Global Information Security Survey (GISS) 2018-2019

Servicios de Consultoría
¿La
ciberseguridad
es algo más que
protección?
Encuesta Global de Seguridad de
la Información 2018-19
The better the question. The better the answer.

The better the world works.
Encuesta Global de Seguridad de la Información de EY 2018-19
Encuesta Global de Seguridad
de la Información 2018-19
¿ L a c i b e r s e g u r i d a d
m á s
2
e s a l g o
q u e p r o t e c c i ó n ?
3
4
ÍNDICE
Bienvenida: ...p6
Carlos López Cervantes y Gustavo Díaz
S o c i o s d e C i b e r s e g u r i d a d d e E Y L A TA M
Jorge Acosta y José Carlos Bellina

Socios Líderes de Consultoría y Consultoría
para la Industria Financiera de EY Perú
I ¿Preparado para ataques más sofisticados? ...p10

Introducción
Sección 1: El futuro de la ciberseguridad ...p12
Sección 2: Proteger la organización ...p16
Sección 3: Optimizar la ciberseguridad ...p30
Sección 4: Impulsar el crecimiento ...p44
Resumen de Resultados ...p58
Metodología de la encuesta ...p62
II ¿Cuál es el costo de las amenazas ...p66

cibernéticas?
...p78
Contactos
5
2018 fue un año en el que las organizaciones cada 10 encuestados afirma que su función de
se vieron afectadas por una serie de ataques seguridad de la información actualmente satisface
de ciberseguridad a gran escala, ante los cuales plenamente las necesidades del negocio.
no hemos sido ajenos en nuestra región, con
Los sistemas de ciberseguridad y seguridad de la
casos de alto impacto como los presentados en
información aún se encuentran en niveles bajos
México, Chile y Perú. Esta situación ha llevado al
de madurez, con controles ejecutados de manera
aumento de la percepción desfavorable por parte
irregular, sin desarrollo de capacidades avanzadas,
de los usuarios, frente al manejo de ataques
y a menudo administrando la ciberseguridad
cibernéticos.
como un silo aislado dentro de la organización. Es
Nuestra 21a Encuesta Global de Seguridad de posible que no se tenga una idea clara de qué y
la Información (GISS) de este año muestra que dónde se encuentran los activos y la información
la ciberseguridad es un tema prioritario en la más importante, ni la garantía de contar con las
agenda de los Directorios, Comités de Dirección medidas adecuadas para proteger estos activos.
de las organizaciones, y en los reguladores
Estos resultados nos marcan una clara ruta de
locales de cada país. Cada vez se dedican
acción, en la cual la mayoría de las organizaciones
más recursos para proteger los activos de las
debe continuar concentrándose en:
organizaciones, trabajando arduamente para
integrar la seguridad en el diseño de todas las • Identificar los datos clave y activos de
iniciativas de negocio. información de valor para la organización (las
“joyas de la corona”).
Sin embargo, los resultados de la encuesta no son
alentadores, y sugieren que las organizaciones • Revisar las capacidades existentes de
deben asignar más esfuerzos y recursos. Más de ciberseguridad, y el nivel de exposición de la
las tres cuartas partes (87%) de los encuestados organización ante las amenazas crecientes.
afirmaron no disponer de un presupuesto
• Actualizar el “escudo” de protección de la
suficiente para llevar a cabo las iniciativas de
organización, repasando los conceptos básicos y
ciberseguridad requeridas por el negocio y 1 de
desarrollando capacidades avanzadas.
6
Carlos López Cervantes
Socio de Consultoría en
Ciberseguridad de EY Latam
Es evidente que las organizaciones continuarán

su carrera de transformación y digitalización,
primando las interacciones con los clientes a
través de canales electrónicos y dispositivos
móviles. En la medida que éstas puedan aplicar
su ruta de ciberseguridad, de la mano de la
agenda de transformación digital, se generará
la confianza en los usuarios que permita Gustavo Díaz
explotar los canales digitales y aprovechar las
ventajas de las nuevas tecnologías. Socio de Ciberseguridad en
la Industria Financiera (FSO)
de EY Latam
7
Presentamos nuestra 21a Encuesta Global de 2021 el costo global de las trasgresiones a la
Seguridad de la Información 2018-19 “¿La ciberseguridad superará los US$6 mil millones,
ciberseguridad es algo más que protección?”, duplicando la cifra del 2015. Lo cierto es que,
un informe detallado sobre la realidad de la mientras más nos sumergimos en la era de la
ciberseguridad a través de los resultados de transformación digital, se abre un abanico de
nuestra encuesta a nivel global, regional y local. oportunidades pero también de amenazas, donde
la ciberseguridad debe hacer frente.
Más de 1,400 ejecutivos participaron de
la encuesta a nivel mundial, una muestra De acuerdo con la Encuesta Global de Seguridad
representativa que proporciona la valiosa de la Información (GISS) de EY, solo el 13% de las
información que encontrarán en este informe. empresas encuestadas maneja un presupuesto
Hacemos presente un especial agradecimiento de ciberseguridad acorde con sus necesidades.
a los representantes de las empresas locales Esto es un reflejo de la realidad que vivimos, solo
y regionales, que nos permiten tener una basta con indagar en la web para ver la infinidad
contribución invalorable sobre un tema aun en de noticias sobre los ataques cibernéticos
desarrollo en la región. perpetrados en los últimos años y el déficit
para hacerle frente. Ataques que no solo han
Hoy nos encontramos viviendo en la Industria
vulnerado datos personales, sino también han
4.0, una interconexión masiva tecnológica, con
generado pérdidas millonarias y, más doloroso
diversos dispositivos digitales interactuando a la
aún, crisis reputacionales en varias empresas.
vez, sistemas y tecnologías que están cambiando
el mundo, los estilos de vida y, claramente, la Hoy en día, no hay sector que se haya salvado de
forma de hacer negocios. Pero, en todo este recibir estos ataques; siendo las más atacadas
desarrollo acelerado, hay puntos que necesitan las empresas relacionadas a sectores de mayor
especial atención como la ciberseguridad. vínculo directo con el consumidor, como banca,
telecomunicaciones, consumo masivo, salud,
La etapa de ataques cibernéticos está lejos
educación, e incluso, hotelería.
de su punto más bajo pues, de acuerdo con
World Economic Forum, se calcula que para el
8
Esperamos que esta publicación sirva a las
empresas para tomar mayor consciencia
sobre la importancia del trabajo preventivo
de la ciberseguridad, así como las tendencias
y desafíos que se presentarán. En EY nos
encontramos a disposición para asistirlos, con el
expertise y la perspectiva global e integrada que
Jorge Acosta nos permite ser los líderes en servicios de gestión
de riesgos, controles y seguridad cibernética.
Socio Líder de Consultoría
de EY Perú
Paso a paso, las empresas vienen tomando

mayor consciencia sobre la necesidad de
trabajar en ciberseguridad, pero ¿vale más
el poder hacer frente a un ataque o poder
prevenirlo? Tenemos que tener claro que
la prevención es el factor más valioso de la
ciberseguridad y que ella no solo depende
en tener sistemas tecnológicos avanzados, José Carlos Bellina
sino de la cultura de prevención impartida a
los colaboradores, pues estos dos factores Socio Líder de Consultoría para
representan el 60% de las vulnerabilidades.
la Industria Financiera (FSO) de
EY Bolivia, Ecuador y Perú
9
I CAPÍTULO
10
¿ P r e p a r a d o
p a r a a t a q u e s m á s
s o f i s t i c a d o s ?
Bienvenido a la 21a Encuesta Global de Seguridad de la Información de EY (GISS por sus siglas
en inglés), la cual explora los problemas de ciberseguridad más importantes a los que se
enfrentan actualmente las organizaciones.
Más de dos décadas luego de que EY empezó a investigar la percepción que tenían las
organizaciones sobre el aumento de las amenazas de ciberseguridad y su respuesta a éstas,
la necesidad de abordar este problema, empezando desde el Directorio hacia el resto de la
organización, se va tornando cada vez más importante. Los ataques continúan creciendo
tanto en número como en sofisticación y somos testigos de nuevos actores y escenarios de
ataque, tales como la transformación digital y nuevas tecnologías, las cuales exponen a las
organizaciones a nuevas vulnerabilidades.
Este año, nos complace saber que más de 1,400 encuestados han dedicado su tiempo a
participar en nuestra investigación, y estamos muy agradecidos con todos ustedes. El análisis
que realizó EY de las respuestas de los CIO, CISO y otros ejecutivos muestra que muchas
organizaciones están incrementando los recursos que se invierten en ciberseguridad, pero
además siguen preocupándose profundamente por la escala y severidad de las amenazas.
Además, el objetivo para todas las organizaciones debería ser no solo proteger a la empresa
con un buen escudo de ciberseguridad y líneas básicas de defensa, sino también optimizar la
respuesta con herramientas y estrategias más avanzadas. A medida que la transformación
digital avanza, la ciberseguridad debería ser una función habilitadora, en vez de bloquear la
innovación y el cambio.
Los resultados obtenidos en nuestra encuesta global exploran estos temas en mayor detalle,
compartiendo ideas y prácticas líderes, que puedan mejorar la ciberseguridad para todos.
11
E l f u t u r o d e l a
C i b e r s e g u r i d a d
1
12
87% de las organizaciones aún

no tienen el presupuesto
suficiente para ofrecer los
niveles de ciberseguridad
y resiliencia que desean
Luego de que las organizaciones se vieron • Optimizar la ciberseguridad. Detener las

afectadas por violaciones en la ciberseguridad a actividades con bajo valor, aumentando
gran escala, la Encuesta Global de Seguridad de la eficiencia, y reinvirtiendo los fondos en
la Información de EY de este año muestra que tecnologías emergentes e innovadoras para
la ciberseguridad continúa siendo una prioridad mejorar la protección existente.
en la agenda del Directorio. Las organizaciones
• Impulsar el crecimiento. Enfoque en
están invirtiendo más en ciberseguridad,
la implementación de la seguridad por
dedicando cada vez más recursos para mejorar su
diseño como factor clave del éxito para
defensas, y trabajando más duro para incorporar
las transformaciones digitales que están
la seguridad por diseño.
experimentando muchas organizaciones.
Sin embargo, los resultados de la encuesta
Estos tres imperativos deben buscarse de forma
además sugieren que las organizaciones
simultánea. La frecuencia y escala de las brechas
necesitan hacer más: más de tres cuartos (87%)
de seguridad alrededor del mundo muestran que
aún no tienen el presupuesto suficiente para
muy pocas organizaciones han implementado
ofrecer los niveles de ciberseguridad y resiliencia
incluso una seguridad básica.
que desean. Las protecciones se dan a través
de parches; relativamente pocas organizaciones Sin embargo, aún cuando busquen encontrar
están priorizando las capacidades avanzadas, y su ritmo, las organizaciones deben estar pasos
la ciberseguridad permanece, muchas veces, sin adelante, afinando las defensas existentes para
ser considerada como un frente relevante para la optimizar la seguridad y apoyar su crecimiento.
organización. A medida que la agenda de transformación
digital obliga a las organizaciones a adoptar las
El desafío para las organizaciones es lograr
tecnologías emergentes y los nuevos modelos
avances en tres frentes:
de negocios, algo que muchas veces ocurre a un
• Proteger a la empresa. Enfoque en la ritmo moderado, la ciberseguridad necesita ser
identificacion de activos y construir líneas de un habilitador clave para el crecimiento.
defensa.
13
N o s e r á f á c i l . . .
¿ l e s u e n a f a m i l i a r ?
6,4 mil 50%

De autoridades locales
millones en Inglaterra dependen
Correos falsos enviados de un software en un
alrededor del mundo servidor sin soporte3
cada día1
1,464 2 millones
Funcionarios del gobierno De identidades robadas
de un estado en Estados se usaron para realizar
Unidos utilizando comentarios falsos
“Password123” como en una encuesta de
contraseña2 los EE.UU. sobre la
neutralidad en la red4
1 Dark Reading, Agosto 2018.

2 The Washington Post, Agosto 2018
3 Computing, Agosto 2018
4 Naked Security, Mayo 2018
5 Chronology of Data Breaches, Marzo 2018
6 SC Media, Diciembre 2018
7 Dark Reading, Abril 2018
8 Ponemon Institute, Julio 2017
14
1,946,181,599 US$729,000
Registros que contienen Dinero que un
datos personales y otros empresario perdió
datos sensibles fueron en una estafa que
comprometidos entre combinaba catphishing
enero 2017 y marzo 20185 con whaling6
550 millones US$3.62

Emails de phishing
enviados por una sola millones
compaña en el primer Costo promedio de una
trimestre del 20187 filtración de datos el
año pasado8
15
P r o t e g e r l a
o r g a n i z a c i ó n
2
16
Nuestro análisis sugiere que hay un número

significativo (77%) de organizaciones que aún Preguntas que las organizaciones
opera con una ciberseguridad y resiliencia deben considerar:
limitadas. Incluso podrían no tener una imagen
clara de cuáles son y dónde está su información • ¿Cuáles son los activos con información
crítica y sus activos, ni tampoco tener las debidas valiosa que tenemos?
medidas de protección para ellos. • ¿Dónde están las debilidades más
obvias en temas de ciberseguridad?
Es por eso que es importante que la mayoría
continúen enfocándose en una hoja de ruta • ¿A qué amenazas nos enfrentamos?
elaborada bajo un modelo de madurez de la • ¿Quiénes son los posibles protagonistas
ciberseguridad. Primero deben identificar los de esta amenaza?
elementos clave y la propiedad intelectual, • ¿Ya hemos sido infiltrados o
luego revisar las capacidades en ciberseguridad, vulnerados?
procesos de gestión de acceso y otras defensas,
• ¿Cómo se compara nuestra protección
y finalmente mejorar los esquemas de defensa y
con la de nuestra competencia?
respuesta que protegen la empresa.
• ¿Cuáles son nuestras responsabilidades
regulatorias? ¿Cumplimos con ellas?
17
En esta sección, veremos los cuatro componentes Los servicios financieros son un ejemplo. “La
vitales para proteger a una empresa: evidencia indica cada vez más que los mejores
graduados ya no quieren trabajar en la industria,
1. Gobierno. Las organizaciones deberían
lo cual inhibe los esfuerzos de reclutamiento en
abordar la medida en la cual la ciberseguridad
el sector”, indica Jeremy Pizzala, Líder Global de
es una parte importante de la estrategia de la
Ciberseguridad en Servicios Financieros de EY.
organización, y si hay suficientes fondos para
invertir lo necesario en defensa. Atraer a más mujeres y minorías a la fuerza
laboral de ciberseguridad, tanto para inflar
2. ¿Qué está en juego? ¿Qué es lo que
las cifras como para tener recursos que sean
las organizaciones más temen, y cómo
capaces de contrarrestar la amenaza, ya es
contemplan las amenazas más fuertes que
un desafío en sí. “La industria necesita liderar
enfrentan?
esfuerzos concertados para llenar puestos,
3. Protección. La madurez de la ciberseguridad y haciéndolo adecuadamente con mujeres y
de una organización y las vulnerabilidades más minorías”, indica Shelley Westman, Socia del
comunes son clave. equipo de ciberseguridad de Ernst & Young LLP.
“La diversidad es un imperativo de negocios. Los
4. Brechas. Cómo se identifican las brechas y la
equipos diversos impulsan mejores resultados a
forma en que las organizaciones responden a
lo largo de la organización. Son más innovadores,
ellas son temas críticos.
objetivos y colaboradores. Esto es crítico en la
Un problema general son las deficiencias en ciberseguridad, donde cada día es una lucha
profesionales capacitados: las estimaciones por mantenerse un paso por delante de los
identifican un déficit global de alrededor de 1,8 atacantes”.
millones de profesionales de seguridad en cinco
años.9 Incluso en los sectores mejor abastecidos,
las organizaciones luchan por reclutar personal
con la experiencia que necesitan.
9 EY Cibersecurity Summit, Junio 2018.
18
2-1
GOBIERNO
¿ L a c i b e rse g u r i d a d es pa r te d e l a est ra te g i a?
¿ E s tá i n c l u i d a e n e l p re s u p u e s to?
Más de la mitad de las organizaciones no A medida que las agendas de transformación

tienen a la protección de su organización como digital continúan dominando, se requiere de
parte de sus estrategias y planes de ejecución. un mayor presupuesto en ciberseguridad.
Sorprendentemente, las organizaciones más Casi todas las empresas están contemplando
grandes son más propensas a quedar atrás en tecnologías como la robótica, aprendizaje
este aspecto que las más pequeñas (58% versus automático, inteligencia artificial, blockchain,
54%). entre otros. Todo ese cambio traerá riesgos
cibernéticos adicionales, así como las
La buena noticia es que los presupuestos de
inversiones necesarias
ciberseguridad van en aumento. Sin embargo, las
compañías más grandes tienen más probabilidad
de aumentar sus presupuestos este año (63%) y Mike Maddison,
el próximo (67%) que las pequeñas (50% y 66%). Líder de Ciberseguridad de EMEIA en EY
¿Cómo cambió el presupuesto total de ciberseguridad de las organizaciones este año?

¿Cómo cambiará para los próximos 12 meses?
Este año El próximo año

Incrementará más del 25% 12% 15%
Incrementará más del 15 y 25% 16% 22%
Incrementará más del 5% y 15% 25% 28%
Se mantendrá prácticamente igual (entre +5% y -5%) 40% 31%
Disminuirá entre 5% y 15% 4% 2%
Disminuirá entre 15% y 25% 1% 1%
Disminuyó entre 25% 1% 1%
19
Latam Perú
27% 16%
de las organizaciones considera
regularmente la seguridad de la información
en sus estrategias y planes de negocio
Global Latam Perú
53% 29% 3%
han observado un incremento en
el presupuesto este año
39%
indica que menos del 2% de sus
Global
65% 42% 7%
Latam Perú
prevén un aumento en su presupuesto

equipos de TI trabaja únicamente
el próximo año
en ciberseguridad
20
MÉXICO
Al hablar de la región de América Latina, México La ciberseguridad es una tarea que compete a
cuenta con el nivel más alto de desarrollo de la todos; desde el usuario que usa la aplicación en
ciberseguridad, según la edición de 2017 del su dispositivo inteligente, los desarrolladores
Global Cybersecurity Index (GCI) publicado por y los arquitectos de la solución que deben
la Unión Internacional de Telecomunicaciones desarrollar las plataformas de manera segura,
(ITU). México, con un índice de 0.660, se sitúa en hasta los vicepresidentes y los miembros del
el lugar 28 del ranking mundial y ocupa el tercer Directorio de las grandes organizaciones que
puesto en América, inmediatamente después deben tener la información de primera mano
de Estados Unidos y Canadá. Lo que mide para tomar las decisiones estratégicas ante los
dicho indicador es que México muestra un buen eventos críticos de ciberseguridad.
resultado en el ámbito jurídico con una amplia
integración de la ciberlegislación en relación
con la criminalidad, la protección de los datos, Las diferentes industrias del mercado mexicano,
la privacidad de los datos y las transacciones en mayor o menor medida, están abordando
electrónicas. importantes inversiones e iniciativas de
transformación que implican nuevos desafíos
en términos de seguridad. Por estas razones
Sin embargo, detrás de todo esto existe un la ciberseguridad tiene hoy la importancia que
esfuerzo tecnológico por parte de las entidades se merece y deja de ser visto como un gasto
que luchan día a día contra los ciberataques; a ser una inversión que permite o habilita las
el hecho de que México se encuentre en la transformaciones tecnológicas del negocio;
tercera posición en América y la legislación sea logrando que las grandes organizaciones puedan
estricta; no implica que sea menos atacado y ejecutar los planes estratégicos sin tener el temor
que quede mucho por hacer. De hecho, el año a que un ciberataque pueda desviar la atención
inmediatamente anterior se presentó uno de los de sus planes de negocio.
ciberataques más sonados en Latinoamérica.
Carlos López Cervantes Miguel Yebra

Socio de Ciberseguridad de EY México Socio de Ciberseguridad en la Industria
Financiera de EY México
21
2-2
¿ Q U É E S TÁ E N J U E G O ?
¿Cuál es el mayor temor? ¿Y cuáles son las

mayores amenazas?
¿Qué es lo más valioso? Global Latam Perú
No sorprende saber que, la información personal

del cliente, la financiera y los planes estratégicos
17% 18% 19%
constituyen los tres tipos de información de las organizaciones dijeron que su
más valiosos que las organizaciones querrían mayor miedo es perder la información
proteger, seguidos inmediatamente por la del cliente
información del Directorio y las contraseñas del
cliente. Al final de la lista de los 10 principales
grupos de información a proteger, encontramos Más organizaciones están comenzando
la información del proveedor, lo cual muestra que a reconocer la amplia naturaleza de la
la ambición de “proteger colectivamente toda la amenaza. Algo que ha mejorado durante los
cadena de suministros” todavía necesita trabajo. últimos 12 meses, en parte debido a algunos
de los grandes ataques cibernéticos que
hemos visto a nivel global, es que hay más
¿Cuáles son las mayores amenazas? conciencia de que la seguridad se trata de
mantener la continuidad de las operaciones
Los problemas cibernéticos más críticos de negocios y no solo de la seguridad de los
consideran al phishing (fraude electrónico) y datos y la privacidad
malware como puntos de partida. Los ataques
que se enfocan en el rango de disrupción se
colocan en el tercer lugar de la lista, seguidos por Richard Watson,
ataques con un enfoque en robar dinero. Líder de Ciberseguridad de Asia Pacífico de EY
A pesar de que se ha discutido mucho sobre
las amenazas internas y las patrocinadas por
entidades del gobierno, el miedo por los ataques
internos se encuentra octavo en la lista; mientras
que el espionaje se encuentra al final.
22
Los 10 tipos de información más valiosos Las 10 mayores amenazas cibernéticas
para los crímenes cibernéticos para las organizaciones
1. Información del cliente (17%) 1. Phishing (22%)
2. Información financiera (12%) 2. Malware (20%)
3. Planes estratégicos (12%) 3. Ataques cibernéticos (para interrumpir operaciones) (13%)
4. Información del Directorio (11%) 4. Ataques cibernéticos (para robar dinero) (12%)
5. Contraseñas del cliente (11%) 5. Fraude (10%)
6. Información de I&D (9%) 6. Ataques cibernéticos (para robar IP) (8%)
7. Información de fusiones y adquisiciones (8%) 7. Spam (6%)
8. Propiedad intelectual (6%) 8. Ataques internos (5%)
9. IP no patentada (5%) 9. Desastres naturales (2%)
10. Información de proveedores (5%) 10. Espionaje (2%)
Global Latam Perú Global Latam Perú
22% 11% 7% 20% 20% 36%

considera al phishing como la amenaza califica el malware como una amenaza
más grande
23
2-3
PROTECCIÓN
¿Cuáles son las vulnerabilidades que presentan

m á s r i e s g o? ¿C u á n m a d u ra s e m u e s t ra l a
ciberseguridad?
Las vulnerabilidades aumentan cuando se trata Todavía nos toma meses estar preparados
de terceros. Solo 15% de las organizaciones han para los ataques sofisticados. El desafío
llevado a cabo los pasos básicos para protegerse en este espacio yace en identificar la
de las amenazas de terceros; 36% está al tanto de herramienta adecuada para la detección
los riesgos a través de autoevaluaciones (22%) o e identificación de amenazas. Las
evaluaciones individuales (14%); por lo que 64% organizaciones se toman demasiado tiempo
no tiene visibilidad sobre el tema. Esto aumenta en discutir si una solución es más apropiada
hasta el 67% en las compañías más pequeñas. que otra. Como resultado, son pocos los que
han implementado algo
Las compañías más grandes son más maduras
que sus contrapartes más pequeñas. Por ejemplo,
35% tienen un programa formal y actualizado
Dave Burg,
de inteligencia de amenazas, comparado con el
Líder en Ciberseguridad de las Américas de EY
25% de las organizaciones más pequeñas y 58%
dicen que su programa de respuesta a incidentes
está actualizado, en comparación con 41% de las
organizaciones más pequeñas.
Vulnerabilidades con mayor exposición a los riesgos durante los últimos 12 meses
Empleados descuidados o inconscientes 34%
Controles de seguridad obsoletos 26%
Acceso no autorizado 13%
Relacionado con el uso de la computación en la nube 10%
Relacionado con los teléfonos inteligentes/tablets 8%
Relacionado con las redes sociales 5%
Relacionado con el internet de las cosas 4%
24
Global Latam Perú
34% 27% 25%

considera a los empleados descuidados
o inconscientes como la mayor
vulnerabilidad
Global Latam Perú
53% 53% 73%

no tiene ningún programa- o tiene solo
uno obsoleto- para uno o más de los
siguientes aspectos:
• Inteligencia de amenazas
• Identificación de vulnerabilidades
• Detección de brechas
• Respuesta a incidentes
• Protección de datos
• Gestión de identidades y accesos
25
PERÚ
Actualmente las organizaciones del Perú se claro y contundente para que las compañías
encuentran en proceso de transformación de sus tomen una posición de defensa y respuesta
negocios, que involucran cambios en los modelos activa que les permita proteger los activos de
operativos apalancados en el uso de tendencias información. Este esquema de defensa activa
digitales, los cuales buscan aprovechar la debe considerar la definición y desarrollo de
capacidad de sus redes de comunicación y una estrategia de ciberseguridad proactiva
sistemas tecnológicos interconectados. y transversal, centrada en la organización,
que considere las iniciativas estratégicas del
Este proceso de transformación trae consigo
negocio y las soluciones innovadoras a ser
nuevos retos para los negocios entre los cuales
implementadas, con foco en los riesgos que
se encuentra los aspectos relacionados con
puedan atentar contra la información que soporta
la ciberseguridad, debido al uso de nuevas
las operaciones del negocio, siendo inteligente y
tecnologías, la apertura y potencialización de los
ágil, resiliente y escalable.
canales para el acceso de los interesados clave
y el conocimiento al alcance de todos, entre Si bien las compañías en el Perú vienen
otros, amplia exponencialmente las amenazas trabajando en este sentido, aún nos queda
que pueden atentar contra seguridad de la un largo camino por recorrer para alcanzar
información de que soporta las operaciones de un mayor nivel de madurez en materia de
negocio. ciberseguridad, y estar listo para responder de
manera más eficiente y efectiva a los potenciales
La situación antes descrita, la evolución de las
ciberataques. ¡Debemos actuar ya!
motivaciones de los atacantes y la capacidad de
los mismos para realizar ataques sofisticados,
persistentes y sigilosos, nos envía un mensaje
Elder Cama Alejandro Magdits

Socio de Ciberseguridad de EY Perú Socio de Ciberseguridad en la Industria
Financiera de EY Perú
26
2-4
BRECHAS
¿Cómo se identifican las brechas? ¿Cómo

responden las organizaciones?
Las organizaciones coinciden en que es Las compañías verdaderamente

poco probable que refuercen las prácticas en inteligentes y con visión a futuro tienen dos
ciberseguridad o que gasten más dinero a no ser presupuestos: un presupuesto tradicional
que sufran alguna infiltración o incidente que para lo que necesitan hacer y los proyectos
cause impactos negativos. que buscan conseguir, pero también cuentan
con un presupuesto de contingencias
Si no ocurrió algún daño no habría un
ante eventualidades como la emergencia
incremento en el presupuesto para el 63% de las
ocasionada por un nuevo tipo de amenaza o
organizaciones (en la mayoría de los casos se ha
brechas
realizado algún daño, pero esto todavía no ha
salido a flote). Muchas de las organizaciones no
tienen claro si van a identificar de manera exitosa
Dillon Dieffenbach,
las vulneraciones y/o incidentes ocurridos. Entre
Líder de Ciberseguridad de EY Japón
las organizaciones afectadas por algún incidente
durante el año pasado, menos de un tercio dice
que este evento fue descubierto por su centro Global Latam Perú
17% 18% 6%
de seguridad y tampoco tienen claro cómo van a
responder frente a un ataque.
de las organizaciones reportan una lista
Brechas descubiertas por: de brechas de seguridad en sus informes
de seguridad de la información
Global Latam Perú
16%
SOC
Unidad de negocios
46% 40% 48%
no tuvieron incidentes (o todavía no los
Terceros conocen)
46% 24%
Otros Global Latam Perú
6% 8%
No han tenido un
incidente significativo 76% 60% 39%
el presupuesto de ciberseguridad
aumenta después de la ocurrencia de un
brecha seria de seguridad
27
Análisis sectorial
SALUD
El sector del cuidado de la salud debe almacenar

cantidades cada vez mayores de información • Gobierno. La mitad de las organizaciones
personal y sensible. La encuesta de este año del sector salud indican que han
sugiere que la conciencia del sector acerca de aumentado su gasto en ciberseguridad
los riesgos cibernéticos es cada vez mayor y durante los últimos 12 meses, mientras
que muchas organizaciones están determinadas que un 66% planea invertir más durante
a implementar protecciones más fuertes. De los próximos 12 meses.
hecho, ya hubo progreso pero se necesita más
• ¿Qué está en juego? 17% de las
trabajo.
compañías en el sector de salud indican
Este sector ha sido testigo de numerosos que la información personal y sensible
incidentes y alertas en ciberseguridad en meses de sus clientes es lo más valioso para los
recientes. Durante un incidente, los registros criminales cibernéticos, mientras que el
médicos de casi 100 millones de pacientes fueron 25% indica que los malware son los que
puestos en riesgo debido a una falla de seguridad más han aumentado su exposición a
en uno de los sistemas empleados en la gestión riesgos.
de pacientes y la operación.10 En otro evento, la
• Protección. Las compañías de salud
información como nombres completos, fechas de
ven a los empleados descuidados o
nacimiento, información sobre seguros, estado
inconscientes como la vulnerabilidad que
de discapacidad y direcciones de las residencias
ha aumentado la exposición a riesgos en
de 2 millones de pacientes centroamericanos
los últimos 12 meses (mencionado por el
estuvo expuesta por una falla de seguridad.11
33%).
Los datos médicos tienen un gran valor en la dark
• Infiltraciones. Solo un 18% de las
web, lo que hace que las organizaciones de la
compañías de salud confían en su
salud atraigan más a los atacantes. Una de cada
capacidad para detectar un ataque
tres organizaciones de salud ha sufrido un ataque
sofisticado hacia su organización.
cibernético y 1 de 10 ha pagado un rescate.12
10. “Los registros de salud fueron puestos en riesgo por un fallo de seguridad» BBC News, Agosto 2018.
11. Encuestas revelan que más de 1 de 3 organizaciones de la salud han sufrido de un ataque cibernético mientras que 1 en 10 han pagado un rescate.
12. Business Wire, Mayo 2018.
28
Análisis sectorial
ENERGÍA
El sector energético es usuario de tecnologías

emergentes cada vez más sofisticadas pero • Gobierno. Más de la mitad (57%) de las
esto significa que enfrenta muchas más compañías energéticas han aumentado su
vulnerabilidades. Los ataques exitosos en gasto en ciberseguridad durante los últimos
este sector tienen el potencial de causar 12 meses, mientras que un 68% planea
consecuencias devastadoras, lo que priva de gastar más durante los próximos 12 meses.
energía a las poblaciones y hasta pone en riesgo
• ¿Qué está en juego? 15% de la compañías
la seguridad de sus ciudadanos.
del sector consideran que la información
Existe evidencia de que las compañías personal y sensible de los clientes es la más
energéticas están en el radar de los criminales valiosa para los criminales cibernéticos, 27%
cibernéticos, incluyendo los más sofisticados. dice que el fraude electrónico es el que más
Recientemente, los investigadores en seguridad ha aumentado su exposición a riesgos.
encontraron que hackers rusos buscaban
• Protección. Casi tres de cada diez
infiltrarse en las compañías energéticas de
compañías energéticas (29%) dice que los
EE.UU..13 En otro caso, las compañías de
empleados descuidados o inconscientes son
electricidad fueron objeto de una estafa por
la vulnerabilidad que más ha aumentado
medio de spear phishing14 que se cree se originó
su exposición a riesgos. Casi la misma
en Corea del Norte.15
proporción (28%) citaron los controles
La amenaza suscitó que los reguladores en o arquitectura de seguridad informática
Europa y en otros lugares buscaran nuevas desactualizada.
regulaciones para motivar a que el sector se
• Infiltraciones. Cuatro de diez compañías
enfoque en proteger a estas compañías.16
(42%) dicen que no han tenido un incidente
significativo de ciberseguridad en los
últimos 12 meses.
13 “Las peores infiltraciones en ciberseguridad del 2018 hasta el momento” - Wired, Setiembre 2018.
14 “¿Qué es spear phishing?” - Digital Guardian, Abril 2018.
15 “La industria eléctrica en alerta por sabotaje cibernético” - Financial Times, Noviembre 2017.
16 “Las nuevas leyes en ciberseguridad que el sector energético no puede ignorar” - Power Engineering International, Febrero 2018.
29
O p t i m i z a r l a
3
C i b e r s e g u r i d a d
30
El estudio de este año sugiere que el 77% de

las organizaciones buscan hacer más que Las preguntas en las que se deben
simplemente colocar las protecciones básicas en enfocar estas organizaciones incluyen:
ciberseguridad y ajustar sus capacidades.
• ¿Cuál es nuestra estrategia en
Estas organizaciones continúan trabajando en ciberseguridad?
los fundamentos de la seguridad cibernética
• ¿Cuál es nuestra tolerancia y apetito al
pero también replantean su marco y arquitectura
riesgo?
para apoyar el negocio de manera más efectiva
y eficiente. Parte de ese esfuerzo yace en • ¿Cuáles son las actividades con poco
considerar e implementar inteligencia artificial, valor que podemos hacer más rápido o
automatización de procesos a través de robots barato?
(RPA), analítica, e incrementar la seguridad de los • ¿De qué manera nos pueden ayudar las
bienes y datos clave. tecnologías como la automatización de
procesos a través de robots, inteligencia
artificial y las herramientas de análisis
de datos?
• ¿En dónde necesitamos reforzar
nuestras capacidades?
• ¿Qué podemos dejar de hacer? ¿Cómo
invertimos los recursos que tenemos
disponibles?
31
En este capítulo, echamos un vistazo a los Hasta el momento hay una posibilidad
cuatro componentes vitales para optimizar la significativa de mejora. Menos de una en
ciberseguridad: diez organizaciones indican que la función
de seguridad de la información actualmente
1. El estado actual. ¿Hasta qué punto la
satisface sus necesidades, y muchos están
función de seguridad de la información de
preocupados de que las mejoras más importantes
la organización es capaz de satisfacer las
todavía no estén en marcha.
necesidades en ciberseguridad?
Las compañías más pequeñas tienden a quedarse
2. Prioridades de inversión. ¿Dónde se necesita
atrás. Mientras que el 78% de las organizaciones
que la inversión actualice las capacidades del
más grandes indica que la función en seguridad
estándar requerido?
de la información está al menos satisfaciendo
3. ¿Internamente o subcontratando? ¿Cuál de manera parcial sus necesidades, esto sucede
es la mejor manera de desarrollar nuevas en solamente el 65% de sus contrapartes más
capacidades y quién debe asumir el liderazgo? pequeñas.
4. Presentación de informes. ¿Qué tan capaz Los criminales cibernéticos aumentan su juego y
es la organización para evaluar sus propias el precio por fallar es alto. En un ataque reciente,
capacidades e informar a los interesados un banco indio perdió USD 13.5 millones después
clave? que los hackers instalaron malware en el servidor
de ATM lo que les habilitó a realizar retiros
fraudulentos desde los cajeros automáticos.17
17 “El banco indio pierde $13.5m en ataque global” - Info Security, Agosto 2018.
32
3-1
E L E S TA D O A C T U A L
¿La función de seguridad de la información

cu m p l e co n l a s n e ces i d a d es d e l a o rg a n i za c i ó n?
En general, 92% de las organizaciones se Algunas organizaciones pueden sobreestimar

preocupan por la función de seguridad de la su resiliencia y seguridad. Las organizaciones
información en áreas clave. Los recursos son pueden tener protección parcial pero las
un tema importante: 30% de las organizaciones amenazas cibernéticas emergentes existen
luchan por la falta de competencias, mientras que en varios ámbitos. El enfoque en seguridad
un 25% cita limitaciones presupuestarias. corporativa es importante pero ¿qué hay del
entorno de manufactura y producción? ¿Cuál
Las compañías más pequeñas están
sería digital y cuál físico? ¿Qué pasa con la
particularmente preocupadas: 28% dicen que
cadena de suministros?
su función de seguridad de la información no
satisface sus necesidades y necesita mejorarse y
el 56% dice que tiene una falta de competencias o Sean Wessman,
limitaciones de presupuesto. Líder de Ciberseguridad Automotriz y de
Transporte de EY Global
Global Latam Perú
8% 5% 3%
¿La función de seguridad de la información
cumple con las necesidades de la organización?
Cumple totalmente
de las organizaciones tienen funciones
4% 8% de seguridad de la información que
con las necesidades
18% satisfacen totalmente sus necesidades
Parcialmente, pero
hay planes para Global Latam
38% 31%
11% 59% mejorar
Parcialmente, pero
no hay planes para comenta que sería poco probable que
mejorar detectaran una infiltración sofisticada
Por mejorar
Perú
No satisface las
necesidades 29%
no saben si podrían detectar un
ciberataque sofisticado
33
3-2
PRIORIDADES DE INVERSIÓN
¿Dónde están las brechas? ¿Dónde están los

re c u rsos q u e se n e ces i ta n co n m á s u rg e n c i a?
Un área importante donde las organizaciones Las organizaciones necesitan ver más allá de
necesitan optimizar sus capacidades es en una las medidas preventivas en sus evaluaciones
mejor ejecución y planificación de respuesta de seguridad.
ante incidentes. El análisis forense es un área
Con base en nuestra experiencia, un riesgo
particularmente débil y esto socava la habilidad
notable es que muchas organizaciones aun
de las organizaciones de entender qué salió mal y
no han desarrollado un plan robusto de
mejorar la protección de ciberseguridad.
respuesta cibernética
Las compañías más pequeñas están
particularmente preocupadas: 39% dicen que
Andrew Gordon,
les cuesta identificar las brechas, y 52% están
Líder de Servicios Globales Integrales y Forenses
preocupadas por sus capacidades forenses.
de EY
Global Latam Perú
35% 7% 2%
Prioridades para mejorar cuando ocurre
una brecha: ¿cómo se desempeñan las
organizaciones?
de las organizaciones tienen un
76%
73% control cibernético que satisface
68%
64% sus necesidades
62%
49% 51% Global Latam Perú
38%
32%
36% <10% 31% 10%
27% creen que tienen madurez en:
24%
• Arquitectura
• Gestión de identidades y accesos
• Métricas y reportes
• Seguridad del software
Identificación Gestión Comunic. Comunic. Análisis Regreso • Gestión de terceros
de la brecha de crisis interna externa forense al negocio • Gestión de amenazas y
habitual
Mal Bien
vulnerabilidad
34
3-3
¿ I N T E R N A M E N T E O S U B C O N T R A TA N D O ?
¿Cómo mejoran las organizaciones sus

capacidades de forma rápida? ¿Qué deben
hacer por ellas mismas, y dónde deben
b u sca r ay u d a ex te r n a?
Las grandes organizaciones

¿Cuáles de las siguientes funciones de seguridad realiza
de servicios financieros
usted internamente y cuáles ha subcontratado?
introdujeron los centros
de ‘fusión’ que combinan
35% las capacidades de
Monitoreo de la seguridad ciberseguridad con muchas
65%
otras competencias tales como
48% los sistemas que utilizan para
Evaluación de
prevenir el lavado de dinero y
vulnerabilidades 52% conocer a sus clientes. Se está
convirtiendo en un esfuerzo
39%
Self-phishing (fraude multidisciplinario que une
electrónico) 61% el negocio en sus sistemas
antiguos y nuevos
Gestión de riesgos del 16%
proveedor 84% Andrew Gordon,
Líder de Ciberseguridad de
Gestión de identidades 13% Servicios Financieros de la
y accesos 87% Américas de EY
18%
DLP/protección de datos
82%
Ejercicios de una vez 39%

(por ej., configuración de
ISMS) 61%
Actividades de seguridad de 71%

información específica de
consultoría 29%
Internos Subcontratados
35
¿Cuáles de las siguientes funciones en su centro de operaciones de seguridad se

subcontratan?
52%
Monitoreo de seguridad de la red en tiempo real
48%
75%
Investigación de incidentes
25%
49%
Análisis forense digital (malware)
51%
46%
Recopilación (feeds) de inteligencia de amenazas
54%
Análisis de inteligencia 13%

de amenazas 87%
Creación y entrega de ejercicios 60%

de ciberseguridad 40%
61%
Análisis y gestión de vulnerabilidades
39%
25%
Pruebas de penetración
75%
Internos Subcontratados
Global Latam Perú
72% 26% 16%

de las organizaciones más grandes de las organizaciones cuentan con un
cuentan con un centro de operaciones centro de operaciones de seguridad
de seguridad
36
COLOMBIA
De acuerdo con las cifras reveladas por las De igual forma, los entes reguladores y de control
entidades del estado, Colombia ha incrementado han trabajado en este campo para fortalecer el
considerablemente el número de personas con ambiente de seguridad y control de las entidades,
acceso a internet ya sea desde una conexión fija es así como a partir del 2018 las instituciones
o móvil, lo que refleja un crecimiento positivo financieras deben hacer que la ciberseguridad
en el uso de tecnologías de información y sea un punto en la agenda de la alta gerencia.
comunicaciones. Este es un hecho positivo y
Precisamente uno de los retos más importantes
un gran logro para el país; sin embargo, este
que tienen las instituciones financieras es lograr
crecimiento implica nuevos retos en materia de
que sus interesados clave, y especialmente
ciberseguridad y cibercrimen.
la alta gerencia, tomen conciencia del efecto
Solo de manera ilustrativa, actualmente negativo que se puede presentar al ser objeto
Colombia es el país en América Latina con de un ciberataque y no dar manejo adecuado
mayor porcentaje de detecciones malware al mismo, más ahora que nos encontramos en
de tipo ransomware (secuestro de datos), por la era de la transformación digital y el mundo
encima de países como México, Brasil y Perú. interconectado.
Asimismo, ciudades como Bogotá, Cali, Medellín,
En materia de ciberseguridad siempre habrá
Barranquilla, Cartagena y Bucaramanga
cosas por hacer, y nunca se podrá estar 100%
concentran la mayor cantidad de ciberataques a
seguro de que no se sufrirá un ciberataque,
nivel nacional.
pero siempre que se tenga en el radar las
Uno de los sectores más sensibles a los ciber ciberamenazas a las que están expuestas las
ataques en Colombia es el financiero, el cual organizaciones y se haga una correcta gestión y
durante los últimos 5 años ha realizado esfuerzos control de las mismas, es posible reaccionar de
importantes para fortalecer y evolucionar su una manera más estratégica, efectiva y con una
sistema de gestión de ciber seguridad (tanto en mayor resiliencia para minimizar el impacto de
componentes estratégicos, tácticos y operativos). los mismos.
María Conchita Jaimes Gustavo Díaz

Socio de Ciberseguridad de EY Colombia Socio de Ciberseguridad en la Industria
Financiera de EY Colombia
37
3-4
P R E S E N TA C I Ó N D E I N F O R M E S
¿La organización recopila información con

respecto a las capacidades e incidentes de
ciberseguridad? ¿Cómo se informa sobre esto
a las par tes interesadas?
Solo el 15% de las organizaciones dijeron que El interés en los informes de ciberseguridad a
sus informes de seguridad de la información nivel del Directorio creció debido a que ahora
cumplen totalmente con sus expectativas. tiene una responsabilidad de gestionar el
riesgo de ciberseguridad.
Las compañías más pequeñas requerirán
moverse particularmente rápido: casi un cuarto Directores, accionistas y reguladores
(23%) no produce informes de seguridad presionan para obtener una mejor
comparado con un 16% de las organizaciones presentación de informes incluso si las
más grandes. organizaciones aun no han adoptado una
postura de divulgación externa
Dave Padmos,
Líder del Sector Global de Tecnología de
Consultoría de EY
Efectividad en los informes de seguridad de la información de las organizaciones
4% 8% No recibo informes
Los informes no cumplen las expectativas
18% Los informes cumplen algunas expectativas

59%
Los informes cumplen todas mis expectativas
38
Global Latam Perú
20% 22% 14%

de las organizaciones incluyen el
número de ciberataques en sus reportes
de seguridad de la información
Global Latam Perú
5% 5% 6%
establecieron el impacto financiero
para cada brecha
Global Latam Perú
17% 18% 38%

presentaron informes de las áreas de
mejora
39
Análisis sectorial
CONSUMO, TRANSPORTE Y
AUTOMOTRIZ
Las compañías orientadas al consumidor

enfrentan desafíos particulares en
Nuestra investigación sugiere que las
ciberseguridad. Mantener la confianza es crucial
organizaciones orientadas al consumidor
para su negocio, sin embargo, también son
están teniendo un buen progreso en la
vulnerables debido a que operan en un mercado
ciberseguridad, sin embargo, deben refinar
donde los consumidores requieren servicios 24
sus prácticas y desarrollar defensas más
horas al día, siete días a la semana, a través de
sofisticadas:
modelos de negocios omnicanal.
Los atacantes cibernéticos explotan las • Estado actual. Solo el 8% afirma que su
debilidades de estas organizaciones por el valor función de seguridad de la información
y el volumen de datos del consumidor a los que actualmente satisface las necesidades
ellos podrían acceder. de la organización, y 29% advierte que
Mientras tanto, los ataques continúan. Algunos dicha función debe mejorarse y no
son conocidos, como el ataque a British satisface sus necesidades. Más de la
Airways, el cual afectó 380,000 transacciones mitad (55%) menciona que tiene planes
en septiembre de 2018.18 Otros son más de mejora.
sofisticados e inusuales. Por ejemplo, los • Prioridades de inversión. Las
informes sugieren que los delincuentes ahora compañías orientadas al consumidor
venden un kit de fraudes (phishing) de alta gama apuntan a brechas significativas en su
que les permite a los atacantes llegar a múltiples ciberseguridad las cuales necesitan
minoristas en línea. 19 mejorarse. Más del 10% menciona
que sus procesos de seguridad de la
información no existen o están muy
inmaduros en las siguientes áreas:
arquitectura, gestión de activos,
consciencia, Business Continuity Plan
18 “British Airways: ‘encontrado’ código sospechoso que hackeaba aviones ”, BBC News, Setiembre 2018.
19 “Investigadores descubren el kit de phishing para la próxima generación”, Help Net Security, Abril 2018.
40
(BCP), Disaster Recovery (DR), gestión
de incidentes, políticas y estándares,
monitoreo de la seguridad, seguridad
del software y gestión de terceros.
• Internamente o subcontratando.
Cerca de 4 de 10 compañías orientadas
al consumidor (42%) cuenta con un
centro de operaciones de seguridad;
sin embargo, muchas de las funciones
se han subcontratado ampliamente. La
mayoría de organizaciones en el sector
(80%) subcontratan las pruebas de
penetración de su centro de operaciones
de seguridad, 64% subcontratan la
recopilación y feeds de inteligencia
de amenazas, 60% el monitoreo de
seguridad de la red en tiempo real, 57%
el análisis de inteligencia de amenazas,
y 53% el análisis forense digital y de
malware.
• Informes. Solamente 13% de las
compañías orientadas al consumidor
dice que sus informes sobre la seguridad
de la información cumplen todas sus
expectativas.
41
Análisis sectorial
SERVICIOS FINANCIEROS
El sector de servicios financieros se encuentra

en el centro de la batalla contra los ataques Nuestra investigación sugiere que los
cibernéticos. No solamente representa un negocios de servicios financieros ya han
objetivo altamente lucrativo para los delincuentes reconocido esa tensión. La protección es
sino que también depende cada vez más de los alta (a pesar de que es necesario continuar
datos. reflexionando y dando el mantenimiento) y
se está trabajando en la optimización de la
Dicho sector debe mantener los datos seguros
ciberseguridad:
a cualquier costo, incluso cuando se adapta a
iniciativas como la banca abierta, la cual requiere • Estado actual. Solamente 6% de las
que las organizaciones compartan datos con compañías de servicios financieros
terceros. dice que su función de seguridad de
la información actualmente satisface
Las nuevas tecnologías deben ocupar un lugar
las necesidades de la organización; sin
central: las falsas aplicaciones bancarias móviles
embargo, 65% tiene planes para realizar
que se encuentran en circulación engañan a
las mejoras requeridas. No obstante,
más de uno de tres consumidores.20 Además,
existe un problema: 31% advierte que la
las estafas tradicionales no se han detenido. Un
escasez de habilidades es un obstáculo
nuevo informe sobre fraude de correo electrónico
potencial.
empresarial sugiere que ahora el uso de los virus
troyanos en el sector bancario es generalizado.21 • Prioridades de inversión. Las
organizaciones de este sector son las
Para empeorar la situación, los atacantes
más preocupadas con respecto a la
están colaborando cada vez más. En el verano
madurez de sus procesos de seguridad
del 2018, el FBI advirtió que los delincuentes
de la información en las áreas de
estaban planeando un ataque organizado y
arquitectura (las cuales 18% mencionó
multinacional contra el sector bancario el cual
que no existen o están muy inmaduras),
vació todo el efectivo de los cajeros automáticos
métricas e informes (18%) y gestión de
en horas.22
activos (17%).
20 “Consumidores engañados por aplicaciones bancarias móviles”, Info Security, Febrero 2018.
21 “Proofpoint advierte de troyanos bancarios”, PYMNTS, Agosto 2018.
22 “FBI advierte sobre vaciado de cajeros automáticos”, Naked Security, Agosto 2018.
42
• Internamente o subcontratando.
Alrededor de 6 de 10 organizaciones de
servicios financieros (59%) cuentan con
un centro de operaciones de seguridad.
Estas son más propensas a ejecutar
sus funciones internamente que a
subcontratarlas: solo las pruebas de
penetración (79%) y el análisis forense
(52%) son subcontratados por una
mayoría.
• Informes. Mientras que solo el 16% de
las compañías de servicios financieros
dicen que sus informes sobre la
seguridad de la información satisfacen
sus necesidades, esto las pone por
delante de otros sectores.
43
I m p u l s a r e l
4
C r e c i m i e n t o
44
Las organizaciones están atravesando un
proceso de transformación digital. La naturaleza
Preguntas que las organizaciones
de cada transformación varía dependiendo
deben hacerse durante su
de la organización y su sector, sin embargo,
transformación digital:
todas tendrán uno o más de los siguientes
componentes: ventas/soporte en línea para • ¿Toda nuestra cadena de valor es
clientes, integraciones de cadena de suministros, segura?
aplicación de la automatización de procesos • ¿Cómo diseñamos y construimos
con robots, inteligencia artificial, blockchain y nuevos canales que sean seguros desde
analítica, disrupción del modelo de negocios, e el diseño?
innovación en el lugar de trabajo.
• ¿Cómo calza la ciberseguridad con
Actualmente, las organizaciones están nuestro modelo de negocios habilitado
convencidas que cuidar el riesgo cibernético y por la transformación digital?
desarrollar la ciberseguridad desde el principio • ¿Podrían la privacidad y protección
son imperativos para el éxito en la era digital. El de datos ser un posible diferenciador
enfoque ahora debería ser en buscar la forma competitivo?
cómo la ciberseguridad dará soporte y permitirá
• ¿Qué tan enfocado está nuestro
el crecimiento empresarial. ¿El objetivo? Integrar
Directorio en la ciberseguridad a
la seguridad en los procesos de negocios desde
medida que persigue sus ambiciones
el inicio y desarrollar un entorno de trabajo más
digitales para la organización?
seguro para todos.
La seguridad por diseño debería ser un principio
clave a medida que las tecnologías emergentes se
mueven en el centro del escenario.
Con el fin de alcanzar estas metas, las
organizaciones necesitarán tener una
estrategia de ciberseguridad innovadora en
lugar de responder de forma reactiva y poco a
poco. La experiencia del cliente debe ser una
consideración clave.
45
En este capítulo, echamos un vistazo a los la vulnerabilidad a la cual las tecnologías

cuatro componentes vitales para hacer que la emergentes las está exponiendo. Esto es
ciberseguridad sea parte de la estrategia de preocupante, sobre todo porque estas
crecimiento: tecnologías también están disponibles para los
atacantes.
1. Supervisión estratégica. ¿Hasta qué punto
el Directorio encargado de perseguir la Los investigadores de seguridad de IBM señalaron
transformación digital, aprecia la necesidad de que el potencial de la inteligencia artificial se
incorporar la ciberseguridad en sus estrategias puede utilizar para desarrollar malware: ellos
de crecimiento? desarrollaron un código llamado DeepLocker, el
cual puede ocultar su intención hasta después de
2. Liderazgo. ¿Cuáles son las organizaciones
que el objetivo haya sido infectado.23
digitales que solicitan tomar la iniciativa en
materia de ciberseguridad y cómo se entrega No obstante, hay buenas noticias. Actualmente,
la rendición de cuentas? muchas organizaciones consideran a las
tecnologías emergentes como una alta
3. Digitalización. A medida que las
prioridad para los gastos en ciberseguridad.
organizaciones aprovechan el uso de las
Eso incluye la nube, que es una tecnología
tecnologías digitales, ¿qué tanto aumenta esto
mucho más establecida para la mayoría de las
la vulnerabilidad de la ciberseguridad?
organizaciones, pero también áreas como la
4. Tecnologías emergentes. ¿En qué áreas automatización de procesos a través de robots, el
las organizaciones están aumentando sus aprendizaje automático y la inteligencia artificial,
inversiones en ciberseguridad para desarrollar e incluso el Internet de las cosas. No obstante,
la seguridad por diseño? en la mayoría de los casos, las organizaciones
aún no tienen la intención de gastar más en
No obstante, con base en la encuesta de
protegerse en estas áreas. Solo la nube está
este año, solamente una pequeña cantidad
marcada para gastos adicionales por una clara
de organizaciones está preocupada por
mayoría de organizaciones.
23 “DeepLocker — AI-powered malware ya está en medio de nosotros” Security Affairs, Agosto 2018.
46
4-1
SUPERVISIÓN ESTRATÉGICA
¿La organización tiene estructuras que hacen

de la ciberseguridad un elemento clave de la
planificación estratégica? ¿Existe un buen
g o b i e r n o?
Alrededor del 70% de las organizaciones afirma Necesitamos ver un rápido aumento de la
que sus líderes tiene un entendimiento integral seguridad. Muchas organizaciones están
de la seguridad o está tomando medidas positivas persiguiendo la transformación digital a un
para mejorar su comprensión. ritmo vertiginoso, y existe el peligro de que
la ciberseguridad se quede atrás. Si bien
Sin embargo, las organizaciones más grandes han
sigue siendo imperativo arreglar los sistemas
progresado más: el 73% tiene una comprensión
heredados de la organización, no se debe
al menos limitada, en comparación con el 68% de
permitir que esto distraiga la construcción
sus contrapartes más pequeñas.
de fuertes protecciones desde el principio
a medida que se adoptan tecnologías
emergentes
James Phillippe,
Líder Global de Gestión de amenazas cibernéticas
de EY
¿El Directorio tiene una comprensión integral

de la seguridad de la información para evaluar
completamente los riesgos cibernéticos y las
medidas preventivas?
3% Sí
Global Latam Perú
55% 73% 84%

Limitada
25%
No, pero tratan
39% de mejorar
comenta que la seguridad de la
No, y no planean información influye los planes de
mejorar estrategia de negocios de alguna
31% forma o de ningún modo
47
4-2
LIDERAZGO
¿Quién es el responsable definitivo de la

ciberseguridad? ¿Cómo muestran el liderazgo
que impulsa las prácticas líderes en toda la
o rg a n i za c i ó n?
La responsabilidad definitiva de la seguridad También están emergiendo nuevos tipos

de la información la asumen cada vez más los de roles. Ahora estamos contemplando el
niveles superiores de la empresa. Para el 40% ascenso del Chief Security Officer (CSO en
de las organizaciones, el Director de Sistemas inglés). El CSO podría reportar a un director
de Información (CIO en inglés) asume esta de seguridad de la información (CISO en
responsabilidad. inglés) o incluso a un CIO, pero se mantiene
fuera de la organización del CIO. Ellos son
Cuatro de cada 10 organizaciones (40%) comenta
responsables del ciber-riesgo, el riesgo de
que la persona con la responsabilidad definitiva
seguridad física, y el riesgo de seguridad
es un miembro del Directorio o la gerencia
personal, mientras que el CISO o el CIO se
ejecutiva. A medida que la seguridad se convierte
enfocan en una cibertransformación más
en un habilitador de crecimiento, es probable
amplia
que esta proporción aumente. Actualmente, las
organizaciones más pequeñas son más propensas
a tener la responsabilidad de la seguridad de la Simon Adler,
información a un nivel del Directorio, más que las Líder de Identidad y acceso digital de EY Global
organizaciones más grandes.
¿El Directorio tiene una comprensión

integral de la seguridad de la información
para evaluar completamente los riesgos
cibernéticos y las medidas preventivas?
3% Sí Global Latam Perú
25%
Limitada
No, pero tratan
60% 56% 97%
39% de mejorar de las organizaciones dicen que la
persona directamente responsable de
No, y no planean
mejorar la seguridad de la información no es un
miembro del Directorio
31%
48
Los Directorios están tomando un rol cada vez Global Latam Perú
39% 42% 19%

más activo para abordar las consecuencias
que los riesgos de ciberseguridad generan en
sus negocios. Hay una creciente demanda en
de los Directorios tienen una
la administración de generación de informes,
métricas y percepciones que brinden visibilidad comprensión integral de la seguridad
y seguridad en la gestión de riesgos de la de la información para evaluar
ciberseguridad. completamente los riesgos cibernéticos
A la mayoría de organizaciones les cuesta
entender qué debe informar al Directorio.
Por otro lado, no todos los Directorios tienen
un buen entendimiento de la ciberseguridad
y sus riesgos. Esto indica que se mantiene la
mentalidad tradicional que se enfoca en informar
las decisiones tácticas y el progreso actual.
En lugar de ello, los informes deberían buscar
combinar métricas tangibles y cuantificables
que demuestren los resultados provenientes de
decisiones clave recientes y el rendimiento del
entorno de control actual.
Por último, para permitir una toma de decisiones
efectiva, un marco exitoso de ciberseguridad
debería comunicar una perspectiva clara y
continua sobre la exposición al riesgo cibernético
de la organización.
Para motivar este cambio de paradigma, los
Directorios deberían aplicar una mentalidad
enfocada en riesgos para transformar las
preguntas que tienen sobre la gestión.
49
Mentalidad enfocada en riesgos
Mentalidad tradicional Mentalidad enfocada en riesgos
• ¿Cuál es el estado de las iniciativas para mejorar • ¿Cómo medimos los efectos de las recientes
nuestra ciberseguridad? iniciativas en la mejora de nuestros marcos de
control y la madurez de la ciberseguridad?
• ¿La implementación de una solución de
autenticación de dos factores abordará los • ¿De qué forma se alinea nuestra estrategia de
hallazgos identificados en la última auditoría? ciberseguridad a la estrategia de la TI y de la nube?
• ¿Qué tecnologías aún no implementadas nos • ¿Qué garantías tenemos para indicar que nuestros
ayudarán a detectar y responder las amenazas actuales esfuerzos para detectar y responder
cibernéticas? a amenazas cibernéticas están funcionando
• ¿Qué dicen las métricas de los firewalls y los eficazmente?
antivirus sobre nuestro nivel general de protección • ¿Hemos evaluado la eficacia de nuestros controles
contra amenazas cibernéticas?
de ciberseguridad para saber con cuánta eficacia
protegen nuestros datos de gran valor y los
sistemas fundamentales del negocio?
50
CENTROAMÉRICA
En Centroamérica se han desarrollado esfuerzos No obstante, a pesar de los esfuerzos realizados

importantes a través de los gobiernos por medio hoy en día no se tiene un registro y control de los
de organismos que promueven el desarrollo de la incidentes materializados y muchos de éstos no
industria de las telecomunicaciones y tecnologías son reportados. De acuerdo con el último reporte
de información y de los cuales hacen parte los del Estado de la Ciberseguridad en el Sector
países de la región. Bancario y del Caribe de la OEA, se reportó que
9 de cada 10 entidades bancarias sufrieron
Dentro de las actividades que se han ejecutado
incidentes cibernéticos, de las cuales el 37%
en la región, se destaca el desarrollo de políticas
fueron víctimas de ataques exitosos.
públicas en ciberseguridad con legislación
especializada en cibercrimen en Costa Rica y
República Dominicana en donde en sus códigos
Con base en lo anterior, observamos que sí bien
penales están tipificados varios delitos, así
se vienen tomando medidas y acciones por
como la creación de centros de respuesta a
parte de los países, se siguen afrontando retos
incidentes en Guatemala, Costa Rica y Panamá.
importantes en relación con el fortalecimiento
Adicionalmente, se tienen iniciativas de Ley de
de la postura de ciberseguridad de las
Cibercrimen en varios países.
organizaciones, para detectar, resistir o contener,
y reaccionar ante los ciberataques.
Omar Quesada Bismark Rodríguez

Gerente Senior de Ciberseguridad de EY Socio de Ciberseguridad en la Industria
Centroamérica Financiera de EY Centroamérica
51
4-3
D I G I TA L I Z A C I Ó N
A medida que las organizaciones se transforman,

¿ c ó m o e s to a u m e n t a s u p e r f i l d e r i e s g o? ¿ Q u é
peligros presentan las nuevas tecnologías?
Riesgos asociados con el creciente uso de los dispositivos móviles
Poco conocimiento y mala conducta de los usuarios 29%
La pérdida de un dispositivo inteligente 27%
Apropiación (hijacking) de dispositivos 11%
Los dispositivos no tienen el mismo software en ellos 10%
Los ingenieros de redes no pueden reparar las

10%
vulnerabilidades lo suficientemente rápido
Los delincuentes cibernéticos organizados venden
6%
hardware con virus troyanos ya instalados
Problemas de interoperabilidad del hardware 5%
El valor de los datos aumenta con su Global Latam Perú

conservación, entonces esta es su
oportunidad de mejorar su almacenamiento
de información existente. A medida
8% 9% 3%
de las organizaciones dijeron que
que integra ecosistemas con múltiples
los teléfonos inteligentes han
proveedores, distribuidores y socios, existe
una oportunidad para incorporar la seguridad
incrementado más sus debilidades
en la gestión de datos desde el inicio. Esa
oportunidad está abierta para todos Global Latam Perú
Andy Ng, 5% 8% 22%

Líder de Protección de la Información, EY EMEIA están más preocupados acerca del uso
de redes sociales
52
Desafíos relacionados con el Internet de las cosas
Conocer todos sus activos 14%
Identificar tráfico sospechoso 12%
Asegurar que los controles de seguridad cumplen los

11%
requisitos actuales
Mantener actualizados el mayor número de equipos o
dispositivos del Internet de las cosas que se encuentren 11%
conectados
Encontrar “ataques de cero días” ocultos o desconocidos 10%
Falta de recursos calificados 10%
Seguimiento al acceso de los datos 9%
Gestionar el crecimiento de los puntos de acceso de su

8%
organización
Definir y monitorear los perímetros del ecosistema de
7%
su negocio
Falta de apoyo o conocimiento por parte de los ejecutivos 5%
53
4-4
TECNOLOGÍAS EMERGENTES
¿Dónde se debe priorizar la inversión desde

una perspectiva de seguridad? ¿Cómo
promover la seguridad por diseño?
Prioridades para la inversión en ciberseguridad Gastos comparados con el año pasado
52% 57%
Computación en la Computación en la
11% 6%
nube nube
37% 37%
38% 52%
Analíticas de Analíticas de
11% 5%
ciberseguridad ciberseguridad
50% 43%
33% 35%
Computación móvil 16% Computación móvil 7%
52% 58%
25% 29%
Internet de las cosas 27% Internet de las cosas 9%
48% 61%
18% 31%
Automatización de Automatización de
37% 11%
procesos (RPA) procesos (RPA)
45% 58%
16% 27%
Aprendizaje Aprendizaje
36% 11%
automático automático
48% 61%
15% 26%
Inteligencia artificial 39% Inteligencia artificial 11%
43% 63%
15% 15%
Biometría 41% Biometría 13%
44% 72%
14% 15%
Blockchain 48% Blockchain 15%
37% 69%
Alta prioridad Baja prioridad Prioridad mediana Más Menos Igual
54
Aquellas industrias que están recurriendo
más rápidamente a las oportunidades
digitales ahora deben gastar dinero en
ciberseguridad. Deben incorporar la
ciberseguridad en las nuevas arquitecturas
que están construyendo para aprovechar
la oportunidad de deshacerse de sistemas
que se han venido utilizando que no están
construidos con base en la protección y la
resiliencia
Vinod Jayaprakash,
Líder de Ciberseguridad para Centros de
Entrega de bajo costo de EY
55
Análisis sectorial
TECNOLOGÍA, MEDIOS Y
TELECOMUNICACIONES
Las organizaciones de Tecnología, Medios y Pero mientras las empresas emergentes con
Telecomunicaciones (TMT en inglés), las cuales a infraestructura nueva han tenido la oportunidad
menudo están a la vanguardia de la disrupción y de acoger la seguridad por diseño desde el
la transformación, también podrían estar en una principio, esto no aplica a todas las compañías en
posición para abrir camino en la ciberseguridad. el sector. Por ejemplo, muchas organizaciones
de telecomunicaciones aún operan activos
instalados hace décadas.
Sin embargo, nuestra investigación sugiere que las empresas de TMT sí reconocen la importancia
de incorporar la ciberseguridad en sus estrategias de crecimiento:
• Supervisión estratégica. Más de la mitad • Liderazgo. En el 47% de las compañías

de las organizaciones de TMT (53%) dicen de TMT, la persona responsable de la
que la seguridad de la información influye seguridad de la información está en el
totalmente en sus planes y estrategias Directorio o es miembro de la alta gerencia.
comerciales.
• Tecnologías emergentes. Con respecto a
• Digitalización. El 16% de las las nuevas tecnologías, las organizaciones
organizaciones de TMT en la investigación de TMT pretenden aumentar su gasto en
dicen que su exposición al riesgo es la ciberseguridad en todos los ámbitos. La
que más ha aumentado con los teléfonos computación en la nube será un enfoque
inteligentes, las tecnologías de Internet de particularmente importante, ya que
las cosas o las redes sociales en los últimos el 52% planificará un aumento de los
12 meses. presupuestos.
56
Algunas amenazas al sector TMT son
indiscriminadas. Por ejemplo, el fabricante de
chips Taiwan Semiconductor dijo en agosto del
2018 que debía detener la producción por un
variante del ransomware WannaCry que causó
mucho daño en muchas industrias.24
Otros ataques se enfocan en las innovaciones
de las compañías de tecnología. Por ejemplo,
Google y Apple están en una batalla constante
para eliminar las aplicaciones de Google Play y
App Store, de criminales que ofrecen aplicaciones
maliciosas que se disfrazan como aplicaciones
legítimas25; mientras que las aplicaciones
de mensajería se utilizan cada vez más para
propagar estafas de phishing.26 En otros lugares,
Amazon rápidamente se movió para cerrar una
falla después de que investigadores encontraron
una manera de convertir su altavoz inteligente
Echo en un dispositivo de escucha.27
24 “El gigante de los chips TSMC dice que WannaCry está detrás de la detención de la
producción” - Semana de la Seguridad, Agosto 2016.
25 “36 aplicaciones maliciosas anunciadas como herramientas de seguridad detectadas
en Google Play” - SC Media, Enero 2018.
26 “No se deje engañar por esta elaborada estafa de phishing por WhatsApp!” - Trusted
Reviews, Febrero 2018.
27 “Los investigadores convierten a Amazon Echo en un dispositivo de escucha” -
Bleeping Computer, Abril 2018.
57
Resumen de
5
Resultados
58
5-1
PROTEGER LA ORGANIZACIÓN
Resumen Siguientes pasos
Aunque las inversiones en

ciberseguridad están en aumento La ciberseguridad necesita estar
Gobierno
• y la protección ha mejorado en
todos los ámbitos, los ataques
cibernéticos exitosos están
• en el ADN de la organización;
comience por hacerla parte integral
de la estrategia de negocios.
aumentando.
Crear conciencia acerca del

El phishing y el malware sustentan
phishing y el malware: conviértase
un gran número de ataques
¿Qué está en
juego? • exitosos; el GISS muestra que las
organizaciones los ven como las
• en un sabio del clic. La tecnología
puede ayudar con las simulaciones
de correo electrónico de phishing o
mayores amenazas.
malware.
Enfocarse en la estrategia y
Las organizaciones están programa de seguridad en el
potencialmente conectadas con ecosistema de toda la organización:
Protección
• miles de terceros; por lo tanto, son
más dependientes de las medidas
de seguridad tomadas por dichos
• ¿Qué amenazas nos harán daño por
la falta de seguridad de nuestros
terceros? ¿Queremos continuar
terceros. trabajando con terceros inseguros?
¿Cómo les podemos ayudar?
La mayoría de las organizaciones

Aumente los presupuestos de
aumentan su presupuesto de
ciberseguridad ahora (en lugar de
ciberseguridad después de haber
Filtraciones
• experimentado una filtración.
En la mayoría de los casos, las • después del hecho) y enfoque el
gasto en la detección y respuesta
a las amenazas. Esto bajará
filtraciones no son identificadas por
significativamente el nivel de riesgo.
la organización.
59
5-2
OPTIMIZAR LA CIBERSEGURIDAD

Considere las inversiones
tienen funciones de seguridad que
en capacidades analíticas,
no cumplen sus necesidades por
El estado
actual • completo; más de la mitad de las
organizaciones están invirtiendo
• especialmente cuando esto
potencia la detección de amenazas
y aumenta la consciencia a nivel
en capacidades analíticas como un
directivo.
primer paso.
Las inversiones son necesarias en

Puede ser difícil desarrollar
muchas áreas, pero sobre todo
rápidamente capacidades forenses
en la preparación y tratamiento
internamente. En lugar de eso,
Prioridades de
inversión • de una filtración de seguridad.
Para muchas organizaciones, este
sigue siendo un espacio verde
• busque construir una relación con
un proveedor externo con estas
capacidades; téngalos disponibles
especialmente relacionado con la
para cuando haya una filtración.
investigación forense.
Muchas organizaciones Enfocarse en dónde las inversiones

Internamente actualmente están subcontratando serán más efectivas, equilibrando
o
subcontratado
• funciones de ciberseguridad,
incluyendo funciones de sus centros
• los recursos disponibles en las
instalaciones con las capacidades
de operaciones de seguridad. de los proveedores externo.
Sea más abierto con respecto a

las operaciones de seguridad (lo
que hemos hecho, dónde están las
no están satisfechas con su
Presentación
de informes • presentación de informes en
operaciones de seguridad o • brechas, dónde tenemos fallas);
esto ayudará a impulsar
la comprensión de las amenazas y
filtraciones de seguridad.
motivar a la organización a tomar
las medidas adecuadas.
60
5-3
IMPULSAR EL CRECIMIENTO
La supervisión estratégica está en

aumento. La gerencia ejecutiva
Este es un gran paso hacia adelante;
Supervisión
estratégica • en 7 de 10 organizaciones, tiene
una comprensión integral de
la ciberseguridad o ha tomado
• pone la ciberseguridad en el centro
de la estratégica corporativa.
medidas para realizar mejoras.
La ciberseguridad debe ser una

Actualmente en 4 de cada 10
agenda continua para todos los
organizaciones, más miembros
Liderazgo
• del Directorio están tomando la
responsabilidad definitiva sobre la
• Directorios y juntas no ejecutivas.
Busque maneras para alentarlos a
participar más activamente en la
ciberseguridad.
ciberseguridad.
Las amenazas relacionadas al

Enfóquese en la ciberseguridad
uso de teléfonos inteligentes, el
como parte de la estrategia de
internet de las cosas y la tecnología
Digitalización
• operativa aún no se comprenden
bien. Solo un pequeño número
• transformación digital. El éxito
de muchos proyectos digitales
dependerá de establecer confianza
de organizaciones nombran estas
con los clientes.
áreas como áreas de alto riesgo.
El GISS muestra que muchas Continúe centrándose en las

organizaciones están pensando en tecnologías emergentes. Los
cómo las tecnologías emergentes cibercriminales también están
Tecnologías
emergentes • pueden ayudar a optimizar aún más
la ciberseguridad. • invirtiendo aquí, por ejemplo en
inteligencia artificial. Resístase a la
La prioridad y las inversiones están tentación de reducir la inversión en
bien alineadas. estas áreas de tecnología clave.
61
Metodología de
6
la encuesta
62
La 21a edición de la Encuesta Global de
Seguridad de la Información de EY recoge las
respuestas de más de 1.400 líderes de C-suite y 17%
ejecutivos de seguridad de la información y TI,
que representan muchas de las organizaciones
globales más grandes y reconocidas del mundo.
La investigación se realizó entre abril y julio del EMEIA*
2018.
Japón
“Las organizaciones más grandes” se definen 29% 49%
América
en este informe como las organizaciones con
ingresos anuales de mil millones de dólares a Asia-Pacífico
más. Este grupo representa un tercio del total de
encuestados en esta encuesta. “Organizaciones
más pequeñas” se definen en este informe
como las organizaciones con ingresos anuales
por debajo de los mil millones de dólares. Este
4%
grupo representa dos tercios del total de los
encuestados en esta encuesta.
* EMEIA: Europa, Medio Oriente, India y África
63
Encuestados por número de empleados Encuestados por clientes sectoriales
Menos de 500 29% Consumidor y

32%
movilidad
501 - 1,000 12%
Energía 10%
1,001-5,000 28%
Servicios financieros 27%
5,001-10,000 10%
Cuidado de la salud 14%
10,001-15,000 5%
TMT 16%
15,001-20,000 3%
20,001-25,000 2% El grupo de Consumidor y movilidad incluye

encuestados de los sectores de Automotriz
Más de 25,000 11%
y Transporte, Productos de Consumo y
Venta Minorista y Bienes raíces, hotelería y
construcción. El grupo de energía incluye
Encuestados por ingresos anuales encuestados de los sectores de Minería y metales,
Petróleo y gas y Energía y servicios públicos.
Menos de $10 El grupo de los Servicios Financieros incluye
19%
millones respuestas de los sectores de Banca y Mercados
$10 millones a de Capital, Seguros y Gestión de patrimonio y
21%
$100 millones activos. El grupo de Cuidados de la Salud incluye
$100 millones a respuestas de los sectores de Gobierno y sector
25%
$1,000 millones público, Salud y Ciencias biológicas. El grupo
$1,000 millones a de TMT incluye encuestados de los sectores
24% de Tecnología, Medios y Entretenimiento y
$10,000 millones
$10,000 millones Telecomunicaciones.
11%
a más
64
Encuestados por sector industrial
Automotriz y
8% Minería 2%
transporte
Banca y mercados
18% Petróleo y gas 3%
de capital
Productos de Energía y servicios
19% 5%
consumo y retail públicos
Gobierno y sector Firmas y servicios
9% 3%
público profesionales
Bienes raíces,
Salud 3% 4%
hotelería, construcción
Seguro 6% Tecnología 8%
Ciencias biológicas 2% Telecomunicaciones 4%
Medios y Gestión de patrimonio

4% 2%
entretenimiento y activos
65
CAPÍTULO II
66
¿ C u á l e s e l co s to
d e l a s a m e n a za s
c i b e r n é t i c a s ?
67
¿LA CIBERSEGURIDAD ES PRIORIDAD

S O L O D E S P U É S D E U N A TA Q U E ?
Para el 2021, se espera que el costo global de las Pueden haber grandes consecuencias, tal como
violaciones a la ciberseguridad alcance los USD se describe líneas abajo, si ocurriese un ataque
6 miles de millones, el doble del total del 201528. cibernético dentro de una instalación operativa o
Actualmente, el Foro Económico Mundial clasifica si este afectara activos operacionales.
la violación a gran escala de la ciberseguridad
como uno de los riesgos más graves que el
mundo enfrenta hoy29.
Riesgos más importantes
Salud, seguridad, medio Consecuencias comerciales

Interrupción del negocio
ambiente y comunidad o de reputación
Lesiones graves y Disrupción en la cadena Sanciones, multas y

daños al personal de suministros exposición de contratos
Incendios, explosiones Daño del equipo Pérdida de ingresos

y peligros fundamental y oportunidades
Disrupción en los servicios Licencia para operar Marca y reputación

para la comunidad
28 “Informe sobre Crímenes Cibernéticos, Edición 2017”, Cybersecurity Ventures, 19 de octubre del 2017.
29 “Informe Global de Riesgos 2017”, Foro Económico Mundial, 11 de enero del 2017.
68
EL ENTORNO DE LA AMENAZA CIBERNÉTICA
ES COMPLEJO Y ABARCA LA TI Y LA TO
Históricamente, los entornos de la Tecnología ¿Quiénes son los que detectaron, en

Operativa (TO) estaban aislados, su conexión mayor medida, los últimos incidentes
era limitada y no tenían acceso a las redes cibernéticos?
externas fuera de su ubicación física, y utilizaban
protocolos específicos del vendedor y tecnologías Global
registradas. Muchas veces, esto permitió que
los propietarios de activos adopten un enfoque
“seguridad por oscuridad”. Sin embargo,
24% Una unidad
de negocio
este enfoque ya no es viable en los entornos Latam

modernos de la TO ya que están altamente
conectados y hacen uso de infraestructuras,
protocolos y sistemas operativos que también son
27% Una unidad
de negocio
comunes en la Tecnología de la Información (TI)
Perú
26%
empresarial. Debido a ello, las vulnerabilidades
que guardan relación con las tecnologías Tercero
utilizadas en la TI empresarial también se
pueden aplicar de la misma forma para la TO
fundamental.
Las amenazas también incrementan por la
prominencia de programas maliciosos (malware)
cuyo blanco son los entornos de la TO. En
diciembre del 2015, la red eléctrica de Ucrania
fue paralizada por un ataque cibernético que
utilizó malware (BlackEnergy y KillDisk) y
se dirigió a la TO y a los sistemas de control
industrial. Desde entonces, el malware es tratado
como una mercancía y se encuentra ampliamente
disponible.
69
L O S E V E N T O S C I B E R N É T I C O S M Á S I M P O R TA N T E S
RELACIONADOS CON LA TI Y LA TO
Nautilus Minerals, Goldcorp, una firma El malware Los sistemas de Los ataques
establecida en canadiense dedicada “Crash Override” información de las cibernéticos
Canadá, fue la a la minería de oro, aprovecha las compañías más coordinados lograron
víctima de una sufrió una gran vulnerabilidades grandes alrededor con éxito tener acceso a
estafa cibernética; violación de datos para mapear las del mundo se vieron Siemens AG y Moody’s
realizó un depósito que resultó en la redes de la TO y afectados por el Analytics para robar
por USD 10 millones, publicación en línea utilizar cargas ransomware Petya. secretos empresariales.
destinados a un de 14.8 GB de variadas.
proveedor marino, información,
Nov 17
Jun 17
incluyendo
Abr 16
Feb 15
Dic 16
a una cuenta
bancaria información
desconocida. financiera y sobre
sus empleados.
1 2 3 4 5 6 7 8 9 10
La planta de Un malware El ransomware Kevin Neveu, CEO El malware
May 17
Nov 17
Mar 16
tratamiento de infectó los “WannaCry” de Precision “Triton” tuvo

Ene 18
Abr 16
agua “Kemuri” sistemas de una afectó la red Drilling Corp, como blanco a
sufrió una central nuclear ferroviaria admitió que la los sistemas de
manipulación en alemana. alemana, gran compañía seguridad de
la combinación hospitales del canadiense había Schneider y
química del agua Reino Unido, DHL detectado logró que la
de grifo. y otras empresas intentos de planta parara.
a nivel global. “intrusión” sin
éxito casi a diario.
Incidentes cibernéticos relacionados con la TI Incidentes cibernéticos relacionados con la TO
Fuentes:
“Amenazas cibernéticas para la industria minera”, TrendMicro, 28 de junio del 2016.
“Ataque cibernético de Petya: La lista de compañías afectadas muestra la escala del ataque”, Independent, 27 de junio del 2017.
“Los ataques cibernéticos representan una amenaza grave para las empresas de recursos automatizadas de Canadá”, Globe & Mail, 26 de noviembre del 2017.
“Hackers chinos atacan Siemens, Trimble, Moody’s, acusa EE. UU.”, CNBC, 29 de noviembre del 2017.
“Atacantes alteran los sistemas de tratamiento de agua de empresa de servicios públicos”, Securityweek.com, 22 de marzo del 2016.
“Virus informáticos infectan central nuclear alemana”, Reuters, 26 de abril del 2016.
“Malware sin precedentes ataca los sistemas industriales de seguridad en el Medio Oriente”, Wired, 14 de diciembre del 2017.
70
El gran número de dispositivos conectados en Esta combinación de eventos, junto con la
entornos operacionales también contribuye al complejidad del sistema y los riesgos por
aumento de amenazas. Debido a la creciente terceros, han causado una expansión de los
inversión en el área digital, la dependencia a “caminos de ataque” que pueden ser usados en
los sistemas de automatización, el monitoreo incidentes cibernéticos.
remoto a la infraestructura para la eficiencia
Por ejemplo, para las organizaciones de minas
de costos a largo plazo y la toma de decisiones
y metales, hay cuatro principales “caminos de
sobre toda la cadena de valor casi en tiempo
ataque” que se pueden utilizar para comprometer
real, la norma actual de las compañías es tener
y afectar las operaciones a lo largo de la cadena
miles de dispositivos de TO conectados a lo
de valor (por ejemplo, extracción, procesamiento/
largo de entornos geográficos. Sin embargo, el
refinado, gestión de suministros y envío). Los
aumento de la conexión de estos dispositivos y ―
hackers que explotan estos caminos usan
por extensión, el aumento de la superficie de
frecuentemente varias debilidades comunes
ataque― significa que la seguridad física de las
que existen en la arquitectura de redes, las
operaciones remotas ya no es suficiente.
tecnologías industriales heredadas, los controles
Además, el equipo y la infraestructura que básicos de acceso y las configuraciones de
anteriormente no ha contado con conexión seguridad, los procesos de mantenimiento, el
(por ejemplo, perforadoras, camiones y trenes acceso remoto de terceros y del personal, y el
autónomos) ahora están integradas para tener un conocimiento sobre seguridad.
mayor control de las operaciones.
71
P E R S P E C T I VA D E E Y S O B R E L O S C A M I N O S
C O M U N E S D E L O S A TA Q U E S C I B E R N É T I C O S
E N L O S S E C T O R E S D E A LT A C A P I T A L I Z A C I Ó N
Los sistemas de TO, redes y

estaciones de trabajo de alta
importancia son excesivamente La red
accesibles desde la red Un vendedor
corporativa externo o un
corporativa (en el peor de
los casos desde internet). y el internet tercero de
Muchas veces, estas brechas confianza
significan que una vez que el
perímetro empresarial o la red
corporativa se vea comprometida, 1 El acceso remoto -no
2
se puede tener acceso privilegiado gestionado e inseguro- al entorno
al entorno de la TO mediante un de la TO es utilizado para brindar
paso relativamente directo. apoyo al vendedor, monitorear
condiciones, dar mantenimiento o
realizar operaciones remotas.
El acceso remoto privilegiado puede
permitir cambios no controlados a la
Acceso a Los sistemas de lógica funcional fundamental, o significar
los sistemas TO albergados en el camino a una puerta trasera -por medio Portales
y dispositivos la red corporativa de la red de un tercero de confianza- para no gestionados
amenazas avanzadas.
de la TO
Configuraciones del
firewall excesivamente
permisivas Procesamiento Logística Monitoreo
3 y envío (tren y puerto) limitado
Herramientas inseguras
para el acceso remoto
La TO
fundamental
Se obtiene acceso
privilegiado no
Servicios públicos
4 Manejo de
autorizado a sistemas materiales
de la TO al explotar las (electricidad, agua, Segmentación autónomos
brechas en el acceso gas)
de la red de
físico o lógico a las la TO
estaciones de trabajo Apoyo para
de la TO. La amenaza toma de decisiones
aumenta cuando se Infraestructura y optimización
usan sistemas de TO de la OT insegura
heredados y a medida
que los límites de la TO Seguridad y
se expandan más allá monitoreo críticos
del sistema remoto
convencional y del Medios Gestión
lugar de operaciones portables de acceso
vulnerables ineficiente Las brechas en la segmentación de redes permiten un acceso
geográficamente
asegurado. excesivo entre zonas de seguridad de la TO (o segmentos
funcionales); esto permite que atacantes o malware realicen
un movimiento lateral entre entornos.
72
Como consecuencia, toda la cadena de
suministros está actualmente en riesgo, y
este riesgo no se limita al potencial de causar
disrupciones a las operaciones, sino es peor,
ya que podría tener consecuencias relevantes
en términos de salud y seguridad (por ejemplo,
como resultado del apagado y el control manual
de sistemas a prueba de fallos, fallas físicas
en la infraestructura, equipos que operan
fuera de los parámetros esperados, etc.). Si
no se identifican, monitorean o se les hace
seguimiento a estos riesgos de forma efectiva,
es probable que la organización y sus empleados
terminen siendo expuestos significativamente.
Algunos de nuestros clientes con soluciones
sólidas de monitoreo de seguridad observan un
rápido aumento de nuevos ataques a sistemas
operativos, incluyendo virus que son diseñados
específicamente para atacar estos entornos.
73
L L E VA N D O L A D E L A N T E R A A
LAS AMENAZAS CIBERNÉTICAS
Es necesario realizar un cambio radical en

la cultura y consciencia sobre los riesgos
cibernéticos para resolver la brecha que el “factor
humano” expone, y así lograr la resiliencia y
preparación cibernética. La urgencia se vuelve
más crítica cuando se acepta la ideología de que
ya no se trata de “si” sino de “cuando”.
Las organizaciones necesitan aplicar buenos
principios de gestión de riesgos; y esto comienza
cuando se piensa sobre el asunto de riesgo
cibernético como si fuese un riesgo del negocio.
Entender el panorama de amenazas cibernéticas
es el primer paso fundamental en el cambio para
mejorar la madurez cibernética.
Para realizar el dicho cambio radical, las
compañías necesitan tener un plan definido que
forme parte de su hoja de ruta digital y su plan de
gestión de riesgos. El primer paso es establecer
una línea de base de controles cibernéticos
básicos.
Esta línea de base, respaldada por un enfoque
basado en riesgos para priorizar la inversión
cibernética estratégica a largo plazo, debería
estar alineada con los principales escenarios de
amenazas cibernéticas de las organizaciones.
74
Hay cuatro amenazas cibernéticas clave que siempre están presentes en las organizaciones y pueden
causar un gran impacto en sus operaciones:
1. TI empresarial 2. Mercado del tesoro, 3. Datos personales 4. Tecnología operativa

y aplicaciones negociación financiera y comercialmente
empresariales y comercio de sensibles
productos básicos
Las amenazas asociadas Los grandes desembolsos El aumento de Las amenazas cibernéticas
con la red global de TI, de dinero (por valor y los requisitos de emergentes de la TO
proveedores de servicios volumen) a socios de joint notificación de las están creciendo y están
gestionados, sistemas de ventures, proveedores, violaciones de datos y convirtiéndose en los
planificación de recursos agencias del gobierno, el ritmo acelerado de principales temas de los
(ERP) y soluciones clave compañías internas o las comunicaciones de Directorios, ejecutivos y
en el local o en la nube que externas y clientes de los medios digitales ha reguladores de las industrias
permiten la productividad productos básicos son hecho que todos los de alta capitalización.
del usuario final, sinónimos de la industria negocios pongan mayor
almacenamiento de datos minera. atención a proteger Esto comienza generalmente
y cálculos. sus datos sensibles y con los sistemas
Con el aumento de las personales. fundamentales de la TO en
Cuando estos sistemas estafas del CEO, CFO, AP y lugares operativos, plantas de
se ven comprometidos, el spear-phishing, la procesamiento y empresas de
puede haber incidentes ocurrencia de crímenes servicios públicos; seguidos
de “prioridad uno” que cibernéticos o pagos de redes y sistemas clave de
necesiten atención y/o fraudulentos es una real la TI y la TO que permiten
recuperación inmediata. amenaza. operaciones integradas,
monitoreo y control remoto,
sensible planificación de la
producción y apoyo en la
toma de decisiones.
Para hacer esto posible, las organizaciones deberían adoptar un marco de ciberseguridad para la
identificación constante de brechas, amenazas y acciones fundamentales de control cibernético
necesarias para lograr el perfil de riesgo meta. Creemos que, independientemente del marco adoptado,
se debería aplicar un enfoque basado en riesgos que encaje con el objetivo, tenga un equilibrio entre
“proteger” y “reaccionar” y cumpla los requisitos operacionales de una organización.
75
Enfoque sólido para amenazas cibernéticas
Apetito Activos
organizacional fundamentales
Apetito de
arriba hacia Designado a unidades Definido a nivel
abajo de negocio organizacional
Presupuesto Escenario
Priorización basada en:

• Apetito al riesgo
• Criticidad de activos
Marco de abajo
hacia arriba • Alineación a empresas
similares
• Identificar riesgos reales: planear activos • Gobernar y monitorear el rendimiento:

fundamentales en todos los sistemas y evaluar regularmente el rendimiento y la
negocios. posición del riesgo residual.
• Priorizar lo más importante: suponer que • Optimizar inversiones: aceptar riesgos
ocurrirán violaciones, y mejorar controles y manejables cuando no hay presupuesto
procesos para identificar, proteger, detectar, disponible.
responder y recuperarse de ataques.
• Activar el rendimiento del negocio: hacer
que la seguridad sea responsabilidad de todos.
76
77
Líderes en la Región
Consultoría
Armando Martínez Elder Cama
Socio Líder de Consultoría [email protected]
LATAM NORTE
[email protected] María Conchita Jaimes
[email protected]
Diego León
[email protected]
Carlos López Cervantes

[email protected]
Omar Quesada
[email protected]
Consultoría para la Industria

Financiera
Rafael Sánchez Gustavo Díaz
Socio Líder de FSO [email protected]
LATAM NORTE
[email protected] Roberto Drummond
[email protected]
Ignacio Aldonza
Socio Líder del Segmento Alejandro Magdits
LATAM NORTE [email protected]
[email protected]
Bismark Rodríguez
[email protected]
Miguel Yebra
[email protected]
78
Líderes Locales
Consultoría
Jorge Acosta Elder Cama Marco Orbezo
Socio Líder de Consultoría [email protected] [email protected]
[email protected]
Francisco Escudero Cecilia Ota
[email protected] [email protected]
Giuliana Guerrero Pablo Salvador

Fabiola Juscamaita Renato Urdaneta

Gastón Laurie
[email protected]
Consultoría para la Industria

Financiera
José Carlos Bellina Numa Arellano
Socio Líder de FSO Bolivia, [email protected]
Ecuador y Perú
[email protected] Alejandro Carranza
[email protected]
Jorge De los Ríos

[email protected]
Alejandro Magdits
[email protected]
79
EY | Auditoría | Consultoría | Impuestos | Transacciones y Finanzas Corporativas
Acerca de EY
EY es la firma líder en servicios de auditoría, impuestos,
transacciones y consultoría. La calidad de servicio y conocimientos
que aportamos ayudan a brindar confianza en los mercados
de capitales y en las economías del mundo. Desarrollamos
líderes excepcionales que trabajan en equipo para cumplir
nuestro compromiso con nuestros stakeholders. Jugamos un rol
fundamental en la construcción de un mundo mejor para nuestra
gente, nuestros clientes y nuestras comunidades.
Para más información visite ey.com
© 2019 EY
All Rights Reserved.
Lima
Av. Víctor Andrés Belaunde 171
Av. Jorge Basadre 330
San Isidro - Lima
Teléfono: +51 (01) 411 4444
Descargue nuestras Arequipa

publicaciones en: Av. Bolognesi 407
ey.com/PE/EYPeruLibrary Yanahuara - Arequipa
Teléfono: +51 (054) 484 470
Chiclayo
Av. Federico Villarreal 115, Salón Cinto
Chiclayo - Lambayeque
Teléfono: +51 (074) 227 424
Trujillo
Av. El Golf 591, Urb. Del Golf III Etapa,
Víctor Larco Herrera 13009, Sala Puémape
Trujillo - La Libertad
Teléfono: +51 (044) 608 830
80

Global Information Security Survey (GISS) 2018-2019

Cargado por

Copyright:

Formatos disponibles

Global Information Security Survey (GISS) 2018-2019

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Global Information Security Survey (GISS) 2018-2019

Cargado por

Copyright:

Formatos disponibles

Servicios de Consultoría

The better the question. The better the answer.

Jorge Acosta y José Carlos Bellina

I ¿Preparado para ataques más sofisticados? ...p10

II ¿Cuál es el costo de las amenazas ...p66

Es evidente que las organizaciones continuarán

Paso a paso, las empresas vienen tomando

87% de las organizaciones aún

Luego de que las organizaciones se vieron • Optimizar la ciberseguridad. Detener las

6,4 mil 50%

1 Dark Reading, Agosto 2018.

550 millones US$3.62

Nuestro análisis sugiere que hay un número

9 EY Cibersecurity Summit, Junio 2018.

Más de la mitad de las organizaciones no A medida que las agendas de transformación

¿Cómo cambió el presupuesto total de ciberseguridad de las organizaciones este año?

Este año El próximo año

Global Latam Perú

prevén un aumento en su presupuesto

Carlos López Cervantes Miguel Yebra

¿Cuál es el mayor temor? ¿Y cuáles son las

¿Qué es lo más valioso? Global Latam Perú

No sorprende saber que, la información personal

1. Información del cliente (17%) 1. Phishing (22%)

2. Información financiera (12%) 2. Malware (20%)

3. Planes estratégicos (12%) 3. Ataques cibernéticos (para interrumpir operaciones) (13%)

5. Contraseñas del cliente (11%) 5. Fraude (10%)

6. Información de I&D (9%) 6. Ataques cibernéticos (para robar IP) (8%)

7. Información de fusiones y adquisiciones (8%) 7. Spam (6%)

8. Propiedad intelectual (6%) 8. Ataques internos (5%)

9. IP no patentada (5%) 9. Desastres naturales (2%)

10. Información de proveedores (5%) 10. Espionaje (2%)

Global Latam Perú Global Latam Perú

22% 11% 7% 20% 20% 36%

¿Cuáles son las vulnerabilidades que presentan

Empleados descuidados o inconscientes 34%

Controles de seguridad obsoletos 26%

Acceso no autorizado 13%

Relacionado con el uso de la computación en la nube 10%

Relacionado con los teléfonos inteligentes/tablets 8%

Relacionado con las redes sociales 5%

Relacionado con el internet de las cosas 4%

34% 27% 25%

Global Latam Perú

53% 53% 73%

Elder Cama Alejandro Magdits

¿Cómo se identifican las brechas? ¿Cómo

Las organizaciones coinciden en que es Las compañías verdaderamente

El sector del cuidado de la salud debe almacenar

El sector energético es usuario de tecnologías

El estudio de este año sugiere que el 77% de

¿La función de seguridad de la información

En general, 92% de las organizaciones se Algunas organizaciones pueden sobreestimar

Global Latam Perú

¿Dónde están las brechas? ¿Dónde están los

Global Latam Perú

49% 51% Global Latam Perú

¿Cómo mejoran las organizaciones sus

Las grandes organizaciones

Ejercicios de una vez 39%