com/mx/cybersecurity
Ciberseguridad y privacidad:
De la percepción a la realidad
87%
de las empresas
en México reconocen
haber tenido un
incidente de seguridad.
Contenido
Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Primera Parte
De la percepción a la realidad
1. Impacto de la tecnología en la seguridad y privacidad de la información . . . . 4
2. Ciberseguridad y Tecnologías de Información(TI):
De costo de TI a ventaja de negocio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3. Autenticación: medios y alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4. Frameworks: uso y perspectiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
5. Tendencias en ciberseguridad. Las 4 megatendencias . . . . . . . . . . . . . . . . . 14
Segunda Parte
Privacidad del cumplimiento regulatorio a la mejora de la marca
6. Privacidad de la información, situación actual, retos y perspectivas:
leyes, reglamentos, ...el individuo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
7. Sinergias en la información: sin Internet no hay nube. . . . . . . . . . . . . . . . . . 21
Conclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Metodología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Presentación
Invertir en ciberseguridad y soluciones de privacidad permite a las organizaciones
facilitar el crecimiento del negocio y fomentar la innovación, y a su vez obtener
ventajas competitivas. Y aunque no todas las organizaciones caminan al mismo paso,
lo importante es que algunas ya no ven a la ciberseguridad como una barrera hacia el
cambio o como un costo de Tecnologías de la Información (TI).
En la actualidad, debido a las crecientes amenazas que existen a nivel global en todas
las organizaciones, un gran porcentaje de los Directores quieren escuchar sobre nuevos
enfoques de cómo innovar en temas en ciberseguridad y privacidad de datos. Esto
representa un cambio significativo en la forma de pensar de los ejecutivos, ya que el
contar con un modelo de ciberseguridad facilita el crecimiento del negocio, crea valor en
el mercado y genera confianza de los clientes en la marca.
Por estas razones, PwC Estados Unidos, con la colaboración de CIO y CSO, realizaron la
Global State of Information Security® Survey 2017, una encuesta en la que participaron
más de 10,000 ejecutivos, incluyendo CEO, CFO, CISO, CIO, CSO, vicepresidentes, y
directores de tecnologías en más de 133 países. El resultado es un estudio en el que se
plantea cómo los ejecutivos están adoptando enfoques tecnológicos y de colaboración
en materia de ciberseguridad y privacidad en sus compañías. Temas que son prioritarios
para dimensionar a la ciberseguridad.
En las siguientes páginas se presentan los resultados que se obtuvieron a nivel global
comparándolos con los de México en particular. La finalidad es ubicar al país en el
contexto internacional para evaluar las perspectivas en el tema. Este año la participación
de México represento más del 4% de la participación total del estudio (447 respuestas).
Introducción
2 Ciberseguridad y privacidad
Cambiar la forma en que muchas organizaciones Aunque no todas estas tecnologías son nuevas,
ven a la Ciberseguridad o cibernética es un En México el 44% la forma en que son distribuidas y gestionadas
imperativo que se ha comenzado a abordar: presentan modificaciones que les dan una nueva
el 59% de los encuestados de Global State
de las empresas fisonomía en un entorno más complejo. La nube
of Information Security® Survey 2017 ya se atribuyen los representa un cambio radical que permite crear
encuentra de este lado. Las empresas líderes incidentes de nuevos productos y servicios seguros, los cuales
están integrando ciberseguridad, privacidad son una oportunidad para la integración y
y ética digital, lo que les permite interactuar seguridad a ex mejora de la seguridad cibernética, así como de
mejor con los clientes existentes y nuevos. empleados. las herramientas de privacidad.
Muchas también ven eficiencias en operaciones,
Las soluciones integradas en la nube también
procesos de negocio y en las inversiones en TI.
pueden mejorar la privacidad de los datos,
Esto representa un cambio: ya no se ve a la situación imprescindible dado que los
ciberseguridad como una barrera para la consumidores se preocupan cada vez más por la
transformación o como un costo de TI, porque forma en que se recopilan sus datos.
se entiende que la ciberseguridad puede A medida que la tecnología determina cada
facilitar el crecimiento de la organización, vez más la forma de hacer negocios, los
otorgarle ventajas de mercado y construir la fundamentos de seguridad son la condición sine
confianza de marca. qua non de un programa que conduzca a una
En gran parte, este cambio en el pensamiento ciberseguridad eficaz.
es una consecuencia de la digitalización de Las organizaciones que conocen los
los negocios. A medida que más productos y fundamentos de la ciberseguridad como
servicios de todo tipo se conectan a Internet, la formación de los empleados, políticas
la necesidad de abordar de forma proactiva actualizadas, así como control y compromiso
a la ciberseguridad es una necesidad a la que con la preparación y la capacidad de la
se le suman la privacidad y la confianza; por empresas, probablemente están mejor
consecuencia, las organizaciones con visión de preparadas para manejar ataques simples
futuro están requiriendo un nuevo modelo de y preservar recursos para incidentes más
ciberseguridad que sea ágil y capaz de actuar complejos.
en insumos analíticos y adaptable a la evolución
de riesgos y amenazas. En el núcleo de este Es en este contexto que la Global State of
nuevo enfoque están soluciones como el análisis Information Security® Survey 2017, realizada
de datos, monitoreo en tiempo real, servicios por PwC, examina cómo los ejecutivos están
de seguridad administrados, autenticación y adoptando los enfoques tecnológicos y de
software de código abierto. colaboración en la ciberseguridad y privacidad
para manejar las amenazas y alcanzar ventajas
competitivas. En las siguientes páginas se
presenta un análisis del tema con los datos
particulares de México donde 87% de las
empresas han tenido incidentes de seguridad de
la información, un porcentaje 13 puntos arriba
que la tendencia global.
PwC México 3
Primera Parte
De la percepción a la realidad
1. Impacto de la tecnología en la seguridad y privacidad de la información
2 http://expansion.mx/empresas/2016/09/07/
ciberseguridad-y-la-industria-40-los-retos-en-mexico
Consultado el 4 de noviembre de 2016. 1 www.bloomberg.com/news/articles/2014-03-13/target-missed-warnings-in-epic-hack-of-credit-card-data
4 Ciberseguridad y privacidad
La Secretaría de Economía expuso en un
análisis sobre la adopción de procesos basados
en Internet en diversas industrias, que la
información fundamental se genera a partir
de los datos que se obtienen del consumidor,
de ahí que la ciberseguridad es otro de los
factores a seguir por los profesionales de este
sector, por lo que México requiere de capital
humano capacitado desde la educación básica
para enfrentar los retos que traerá la cuarta
revolución industrial, conocida como industria
4.0, y que trae como consecuencia el desarrollo
de medidas de ciberseguridad.
Datos de la Secretaría de Comunicaciones y
Transportes indican que con el desarrollo y
adopción de Internet, también se incrementan
los riesgos de ataques cibernéticos, que
generan costos en Latinoamérica de casi 90,000
millones de dólares cada año para la industria
y gobiernos. De acuerdo con información de
la Secretaría de Economía, el uso de Internet
se extiende a todas la industrias y actualmente
el valor del mercado de las tecnologías de la
información es de 20,000 millones de dólares.3
44%
Antiguos proveedores
25.7
Crimen organizado
25.1 le asigna estas fugas
Proveedores a ex empleados.
22.8
Hacktivistas
15.4
Entidades y organizaciones extranjeras
11.5
Clientes
10.2
Terroristas
9.7
Estados-nación extranjera
8.4
Servicio de inteligencia interno
8.1
3 http://expansion.mx/empresas/2016/09/07/
ciberseguridad-y-la-industria-40-los-retos-en-mexico
Consultado el 4 de noviembre de 2016.
PwC México 5
Promedio de incidentes de seguridad por empresa
En los últimos 12 meses a nivel global es de 4,782 y en México es de 3,706.
En México
24.4
22.3
16.9
87%
han tenido incidentes
de seguridad
14.9 15.0 de la información.
17.6 13.9 14.0
Esto dato es 13% mayor
que la tendencia global y aun con una
legislación que pide la comunicación
12.1 a los afectados sobre dichos
11.4 8.8 incidentes, las empresas en México
siguen sin comunicarlo.
5.6
3.5 3.2
2.3
1.6
Ninguno 1a2 3a9 10 a 49 50 a 499 500 a 4,999 5,000 a 99,999 100,000 o más
México Global
40%
la operación de la División Científica de la 20.7%
Socio externo o proveedor explotado
Policía Federal, entre otras cosas, México aún
sigue rezagado en este tema con un creciente 19.1%
Los medios sociales / ingeniería social explotada
impacto negativo. De acuerdo con el “Índice de los incidentes de
Global de Seguridad 2014” liberado a inicios 14.4% seguridad de la
No sé
del año en curso por la Unión Internacional información son los
3.7%
de Telecomunicaciones (UIT), el país cuenta ataques de phising.
con un bajo nivel de preparación ante
ciberamenazas.4
4 http://the-ciu.net/nwsltr/381_1Distro.html consultado el 4
de noviembre de 2016.
6 Ciberseguridad y privacidad
Impacto de los incidentes de seguridad Las organizaciones no comparten
Datos de clientes información con otros,
41.5%
comprometidos
32.1%
incluida su competencia
Datos de empleados La preocupación por los datos personales (privacidad)
comprometidos 38.1%
42.1
31.2
La falta de un marco de intercambio de información
Pérdidas financieras 33.7% 39.3
22.9 Tecnologías incompatibles de intercambio de información
38.3
Correos electronicos de
negocio comprometidos
30.0% La preocupación por las demandas
25.9 32.7
Pérdida o daño de los Estándares de datos incompatibles
registros internos 29.2% 31.8
26.5 No confia en las fuentes de información externas
El robo de propiedad
27.7% 25.2
intelectual
La información externa no es fiable
21.9
21.5
Pérdida de clientes 22.5% Desconfiamos de nuestros competidores
13.2 18.7
Ransomware implantado
en los sistemas 19.1%
16.6
México Global
PwC México 7
2. Ciberseguridad y Tecnologías de Información(TI):
De costo de TI a ventaja de negocio
6 http://www.ponemon.org/news-feed-sign-up consultado
el 4 de noviembre de 2016. 5 https://www.washingtonpost.com/news/the-switch/wp/2014/12/18/the-sony-pictures-hack-explained/
8 Ciberseguridad y privacidad
La principal fuente
de incidentes de seguridad De gasto de TI a la ventaja de negocio
en México se atribuye Explora nuestra línea de tiempo interactivo de eventos
a los dispositivos móviles. que redefinen ciberseguridad y privacidad
1 de cada 5 empresas
en México no sabe si su
programa de seguridad
y privacidad están integrados. 1989 2009 2016
Primera tableta El término 50% de los encuestados
diseñada para consumo BYOD es usado tienen una estrategia para
por primera vez dispositivos móviles
Ge
de base y normas
ic
st
Autenticación nt ión
avanzada
Aute de seguridad para
empleados, clientes,
Adaptativa
proveedores y/o
Tokens vendedores externos
PwC México 9
3. Autenticación: medios y alcance
7 http://www.eluniversal.com.mx/articulo/techbit/2016/09/23/roban-informacion-de-500-millones-de-cuentas-de-yahoo.
10 Ciberseguridad y privacidad
65% de las empresas en México piensan en
métodos avanzados de autenticación para
mejorar la confianza del cliente o socio
de negocio. Esta tendencia es 20% mayor
de la tendencia global. Las tecnologías de
Las tecnologías de autenticación avanzada más usadas autenticación son variadas y aunque ya los
y las que se buscan implementar en los próximos 12 meses usuarios están más familiarizados con los
sistemas que escanean sus huellas dactilares,
el iris de sus ojos o incluso registran el tono
Actual ...en 12 meses de su voz para brindarles acceso a contenidos
% %
Múltiples factores
o información personal, nuevas técnicas
de autenticación 55.4 Biométricos 33.1 se introducen para mejorar a las que les
antecedieron. Se pasó de una primera etapa con
Tokens en los Teléfonos 58.0 Tokens de Software 34.3 las contraseñas a un segundo paso de la mano
del llamado “control lógico de acceso” cuyo
Llaves criptográficas 66.0 Tokens de Hardware 34.3 objetivo es el de reemplazar esas contraseñas
por un aspecto biométrico, en la mayoría de
los casos, el iris del ojo. Después de esto se
Tokens de Hardware 67.2 Llaves criptográficas 37.2 llegó a la biometría integrada o embedded,
la cual vendrá dentro de los dispositivos que
Tokens de Software 68.2 Tokens en los Teléfonos 45.9 interactúan, funcionan o ejecutan una serie de
tareas específicas en reacción a su “dueño”. Hoy
Biométricos 71.0 Múltiples factores
48.0 ya lo vemos en algunos teléfonos inteligentes.
de autenticación
Qué impacto tiene el uso de las Los servicios de seguridad más comunes
tecnologías avanzadas de autenticación que son administrados por un tercero
Mejora de la La gestión de
confianza del cliente 65.4 identidad y acceso 71.5
45.0 60.5
Mayor protección
contra el fraude 59.2 Autenticación 70.0
47.5 64.2
Las transacciones en línea son
más seguras 52.8 DLP 66.5
46.4 60.8
Mejora de la experiencia Monitoreo y análisis
del cliente 52.4 en tiempo real 59.7
39.0 54.8
Mejora en el cumplimiento Inteligencia
regulatorio
43.4 ante amenazas 57.4
38.9 48.3
Protección
México Global de punto final 48.8
45.9
Actualizaciones de
administración de parches 30.3
33.0
México Global
PwC México 11
4. Frameworks: uso y perspectiva
8 www.bloomberg.com/news/articles/2016-10-10/jpmorgan-hack-fugitive-said-to-seek-u-s-deal-from-
russian-cell
12 Ciberseguridad y privacidad
El Instituto Nacional de Normas y Tecnología interesadas internas y externas. COBIT 5 une los
La principal (NIST por sus siglas en inglés, National cinco principios que permiten a la organización
inversión en Institute of Standards and Technology) es una construir un marco efectivo de Gobierno y
agencia de la Administración de Tecnología Administración basado en una serie holística de
Privacidad en del Departamento de Comercio de los siete habilitadores, que optimizan la inversión
México para los Estados Unidos. La misión de este Instituto en tecnología e información así como su uso
es promover la innovación y la competencia en beneficio de las partes interesadas. COBIT
próximos meses industrial mediante avances en metrología, 5 es emitida por la Asociación de Auditoría y
es la Formación normas y tecnología, de forma que mejoren Control de Sistemas de Información (ISACA,
la estabilidad económica y la calidad de vida. por sus siglas en inglés Information Systems
y Sensibilización El NIST ha resumido los siguientes estándares Audit and Control Association), una asociación
de los empleados. de seguridad que se refieren a los requisitos internacional que apoya y patrocina el desarrollo
mínimos de cualquier sistema: identificación y de metodologías y certificaciones para la
autenticación, roles, transacciones, limitaciones realización de actividades auditoría y control en
a los servicios, modalidad de acceso, ubicación sistemas de información.
y horario, control de acceso interno, control de
La seguridad es un aspecto de gran
acceso externo y administración.
importancia, por ello que se le debe dar una
COBIT 5 proporciona un marco integral que consideración primordial como parte del diseño
ayuda a las organizaciones a lograr su metas de la arquitectura. Considerar la seguridad
y entregar valor mediante un gobierno y desde el principio y usar Frameworks para
una administración efectivos de la TI de la soportarla puede dar excelentes resultados.
organización. Permite que las tecnologías de
la información y relacionadas se gobiernen y
administren de una manera holística a nivel
de toda la organización, incluyendo el alcance
completo de todas las áreas de responsabilidad
funcionales y de negocios, considerando los
intereses relacionados con la TI de las partes
PwC México 13
5. Tendencias en ciberseguridad. Las 4 megatendencias
PwC, CIO and CSO, The Global State of Information Security Survey2017,
October 5, 2016 PwC, CIO and CSO, The Global State of Information Security Survey 2017, October 5, 2016
9 www.cnn.com/2013/06/03/world/wikileaks-fast-facts
14 Ciberseguridad y privacidad
Existen cuatro megatendencias: proyección
al negocio digital, inteligencia ante las
amenazas, Internet de las cosas (IoT, por
sus siglas en inglés Internet of Things)
y amenazas geopolíticas. Es importante
considerar que, dependiendo de la industria, Medidas de seguridad en las que se planea
en algunos casos sí estamos respondiendo invertir en los próximos 12 meses en México
pero en otros no estamos tan listos.
Hay industrias en las que IoT será impulsado
fuertemente, como los sectores asegurador y de
transporte; los transportistas van a querer tener
sensores dentro de sus camiones o autobuses,
por ejemplo. El sector industrial también va
a comenzar a ocuparlo porque quiere tener 54.6% 55.6% 57.9%
un sensor que le diga cuando una máquina Soluciones Seguridad Mejora de la colaboración entre
funciona o cuando no. El gobierno podría de código para IoT las prioridades de negocio,
utilizar tecnología IoT para diferentes áreas, por abierto estrategia digital y TI
ejemplo autoconfigurar los semáforos con la
interacción con aplicaciones de transporte para
evitar más tráfico. La pregunta importante en
esta megatendencia es ¿qué tan listos estamos
para adoptarlo e impulsarlo?.
Volver a la adopción global de TI o volver
digitales los negocios es una tendencia que corre
de prisa. Muchos negocios están pasando de
tener un local físicamente a tener un “espacio”
digital. La industria de la música y las películas
es un claro ejemplo, en esta se ha reconfigurado
el medio y replanteado los alcances. Pero se debe
tomar en cuenta al pasar de los negocios físicos El negocio digital…
a los digitales qué tanto los estoy asegurando.
La pregunta se plantea también a los negocios
que surgen en el medio digital. La respuesta
para muchos que han iniciado en la nueva era:
aseguramiento desde la concepción de nuevas
59%
dice que la digitalización
tecnologías, ya que es mas caro remediar que
del ecosistema de negocio
diseñar sistemas con la ciberseguridad requerida ha impactado en el gasto
desde el inicio para evitar fracasos porque el de seguridad.
mundo es mucho más digital.
PwC, CIO and CSO, The Global State of Information Security Survey2017,
October 5, 2016
46%
Invierte en seguridad
51% Mejorar la integración entre el negocio, la estrategia digital y TI.
46% nuevos requeirmientos de cibersgeuridad relacionados
a la evolución del modelo de negocio.
PwC México 15
Respecto a la inteligencia ante las amenazas. La cuarta megatendencia se refiere a las
Para responder a esta megatendencia se En México 79.4% amenazas geopolíticas. Las amenazas
requiere una acción básica: comunicar y de las empresas geopolíticas son incipientes, ¿qué pasaría si
tener en claro que una cosa son las fugas de alguien ataca un sistema SCADA de energía
información y otra compartir información usan servicios eléctrica y ocasiona un apagón en una gran
que es útil para el funcionamiento de una administrados zona de un país y después llega una invasión
industria. o un bombardeo o un robo de información?
para el manejo de La pregunta se presenta como irreal y a la vez
Es un hecho que la mayoría de las empresas
no comparten los ataques que están teniendo: sus requerimientos amenazadora, sin embargo es un tema que no
se debe soslayar. A nivel gobierno, en los planes
cómo se dieron cuenta y cuál fue su respuesta. de ciberseguridad de seguridad tienen que estar contemplados los
Comunicar es importante para despertar
dudas, establecer estrategias y hacer un
y privacidad. planes de ciberseguridad.
“frente común”. Actualmente hay planes pero aislados. En
43% de las empresas Estados Unidos desde hace tres años existe
La inteligencia ante las amenazas es una
tendencia que tenemos que ocupar, porque en México planea la posición de un CISO (Chief Information
Segurity Oficial) del gobierno; ha pasado
si vamos al tema de analíticos se tiene que mover datos mucha gente por ese puesto pero no se quedan
conocer cierto tipo de información para
cruzarla y hacer el análisis. En México nos sensibles a la nube por mucho tiempo. En México no existe el
Director de Seguridad de la Información en
tenemos que quitar la falsa creencia de no en los próximos muchas de las secretarias o subsecretarias
contar sobre “mis ataques” porque algo malo
pasará. Tenemos que cambiar la cultura para
12 a 18 meses. de Estado. En 2012 se creó el MAAGTIC
(Manual Administrativo de Aplicación
hacer frente a algo que es inminente.
General en Tecnologías de Información y
Empleados
Empleados actuales
34.3%
Ex Empleados
31.2%
Proveedores
Proveedores actuales
15.4%
Ex proveedores
11.5%
Surtidores o socios comerciales
9.7%
Proveedores de información
8.4%
16 Ciberseguridad y privacidad
Comunicaciones) y después lo cambiaron El país más avanzado en ciberseguridad
al MAAGTIC-SI (Manual Administrativo El costo promedio es Estados Unidos. Desde los ataques
de Gestión de Tecnologías de Información, de un incidente terroristas del 11 de Septiembre, el gobierno
Comunicación y Seguridad de la Información), norteamericano invirtió grandes cantidades
y armaba un Framework donde decía que áreas de seguridad de dinero, recursos y tecnología para poder
debía tener una organización y qué funciones es el 32% monitorear a todo el mundo, esto lo tuvimos
cumplir. Pero el número de organizaciones más claro a partir de la información liberada
gubernamentales que cumplen con el MAGTIC- del presupuesto de por Edward Snowden y Wikileaks sobre las
SI es muy bajo porque no hay una motivación. seguridad actividades del gobierno norteamericano.
Próximamente entrará en vigor la Ley General Tenemos claro que en este caso: mayor
de Protección de Datos Personales en Posesión de la información. seguridad generó menor privacidad. La balanza
de Sujetos Obligados, lo cual pretende cambiar entre seguridad y privacidad debe ser el
el panorama para generar una cultura de equilibrio fundamental.
ciberseguridad y privacidad en el sector público.
Estados Unidos ha invertido mucho en
seguridad a costa de la privacidad de las
personas, caso contrario está sucediendo en
Europa donde sí están preocupados por la
seguridad, pero el tema de la privacidad lo
ven como un tema de Derechos Humanos y
no van a dejar que la seguridad tome un papel
preponderante.
38%
23% 23% 23%
PwC México 17
Segunda Parte
Hace 20 años el concepto de privacidad era La ley mexicana fue la primera en considerar
claro: “si yo estoy en un lugar privado tengo la privacidad de datos en la nube (en el En México 31%
privacidad”, se conectaba con un tema de la Reglamento del 2011), ninguna otra regulación de las organizaciones
localización en el que estábamos; sin embargo, hablaba sobre estos temas.
con el uso de la tecnología no es así porque al creen que sus
La Ley Federal de Protección de Datos
estar conectado a Internet la privacidad física
Personales en Posesión de los Particulares incidentes
sigue siendo la misma pero la digital no. Esta
situación ha hecho que a nivel mundial las leyes
(LFPDPPP) tiene seis años; al inicio daba ciertos de seguridad
periodos y tiempo para implementar acciones.
en privacidad repunten. Las leyes de privacidad
La mayoría de las empresas han hecho un son provocados por
más antigua son las Nórdicas, que existen desde
los años setenta; en el siglo pasado. Mucho
modelo de iceberg que se han fundamentado sus competidores.
en que deben tener un aviso de privacidad para
de lo que refieren las legislaciones iniciales
cumplir con la ley. La gran problemática no es
era sobre la privacidad en papel más no en
técnica ni legal, sino entender los por qué y para
cuestiones digitales.
qué de la información (finalidades, tratamientos
y transferencias). Para atender los gaps de la
legislación en el sector público, entrará en vigor
la Ley General de Datos Personales en Posesión
de Sujetos Obligados.
10 http://www.jornada.unam.mx/2016/04/28/politica/007n1pol
18 Ciberseguridad y privacidad
La Ley tiene por objeto establecer las bases,
principios y procedimientos para garantizar el
derecho que tiene toda persona a la protección
de sus datos personales en posesión de los
sujetos obligados y son objetivos de la ley
distribuir competencias entre los organismos
garantes de la Federación y las entidades
federativas en materia de protección de datos ¿Su programa de seguridad de la información
personales.11
está integrado con el de Privacidad?
La legislación establece las bases mínimas
y condiciones homogéneas que regirán el
tratamiento de los datos personales y el ejercicio
de los derechos de Acceso, Rectificación,
21%
No sabe
Cancelación y Oposición (ARCO) mediante
procedimientos sencillos y expeditos. También
regula la organización y operación del Sistema
Nacional de Transparencia, Acceso a la 51%
Información y Protección de Datos Personales Integrado
en lo relativo a sus funciones para la protección
de datos personales en posesión de los sujetos 28%
obligados. Separado
Otras de sus características es que garantiza
la observancia de los principios de protección
de los datos; proteger los datos personales
en posesión de cualquier autoridad, entidad,
órgano y organismos, de los poderes Ejecutivo,
Legislativo y Judicial; órganos autónomos,
La función de Privacidad enfocada al Cumplimiento
partidos políticos, fideicomisos y fondos
públicos de la Federación, las entidades
federativas y los municipios, con la finalidad de
regular su debido tratamiento.
Además, busca garantizar que toda persona
puede ejercer el derecho a la protección de
los datos personales, así como promover,
fomentar y difundir una cultura de protección
74% 60% 56%
de datos personales; establecer los mecanismos Reducir el riesgo Cumplimiento Mejorar la confianza
de incidentes con las regulaciones en la marca
para garantizar el cumplimiento y la efectiva
de privacidad de privacidad
aplicación de las medidas de apremio que
correspondan para aquellas conductas que
contravengan las disposiciones previstas en
la ley. Otro de sus propósitos es regular los
medios de impugnación y procedimientos
para la interposición de acciones de
inconstitucionalidad y controversias
constitucionales, por parte de los organismos
garantes locales y la Federación.
11 http://comunicacion.senado.gob.mx/index.php/
informacion/boletines/28409-senado-aprueba-la-ley-
general-de-proteccion-de-datos-personales-en-posesion-
de-sujetos-obligados.html consultado el 6 de noviembre de
2016.
PwC México 19
Gastos en seguridad de la información En los próximos 12 meses
El mayor aumento del gasto en seguridad de la información en los próximos 12 meses
será en redes sociales.
las tecnologías que se
Formación y sensibilización de Privacidad
piensan implementar en
45.9% México para la autenticación
Evaluaciones de Privacidad
44.8% de los usuarios son: 1)
Politicas y procedimientos de Privacidad Las claves criptográficas
43.4%
BigData 2) tokens desde teléfonos
42.0%
Aseguramiento de terceros
inteligentes y 3) Factores de
41.7% autenticación múltiples.
Computación en la nube
35.2%
Gobierno de Privacidad
34.7%
Privacidad de respuesta a incidentes
34.5%
Riesgos de dispositivos móviles
33.6% Esto significa, entre otros puntos, que habrá
Mapeo de datos e inventario una persona encargada en la seguridad/
31.2% privacidad de la información. Empezaremos a
IoT hablar de que la autoridad tiene que proteger
15.4% esa información. Pero un aspecto que preocupa
es que no hay suficientes especialistas en la
materia ni de seguridad ni de privacidad.
A nivel mundial y la tendencia es a que
la privacidad se va a volver un tema más
importante, desgraciadamente las empresas
reaccionan cuando la autoridad inicia la
imposición de penas, multas y sanciones.
La Privacidad es una preocupación para las empresas
Inversión de las empresas en los próximos 12 meses Con la Ley se van a alinear, en cierta forma, la
información que recopilen las empresas con la
del gobierno, lo que va a generar una cultura
en el largo plazo. Hay ejemplos del proceso; en
España con la ley en los años 90, le tomo varios
años entrar en toda capacidad y funcionalidad,
pero actualmente la Agencia Española en
Protección de Datos es muy reconocida en la
46% 45% 43% 42% 42% protección de los datos.
Actualmente Europa con el Reglamento
General de Protección de Datos (GDPR, por
Formación y Evaluaciones Politicas y Big Data y Aseguramiento sus siglas en inglés) tiene la intención de
sensibilización de Privacidad procedimientos Analiticos de terceros reforzar y unificar la protección de datos para
en Privacidad de Privacidad los individuos dentro de la Unión Europea. El
GDPR contempla multas de hasta un 4% de las
utilidades de las empresas.
20 Ciberseguridad y privacidad
7. Sinergias en la información: sin Internet no hay nube
Antecedentes de la nube
El concepto básico del cloud computing o computación en nube
se le atribuye a John McCarthy, responsable de introducir el término
“inteligencia artificial”. En 1961 fue el primero en sugerir públicamente
que la tecnología de tiempo compartido (Time-Sharing) de las
computadoras podría conducir a un futuro donde el poder del cómputo
e incluso aplicaciones específicas podrían venderse como un servicio.
El concepto de una red de computadoras capaz de comunicar usuarios
en distintas computadoras fue formulado por J.C.R. Licklider de Bolt.
En 1996, Douglas Parkhill con su libro llamado “El desafío de la utilidad
de la computadora” exploró a fondo muchas de las
características actuales de la computación en nube, así como
la comparación de la industria eléctrica y el uso de las formas
públicas, privadas, comunitarias y gubernamentales.
En 1999 Salesforce.com introdujo el concepto de entrega de aplicaciones
empresariales a través de una sencilla página web. Le siguió en
2002 Amazon al lanzar Amazon Web Service. En 2006 llegó Google
Docs, que realmente trajo el cloud computing a la vanguardia de la
conciencia del público. 2006 también vio la introducción de Elastic
Compute Cloud de Amazon (EC2) como un servicio web comercial que
permitió a las empresas pequeñas y particulares alquilar equipos en
los que pudieran ejecutar sus propias aplicaciones informáticas.
En 2007 siguió una colaboración entre empresas de tecnología y una serie
de universidades de los Estados Unidos. Luego, en 2008, vino Eucalyptus
como la primera plataforma de código abierto compatible para el
despliegue de clouds privados; le siguió OpenNebula, el primer software
de código abierto para la implementación de nubes privadas e híbridas.
Microsoft es parte de la historia entró hasta 2009 con el lanzamiento de
Windows Azure. En 2010 surgieron servicios en distintas capas de servicio:
cliente, aplicación, plataforma, infraestructura y servidor. En 2011,
Apple lanzó su servicio iCloud, un sistema de almacenamiento en la nube
para documentos, música, vídeos, fotografías, aplicaciones y calendarios
que prometía cambiar la forma en que usamos la computadora.12
12 https://cloudsecurityalliance.org/history
PwC México 21
90% de las empresas a nivel global piensan
tener al menos 25% de su información en la nube La computación en nube ha recorrido un largo
camino desde que fue marcada por primera vez
como una perspectiva de futuro por parte de
No 1.0 algunos investigadores. El cloud computing o
1.2 cómputo en la nube es una evolución natural de
1% a 24% 7.9 la adopción generalizada de la virtualización,
la arquitectura orientada a servicios y utilidad
9.9 del cómputo. La idea básica es que los usuarios
25% a 49% 26.5 finales ya no necesitan tener conocimientos o el
25.6 control sobre la infraestructura de tecnología en
la nube que los apoya.
50% a 74% 33.4
32.7 La nube traslada archivos y programas a un
conjunto de servidores a los que se accede a
75% a 99% 22.8
través de Internet y abrirlos, utilizarlos o usar
18.8
programas que no están en el equipo, sino en
100% 7.2 los servidores de la nube.
6.8 México Global
La gran mayoría de las personas ya la están
utilizando aunque no sean conscientes de
ello. Al tener una cuenta de Facebook, Gmail,
Hotmail, Twitter, etc. Ya se hace uso de la nube
la cual tiene una serie de ventajas, pero también
inconvenientes.
Datos sensibles a la nube
Entre las ventajas se encuentra: acceso desde
35% 43% cualquier sitio y con varios dispositivos; el
software se concentra en un solo sitio; ahorro
en software y hardware, ya que un mismo
programa lo comparten muchos usuarios sin
necesidad de tener que comprar una copia
individual para cada uno de ellos, lo que
abarata el precio de las aplicaciones; ahorro en
mantenimiento técnico; escalabilidad, ya que se
puede crecer para responder a necesidades más
Ya han movido datos Planea mover datos exigentes, lo que es crucial sobre todo para las
sensibles a la nube sensibles a la nube en los empresas porque optimizan los recursos en todo
próximos 12 a 18 meses momento.
TI Operaciones Servicio al
consumidor
34% 32%
22 Ciberseguridad y privacidad
La mayoría de los participantes gastan menos del 20%
de su presupuesto de seguridad en la nube La seguridad y la privacidad es un tema que
se podría ubicar tanto en las ventajas como en
los inconvenientes, dependiendo del punto de
3%
No sabe
vista. La (falta de) seguridad y privacidad se
debe a que todos los archivos –o muchos de
ellos– pasan de estar en una PC o en un servidor
82.5% en las instalaciones de alguna organización
Menos del 20% 14.5% a almacenarse fuera, lo que implica dejar
de tener control sobre ellos. Si no se revisan
Más del 20% correctamente los términos y condiciones no
se podrá estar seguro de quién accede a esa
información o si está o no protegida como
debe ser.
Tanto organizaciones como individuos se ven
obligados a confiar informaciones internas y
confidenciales a un tercero, que puede o no ser
fiable, por lo mismo es importante tener los
sistemas correctos de monitoreo, ya que al estar
La mayoría de los participantes gastan menos del 20% en la nube un hacker podría acceder con mayor
facilidad y el botín sería mayor.
de su presupuesto de seguridad en la nube
Los servidores que usa la nube pueden estar en
cualquier parte del mundo. Si hay problemas,
25% 27% no está claro qué ley debe aplicarse o si ésta
12% podrá proteger al cliente; y como la información
de los clientes ya no está en sus manos, pueden
surgir problemas sobre a quién pertenece, y esto
a su vez puede llevar a situaciones delicadas,
México 25% Global por ejemplo si el cliente pretende cambiar
su proveedor o si quiebra o comete alguna
ilegalidad.
4.4%
No sabe
PwC México 23
Conclusiones Servicios de seguridad administrada
A partir de que la OCDE desarrolló las Directrices de Seguridad Las dos categorías
de los Sistemas de Información en 1992, el uso de los sistemas
y redes de información, así como el entorno tecnológico de Servicios de protección Servicios de analíticos
y prevención e inteligencia
la información han registrado grandes cambios que ofrecen
un sinnúmero de ventajas pero que obligan a los gobiernos, Identidades y Accesos, Los que se comprometen a
organizaciones públicas y privadas, así como usuarios que DLP o Administración detectar y responder
desarrollan, poseen, proporcionan o administran estos servicios de dispositivos. ante amenazas.
y usan sistemas o redes de información, pongan mayor atención
a los aspectos relacionados con la seguridad.
La tendencia es ofrecer capacidades integradas
Actualmente los participantes se encuentran más
interconectados y la interconexión se extiende más allá de las Con tecnologías sofisticadas y personal altamente capacitado
fronteras nacionales. Internet ha borrado los límites y forma ofrecen operaciones de seguridad 24x7 para detectar y
parte de la infraestructura de sectores estratégicos; desempeña responder a las nuevas amenazas de forma rápida.
un papel fundamental en la forma en que las compañías realizan
sus transacciones comerciales, los gobiernos proporcionan Apoyo en la gestión de la tecnología y las personas para
servicios a sus ciudadanos, y las empresas y los ciudadanos mejorar las inversiones y continuamente mejorar los procesos
intercambian información de manera individual. de seguridad cibernética.
Como resultado de esta creciente interconexión, los sistemas y
las redes de información son más vulnerables al estar expuestos Los equipos de seguridad interna pueden ser liberados
a un creciente número de amenazas, lo que hace que surjan para centrarse en las actividades estratégicas.
retos en materia de seguridad. ¿Quiénes deben participar para
resolver los problemas?
Cada participante de acuerdo con el papel que desempeña
deberá ser consciente de los riesgos de seguridad y las medidas
preventivas que sean oportunas. Sin embargo, se requiere de una
cultura para que todos los involucrados promuevan el crecimiento
en materia de seguridad como un objetivo importante. Gastos en seguridad de la información
El mayor aumento del gasto en seguridad de la información en los próximos
Concientización, responsabilidad y ética son fundamentales para 12 meses será en redes sociales.
llevar a cabo evaluaciones de riesgo que permitan identificar
Mejoras en la seguridad de las redes sociales
amenazas y vulnerabilidades alrededor de la tecnología, factores
físicos y humanos y políticas, así como factores de terceros que 75.0
Medidas de detección y prevención de malware
tengan repercusión en la seguridad.
70.2
La evaluación del riesgo permitirá determinar los niveles Mejora de la infraestructura de seguridad
aceptables de seguridad conforme los determinantes vayan 68.8
evolucionando. Uno de ellos es la privacidad de la información Mejoras de protección de datos
que representa como hemos observado en los casos que 68.8
hemos mostrado, el talón de Aquiles. ¿Qué se requiere para Inteligencia de amenazas
24 Ciberseguridad y privacidad
Metodología
Datos relevantes
El Estudio de Seguridad de la Información en México 2017 se
basa en las respuestas obtenidas del estudio Global State of
Information Security Survey 2017 realizado por PwC a nivel 44.4%, casi la mitad
global por medio de una encuesta electrónica aplicada entre el 4 de los participantes
de abril y el 3 de junio de 2016. están en organizaciones
Este estudio a nivel global se ha realizado durante 16 años de 1,000 a 20,000 empleados.
por PwC en conjunto con las revistas CIO y CISO. Se encuesta
a más de 133 países obteniendo más de 10,000 respuestas a
nivel mundial, de las cuales México aportó 447, teniendo una 64.5% de los participantes
participación del 4.47%. trabajan en empresas de más
El cuestionario con el cual fue generado este reporte responde a de 1,000 empleados.
más de 40 preguntas relacionadas a seguridad y privacidad de
la información las cuales van alineadas con el negocio y con las 2/3 partes de los participantes
tendencias globales.
tienen más de 50 empleados
El margen de error es menor al 1%, los números pueden no dedicados a TI.
sumar el 100% debido al redondeo. El perfil de los participantes
de México el 74% es C-Suite.
75% de las empresas participantes
gastan más de 1 millón de dólares
al año en TI. El promedio mundial
es 138 millones de dólares,
y en México se gastan 129 millones.
74%
1.6
Chief Risk Officer
0.9
Chief Privacy Officer
de los participantes
0.7 de México son altos
directivos.
PwC México 25
Contactos
Fernando Román
Socio Cyber Security & Privacy Solutions
Risk Assurance
fernando.roman@mx.pwc.com
(55) 5263 5898
Yonathan Parada
Socio Cyber Security & Privacy Solutions
yonathan.parada@mx.pwc.com
(81) 8881 4106
www.pwc.com/gsiss
www.pwc.com/mx/cybersecurity
Esta publicación se elaboró exclusivamente con el propósito de ofrecer orientación general sobre algunos temas de interés, por lo que no debe
considerarse una asesoría profesional. No es recomendable actuar con base en la información aquí contenida sin obtener la debida asesoría profesional.
No garantizamos, expresa o implícitamente, la precisión o integridad de la información de la presente publicación, y dentro de los límites permitidos por la
ley, PricewaterhouseCoopers, S.C., sus miembros, empleados y agentes no aceptan ni asumen ninguna responsabilidad, deber u obligación derivada de
las acciones, decisiones u omisiones que usted u otras personas tomen con base en la información contenida en esta publicación.
En PwC México somos líderes responsables, comprometidos con la comunidad, el cuidado del medio ambiente y nuestra gente, quien vive la diversidad
e inclusión como parte de la cultura de PwC.
cuales constituye una entidad legal independiente. Favor de ir a www.pwc.com/structure para obtener mayor información al respecto.