ESET Security Report Argentina 2009 protegemos su mundo digital ESET Security Report - Argentina 2009 El objetivo de este informe es mostrar cuáles son las principales preocupaciones en Seguridad Informática de los gerentes de empresas y los profesionales del área. Para ello, ESET Latinoamérica ha realizado una serie de encuestas a compañías de diferente envergadura con el objetivo de explorar y conocer el panorama de seguridad actual en las empresas de Argentina. Las encuestas fueron llevadas a cabo durante distintos eventos en seguridad informática organizados en Buenos Aires en el 2009. Durante el encuentro, ESET Latinoamérica invitó al público asistente -conformado en su totalidad por gerentes de empresas y profesionales en seguridad informática- a dar su opinión a través de una encuesta especialmente preparada para la ocasión. Los datos que serán mostrados en este Informe de Seguridad de ESET Latinoamérica sobre Argentina, corresponden al pensamiento de 363 profesionales de empresas de diferentes tamaños, desde PyMES hasta grandes corporaciones gubernamentales y privadas. Los porcentajes de encuestados según el tamaño de la empresa a la que pertenecen fueron los siguientes: • De 1 a 10 empleados: 17% • De 11 a 50 empleados: 6% • De 51 a 200 empleados: 13% • De 201 a 1000 empleados: 21% • Más de 1000 empleados: 43% Importancia en la concientización del personal En primera instancia, se intenta conocer el nivel de importancia que las empresas le otorgan a la concientización de su personal. De este punto en particular se puede concluir que el 85% de los profesionales encuestados, sin importar el tamaño de su organización, considera que desarrollar planes de concientización en materia de seguridad de la información posee un nivel de importancia muy alto o esencial. Además, sólo el 5 por ciento de los encuestados calificó con importancia media a la educación del personal de la empresa, lo cual enfatiza aún más este punto dentro de la gestión en seguridad informática de cualquier tipo de compañía. A través de las respuestas se busca conocer el nivel de conocimiento general que las empresas poseen sobre seguridad de la información, cuáles consideran que son los principales problemas y desafíos actuales y futuros, así como el alcance de las soluciones actuales y la inversión y los costos involucrados en estas soluciones. De los resultados obtenidos, se desprende una serie de conclusiones que refleja de manera clara el panorama actual en el país. Si esto se analiza sin tener en cuenta el tamaño de la empresa, el nivel de importancia se mantiene (+-5%) aún cuando se disminuye la cantidad de personas que forman parte de la compañía. Siendo éste el nivel de importancia otorgado por las empresas, un porcentaje similar (86%) asegura realizar planes de concientización de manera ocasional entre su personal, si bien no se especifica cada cuanto tiempo se desarrollan estas actividades, si forman o no parte de un ciclo de actualización continua, si contemplan diferentes temáticas o si sólo se capacita al personal en lo relativo a sus tareas habituales. ESET Security Report - Argentina 2009 Prioridad que se da a la seguridad informática En contraposición con el punto anterior, cuando se consulta sobre las prioridades otorgadas respecto a la preocupación en seguridad informática, los encuestados no coinciden con lo expresado previamente siendo menor la prioridad que se da a la concientización - el 34% dice desarrollar algún tipo de plan de educación- y el alineamiento con regulaciones y/o estándares desarrollados en torno a satisfacer las necesidades de seguridad es realizado por el 18% de los encuestados. En relación a este punto, se produce una clara contradicción debido a que se declara que una manera adecuada de minimizar el impacto negativo que provoca cualquier tipo de amenaza se encuentra centrada en promover la educación y concientización pero se da mas importancia a los fraudes (57% se demuestra preocupado en este sentido) y a la fuga de información (50%) que a la educación del usuario. Niveles de preocupación por amenazas a la seguridad de la empresa Cuando se plantean diferentes tipos de amenazas que en materia de seguridad preocupan por comprometer de alguna manera la confidencialidad, integridad y disponibilidad de la información, las amenazas consideradas más importantes son el robo de información y los fraudes tanto externos (29%) como internos (28%). Mundialmente, se conoce que son mucho más preocupantes los problemas generados por intrusiones o violaciones del factor humano interno (empleados insider) que las intrusiones a nivel externo. Referidos a este último punto sobre la preocupación con respecto a los ataques internos y externos, los profesionales se mue stran igualmente preocupados por ambos factores, siendo la continuidad de negocio, la fuga de información, el malware y el control de acceso e identidad otras de las respuestas consideradas. En lo particular referido a las problemáticas relacionadas a los usuarios internos, la pérdida y/o fuga de información es la principal preocupación reflejada en las encuestas, seguida por la continuidad de negocio y el control de acceso. Finalmente, los ataques ocasionados por el malware (79%) constituyen la mayor preocupación entre los encuestados, lo que demuestra la necesidad de implementar soluciones de seguridad antivirus con capacidad de detección proactiva que puedan detectar todo tipo de códigos maliciosos conocidos y desconocidos. Asignación de presupuesto a la seguridad de la empresa Con relación al presupuesto que habitualmente las compañías suelen destinar a seguridad, el 37% de los encuestados asegura que se establece más del 1 por ciento del total del presupuesto para el departamento IT; el 28% asigna un presupuesto menor al 1 por ciento, un 20% destina más del 5 por ciento pero sin superar 10 por ciento del presupuesto y tan sólo un 15% asigna un monto que supera el 10 por ciento. En este sentido, resulta relevante considerar que el tamaño de la compañía incide sobre la asignación del presupuesto al sector IT en tanto, a menor cantidad de empleados en la empresa, menor es la inversión destinada a la seguridad IT. Con respecto a estos datos, es importante destacar que el presupuesto de la mayoría de las compañías sigue dependiendo del departamento de IT. Además, según estos datos, un muy bajo porcentaje dedica un monto importante a sus funciones de seguridad cuando en los puntos anteriores se destacó la importancia asignada a proteger los activos de la organización. ESET Security Report - Argentina 2009 área tienen que indicar qué es lo más importante en el ámbito de seguridad informática, demuestran conocer cuál debería ser el camino a seguir, sin embargo, la inversión en recursos humanos y tecnológicos no suele ser suficiente para combatir la situación actual de las amenazas informáticas. Por lo tanto, la filosofía de ESET de ofrecer recursos de educación a toda la región -tarea que hace varios años viene realizando a través de capacitaciones en diferentes formatosse encuentra estrechamente alineada con las necesidades corporativas en lo que al plano de concientización se refiere. Es decir que, si bien se conoce la problemática actual y las tendencias futuras, no se invierte en las herramientas necesarias para solventar esta situación. Conclusiones Analizando las conclusiones finales de ESET Security Report, se demuestra que las organizaciones argentinas, sin importar su tamaño, se encuentran inmersas en una realidad ambivalente y contradictoria que podría ser provocada por la situación global en cuanto al proceso de retorno de inversión. Cuando los gerentes y profesionales del ESET Latinoamérica protegemos su mundo digital © 2009 ESET, LLC. All rights reserved. ESET, the ESET Logo, ESET SMART SECURITY, ESET.COM, ESET.EU, NOD32, VIRUS RADAR, THREATSENSE, THREAT RADAR, and THREATSENSE.NET are trademarks, service marks and/or registered trademarks of ESET, LLC and/or ESET, spol. s.r.o. in the United States and certain other jurisdictions. All other trademarks and service marks that appear in these pages are the property of their respective owners and are used solely to refer to those companies’ goods and services. Av. Libertador 6250 - 6to. Piso C1428 ARS Buenos Aires tel.: + 54 11 4788 9213 / fax.: +54 11 4788 9629 www.eset-la.com