refuerzo
35.5%
Casi no existe
29.5%
No existe
Total general
8.9%
100.0%
Porcentaje que opina que el
nivel de conciencia es bajo
74.0%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
30
En resumen, cómo percibe la
seguridad de la información
Diferencias más notorias entre los entrevistados quienes
afirman que no existe conciencia alrededor de conceptos
de seguridad de la información:
Muestra Total
Ejecutivo Estatal
Ejecutivo Federal
Gobierno Municipal
Niveles medio y operativos
Mando Superior
%
8.91%
10.8%
5.3%
17.4%
9.0%
6.5%
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
31
Seguridad de la Información
en el Sector Público de México
Conclusiones
JOINT FUTURE SYSTEMS
11
Tras analizar los hallazgos del estudio, la empresa Joint
Future Systems concluyó que la percepción de los
servidores públicos respecto a la información que
administran en sus dependencias presenta:
• Un alto grado de conocimientos normativos en general,
frente a otros estudios, con mayor énfasis entre los
informáticos del Poder Ejecutivo Federal y mandos
superiores.
• Es notoria la preocupación por contar al menos con
reglamentos internos sobre Seguridad de la Información.
• Existe una fuerte identificación de la Ley Federal de
Transparencia y Acceso a la Información Pública
Gubernamental (LFTAIP), en sus rubros de Protección
de Datos Personales y de Manejo de Documentos.
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
Conclusiones
• Alta percepción de la existencia de normas para la
protección de la información tanto interna como de la
ciudadanía, aunque en los gobiernos municipales es
mayor la cantidad de personas que opina que éstas no
existen (18.5 y 22.8%, respectivamente).
• La mitad de los entrevistados (50.2%) identifica al área
de TI como la principal fuente de difusión de temas de
seguridad de la información, seguida de las direcciones
generales (16.8%).
• Prácticamente la mitad de los entrevistados considera
que esta difusión es insuficiente o nula.
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
Conclusiones
• De acuerdo con los entrevistados, las buenas prácticas
de seguridad de la información no se llevan a cabo con
la frecuencia esperada. El uso de contraseña de acceso
a la PC fue la más recurrente, con 77.2% de las
menciones.
• La capacitación respecto al tema es, en su mayoría,
nula: 82.6% opina que no existe a nivel de capacitación
formal, y 47.5% a nivel de pláticas.
• La incidencia en algunas conductas de riesgo, tiende a
ser alta de manera general.
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
Conclusiones
• Respecto a cómo consideran la cultura de seguridad de
la información en sus dependencias gubernamentales,
tres cuartas partes de los servidores públicos
entrevistados (74.0%) opinaron que aún hacen faltan
esfuerzos para difundir esta cultura. El índice más alto
de personas que señalaron categóricamente que No
Existe, se dio entre los No-Informáticos de gobiernos
municipales (26.4%).
SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PÚBLICO DE MÉXICO
Descargar