www.pwc.

com/mx/cybersecurity

Ciberseguridad y privacidad:
De la percepción a la realidad

87%
de las empresas
en México reconocen
haber tenido un
incidente de seguridad.
 Contenido
Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Primera Parte
De la percepción a la realidad
1. Impacto de la tecnología en la seguridad y privacidad de la información . . . . 4
2. Ciberseguridad y Tecnologías de Información(TI):
De costo de TI a ventaja de negocio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3. Autenticación: medios y alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4. Frameworks: uso y perspectiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
5. Tendencias en ciberseguridad. Las 4 megatendencias . . . . . . . . . . . . . . . . . 14

Segunda Parte
Privacidad del cumplimiento regulatorio a la mejora de la marca
6. Privacidad de la información, situación actual, retos y perspectivas:
leyes, reglamentos, ...el individuo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
7. Sinergias en la información: sin Internet no hay nube. . . . . . . . . . . . . . . . . . 21

Conclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Metodología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Presentación
Invertir en ciberseguridad y soluciones de privacidad permite a las organizaciones
facilitar el crecimiento del negocio y fomentar la innovación, y a su vez obtener
ventajas competitivas. Y aunque no todas las organizaciones caminan al mismo paso,
lo importante es que algunas ya no ven a la ciberseguridad como una barrera hacia el
cambio o como un costo de Tecnologías de la Información (TI).

En la actualidad, debido a las crecientes amenazas que existen a nivel global en todas
las organizaciones, un gran porcentaje de los Directores quieren escuchar sobre nuevos
enfoques de cómo innovar en temas en ciberseguridad y privacidad de datos. Esto
representa un cambio significativo en la forma de pensar de los ejecutivos, ya que el
contar con un modelo de ciberseguridad facilita el crecimiento del negocio, crea valor en
el mercado y genera confianza de los clientes en la marca.

Por estas razones, PwC Estados Unidos, con la colaboración de CIO y CSO, realizaron la
Global State of Information Security® Survey 2017, una encuesta en la que participaron
más de 10,000 ejecutivos, incluyendo CEO, CFO, CISO, CIO, CSO, vicepresidentes, y
directores de tecnologías en más de 133 países. El resultado es un estudio en el que se
plantea cómo los ejecutivos están adoptando enfoques tecnológicos y de colaboración
en materia de ciberseguridad y privacidad en sus compañías. Temas que son prioritarios
para dimensionar a la ciberseguridad.

En las siguientes páginas se presentan los resultados que se obtuvieron a nivel global
comparándolos con los de México en particular. La finalidad es ubicar al país en el
contexto internacional para evaluar las perspectivas en el tema. Este año la participación
de México represento más del 4% de la participación total del estudio (447 respuestas).
Introducción

Actualmente, la mayoría de las empresas

son fundamentalmente digitales,
y las aplicaciones se están convirtiendo
en la columna vertebral de operaciones,
productos y servicios. Cada vez más,
las organizaciones están explorando
nuevas oportunidades para crear valor
y ventajas competitivas integrando la
información y el acceso a ésta, así como
la privacidad, además de la analítica
de los datos para potencializarlos.
Sin embargo, la seguridad que es
un factor primordial no ha tenido
un papel relevante generalizado.
“A mi no me sucederá” se ha convertido
en un cliché para algunas compañías
que no han visto que la seguridad de
la información se convierte en parte
de lo que muchas empresas están
ofreciendo para asegurar la confianza
del cliente y el éxito de la operaciones.

2 Ciberseguridad y privacidad
Cambiar la forma en que muchas organizaciones
ven a la Ciberseguridad o cibernética es un
imperativo que se ha comenzado a abordar:
el 59% de los encuestados de Global State
of Information Security® Survey 2017 ya se
encuentra de este lado. Las empresas líderes
están integrando ciberseguridad, privacidad
y ética digital, lo que les permite interactuar
mejor con los clientes existentes y nuevos.
Muchas también ven eficiencias en operaciones,
procesos de negocio y en las inversiones en TI.
Esto representa un cambio: ya no se ve a la
ciberseguridad como una barrera para la
transformación o como un costo de TI, porque
se entiende que la ciberseguridad puede
facilitar el crecimiento de la organización,
otorgarle ventajas de mercado y construir la
confianza de marca.
En gran parte, este cambio en el pensamiento
es una consecuencia de la digitalización de
los negocios. A medida que más productos y
servicios de todo tipo se conectan a Internet,
la necesidad de abordar de forma proactiva
a la ciberseguridad es una necesidad a la que
se le suman la privacidad y la confianza; por
consecuencia, las organizaciones con visión de
futuro están requiriendo un nuevo modelo de
ciberseguridad que sea ágil y capaz de actuar
en insumos analíticos y adaptable a la evolución
de riesgos y amenazas. En el núcleo de este
nuevo enfoque están soluciones como el análisis
de datos, monitoreo en tiempo real, servicios
de seguridad administrados, autenticación y
software de código abierto.
Aunque no todas estas tecnologías son nuevas,
En México el 44% la forma en que son distribuidas y gestionadas
presentan modificaciones que les dan una nueva
de las empresas fisonomía en un entorno más complejo. La nube
atribuyen los representa un cambio radical que permite crear
incidentes de nuevos productos y servicios seguros, los cuales
son una oportunidad para la integración y
seguridad a ex mejora de la seguridad cibernética, así como de
empleados. las herramientas de privacidad.
Las soluciones integradas en la nube también
pueden mejorar la privacidad de los datos,
situación imprescindible dado que los
consumidores se preocupan cada vez más por la
forma en que se recopilan sus datos.
A medida que la tecnología determina cada
vez más la forma de hacer negocios, los
fundamentos de seguridad son la condición sine
qua non de un programa que conduzca a una
ciberseguridad eficaz.
Las organizaciones que conocen los
fundamentos de la ciberseguridad como
la formación de los empleados, políticas
actualizadas, así como control y compromiso
con la preparación y la capacidad de la
empresas, probablemente están mejor
preparadas para manejar ataques simples
y preservar recursos para incidentes más
complejos.
Es en este contexto que la Global State of
Information Security® Survey 2017, realizada
por PwC, examina cómo los ejecutivos están
adoptando los enfoques tecnológicos y de
colaboración en la ciberseguridad y privacidad
para manejar las amenazas y alcanzar ventajas
competitivas. En las siguientes páginas se
presenta un análisis del tema con los datos
particulares de México donde 87% de las
empresas han tenido incidentes de seguridad de
la información, un porcentaje 13 puntos arriba
que la tendencia global.
PwC México 3
Primera Parte

De la percepción a la realidad
1. Impacto de la tecnología en la seguridad y privacidad de la información

Alarmas no escuchadas y 40 millones

de números de tarjetas de crédito robadas
Target, el gigante minorista de Estados Unidos sufrió un robo de
información entre el 27 de noviembre y el 15 de diciembre de 2013, el
cual incluyó nombres, direcciones de correo electrónico y físico y números
de teléfono de 70 millones de clientes. Este hecho se convirtió en el
mayor robo de información de tarjetas sucedido en Estados Unidos.
Inicialmente la compañía dijo que no había riesgo de que los ladrones
informáticos hubiesen podido acceder a información personal de los
clientes, pero lo que se demostró fue que sí, por lo que las acciones de Target
en Wall Street al conocerse el robo apuntaban un descenso del 1.63%. El
incidente propició que en el cuarto trimestre de 2013 las ventas cayeran
aproximadamente 2.5% respecto a ese mismo período en 2012.¹

Cuando llegó la revolución de Internet nadie 2

pensaba en fugas de información. A las áreas Presupuesto de seguridad de la información

de TI históricamente se les pagaba para que El costo promedio de un incidente de seguridad a nivel mundial es de $2,386,719 USD vs $1,581,641
la información estuviera disponible; pero con USD en México, que es un 32% del presupuesto de seguridad de la información.
la evolución de la tecnología ahora se obliga
a que los datos estén disponibles y además
sean confidenciales. El problema es que no se
puede tener la disponibilidad de los datos y
al mismo tiempo la confidencialidad sin estar Global $2,386,719
expuestos a riesgos. Esta realidad ha propiciado
a desarrollar e implantar un concepto de México $1,581,641
seguridad que conduzca a una estrategia que
minimice los riesgos, otorgue confianza a los Latinoamérica $1,267,520
clientes internos y externos manteniendo la
disponibilidad de los datos.
Durante la 37 reunión anual que realiza la
Cámara Nacional de la Industria Electrónica,
de Telecomunicaciones y Tecnologías de la
Información (CANIETI), se estableció que
México debe contar con el capital humano
capacitado desde la educación básica, pues
por el progreso tecnológico, los nuevos
profesionales del sector deberán estar al
nivel de los requerimientos de la industria
establecida en el país.² 1

2 http://expansion.mx/empresas/2016/09/07/
ciberseguridad-y-la-industria-40-los-retos-en-mexico
Consultado el 4 de noviembre de 2016. 1 www.bloomberg.com/news/articles/2014-03-13/target-missed-warnings-in-epic-hack-of-credit-card-data

4 Ciberseguridad y privacidad
 La Secretaría de Economía expuso en un
análisis sobre la adopción de procesos basados
en Internet en diversas industrias, que la
información fundamental se genera a partir
de los datos que se obtienen del consumidor,
de ahí que la ciberseguridad es otro de los
factores a seguir por los profesionales de este
sector, por lo que México requiere de capital
humano capacitado desde la educación básica
para enfrentar los retos que traerá la cuarta
revolución industrial, conocida como industria
4.0, y que trae como consecuencia el desarrollo
de medidas de ciberseguridad.
Datos de la Secretaría de Comunicaciones y
Transportes indican que con el desarrollo y
adopción de Internet, también se incrementan
los riesgos de ataques cibernéticos, que
generan costos en Latinoamérica de casi 90,000
millones de dólares cada año para la industria
y gobiernos. De acuerdo con información de
la Secretaría de Economía, el uso de Internet
se extiende a todas la industrias y actualmente
el valor del mercado de las tecnologías de la
información es de 20,000 millones de dólares.3

La creencia de la fuente de los incidentes

es más interna que externa
La principal fuente de incidentes de seguridad a nivel global se debe a empleados actuales.
Ex empleado
44.5
Hackers
34.3
Competidores
31.2
Empleados actuales
30.6 En México

44%
Antiguos proveedores
25.7
Crimen organizado
25.1 le asigna estas fugas
Proveedores a ex empleados.
22.8
Hacktivistas
15.4
Entidades y organizaciones extranjeras
11.5
Clientes
10.2
Terroristas
9.7
Estados-nación extranjera
8.4
Servicio de inteligencia interno
8.1
3 http://expansion.mx/empresas/2016/09/07/
ciberseguridad-y-la-industria-40-los-retos-en-mexico
Consultado el 4 de noviembre de 2016.

PwC México 5
 Promedio de incidentes de seguridad por empresa
En los últimos 12 meses a nivel global es de 4,782 y en México es de 3,706.
En México
24.4
22.3
16.9
87%
han tenido incidentes
de seguridad
14.9 15.0 de la información.
17.6 13.9 14.0
Esto dato es 13% mayor
que la tendencia global y aun con una
legislación que pide la comunicación
12.1 a los afectados sobre dichos
11.4 8.8 incidentes, las empresas en México
siguen sin comunicarlo.

5.6
3.5 3.2
2.3
1.6

Ninguno 1a2 3a9 10 a 49 50 a 499 500 a 4,999 5,000 a 99,999 100,000 o más

México Global

Según el reporte “Tendencias de Seguridad en

América Latina y el Caribe” de la Organización Incidentes de seguridad de la información
de los Estados Americanos (OEA), tan solo A nivel mundial la principal fuente de incidentes de seguridad de la información son los ataques
en México los costos anuales generados de phising; en México son los ataques a dispositivos móviles.

por ciberdelitos en 2014 ascendieron a Dispositivos móvil

3,000 millones de dólares, afectando al 43.7%
sector público, privado y civil. Los riesgos Ataque de phishing
en materia de seguridad cibernética que 40.8%
fueron denunciados incluyen desde malware, Tecnología de consumo explotada

phishing y hackeos, hasta incidentes de fraude 34.0%

Sistema de pago móvil explotado
y extorsión, difamación, amenazas, robo de
contraseñas, suplantación de identidad y acoso. 28.3%
Sistema de tecnología operativa explotada
Si bien ya existen esfuerzos a nivel nacional 27.0%
para impulsar este tipo de seguridad, como la Sistemas integrado explotada
creación del CERT-MX (Equipo de Respuesta 27.0%
a Incidentes de Seguridad Cibernética) o Empleado explotados
En el mundo

40%
la operación de la División Científica de la 20.7%
Socio externo o proveedor explotado
Policía Federal, entre otras cosas, México aún
sigue rezagado en este tema con un creciente 19.1%
Los medios sociales / ingeniería social explotada
impacto negativo. De acuerdo con el “Índice de los incidentes de
Global de Seguridad 2014” liberado a inicios 14.4% seguridad de la
No sé
del año en curso por la Unión Internacional información son los
3.7%
de Telecomunicaciones (UIT), el país cuenta ataques de phising.
con un bajo nivel de preparación ante
ciberamenazas.4

4 http://the-ciu.net/nwsltr/381_1Distro.html consultado el 4
de noviembre de 2016.

6 Ciberseguridad y privacidad
Impacto de los incidentes de seguridad Las organizaciones no comparten
Datos de clientes información con otros,
41.5%
comprometidos
32.1%
incluida su competencia
Datos de empleados La preocupación por los datos personales (privacidad)
comprometidos 38.1%
42.1
31.2
La falta de un marco de intercambio de información
Pérdidas financieras 33.7% 39.3
22.9 Tecnologías incompatibles de intercambio de información
38.3
Correos electronicos de
negocio comprometidos
30.0% La preocupación por las demandas
25.9 32.7
Pérdida o daño de los Estándares de datos incompatibles
registros internos 29.2% 31.8
26.5 No confia en las fuentes de información externas
El robo de propiedad
27.7% 25.2
intelectual
La información externa no es fiable
21.9
21.5
Pérdida de clientes 22.5% Desconfiamos de nuestros competidores

13.2 18.7
Ransomware implantado
en los sistemas 19.1%
16.6

México Global

Las principales fortalezas de México se

Qué sugieren las empresas que deba hacer el gobierno encuentran en las medidas técnicas, mientras
que su principal debilidad son las orgánicas. Esto
Ciberseguros patrocinados por el gobierno indica que se cuenta con algunas instituciones y
83.3 marcos técnicos de ciberseguridad, incluyendo
Pruebas y seguimiento de terceros al tanto de la información del cliente equipos contra incidentes cibernéticos, pero no
79.2 se cuenta con una planificación y estructuras
Adopción obligatoria de análisis de amenazas en tiempo real orgánicas que promuevan la implementación
79.2 de medidas de este tipo de seguridad entre
Informes públicos sobre el número de amenazas o violaciones distintos sectores e instituciones.
78.7
Programas educativos de seguridad cibernética financiado por el gobierno México registra bajos niveles en materia de
77.1 marcos legales e instituciones encargados
Cifrado de datos los sistemas o transacciones clave de tratar la seguridad en línea, así como en
66.7 programas de capacitación, certificación,
Cifrado de datos de dispositivos móviles desarrollo de profesionales y certificación de
62.5 organizaciones de carácter público en esta
Monitoreo de intrusos y amenazas a la identidad materia. Este patrón se refleja nuevamente
62.5 en una falta de mayor desarrollo en materia
de marcos para cooperación nacional e
internacional y redes de divulgación de
información.
Resulta de gran importancia comenzar con
la pronta elaboración e implementación de
estrategias y planes nacionales que agilicen la
transición hacia un ciberespacio seguro en que
sea posible aprovechar al máximo los enormes
beneficios que generan estas nuevas tecnologías.

PwC México 7
2. Ciberseguridad y Tecnologías de Información(TI):
De costo de TI a ventaja de negocio

Estados Unidos cree que el ataque a Sony

fue provocado por otro gobierno
El 24 de noviembre de 2014 se hizo público que el estudio Sony Pictures
estaba bajo ataque. No sólo los empleados no podían identificarse en
los ordenadores de la compañía, sino que varias cuentas de Twitter
pertenecientes a películas rodadas por la compañía publicaron
mensajes en los que se podía leer “Hacked by #GOP” y en los que el
grupo autodenominado Guardians of the Peace (Guardianes de la Paz)
incluía amenazas y menciones a los altos ejecutivos de la empresa.
En un principio, los atacantes amenazaron con publicar información privada
y personal que habían obtenido directamente de los servidores de Sony Pictures
y subieron a Internet un archivo zip con una lista de documentos que estaban
en su poder: informes fiscales, datos sobre sus películas, sus empleados, etc. Los
atacantes tuvieron acceso directo a información privada y en muchos casos
confidenciales que el estudio probablemente guardaba en algún servidor interno.5

La industria de la ciberseguridad en México se Inversión en ciberseguridad como parte de TI

encuentra en un estado “inmaduro”, lo que se
refleja en una inversión insuficiente en sistemas
de protección por parte de las empresas, un Global Latinoamérica México
mayor número de víctimas y la ubicación del Presupuesto de seguridad
país en las clasificaciones internacionales. de la información para 2016 5,060,488 4,772,670 5,020,395

El activo más valioso de una empresa es su 3.67% 3.89% 3.87%

información, cuando se trata de cibercriminales
*Cifras en USD
a ellos lo que les interesa es información de
los usuarios de manera personal o financiera.
Según las últimas estimaciones del Instituto
Ponemon,65el gasto efectuado por compañías en
2013 tras ser víctima de cibercriminales llegó
hasta los 58 millones de dólares. Sin embargo, En México…
el ataque a Sony, le habría costado más de 100
millones de dólares, según la agencia Reuters.
3.87%
del presupuesto de TI
es asignado a seguridad
de la información.
PwC, Estudio de Seguiridad de la Información en México 2017

6 http://www.ponemon.org/news-feed-sign-up consultado
el 4 de noviembre de 2016. 5 https://www.washingtonpost.com/news/the-switch/wp/2014/12/18/the-sony-pictures-hack-explained/

8 Ciberseguridad y privacidad
La principal fuente
de incidentes de seguridad De gasto de TI a la ventaja de negocio
en México se atribuye Explora nuestra línea de tiempo interactivo de eventos
a los dispositivos móviles. que redefinen ciberseguridad y privacidad
1 de cada 5 empresas
en México no sabe si su
programa de seguridad
y privacidad están integrados. 1989 2009 2016
Primera tableta El término 50% de los encuestados
diseñada para consumo BYOD es usado tienen una estrategia para
por primera vez dispositivos móviles

Los crímenes cibernéticos continúan

aumentando. Con base al informe de 2014
de Ponemon Institute, los costos medios Presupuesto de TI gastado en seguridad
anuales de los crímenes cibernéticos de en los últimos años
257 organizaciones de referencia son de 7.6 La parte del presupuesto de TI se ha mantenido estable, pero a medida que el gasto de TI
millones de dólares al año, con un intervalo se ha incrementado, los presupuestos de seguridad también se han ampliado.
Como se muestra a continuación, el presupuesto dedicado a la seguridad de TI se ha mantenido
que va de 0.5 a 61 millones de dólares por constante en aproximadamente 3.5% en los últimos años.
empresa cada año. Las organizaciones más
pequeñas tienen un costo significativamente
superior al de las organizaciones más grandes
(1.607 dólares frente a 437 dólares). Las
organizaciones de energía y utilidades y
servicios financieros tienen costos en crímenes
cibernéticos sustancialmente más altos que
3.9% 3.3% 3.5% 3.6% 3.5%
las organizaciones en medios, ciencias de
vida o salud. Cada año, los ataques internos, 2009 2010 2011 2012 2013
de denegación de servicios y basados en web
significan más del 55% de todos los costes de
crímenes cibernéticos. El tiempo medio para
contener un ciberataque fue de 31 días con un
coste medio de 639.462 dólares. Las empresas
que implementaron sistemas de inteligencia Las soluciones más usadas
de seguridad, tuvieron una rentabilidad de la para la Ciberseguridad y Privacidad
inversión del 23%.
De acuerdo con algunas firmas de seguridad, Emplear un Director Emplear un Director
la inversión de una empresa para proteger su de privacidad (CPO) de Seguridad de la
información de hackers puede alcanzar hasta o ejecutivo similares a Información (CISO) a
los 4 millones de dólares, cifra muy inferior cargo del cumplimiento cargo del programa
en comparación con el costo de los gastos que de la privacidad de seguridad
representaría un ciberataque.
ión

Biometría Creación de líneas

ac

Ge

de base y normas
ic

st
Autenticación nt ión
avanzada
Aute de seguridad para
empleados, clientes,
Adaptativa
proveedores y/o
Tokens vendedores externos

PwC México 9
3. Autenticación: medios y alcance

Roban datos, se conoce la fuga 2 años después

La información de al menos 500 millones de cuentas de usuarios
de Yahoo fue robada en 2014. Se tuvo acceso a muchos datos
de identificación personal: nombres reales, nombres de usuario,
correos electrónicos, conversaciones, números de teléfono, fechas
de nacimiento, contraseñas y firma digital hash. Por suerte, no se
accedió a números de tarjeta de crédito o de cuentas bancarias.
En 2012 se tomó la decisión de no invertir lo suficiente
en la infraestructura de seguridad de las cuentas vinculadas
al producto. Se trabajó en mejorar la interfaz de usuario de productos
como Yahoo Mail y en lanzar nuevos productos móviles.7

La autenticación es el proceso de intento de

verificar la identidad digital del remitente de
una comunicación como una petición para Tecnologías de autenticación avanzada
conectarse. El remitente siendo autenticado que se implementaran en los próximos 12 meses
puede ser una persona que usa un ordenador,
un ordenador por sí mismo o un programa
del ordenador. En una web de confianza, Múltiples factores de autenticación 48.0
“autenticación” es un modo de asegurar que 43.4
los usuarios son quién ellos dicen que ellos son,
que el usuario que intenta realizar funciones en
Tokens en los Teléfonos 45.9
un sistema es de hecho el usuario que tiene la 45.5
autorización. Llaves criptográficas 37.2
La necesidad de autenticación es muy anterior 40.2
a la era digital para realizar transacciones Tokens de Hardware 34.3
no presenciales y presenciales pero con una 36.7
persona desconocida. Siempre fue necesario
algún elemento que diera confianza a las Tokens de Software 34.3
37.6
partes para probar que eres quien dices ser.
Esto se lograba con algo que sólo tú sabes, algo Biométricos 33.1 México Global
que sólo tú tienes, algo que tú eres o con las 37.8
combinaciones de las tres anteriores.
Las nuevas TI ofrecen claves digitales,
firmas digitales y comprobación biométrica
automática. El sector privado está usando
autenticación adaptativa (dispositivo o IP desde
el que se conecta, etc., firma digital en la nube y
teléfonos inteligentes).

7 http://www.eluniversal.com.mx/articulo/techbit/2016/09/23/roban-informacion-de-500-millones-de-cuentas-de-yahoo.

10 Ciberseguridad y privacidad

Las tecnologías de autenticación avanzada más usadas
y las que se buscan implementar en los próximos 12 meses
Actual
Múltiples factores
de autenticación
Tokens en los Teléfonos
Llaves criptográficas
Tokens de Hardware
Tokens de Software
Biométricos
65% de las empresas en México piensan en
métodos avanzados de autenticación para
mejorar la confianza del cliente o socio
de negocio. Esta tendencia es 20% mayor
de la tendencia global. Las tecnologías de
autenticación son variadas y aunque ya los
usuarios están más familiarizados con los
sistemas que escanean sus huellas dactilares,
el iris de sus ojos o incluso registran el tono
...en 12 meses de su voz para brindarles acceso a contenidos
% %
o información personal, nuevas técnicas
55.4 Biométricos 33.1 se introducen para mejorar a las que les
antecedieron. Se pasó de una primera etapa con
58.0 Tokens de Software 34.3 las contraseñas a un segundo paso de la mano
del llamado “control lógico de acceso” cuyo
66.0 Tokens de Hardware 34.3 objetivo es el de reemplazar esas contraseñas
por un aspecto biométrico, en la mayoría de
los casos, el iris del ojo. Después de esto se
67.2 Llaves criptográficas 37.2 llegó a la biometría integrada o embedded,
la cual vendrá dentro de los dispositivos que
68.2 Tokens en los Teléfonos 45.9 interactúan, funcionan o ejecutan una serie de
tareas específicas en reacción a su “dueño”. Hoy
71.0 Múltiples factores
48.0 ya lo vemos en algunos teléfonos inteligentes.
de autenticación

Qué impacto tiene el uso de las Los servicios de seguridad más comunes
tecnologías avanzadas de autenticación que son administrados por un tercero

Mejora de la La gestión de
confianza del cliente 65.4 identidad y acceso 71.5
45.0 60.5
Mayor protección
contra el fraude 59.2 Autenticación 70.0
47.5 64.2
Las transacciones en línea son
más seguras 52.8 DLP 66.5
46.4 60.8
Mejora de la experiencia Monitoreo y análisis
del cliente 52.4 en tiempo real 59.7
39.0 54.8
Mejora en el cumplimiento Inteligencia
regulatorio
43.4 ante amenazas 57.4
38.9 48.3
Protección
México Global de punto final 48.8
45.9
Actualizaciones de
administración de parches 30.3
33.0

México Global

PwC México 11
4. Frameworks: uso y perspectiva

El cumplimiento regulatorio no elimina el riesgo

La Agencia Federal de Investigaciones (FBI por sus siglas en inglés)
investigó una fuga de datos en varios bancos de Estados Unidos
en 2014. Se cree que la violación pudo haber sido causada por
hackers que infiltraron malware en la computadora personal de
un empleado en uno de los bancos más grandes del mundo.
Los bancos han sido durante mucho tiempo un objetivo para los
ciberdelincuentes, que van tras las empresas de finanzas para hacerse
de los datos de sus clientes, no obstante, que los bancos cuentan con
múltiples capas de defensa para contrarrestar cualquier amenaza
y constantemente hacen un monitoreo de posibles fraudes.8

La información es un activo vital para el éxito

y la continuidad en el mercado de cualquier Frameworks de seguridad más utilizados
organización. El aseguramiento de dicha en México y el mundo
información y de los sistemas que la procesan
es, por tanto, un objetivo de primer nivel para
la organización. Para la adecuada gestión de ISO 27000
la seguridad de la información, es necesario
implantar un sistema que aborde esta tarea 71%
de una forma metódica, documentada y
basada en unos objetivos claros de seguridad
y una evaluación de los riesgos a los que está
sometida la información de la organización.
Un Framework es un conjunto estandarizado de 37%
conceptos, prácticas y criterios para enfocar un 36%
tipo de problemática particular que sirve como
referencia, para enfrentar y resolver nuevos
problemas de índole similar. Existen muchos 33%
Framework, los más vistos en este estudio son: 31%
ISO 27000, NIST y COBIT5.
ISO/IEC 27000 es un conjunto de estándares 29% NIST
desarrollados –o en fase de desarrollo– COBIT 5
por ISO (International Organization for
Standardization) e IEC (International
Electrotechnical Commission), que México Global

proporcionan un marco de gestión de la

seguridad de la información utilizable por
cualquier tipo de organización, pública o
privada, grande o pequeña.

8 www.bloomberg.com/news/articles/2016-10-10/jpmorgan-hack-fugitive-said-to-seek-u-s-deal-from-
russian-cell

12 Ciberseguridad y privacidad
 El Instituto Nacional de Normas y Tecnología
La principal (NIST por sus siglas en inglés, National
inversión en Institute of Standards and Technology) es una
agencia de la Administración de Tecnología
Privacidad en del Departamento de Comercio de los
México para los Estados Unidos. La misión de este Instituto
es promover la innovación y la competencia
próximos meses industrial mediante avances en metrología,
es la Formación normas y tecnología, de forma que mejoren
la estabilidad económica y la calidad de vida.
y Sensibilización El NIST ha resumido los siguientes estándares
de los empleados. de seguridad que se refieren a los requisitos
mínimos de cualquier sistema: identificación y
autenticación, roles, transacciones, limitaciones
a los servicios, modalidad de acceso, ubicación
y horario, control de acceso interno, control de
acceso externo y administración.
COBIT 5 proporciona un marco integral que
ayuda a las organizaciones a lograr su metas
y entregar valor mediante un gobierno y
una administración efectivos de la TI de la
organización. Permite que las tecnologías de
la información y relacionadas se gobiernen y
administren de una manera holística a nivel
de toda la organización, incluyendo el alcance
completo de todas las áreas de responsabilidad
funcionales y de negocios, considerando los
intereses relacionados con la TI de las partes
interesadas internas y externas. COBIT 5 une los
cinco principios que permiten a la organización
construir un marco efectivo de Gobierno y
Administración basado en una serie holística de
siete habilitadores, que optimizan la inversión
en tecnología e información así como su uso
en beneficio de las partes interesadas. COBIT
5 es emitida por la Asociación de Auditoría y
Control de Sistemas de Información (ISACA,
por sus siglas en inglés Information Systems
Audit and Control Association), una asociación
internacional que apoya y patrocina el desarrollo
de metodologías y certificaciones para la
realización de actividades auditoría y control en
sistemas de información.
La seguridad es un aspecto de gran
importancia, por ello que se le debe dar una
consideración primordial como parte del diseño
de la arquitectura. Considerar la seguridad
desde el principio y usar Frameworks para
soportarla puede dar excelentes resultados.
PwC México 13
5. Tendencias en ciberseguridad. Las 4 megatendencias

No solo las empresas reciben ataques,

los gobiernos en la mira
El 28 de noviembre de 2010, WikiLeaks filtró a la prensa internacional
una colección de 251,187 cables o comunicaciones entre el Departamento
de Estado estadounidense con sus embajadas por todo el mundo. Se trató
de la mayor filtración de documentos secretos de la historia. Las filtraciones
de carácter no secreto, confidencial y secretos, afectan a un gran número de
países, entre ellos a Afganistán, Alemania, Arabia Saudí, Argentina, Australia,
Bolivia, Bosnia Herzegovina, Brasil, Canadá, Chile, China, Colombia, Corea
del Norte, Corea del Sur, Cuba, Ecuador, Egipto, El Salvador, Emiratos Árabes
Unidos, España, Francia, India, Irán, Israel, Italia, Japón, Kosovo, Kuwait,
México, Nicaragua, Pakistán, Panamá, Paraguay, Perú, Reino Unido, Rusia,
Serbia, Siria, Sudáfrica, Turquía, Túnez, Uruguay, Venezuela y Yemen.
En octubre de 2010 la organización mediática internacional sin ánimo
de lucro, que publica a través de su sitio web informes anónimos y
documentos filtrados con contenido sensible en materia de interés público,
preservando el anonimato de sus fuentes, hizo público los Documentos de
la Guerra de Irak, en los que se revela, entre el 1 de enero de 2004 y el 31
de diciembre de 2009, el uso sistemático de torturas y la cifra de 109,032
muertos en Irak, de los que 66, 081 fueron civiles. Ya antes había hecho
otras filtraciones como los Diarios de la Guerra de Afganistán, el 25 de
julio de 2010; y el vídeo de tiroteo a periodistas, el 13 de julio de 2007.
El creador de WikiLeaks, Julian Paul Assange es un programador,
ciberactivista, periodista y activista de Internet australiano.9

Las cuatro megatendencias en Ciberseguridad

Big Data, Análisis Protección del negocio digital IoT

de Información… Inteligencia ante las amenazas Amenazas geopolíticas

51% Usa tecnología para controlar amenazas y crear valor

usa analíticos de Big Data

para identificar amenazas.
46% Invierte en la seguridad de IoT

PwC, CIO and CSO, The Global State of Information Security Survey2017,
October 5, 2016 PwC, CIO and CSO, The Global State of Information Security Survey 2017, October 5, 2016

9 www.cnn.com/2013/06/03/world/wikileaks-fast-facts

14 Ciberseguridad y privacidad
Existen cuatro megatendencias: proyección
al negocio digital, inteligencia ante las
amenazas, Internet de las cosas (IoT, por
sus siglas en inglés Internet of Things)
y amenazas geopolíticas. Es importante
considerar que, dependiendo de la industria, Medidas de seguridad en las que se planea
en algunos casos sí estamos respondiendo invertir en los próximos 12 meses en México
pero en otros no estamos tan listos.
Hay industrias en las que IoT será impulsado
fuertemente, como los sectores asegurador y de
transporte; los transportistas van a querer tener
sensores dentro de sus camiones o autobuses,
por ejemplo. El sector industrial también va
a comenzar a ocuparlo porque quiere tener 54.6% 55.6% 57.9%
un sensor que le diga cuando una máquina Soluciones Seguridad Mejora de la colaboración entre
funciona o cuando no. El gobierno podría de código para IoT las prioridades de negocio,
utilizar tecnología IoT para diferentes áreas, por abierto estrategia digital y TI
ejemplo autoconfigurar los semáforos con la
interacción con aplicaciones de transporte para
evitar más tráfico. La pregunta importante en
esta megatendencia es ¿qué tan listos estamos
para adoptarlo e impulsarlo?.
Volver a la adopción global de TI o volver
digitales los negocios es una tendencia que corre
de prisa. Muchos negocios están pasando de
tener un local físicamente a tener un “espacio”
digital. La industria de la música y las películas
es un claro ejemplo, en esta se ha reconfigurado
el medio y replanteado los alcances. Pero se debe
tomar en cuenta al pasar de los negocios físicos El negocio digital…
a los digitales qué tanto los estoy asegurando.
La pregunta se plantea también a los negocios
que surgen en el medio digital. La respuesta
para muchos que han iniciado en la nueva era:
aseguramiento desde la concepción de nuevas
59%
dice que la digitalización
tecnologías, ya que es mas caro remediar que
del ecosistema de negocio
diseñar sistemas con la ciberseguridad requerida ha impactado en el gasto
desde el inicio para evitar fracasos porque el de seguridad.
mundo es mucho más digital.
PwC, CIO and CSO, The Global State of Information Security Survey2017,
October 5, 2016

Lo digital continúa Inversión en nuevas y distintas estrategias

dominando… en el ecosistema digital

46%
Invierte en seguridad
51% Mejorar la integración entre el negocio, la estrategia digital y TI.
46% nuevos requeirmientos de cibersgeuridad relacionados
a la evolución del modelo de negocio.

para modelos de negocio 46% Inversión para el IoT.

innovadores así como 46% Arquitectura digital empresarial.
en seguridad para IoT.
43% Autenticación avanzada y biométricos.
PwC, Estudio de Seguiridad de la Información en México 2017

PwC México 15
Respecto a la inteligencia ante las amenazas.
Para responder a esta megatendencia se
requiere una acción básica: comunicar y
tener en claro que una cosa son las fugas de
información y otra compartir información
que es útil para el funcionamiento de una
industria.
Es un hecho que la mayoría de las empresas
no comparten los ataques que están teniendo:
cómo se dieron cuenta y cuál fue su respuesta.
Comunicar es importante para despertar
dudas, establecer estrategias y hacer un
“frente común”.
La inteligencia ante las amenazas es una
tendencia que tenemos que ocupar, porque
si vamos al tema de analíticos se tiene que
conocer cierto tipo de información para
cruzarla y hacer el análisis. En México nos
tenemos que quitar la falsa creencia de no
contar sobre “mis ataques” porque algo malo
pasará. Tenemos que cambiar la cultura para
hacer frente a algo que es inminente.
La cuarta megatendencia se refiere a las
En México 79.4% amenazas geopolíticas. Las amenazas
de las empresas geopolíticas son incipientes, ¿qué pasaría si
alguien ataca un sistema SCADA de energía
usan servicios eléctrica y ocasiona un apagón en una gran
administrados zona de un país y después llega una invasión
o un bombardeo o un robo de información?
para el manejo de La pregunta se presenta como irreal y a la vez
sus requerimientos amenazadora, sin embargo es un tema que no
se debe soslayar. A nivel gobierno, en los planes
de ciberseguridad de seguridad tienen que estar contemplados los
y privacidad. planes de ciberseguridad.
Actualmente hay planes pero aislados. En
43% de las empresas Estados Unidos desde hace tres años existe
en México planea la posición de un CISO (Chief Information
Segurity Oficial) del gobierno; ha pasado
mover datos mucha gente por ese puesto pero no se quedan
sensibles a la nube por mucho tiempo. En México no existe el
Director de Seguridad de la Información en
en los próximos muchas de las secretarias o subsecretarias
12 a 18 meses. de Estado. En 2012 se creó el MAAGTIC
(Manual Administrativo de Aplicación
General en Tecnologías de Información y

Empleados o ex empleados son fuente de incidentes

Es la gente que conoces, actuales o ex empleados, así como otros (outsourcing, proveedores)
quienes son los más propensos a cometer incidentes de seguridad.

Empleados
Empleados actuales
34.3%
Ex Empleados
31.2%

Proveedores
Proveedores actuales
15.4%
Ex proveedores
11.5%
Surtidores o socios comerciales
9.7%
Proveedores de información
8.4%

16 Ciberseguridad y privacidad
Comunicaciones) y después lo cambiaron
al MAAGTIC-SI (Manual Administrativo
de Gestión de Tecnologías de Información,
Comunicación y Seguridad de la Información),
y armaba un Framework donde decía que áreas
debía tener una organización y qué funciones
cumplir. Pero el número de organizaciones
gubernamentales que cumplen con el MAGTIC-
SI es muy bajo porque no hay una motivación.
Próximamente entrará en vigor la Ley General
de Protección de Datos Personales en Posesión
de Sujetos Obligados, lo cual pretende cambiar
el panorama para generar una cultura de
ciberseguridad y privacidad en el sector público.
El país más avanzado en ciberseguridad
El costo promedio es Estados Unidos. Desde los ataques
de un incidente terroristas del 11 de Septiembre, el gobierno
norteamericano invirtió grandes cantidades
de seguridad de dinero, recursos y tecnología para poder
es el 32% monitorear a todo el mundo, esto lo tuvimos
más claro a partir de la información liberada
del presupuesto de por Edward Snowden y Wikileaks sobre las
seguridad actividades del gobierno norteamericano.
Tenemos claro que en este caso: mayor
de la información. seguridad generó menor privacidad. La balanza
entre seguridad y privacidad debe ser el
equilibrio fundamental.
Estados Unidos ha invertido mucho en
seguridad a costa de la privacidad de las
personas, caso contrario está sucediendo en
Europa donde sí están preocupados por la
seguridad, pero el tema de la privacidad lo
ven como un tema de Derechos Humanos y
no van a dejar que la seguridad tome un papel
preponderante.

Empresas con planes para supervisar y responder a incidentes cibernéticos

No
13%
77%
69% Cuenta con un plan de Sí
62% respuesta a incidentes
87%

38%
23% 23% 23%

Supervisión Tecnología de SOC Dedicado SOC de terceros Proceso Ejercicio de Ejercicio de

activa (24X7) la Información (centro de automatizado para simulación con simulación
y Tecnología operaciones de utilizar información los líderes de las con el personal
Operacional seguridad) sobre amenazas unidades de negocio técnico

PwC México 17
Segunda Parte

Privacidad del cumplimiento regulatorio

a la mejora de la marca
6. Privacidad de la información, situación actual, retos y perspectivas:
leyes, reglamentos, …el individuo

¿Qué tan segura es la nube?

Chris Vickery, un empleado de la empresa de seguridad informática
MacKeeper descubrió la Lista Nominal del Instituto Nacional Electoral
(INE) de México en la nube de Amazon. Vickery publicó en su blog un
relato en el que explicaba cómo encontró la Lista Nominal, asegurando
que él no fue quien filtró la información y que dio aviso al Departamento
de Estado de los Estados Unidos, así como a la Embajada de México en
Washington, al Instituto Nacional Electoral y a la empresa Amazon.
Ya en 2003, el entonces IFE denunció que la empresa
mexicana Empresa Soluciones Mercadológicas en Base de
Datos vendió por 250 mil dólares la base de datos del Padrón
Electoral a la empresa estadounidense ChoicePoint.10
La base de datos que descubrió Vickery contaba con información de
más de 93 millones de registros. Estaba en un servidor de Amazon
sin tener contraseña como método de protección; el documento tenía
información desde direcciones hasta números de identificación.

Hace 20 años el concepto de privacidad era
claro: “si yo estoy en un lugar privado tengo
privacidad”, se conectaba con un tema de la
localización en el que estábamos; sin embargo,
con el uso de la tecnología no es así porque al
estar conectado a Internet la privacidad física
sigue siendo la misma pero la digital no. Esta
situación ha hecho que a nivel mundial las leyes
en privacidad repunten. Las leyes de privacidad
más antigua son las Nórdicas, que existen desde
los años setenta; en el siglo pasado. Mucho
de lo que refieren las legislaciones iniciales
era sobre la privacidad en papel más no en
cuestiones digitales.
La ley mexicana fue la primera en considerar
la privacidad de datos en la nube (en el En México 31%
Reglamento del 2011), ninguna otra regulación de las organizaciones
hablaba sobre estos temas.
creen que sus
La Ley Federal de Protección de Datos
Personales en Posesión de los Particulares incidentes
(LFPDPPP) tiene seis años; al inicio daba ciertos de seguridad
periodos y tiempo para implementar acciones.
La mayoría de las empresas han hecho un son provocados por
modelo de iceberg que se han fundamentado sus competidores.
en que deben tener un aviso de privacidad para
cumplir con la ley. La gran problemática no es
técnica ni legal, sino entender los por qué y para
qué de la información (finalidades, tratamientos
y transferencias). Para atender los gaps de la
legislación en el sector público, entrará en vigor
la Ley General de Datos Personales en Posesión
de Sujetos Obligados.

10 http://www.jornada.unam.mx/2016/04/28/politica/007n1pol

18 Ciberseguridad y privacidad
La Ley tiene por objeto establecer las bases,
principios y procedimientos para garantizar el
derecho que tiene toda persona a la protección
de sus datos personales en posesión de los
sujetos obligados y son objetivos de la ley
distribuir competencias entre los organismos
garantes de la Federación y las entidades
federativas en materia de protección de datos ¿Su programa de seguridad de la información
personales.11
está integrado con el de Privacidad?
La legislación establece las bases mínimas
y condiciones homogéneas que regirán el
tratamiento de los datos personales y el ejercicio
de los derechos de Acceso, Rectificación,
21%
No sabe
Cancelación y Oposición (ARCO) mediante
procedimientos sencillos y expeditos. También
regula la organización y operación del Sistema
Nacional de Transparencia, Acceso a la 51%
Información y Protección de Datos Personales Integrado
en lo relativo a sus funciones para la protección
de datos personales en posesión de los sujetos 28%
obligados. Separado
Otras de sus características es que garantiza
la observancia de los principios de protección
de los datos; proteger los datos personales
en posesión de cualquier autoridad, entidad,
órgano y organismos, de los poderes Ejecutivo,
Legislativo y Judicial; órganos autónomos,
La función de Privacidad enfocada al Cumplimiento
partidos políticos, fideicomisos y fondos
públicos de la Federación, las entidades
federativas y los municipios, con la finalidad de
regular su debido tratamiento.
Además, busca garantizar que toda persona
puede ejercer el derecho a la protección de
los datos personales, así como promover,
fomentar y difundir una cultura de protección
74% 60% 56%
de datos personales; establecer los mecanismos Reducir el riesgo Cumplimiento Mejorar la confianza
de incidentes con las regulaciones en la marca
para garantizar el cumplimiento y la efectiva
de privacidad de privacidad
aplicación de las medidas de apremio que
correspondan para aquellas conductas que
contravengan las disposiciones previstas en
la ley. Otro de sus propósitos es regular los
medios de impugnación y procedimientos
para la interposición de acciones de
inconstitucionalidad y controversias
constitucionales, por parte de los organismos
garantes locales y la Federación.

11 http://comunicacion.senado.gob.mx/index.php/
informacion/boletines/28409-senado-aprueba-la-ley-
general-de-proteccion-de-datos-personales-en-posesion-
de-sujetos-obligados.html consultado el 6 de noviembre de
2016.

PwC México 19
 Gastos en seguridad de la información En los próximos 12 meses
El mayor aumento del gasto en seguridad de la información en los próximos 12 meses
será en redes sociales.
las tecnologías que se
Formación y sensibilización de Privacidad
piensan implementar en
45.9% México para la autenticación
Evaluaciones de Privacidad
44.8% de los usuarios son: 1)
Politicas y procedimientos de Privacidad Las claves criptográficas
43.4%
BigData 2) tokens desde teléfonos
42.0%
Aseguramiento de terceros
inteligentes y 3) Factores de
41.7% autenticación múltiples.
Computación en la nube
35.2%
Gobierno de Privacidad
34.7%
Privacidad de respuesta a incidentes
34.5%
Riesgos de dispositivos móviles
33.6% Esto significa, entre otros puntos, que habrá
Mapeo de datos e inventario una persona encargada en la seguridad/
31.2% privacidad de la información. Empezaremos a
IoT hablar de que la autoridad tiene que proteger
15.4% esa información. Pero un aspecto que preocupa
es que no hay suficientes especialistas en la
materia ni de seguridad ni de privacidad.
A nivel mundial y la tendencia es a que
la privacidad se va a volver un tema más
importante, desgraciadamente las empresas
reaccionan cuando la autoridad inicia la
imposición de penas, multas y sanciones.
La Privacidad es una preocupación para las empresas
Inversión de las empresas en los próximos 12 meses Con la Ley se van a alinear, en cierta forma, la
información que recopilen las empresas con la
del gobierno, lo que va a generar una cultura
en el largo plazo. Hay ejemplos del proceso; en
España con la ley en los años 90, le tomo varios
años entrar en toda capacidad y funcionalidad,
pero actualmente la Agencia Española en
Protección de Datos es muy reconocida en la
46% 45% 43% 42% 42% protección de los datos.
Actualmente Europa con el Reglamento
General de Protección de Datos (GDPR, por
Formación y Evaluaciones Politicas y Big Data y Aseguramiento sus siglas en inglés) tiene la intención de
sensibilización de Privacidad procedimientos Analiticos de terceros reforzar y unificar la protección de datos para
en Privacidad de Privacidad los individuos dentro de la Unión Europea. El
GDPR contempla multas de hasta un 4% de las
utilidades de las empresas.

20 Ciberseguridad y privacidad
7. Sinergias en la información: sin Internet no hay nube

Antecedentes de la nube
El concepto básico del cloud computing o computación en nube
se le atribuye a John McCarthy, responsable de introducir el término
“inteligencia artificial”. En 1961 fue el primero en sugerir públicamente
que la tecnología de tiempo compartido (Time-Sharing) de las
computadoras podría conducir a un futuro donde el poder del cómputo
e incluso aplicaciones específicas podrían venderse como un servicio.
El concepto de una red de computadoras capaz de comunicar usuarios
en distintas computadoras fue formulado por J.C.R. Licklider de Bolt.
En 1996, Douglas Parkhill con su libro llamado “El desafío de la utilidad
de la computadora” exploró a fondo muchas de las
características actuales de la computación en nube, así como
la comparación de la industria eléctrica y el uso de las formas
públicas, privadas, comunitarias y gubernamentales.
En 1999 Salesforce.com introdujo el concepto de entrega de aplicaciones
empresariales a través de una sencilla página web. Le siguió en
2002 Amazon al lanzar Amazon Web Service. En 2006 llegó Google
Docs, que realmente trajo el cloud computing a la vanguardia de la
conciencia del público. 2006 también vio la introducción de Elastic
Compute Cloud de Amazon (EC2) como un servicio web comercial que
permitió a las empresas pequeñas y particulares alquilar equipos en
los que pudieran ejecutar sus propias aplicaciones informáticas.
En 2007 siguió una colaboración entre empresas de tecnología y una serie
de universidades de los Estados Unidos. Luego, en 2008, vino Eucalyptus
como la primera plataforma de código abierto compatible para el
despliegue de clouds privados; le siguió OpenNebula, el primer software
de código abierto para la implementación de nubes privadas e híbridas.
Microsoft es parte de la historia entró hasta 2009 con el lanzamiento de
Windows Azure. En 2010 surgieron servicios en distintas capas de servicio:
cliente, aplicación, plataforma, infraestructura y servidor. En 2011,
Apple lanzó su servicio iCloud, un sistema de almacenamiento en la nube
para documentos, música, vídeos, fotografías, aplicaciones y calendarios
que prometía cambiar la forma en que usamos la computadora.12

12 https://cloudsecurityalliance.org/history

PwC México 21
 90% de las empresas a nivel global piensan
tener al menos 25% de su información en la nube La computación en nube ha recorrido un largo
camino desde que fue marcada por primera vez
como una perspectiva de futuro por parte de
No 1.0 algunos investigadores. El cloud computing o
1.2 cómputo en la nube es una evolución natural de
1% a 24% 7.9 la adopción generalizada de la virtualización,
la arquitectura orientada a servicios y utilidad
9.9 del cómputo. La idea básica es que los usuarios
25% a 49% 26.5 finales ya no necesitan tener conocimientos o el
25.6 control sobre la infraestructura de tecnología en
la nube que los apoya.
50% a 74% 33.4
32.7 La nube traslada archivos y programas a un
conjunto de servidores a los que se accede a
75% a 99% 22.8
través de Internet y abrirlos, utilizarlos o usar
18.8
programas que no están en el equipo, sino en
100% 7.2 los servidores de la nube.
6.8 México Global
La gran mayoría de las personas ya la están
utilizando aunque no sean conscientes de
ello. Al tener una cuenta de Facebook, Gmail,
Hotmail, Twitter, etc. Ya se hace uso de la nube
la cual tiene una serie de ventajas, pero también
inconvenientes.
Datos sensibles a la nube
Entre las ventajas se encuentra: acceso desde
35% 43% cualquier sitio y con varios dispositivos; el
software se concentra en un solo sitio; ahorro
en software y hardware, ya que un mismo
programa lo comparten muchos usuarios sin
necesidad de tener que comprar una copia
individual para cada uno de ellos, lo que
abarata el precio de las aplicaciones; ahorro en
mantenimiento técnico; escalabilidad, ya que se
puede crecer para responder a necesidades más
Ya han movido datos Planea mover datos exigentes, lo que es crucial sobre todo para las
sensibles a la nube sensibles a la nube en los empresas porque optimizan los recursos en todo
próximos 12 a 18 meses momento.

Funciones de negocio que corren en la nube

63% 36% 34%

TI Operaciones Servicio al
consumidor
34% 32%

Mercadotecnia y Ventas Finanzas

22 Ciberseguridad y privacidad
La mayoría de los participantes gastan menos del 20%
de su presupuesto de seguridad en la nube La seguridad y la privacidad es un tema que
se podría ubicar tanto en las ventajas como en
los inconvenientes, dependiendo del punto de
3%
No sabe
vista. La (falta de) seguridad y privacidad se
debe a que todos los archivos –o muchos de
ellos– pasan de estar en una PC o en un servidor
82.5% en las instalaciones de alguna organización
Menos del 20% 14.5% a almacenarse fuera, lo que implica dejar
de tener control sobre ellos. Si no se revisan
Más del 20% correctamente los términos y condiciones no
se podrá estar seguro de quién accede a esa
información o si está o no protegida como
debe ser.
Tanto organizaciones como individuos se ven
obligados a confiar informaciones internas y
confidenciales a un tercero, que puede o no ser
fiable, por lo mismo es importante tener los
sistemas correctos de monitoreo, ya que al estar
La mayoría de los participantes gastan menos del 20% en la nube un hacker podría acceder con mayor
facilidad y el botín sería mayor.
de su presupuesto de seguridad en la nube
Los servidores que usa la nube pueden estar en
cualquier parte del mundo. Si hay problemas,
25% 27% no está claro qué ley debe aplicarse o si ésta
12% podrá proteger al cliente; y como la información
de los clientes ya no está en sus manos, pueden
surgir problemas sobre a quién pertenece, y esto
a su vez puede llevar a situaciones delicadas,
México 25% Global por ejemplo si el cliente pretende cambiar
su proveedor o si quiebra o comete alguna
ilegalidad.

50% 61% La Cloud Security Alliance promueve el uso de

mejores prácticas para garantizar la seguridad
No sabe Sí No en la nube. En el informe publicado en Marzo
de 2010, “Las amenazas principales a la nube
(Top Threats to Cloud Computing)”, pide
aplicar medidas de seguridad para mitigar
o eliminar problemas como gestión de los
datos (propiedad de los mismos y la forma de
Movimientos en el presupuesto de seguridad en la nube tratarlos) y la identificación y control de accesos
a los recursos e información de la nube.

12.6% La tecnología ha evolucionado y ofrece ventajas

y facilidades para sumarse a las tendencias.
Disminuido
Se deben facilitar operaciones y mejorar los
resultados, siempre y cuando se tomen las
precauciones necesarias. Por ello en este tema
14.5% 22.1% planeamos el concepto de sinergias en el que
Incrementado incluimos los puntos que hemos desarrollado en
Sin cambio este estudio, los cuales determinan la tendencia
que exponen los participantes de la Globlal
State of Information Security® Survey 2017.

4.4%
No sabe

PwC México 23
Conclusiones Servicios de seguridad administrada
A partir de que la OCDE desarrolló las Directrices de Seguridad Las dos categorías
de los Sistemas de Información en 1992, el uso de los sistemas
y redes de información, así como el entorno tecnológico de Servicios de protección Servicios de analíticos
y prevención e inteligencia
la información han registrado grandes cambios que ofrecen
un sinnúmero de ventajas pero que obligan a los gobiernos, Identidades y Accesos, Los que se comprometen a
organizaciones públicas y privadas, así como usuarios que DLP o Administración detectar y responder
desarrollan, poseen, proporcionan o administran estos servicios de dispositivos. ante amenazas.
y usan sistemas o redes de información, pongan mayor atención
a los aspectos relacionados con la seguridad.
La tendencia es ofrecer capacidades integradas
Actualmente los participantes se encuentran más
interconectados y la interconexión se extiende más allá de las Con tecnologías sofisticadas y personal altamente capacitado
fronteras nacionales. Internet ha borrado los límites y forma ofrecen operaciones de seguridad 24x7 para detectar y
parte de la infraestructura de sectores estratégicos; desempeña responder a las nuevas amenazas de forma rápida.
un papel fundamental en la forma en que las compañías realizan
sus transacciones comerciales, los gobiernos proporcionan Apoyo en la gestión de la tecnología y las personas para
servicios a sus ciudadanos, y las empresas y los ciudadanos mejorar las inversiones y continuamente mejorar los procesos
intercambian información de manera individual. de seguridad cibernética.
Como resultado de esta creciente interconexión, los sistemas y
las redes de información son más vulnerables al estar expuestos Los equipos de seguridad interna pueden ser liberados
a un creciente número de amenazas, lo que hace que surjan para centrarse en las actividades estratégicas.
retos en materia de seguridad. ¿Quiénes deben participar para
resolver los problemas?
Cada participante de acuerdo con el papel que desempeña
deberá ser consciente de los riesgos de seguridad y las medidas
preventivas que sean oportunas. Sin embargo, se requiere de una
cultura para que todos los involucrados promuevan el crecimiento
en materia de seguridad como un objetivo importante. Gastos en seguridad de la información
El mayor aumento del gasto en seguridad de la información en los próximos
Concientización, responsabilidad y ética son fundamentales para 12 meses será en redes sociales.
llevar a cabo evaluaciones de riesgo que permitan identificar
Mejoras en la seguridad de las redes sociales
amenazas y vulnerabilidades alrededor de la tecnología, factores
físicos y humanos y políticas, así como factores de terceros que 75.0
Medidas de detección y prevención de malware
tengan repercusión en la seguridad.
70.2
La evaluación del riesgo permitirá determinar los niveles Mejora de la infraestructura de seguridad
aceptables de seguridad conforme los determinantes vayan 68.8
evolucionando. Uno de ellos es la privacidad de la información Mejoras de protección de datos
que representa como hemos observado en los casos que 68.8
hemos mostrado, el talón de Aquiles. ¿Qué se requiere para Inteligencia de amenazas

salvaguardar la privacidad? ¿Mayor o menor control? 68.8

¿Más o menos regulación? ¿Generar una cultura que en Pruebas de potencial de amenazas de violación ó fraude dentro de la organización

la que todos los involucrados asuman su responsabilidad y 68.8

Múltiples factores de autenticación
promuevan la participación?
66.0
El desarrollo tecnológico es constante y su asimilación está Incremento de la seguridad ó aplicaciones para móviles
dando respuesta a las interrogantes; la oportunidad radica en 63.8
generar políticas y leyes que vayan un paso adelante. La Global Entrenamiento en seguridad ó educación para los empleados
State of Information Security® Survey 2017 contribuye a generar 62.5
un panorama en el corto plazo. El seguimiento a las anteriores Mayor adopción de cifrado dentro y fuera de la organización
encuestas nos da elementos para reforzar nuestro planteamiento. 55.3
Controles y pruebas de seguridad terceros
52.1

24 Ciberseguridad y privacidad
Metodología
Datos relevantes
El Estudio de Seguridad de la Información en México 2017 se
basa en las respuestas obtenidas del estudio Global State of
Information Security Survey 2017 realizado por PwC a nivel 44.4%, casi la mitad
global por medio de una encuesta electrónica aplicada entre el 4 de los participantes
de abril y el 3 de junio de 2016. están en organizaciones
Este estudio a nivel global se ha realizado durante 16 años de 1,000 a 20,000 empleados.
por PwC en conjunto con las revistas CIO y CISO. Se encuesta
a más de 133 países obteniendo más de 10,000 respuestas a
nivel mundial, de las cuales México aportó 447, teniendo una 64.5% de los participantes
participación del 4.47%. trabajan en empresas de más
El cuestionario con el cual fue generado este reporte responde a de 1,000 empleados.
más de 40 preguntas relacionadas a seguridad y privacidad de
la información las cuales van alineadas con el negocio y con las 2/3 partes de los participantes
tendencias globales.
tienen más de 50 empleados
El margen de error es menor al 1%, los números pueden no dedicados a TI.
sumar el 100% debido al redondeo. El perfil de los participantes
de México el 74% es C-Suite.
75% de las empresas participantes
gastan más de 1 millón de dólares
al año en TI. El promedio mundial
es 138 millones de dólares,
y en México se gastan 129 millones.

3.87% del presupuesto de TI

Participantes en México en México, se asigna a Seguridad de la
Información ($ 5,020,395 dólares).
CEO / President / Managing Director
22.4
Chief Information Officer (CIO) / VP
75% de los participantes en México
20.1 declararon que su gasto en
Chief Financial Officer (CFO) / Finance Director (FD) Seguridad de la Información
8.0 está alineado a las utilidades
Chief Operating Officer (COO)
de las líneas de negocio, en el mundo
6.9
Chief Information Security Officer (CISO) / VP
sólo 62% sigue esta tendencia.
5.7
Chief Technology Officer (CTO)
5.0
Chief Compliance Officer / VP
3.2 Encuesta en México…
Chief Security Officer (CSO) / VP

74%
1.6
Chief Risk Officer
0.9
Chief Privacy Officer
de los participantes
0.7 de México son altos
directivos.

PwC, Estudio de Seguiridad de la Información en México 2017

PwC México 25
Contactos
Fernando Román
Socio Cyber Security & Privacy Solutions
Risk Assurance
fernando.roman@mx.pwc.com
(55) 5263 5898

Yonathan Parada
Socio Cyber Security & Privacy Solutions

yonathan.parada@mx.pwc.com
(81) 8881 4106

www.pwc.com/gsiss
www.pwc.com/mx/cybersecurity

Esta publicación se elaboró exclusivamente con el propósito de ofrecer orientación general sobre algunos temas de interés, por lo que no debe
considerarse una asesoría profesional. No es recomendable actuar con base en la información aquí contenida sin obtener la debida asesoría profesional.
No garantizamos, expresa o implícitamente, la precisión o integridad de la información de la presente publicación, y dentro de los límites permitidos por la
ley, PricewaterhouseCoopers, S.C., sus miembros, empleados y agentes no aceptan ni asumen ninguna responsabilidad, deber u obligación derivada de
las acciones, decisiones u omisiones que usted u otras personas tomen con base en la información contenida en esta publicación.
En PwC México somos líderes responsables, comprometidos con la comunidad, el cuidado del medio ambiente y nuestra gente, quien vive la diversidad
e inclusión como parte de la cultura de PwC.

cuales constituye una entidad legal independiente. Favor de ir a www.pwc.com/structure para obtener mayor información al respecto.