inseguridad en impresoras conectadas a la red · 2018-04-13 · informe de investigación de...

`

Inseguridad en impresoras conectadas a la red

Patrocinado por HP

Estudio independiente de Ponemon Institute LLC

Fecha de publicación: octubre de 2015

Informe de investigación de Ponemon Institute©

Informe de investigación de Ponemon Institute© Página 1

Inseguridad en impresoras conectadas a la red Ponemon Institute, octubre de 2015

Parte 1. Introducción En Inseguridad en impresoras conectadas a la red, patrocinado por HP, se indican los riesgos de seguridad que conllevan las impresoras y otros periféricos desprotegidos. El propósito es plantear una serie de acciones estratégicas y recomendaciones para mejorar la seguridad de los dispositivos conectados y los documentos físicos. Para ello, hemos encuestado a más de 2000 empresas de TI que toman medidas de seguridad en Estados Unidos, EMEA, Asia-Pacífico y Latinoamérica. En este informe, se presentan todos los hallazgos a los que se han llegado. Para garantizar la calidad de las respuestas, confirmamos que todos los encuestados estuvieran familiarizados con las estrategias de su empresa en cuanto a seguridad de datos y fueran responsables de proteger información importante o confidencial. Un 65 % de los encuestados afirma que el formato de la información protegida suele ser digital, y un 22% dice que suele ser una combinación de documentos físicos y digitales. Solo un 13 % de los encuestados reconoce que, principalmente, toma medidas de seguridad para proteger documentos impresos. Se ignora el riesgo de seguridad de las impresoras. Como se demuestra en la ilustración 1, el 64 % de los encuestados afirma que su empresa atribuye un mayor riesgo de seguridad para los datos a los ordenadores que a las impresoras. Por este motivo, la mayoría (un 62 % de los encuestados) no cree que sea posible evitar la pérdida de los datos en el área de almacenamiento masivo de la impresora o en los documentos impresos. Estas impresoras se encuentran desprotegidas ante el acceso no autorizado a través de puertos abiertos y protocolos. Solo el 38 % de los encuestados cree que la información contenida en el área de almacenamiento masivo de la impresora se borra durante el proceso de desecho o restauración del dispositivo. Los departamentos de dirección ejecutiva, ventas y recursos humanos son los más expuestos a los riesgos de seguridad en relación con los datos generados o impresos. Si bien las empresas desconocen qué impresoras presentan riesgos, un equipo de seguridad de TI puede identificar qué departamentos o qué cargos requieren las mayores medidas de seguridad para impresoras. La prevención del acceso no autorizado a impresoras conectadas a la red se suele ignorar. Solo el 34 % de los encuestados afirma que su empresa tiene un proceso para restringir el acceso a las impresoras de alto riesgo y a los documentos impresos. Como resultado, una media del 44 % de las impresoras conectadas a la red en su empresa están desprotegidas contra el acceso no autorizado a los datos almacenados en el área de almacenamiento masivo de las impresoras; y una media del 55 %, ante el acceso no autorizado a los documentos impresos. Es probable que se haya producido una vulneración de datos a través de una impresora conectada a la red en las empresas mencionadas en este estudio. Aunque las empresas ignoren el riesgo, un 60 % de los encuestados reconoce que, con total seguridad (10 %), muy probablemente (24 %) o probablemente (26 %), se han producido estas vulneraciones. La mayoría de los encuestados predice una vulneración de datos en los próximos 12 meses por no tener protegidas las impresoras conectadas a la red. Un 57 % de los encuestados cree que se producirán estas vulneraciones, y un 51 % predice que se producirán en ordenadores desprotegidos.

Ilustración 1. Ignorancia del riesgo de seguridad de las

impresoras

38%

62%

64%

0% 15% 30% 45% 60% 75%

Information contained inprinter mass storage isthoroughly wiped clean

during the disposal orrefurbishment process

Unable to prevent the lossof data contained in printer

mass storage and/orprinted hardcopy

documents

Higher data risk isassigned to desktop orlaptop computers than

printers

Se atribuye un mayor riesgo de seguridad para

los datos a los ordenadores que a las

No se puede evitar la pérdida de los datos

contenidos en el área de almacenamiento masivo de

la impresora o en

La información contenida en el área de

almacenamiento masivo de la impresora se borra en el

proceso de desecho o


Según el 88 % de los encuestados, la característica más importante en cuanto a seguridad de impresoras conectadas a la red es la capacidad de detectar anomalías en cualquiera de las impresoras de la empresa. Otras características importantes son las siguientes: la capacidad de establecer y supervisar políticas para el conjunto de impresoras (73 %), la capacidad de configurar las impresoras para que cumplan las políticas de seguridad específicas de la empresa (71 %), la capacidad de cifrar la comunicación entre las impresoras (68 %), la capacidad de detectar qué impresoras se añaden a la red y cuáles se desconectan (65 %), y la capacidad de instalar y administrar certificados digitales para usar las impresoras (59 %).


Parte 2. Descubrimientos importantes A continuación, se indican los descubrimientos más significativos de este estudio, clasificados según los siguientes temas: Problemas y falta de seguridad en las impresoras Problemas de proceso y falta de control Problemas tecnológicos Problemas y falta de seguridad en las impresoras Los departamentos de dirección ejecutiva, ventas y recursos humanos son los más expuestos a los riesgos de seguridad en relación con datos importantes y confidenciales en los dispositivos y en papel. Según un 56 % de los encuestados, existe un riesgo significativo en la seguridad de la información importante y confidencial de su empresa porque los empleados no conocen el alto riesgo de seguridad que representan las impresoras y los documentos en papel. Si bien las empresas desconocen qué impresoras presentan riesgos, los encuestados pueden identificar qué departamentos o qué cargos requieren las mayores medidas de seguridad para impresoras. Según la ilustración 2, en función del tipo de datos generados o impresos, se percibe que los departamentos de dirección ejecutiva (65 %), ventas (63 %) y recursos humanos (57 %) son los más expuestos a riesgos de seguridad en la empresa. Además, los departamentos de ventas (93 %) y recursos humanos (76 %) son vulnerables a posibles infracciones relacionadas con los datos, ya que se considera que estos departamentos no implantan las suficientes medidas de seguridad y control de acceso en relación con las impresoras. Ilustración 2. Departamentos o cargos que conllevan el mayor riesgo Se permiten tres respuestas.

14%

3%

38%

6%

76%

93%

14%

11%

23%

26%

31%

57%

63%

65%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Communications and public relations

Information technology

Marketing

Finance & accounting

Human resources

Sales

Executive management

Highest risk based on the type of data generated and/or printed

Highest risk in terms of poor printer-related security practices, lax access controls

Dirección ejecutiva

Ventas

Recursos humanos

Finanzas y contabilidad

Marketing

Tecnología de información

Comunicaciones y relaciones

públicas


Problemas de proceso y falta de control Las medidas actuales de protección de impresoras y documentos son ineficaces. Las principales medidas de seguridad son establecer políticas, formar a los empleados y usar trituradores de papel para el 49 %, el 46 % y el 39 % de los encuestados respectivamente, tal como se indica en la ilustración 3. ¿Por qué son ineficaces estas medidas? En primer lugar, la mayoría de los encuestados dice que su empresa no conoce o no ha implantado políticas de seguridad que protejan las impresoras conectadas a la red (55 %). La implementación de certificados digitales, el cifrado de datos y las soluciones antivirus y antisoftware malicioso mejorarían la seguridad. Ilustración 3. Medidas que toman las empresas para proteger las impresoras Se permite más de una respuesta.

1%

7%

10%

13%

18%

20%

25%

28%

39%

46%

49%

0% 10% 20% 30% 40% 50% 60%

Other

Automated print restrictions on specific files

Automated print restriction on specific devices

Implementing access control protocols to printersacross the network

Implementing ant-virus/anti-malware solution

Collecting paper documents from outsidecontractors for safe disposal

Deploying digital certificates and encryption whenprinting across network devices

Collecting documents from each office area forcentralized shredding

Shredding documents in each office area

Training of employees

Enforcing a policyAplicación de políticas

Formación de empleados

Trituración de documentos en cada oficina

Recogida de documentos de cada oficina

para triturarlos de forma centralizada

Uso de certificados digitales y cifrado para

imprimir en los dispositivos de la red

Recogida de documentos en papel de contratistas

externos para su eliminación segura

Uso de soluciones antivirus y antisoftware malicioso Implantación de protocolos de control de

acceso a las impresoras de la red

Restricción de impresión automatizada en dispositivos concretos

Restricciones de impresión automatizadas

en archivos concretos

Otras


Si bien la mayoría de las empresas cuenta con impresoras en el lugar de trabajo, son pocas las que saben decir qué impresoras implican un riesgo de vulneración de datos. Como se indica en la ilustración 4, solo un 30 % de los encuestados afirma que su empresa sigue un proceso para identificar las impresoras de alto riesgo, y solo un 34 % sigue un proceso para restringir el acceso a estas impresoras. Es más, solo un 44 % de los encuestados afirma que la política de seguridad de su empresa contempla la seguridad de las impresoras conectadas a la red. Ilustración 4. ¿Sigue su empresa un proceso para identificar las impresoras o documentos en papel de alto riesgo o para restringir el acceso a estos?

30% 34%

70% 66%

0%

10%

20%

30%

40%

50%

60%

70%

80%

Identifying high-risk printers Restricting access to high-risk printers includingprinted hardcopy documents

Yes No

Identificación de impresoras de alto riesgo

Restricción del acceso a impresoras y documentos impresos de alto riesgo

Sí


Como se demuestra en la ilustración 5, se admite que no suelen realizarse las siguientes medidas con eficacia: integrar el acceso a la impresora y su uso en un sistema de seguridad para la red o en una solución de gestión de eventos e información de seguridad (77 %), establecer y aplicar políticas de seguridad para impresoras de forma coherente en toda la empresa (66 %), cifrar datos que no se usan en el área de almacenamiento masivo de la impresora o en discos duros (63 %), cifrar datos en uso en las impresoras de la empresa (62 %) y asignar derechos de acceso a las impresoras según la importancia de los documentos que se imprimen (56 %). Ilustración 5. ¿Cómo evaluaría el control que tiene su empresa sobre el uso y la protección de las impresoras? Se ha calificado de "inexistente" en los siguientes casos.

40%

52%

54%

55%

56%

62%

63%

66%

77%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

Educate users about the safe and secure use ofprinters and other peripheral devices

Establish monitoring procedures to track the useand physical location of printers

Establish printer ownership and accountability byfunction or role

Maintain logs showing access to datastored/contained within printer mass storage

and/or hard drives

Assign access rights to printers based on thesensitivity of documents printed

Encrypt data in motion across the organization’s fleet of printers

Encrypt data at rest stored within printer massstorage and/or hard drives

Establish and enforce printer security policiesthat are consistently applied across the

enterprise

Integrate printer access and use with networkintelligence and/or SIEM solution

Integrar el acceso a las impresoras en un sistema de seguridad para la red o en una solución de

gestión de eventos e información de seguridad

Establecer y aplicar políticas de seguridad para impresoras de forma coherente en la empresa

Cifrar los datos que no se usan en el área de

almacenamiento masivo de la impresora o en discos duros

Cifrar los datos en uso en las impresoras de la

empresa

Asignar derechos de acceso a las impresoras según la importancia de los documentos que se imprimen

Mantener registros de acceso a los datos en el área

de almacenamiento masivo de la impresora o en discos duros

Establecer propiedad y responsabilidad sobre la

impresora por función o cargo

Establecer procedimientos de supervisión para rastrear el uso y la ubicación física de las

impresoras

Informar a los usuarios sobre el uso seguro de las impresoras y los periféricos


La prevención del acceso no autorizado a impresoras conectadas a la red se suele ignorar. En promedio, un 55 % de los dispositivos se encuentra desprotegido en cuanto al acceso a los datos de documentos impresos, y un 44 % en cuanto al acceso al área de almacenamiento masivo de la impresora. Sin embargo, solo el 34 % de los encuestados afirma que su empresa tiene un proceso para restringir el acceso a las impresoras de alto riesgo y a los documentos impresos. Problemas tecnológicos Es probable que se haya producido una vulneración de datos a través de una impresora conectada a la red en las empresas mencionadas en este estudio. Como se demuestra en la ilustración 6, aunque las empresas ignoren o no sepan reconocer el riesgo, un 60 % de los encuestados reconoce que, con total seguridad (10 %), muy probablemente (24 %) o probablemente (26 %), se han producido estas vulneraciones, tal como se indica en la ilustración 6. Solo un 24 % de los encuestados afirma que no se ha producido ninguna vulneración de datos a través de impresoras conectadas a la red. Un 67 % de los encuestados dice que, con toda seguridad (35 %), muy probablemente (23 %) o probablemente (9 %) se han producido vulneraciones de datos a través de un ordenador. Ilustración 6. Casos de vulneración de datos a través de impresoras conectadas a la red y de ordenadores

10%

35% 24%

23% 26%

9%

24%

23%

16% 10%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Network-connected printer Desktop or laptop computer

Yes - known with certainty Yes - Very likely Yes - Likely No Unable to determine

Impresora conectada a la red

Ordenador

Sí, seguro

Es muy probable que sí

Es probable que sí

No se sabe


La mayoría de los encuestados predice una vulneración de datos en los próximos 12 meses por no tener protegidas las impresoras conectadas a la red. Como se indica en la ilustración 7, un 57 % de los encuestados cree que se producirán estas vulneraciones, y un 51 % predice que se producirán en ordenadores desprotegidos. El riesgo aumentará tanto para unos dispositivos como para otros debido al uso cada vez más frecuente de las tecnologías móviles (65 %), al aumento de las infecciones por software malicioso (61 %), al mayor número de trabajadores a distancia (60 %) y al aumento de la cantidad de dispositivos conectados a la red (53 %). Ilustración 7. ¿Predice un aumento del riesgo de vulneración de datos en los próximos 12 meses?

Las tecnologías que permitan detectar cuáles son las impresoras de alto riesgo, por ejemplo, las infectadas por software malicioso, son fundamentales (70 %). Un 60 % de los encuestados afirma que existe riesgo de infección por software malicioso en impresoras y ordenadores. De ellos, un 50 % dice que existe el mismo riesgo en un dispositivo como en otro, y un 10 % dice que existe más riesgo en los ordenadores, tal como se demuestra en la ilustración 8. Ilustración 8. ¿Qué describe el índice de infecciones por software malicioso en los puntos de acceso?

57% 51%

34% 42%

8% 8%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Increased risk from insecure network-connectedprinters

Increased risk from insecure desktop or laptopcomputers

Yes No Unable to determine

19%

22%

50%

10%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Printers are more likely to be infected than desktop or laptop computers

Printers are equally likely to be infected than desktop or laptop computers

Printers are less likely to be infected than desktop or laptop computers

Unable to determine

Las impresoras corren más riesgo de infección que los ordenadores Las impresoras corren el mismo riesgo de infección que los ordenadores Las impresoras corren menos riesgo de infección que los ordenadores No se sabe

Aumento del riesgo a causa de impresoras conectadas a la red poco seguras

Aumento del riesgo a causa de ordenadores poco seguros

Sí

No se sabe


Entre otros factores importantes, se incluyen la supervisión de dispositivos y usuarios (64 %), las tecnologías para cifrar los documentos importantes o confidenciales que contienen las impresoras (55%), las tecnologías que restringen el acceso a los documentos que se encuentran en al área de almacenamiento masivo de la impresora (52 %) y la aplicación estricta de políticas contra el incumplimiento normativo (50 %). Ilustración 9. Factores de éxito importantes para el control de las impresoras Se permite más de una respuesta.

2%

30%

34%

45%

49%

50%

50%

52%

55%

64%

70%

0% 10% 20% 30% 40% 50% 60% 70% 80%

Other

Executive-level support

Clear, concise and consistent printer securitypolicies.

Ample budget

Access rights assigned using role or function-based methods

Strict enforcement of non-compliance

Employee awareness and training on printerhandling

Technologies that restrict access to documentscontained in printer mass storage

Technologies that encrypt sensitive orconfidential documents contained in printers

Monitoring of devices and users

Technologies that help pinpoint high risk printers(such as those containing malware)

Las tecnologías que permiten detectar cuáles son las impresoras de alto riesgo (como las infectadas

por software malicioso)

Supervisión de dispositivos y usuarios

Tecnologías que cifran documentos importantes o confidenciales en las impresoras

Tecnologías que restringen el acceso a los documentos en el área de almacenamiento masivo de las impresoras

Concienciación y formación de los empleados con respecto al uso de las impresoras

Aplicación de políticas estrictas contra el incumplimiento normativo

Asignación de derechos de acceso mediante métodos basados en el cargo o la función

Presupuesto amplio

Políticas de seguridad para impresoras claras, concisas y coherentes

Apoyo de la dirección ejecutiva

Otros


Según el 88 % de los encuestados, la característica más importante en cuanto a seguridad de impresoras conectadas a la red es la capacidad de detectar anomalías en cualquiera de las impresoras de la empresa. La mayoría de los encuestados calificó como muy importantes las siete características de la lista relacionadas con tecnologías para la seguridad de las impresoras. Como se indica en la ilustración 10, a la capacidad de detectar anomalías, le sigue la de administrar protocolos de seguridad para el conjunto de impresoras desde una consola centralizada (84 %), la capacidad de establecer y supervisar políticas para el conjunto de impresoras (73 %), la capacidad de configurar las impresoras para que cumplan las políticas de seguridad específicas de la empresa (71 %), la capacidad de cifrar la comunicación entre las impresoras (68 %), la capacidad de detectar qué impresoras se añaden a la red y cuáles se desconectan (65 %), y la capacidad de instalar y administrar certificados digitales para usar las impresoras (59 %). Ilustración 10. Características tecnológicas más importantes para la administración y la seguridad de las impresoras 1 = no es importante, 10 = muy importante, más de 7 respuestas recopiladas

59%

65%

68%

71%

73%

84%

88%

0% 20% 40% 60% 80% 100%

Ability to install and manage digital certificateacross the fleet of printers

Ability to determine printers that are added to orremoved from the network

Ability to enable encrypted communicationamong devices across the fleet of printers

Ability to configure printers to be compliant withspecific corporate security polices

Ability to set and monitor policies for the entirefleet of printers

Ability to manage security protocols for the entirefleet of printers from one centralized console

Ability to spot (pinpoint) anomalies in any givendevice within the fleet of printers

Capacidad de detectar anomalías en cualquier impresora de la red empresarial

Capacidad de administrar protocolos de seguridad

para todas las impresoras desde una consola centralizada

Capacidad para establecer y supervisar políticas para todas las impresoras

Capacidad de configurar las impresoras para el cumplimiento de las políticas de seguridad específicas de la empresa

Capacidad de habilitar la comunicación cifrada entre

dispositivos en todas las impresoras

Capacidad de detectar qué impresoras se conectan o desconectan de la red

Capacidad de instalar y administrar certificados

digitales en todas las impresoras


Parte 3. Conclusión El uso de las impresoras, como parte integral del entorno de trabajo, se encuentra muy extendido. Sin embargo, tal como se demuestra en este estudio, muchas empresas ignoran los riesgos de seguridad asociados a las impresoras y otros periféricos. En otro estudio de Ponemon Institute, un 53 % de los directores de TI reconoce que las impresoras son vulnerables al delito informático.1 Según el estudio 2015 Global Report on the Cost of Cyber Crime (Estudio del coste global de un delito informático en 2015), el coste medio anual para resolver un ataque cibernético es de 7,7 millones de dólares.2 A continuación, incluimos algunas recomendaciones para reducir el riesgo de amenaza: Las políticas y las medidas de seguridad deberían hacer frente a la pérdida de datos importantes

o confidenciales.

Los programas de formación y concienciación deberían tratar la gestión adecuada de información importante y confidencial al usar impresoras y periféricos conectados a la red.

Debería realizarse una evaluación para determinar qué departamentos y cargos representan un

mayor riesgo de seguridad por el tipo de información que generan o imprimen. Las medidas de seguridad y los controles de acceso en relación con las impresoras deberían incrementarse en esas áreas.

Es posible controlar el acceso físico a las impresoras, pero implementar un sistema de impresión

mediante autorización sería más eficaz y seguro para gestionar documentos importantes.

1 Ibídem

2 Ponemon Institute, “2015 Global Report on the Cost of Cyber Crime” (Estudio del coste global de un

delito informático en 2015), patrocinado por Hewlett Packard Enterprise, septiembre de 2015


Parte 4. Métodos Se ha seleccionado un segmento aleatorio de una muestra de 60 119 profesionales de la seguridad de TI en Estados Unidos, EMEA, Asia-Pacífico y Latinoamérica para participar en la encuesta. Como se indica en la tabla 1, 2281 encuestados respondieron al cuestionario completo. En el proceso de selección, se descartaron 240 encuestas. En la muestra final se han incluido 2041 encuestas (o un 3,4 % del índice de respuesta).

Tabla 1. Muestra de las respuestas Frecuencia Porcentaje Total del segmento de la muestra 60 119 100,0 % Devoluciones totales 2281 3,8 % Encuestas rechazadas o seleccionadas 240 0,4 % Muestra final 2041 3,4 %

El gráfico circular 1 refleja el cargo actual de los encuestados. Más de la mitad (58 %) tiene un cargo de supervisión como mínimo. Gráfico circular 1. Cargo actual del encuestado

El gráfico circular 2 refleja el sector principal al que se dedican los encuestados. Un 19 % de los encuestados trabaja en el sector de los servicios financieros, y un 11% en el de los servicios médicos y farmacéuticos. Otro 10 % trabaja en el sector público y en la industria y la fabricación. Gráfico circular 2. Distribución de los encuestados por sector principal

3%

16%

21%

18%

34%

7% 2%

Executive/VP

Director

Manager

Supervisor

Technician

Staff

Contractor

Director ejecutivo/vicepresidente Director

Jefe

Supervisor

Técnico

Personal

Contratista

16%

12%

10%

9% 9%

9%

7%

5%

5%

5%

3% 3%

2% 2% 3% Financial services

Public services

Health & pharmaceutical

Services

Industrial

Retail

Technology & software

Consumer products

Hospitality

Energy & utilities

Education & research

Transportation

Entertainment & media

Communications

Other

Servicios financieros

Servicios públicos

Salud y farmacia

Servicios

Industria

Venta minorista

Tecnología y software

Productos de consumo

Hostelería

Energía y suministro público

Educación e investigación

Transporte

Entretenimiento y medios de comunicación

Comunicaciones

Otro


Un 51 % de los encuestados trabaja en empresas con más de 1000 empleados en todo el mundo, tal como se indica en el gráfico circular 3. Gráfico circular 3. Personal en todo el mundo

Parte 5. Inconvenientes

Existen limitaciones a la hora de realizar una encuesta que deben tenerse en cuenta antes de sacar conclusiones de los datos obtenidos. Las siguientes son limitaciones específicas comunes en la mayoría de las encuestas a través de la Web.

Sesgo de no respuesta: Los descubrimientos actuales se basan en una muestra de cuestionarios devueltos. Enviamos cuestionarios a una muestra de personas representativa, lo que da lugar a una gran cantidad de respuestas devueltas utilizables. A pesar de las pruebas de no respuesta, siempre es posible que la forma de pensar de aquellos que no hayan participado sea considerablemente distinta de los que han completado el cuestionario. Sesgo muestral: La precisión se basa en la información de contacto y en el grado en que la lista represente a los profesionales de la seguridad en TI. Además, reconocemos que puede haber eventos externos que influyan en los resultados, como la cobertura mediática. También reconocemos que los resultados pueden verse influidos por la compensación ofrecida a los participantes por completar este estudio en un determinado plazo. Resultados basados en respuestas de los encuestados: La calidad del estudio se basa en la integridad de las respuestas confidenciales de los encuestados. Si bien se pueden incorporar determinadas comprobaciones y balances durante la encuesta, siempre existe la posibilidad de que el encuestado no respondiera con sinceridad.

11%

14%

24% 26%

12%

8%

5%

< 100

100 to 500

501 to 1,000

1,001 to 5,000

5,001 to 25,000

25,001 to 75,000

> 75,000

Menos de 100

Entre 100 y 500

Entre 501 y 1000

Entre 1001 y 5000

Entre 5001 y 25 000

Entre 25 001 y 75 000

Menos de 75 000


Apéndice: Resultados detallados de la encuesta Las siguientes tablas indican la frecuencia o la frecuencia de porcentaje de las respuestas a todas las preguntas de la encuesta formuladas para este estudio. Todas las respuestas de la encuesta se recopilaron en septiembre de 2015.

Respuesta de la encuesta Global Segmento de la muestra 60 119 Devoluciones totales 2281 Encuestas rechazadas o seleccionadas 240 Muestra final 2041 Porcentaje de respuesta 3,4 %

Ponderación de la muestra 100,0 % Preguntas de selección S1. ¿Está familiarizado con la estrategia de seguridad de datos de su empresa? Global Bastante 39 % Sí 42 % Más o menos 19 % No (parar) 0 % Total 100 %

S2a. ¿Es responsable de proteger información importante o confidencial? Global

Sí, toda la responsabilidad es mía 25 % Sí, en cierta medida 61 % Sí, aunque mínimamente 14 % No me corresponde (parar) 0 % Total 100 % S2b. En caso afirmativo, ¿qué formato tiene la información protegida? Global Principalmente físico (copia impresa) 13 % Principalmente digital 65 % Físico y digital 22 % Total 100 % Parte 1: Suposiciones (totalmente de acuerdo y de acuerdo) Global

P1. Mi empresa atribuye un mayor riesgo de seguridad para los datos a los ordenadores que a las impresoras. 64 %

P2. La mayoría de los empleados de mi empresa no considera que las impresoras supongan un alto riesgo de seguridad para los datos. 56 %

P3. Mi empresa no puede evitar la pérdida de los datos contenidos en el área de almacenamiento masivo de la impresora o en documentos impresos. 62 %

P4. La información contenida en el área de almacenamiento masivo de la impresora se borra en el proceso de desecho o renovación del dispositivo. 38 % Parte 2: Antecedentes

P5. ¿Las políticas de seguridad de su empresa afectan explícitamente a la seguridad de las impresoras conectadas a la red? Global Sí 44 % No 47 % No lo sé 8 % Total 100 %


P6a. ¿Se ha producido alguna vulneración de datos en su empresa a través de una impresora conectada a la red? Global Sí, seguro 10 % Es muy probable que sí 24 % Es probable que sí 26 % No 24 % No lo sé 17 % Total 100 %

P6b. ¿Se ha producido alguna vulneración de datos en su empresa a través de un ordenador? Global

Sí, seguro 35 % Es muy probable que sí 23 % Es probable que sí 9 % No 23 % No lo sé 10 % Total 100 %

P7a. ¿Predice un aumento del riesgo de vulneración de datos en los próximos 12 meses a consecuencia de la falta de seguridad en las impresoras conectadas a la red? Global Sí 57 % No 34 % No lo sé 8 % Total 100 %

P7b. ¿Predice un aumento del riesgo de vulneración de datos en los próximos 12 meses a consecuencia de la falta de seguridad en los ordenadores? Global Sí 51 % No 42 % No lo sé 8 % Total 100 %

P7c. Si ha respondido que sí a las preguntas P7a o P7b, ¿por qué aumentaría el riesgo? Elija las tres respuestas con las que esté más de acuerdo. Global Mayor número de dispositivos conectados a la red 53 % Uso más frecuente de las tecnologías móviles 65 % Mayor número de trabajadores a distancia 60 % Aumento de la capacidad de almacenamiento de datos 13 % Mayor índice de infecciones por software malicioso 61 % Software malicioso más sofisticado 17 % Normas de protección de datos nuevas o emergentes 9 % Mayor acceso de los usuarios 20 % Otros motivos (especificar) 2 % Total 300 %


P8. ¿Qué porcentaje de impresoras conectadas a la red en su empresa están desprotegidas en algún momento frente al acceso no autorizado a los datos del área de almacenamiento masivo de estas? Global Ninguno 6 % Menos del 5 % 7 % Del 5 al 10 % 8 % Del 11 al 25 % 13 % Del 26 al 50 % 23 % Del 51 al 75 % 25 % Del 76 al 99 % 13 % Todo 6 % Total 100 % Valor extrapolado 44 %

P9. ¿Qué porcentaje de impresoras conectadas a la red en su empresa están desprotegidas en algún momento frente al acceso no autorizado a los documentos impresos?

Global Ninguno 3 % Menos del 5 % 3 % Del 5 al 10 % 9 % Del 11 al 25 % 11 % Del 26 al 50 % 15 % Del 51 al 75 % 24 % Del 76 al 99 % 26 % Todo 10 % Total 100 % Valor extrapolado 55 %

P10. ¿Cuál de las respuestas describe mejor el índice de infecciones de software malicioso en los puntos de acceso de su empresa en algún momento? Global Las impresoras corren menos riesgo de infección por software malicioso que los ordenadores 22 % Las impresoras corren el mismo riesgo de infección por software malicioso que los ordenadores 50 % Las impresoras corren más riesgo de infección por software malicioso que los ordenadores 10 % No lo sé 19 % Total 100 %

P11. En su opinión, ¿qué departamentos o cargos en su empresa están más expuestos a riesgos de seguridad por el tipo de datos generados o impresos? Seleccione las tres respuestas con las que esté más de acuerdo. Global Ventas 63 % Recursos humanos 57 % Dirección ejecutiva 65 % Finanzas y contabilidad 31 % Comunicaciones y relaciones públicas 11 % Asesoría jurídica y cumplimiento de la normativa 4 % Logística/distribución 5 % Marketing 26 % Adquisiciones 8 % Tecnología de información 23 % Investigación y desarrollo 2 % Fabricación 6 % Total 300 %


P12. En su opinión, ¿qué departamentos o cargos en su empresa están más expuestos a riesgos de seguridad por no implantar las suficientes medidas de seguridad y control de acceso en relación con las impresoras? Seleccione las tres respuestas con las que esté más de acuerdo. Global Ventas 93 % Recursos humanos 76 % Dirección ejecutiva 14 % Finanzas y contabilidad 6 % Comunicaciones y relaciones públicas 14 % Asesoría jurídica y cumplimiento de la normativa 3 % Logística/distribución 6 % Marketing 38 % Adquisiciones 32 % Tecnología de información 3 % Investigación y desarrollo 1 % Fabricación 15 % Total 300 %

P13. ¿Sigue su empresa algún proceso para identificar las impresoras de alto riesgo (por ejemplo, las que se usan para imprimir documentos importantes o confidenciales)? Global Sí 30 % No 70 % Total 100 %

P14. ¿Sigue su empresa un proceso para restringir el acceso a las impresoras o a los documentos impresos de alto riesgo? Global Sí 34 % No 66 % Total 100 %

P15. ¿Qué medidas toma su empresa para proteger las impresoras y los documentos impresos? Global Formación de empleados 46 % Aplicación de políticas 49 % Trituración de documentos en cada oficina 39 % Uso de soluciones antivirus y antisoftware malicioso 18 % Implantación de protocolos de control de acceso a las impresoras de la red 13 % Recogida de documentos de cada oficina para triturarlos de forma centralizada 28 % Recogida de documentos en papel de contratistas externos para su eliminación segura 20 % Uso de certificados digitales y cifrado para imprimir en los dispositivos de la red 25 % Restricción de impresión automatizada en dispositivos concretos 10 % Restricciones de impresión automatizadas en archivos concretos 7 % Otras (especificar) 1 % Total 255 %


P16-1 ¿Cómo evaluaría el control que tiene su empresa sobre el uso y la protección de las impresoras? Utilice la siguiente escala para puntuar cada una de las medidas indicadas: 1 = excelente, 2 = bueno, 3 = aceptable, 4 = insuficiente, 5 = inexistente. Combinación de respuestas con puntuación de "excelente" y "bueno". Global Asignar derechos de acceso a las impresoras según la importancia de los documentos que se imprimen 29 % Establecer propiedad y responsabilidad sobre la impresora por función o cargo 28 %

Establecer y aplicar políticas de seguridad para impresoras de forma coherente en la empresa 18 %

Cifrar los datos que no se usan en el área de almacenamiento masivo de la impresora o en discos duros 22 % Cifrar los datos en uso en las impresoras de la empresa 21 %

Mantener registros de acceso a los datos en el área de almacenamiento masivo de la impresora o en discos duros 27 % Informar a los usuarios sobre el uso seguro de las impresoras y los periféricos 42 % Establecer procedimientos de supervisión para rastrear el uso y la ubicación física de las impresoras 32 % Integrar el acceso a las impresoras en un sistema de seguridad para la red o en una solución de gestión de eventos e información de seguridad 12 % Total 232 % P16-2 ¿Cómo evaluaría el control que tiene su empresa sobre el uso y la protección de las impresoras? Utilice la siguiente escala para puntuar cada una de las medidas indicadas: 1 = excelente, 2 = bueno, 3 = aceptable, 4 = insuficiente, 5 = inexistente. Se ha calificado de "inexistente" en los siguientes casos. Global Asignar derechos de acceso a las impresoras según la importancia de los documentos que se imprimen 56 % Establecer propiedad y responsabilidad sobre la impresora por función o cargo 54 %

Establecer y aplicar políticas de seguridad para impresoras de forma coherente en la empresa 66 %

Cifrar los datos que no se usan en el área de almacenamiento masivo de la impresora o en discos duros 63 % Cifrar los datos en uso en las impresoras de la empresa 62 %

Mantener registros de acceso a los datos en el área de almacenamiento masivo de la impresora o en discos duros 55 % Informar a los usuarios sobre el uso seguro de las impresoras y los periféricos 40 % Establecer procedimientos de supervisión para rastrear el uso y la ubicación física de las impresoras 52 % Integrar el acceso a las impresoras en un sistema de seguridad para la red o en una solución de gestión de eventos e información de seguridad 77 % Total 525 %

P17. ¿Qué factores son importantes para un control de impresoras eficaz en las redes de la empresa? Seleccione las cinco respuestas con las que esté más de acuerdo. Global Apoyo de la dirección ejecutiva 30 % Presupuesto amplio 45 % Tecnologías que cifran documentos importantes o confidenciales en las impresoras 55 % Tecnologías que restringen el acceso a los documentos en el área de almacenamiento masivo de las impresoras 52 % Las tecnologías que permiten detectar cuáles son las impresoras de alto riesgo (como las infectadas por software malicioso) 70 % Políticas de seguridad para impresoras claras, concisas y coherentes 34 % Concienciación y formación de los empleados con respecto al uso de las impresoras 50 % Asignación de derechos de acceso mediante métodos basados en el cargo o la función 49 % Aplicación de políticas estrictas contra el incumplimiento normativo 50 % Supervisión de dispositivos y usuarios 64 % Otras (especificar) 2 % Total 500 %


P18. A continuación, indicamos siete características específicas relacionadas con tecnologías que permiten a las empresas gestionar y proteger las impresoras, así como los documentos impresos. Puntúe cada característica según la escala de 10 puntos proporcionada debajo de cada elemento. 1 = no es importante, 10 = muy importante. P18a. Capacidad para establecer y supervisar políticas para todas las impresoras Global 1 o 2 1 % 3 o 4 4 % 5 o 6 21 % 7 u 8 42 % 9 o 10 31 % Total 100 % Valor extrapolado 7,46 P18b. Capacidad de detectar qué impresoras se conectan o desconectan de la red Global 1 o 2 1 % 3 o 4 4 % 5 o 6 30 % 7 u 8 39 % 9 o 10 26 % Total 100 % Valor extrapolado 7,22

P18c. Capacidad de configurar las impresoras para el cumplimiento de las políticas de seguridad específicas de la empresa Global 1 o 2 0 % 3 o 4 2 % 5 o 6 27 % 7 u 8 41 % 9 o 10 30 % Total 100 % Valor extrapolado 7,47 P18d. Capacidad de instalar y administrar certificados digitales en todas las impresoras Global 1 o 2 3 % 3 o 4 7 % 5 o 6 32 % 7 u 8 36 % 9 o 10 23 % Total 100 % Valor extrapolado 6,88

P18e. Capacidad de habilitar la comunicación cifrada entre dispositivos en todas las impresoras Global 1 o 2 1 % 3 o 4 4 % 5 o 6 27 % 7 u 8 39 % 9 o 10 29 % Total 100 % Valor extrapolado 7,33


P18f. Capacidad de administrar protocolos de seguridad para todas las impresoras desde una consola centralizada Global 1 o 2 0 % 3 o 4 1 % 5 o 6 16 % 7 u 8 37 % 9 o 10 47 % Total 100 % Valor extrapolado 8,10 P18g. Capacidad de detectar anomalías en cualquier impresora de la red empresarial Global 1 o 2 0 % 3 o 4 0 % 5 o 6 11 % 7 u 8 39 % 9 o 10 49 % Total 100 % Valor extrapolado 8,23 Parte 3. Datos sobre su función y la empresa D1. ¿Qué nivel empresarial describe mejor su cargo actual? Global Director ejecutivo/vicepresidente 3 % Director 16 % Jefe 21 % Supervisor 18 % Técnico 34 % Personal 7 % Contratista 2 % Otro 0 % Total 100 % D2. ¿Qué sector describe mejor su empresa? Global Agricultura y servicios alimentarios 1 % Comunicaciones 2 % Productos de consumo 5 % Defensa e ingeniería aeroespacial 1 % Educación e investigación 3 % Energía y suministro público 5 % Entretenimiento y medios de comunicación 2 % Servicios financieros 16 % Salud y farmacia 10 % Hostelería 5 % Industria 9 % Servicios públicos 12 % Venta minorista 9 % Servicios 9 % Tecnología y software 7 % Transporte 3 % Otro 1 % Total 100 %


D3. ¿Cuántos empleados tiene su empresa en todo el mundo? Global Menos de 100 11 % Entre 100 y 500 14 % Entre 501 y 1000 24 % Entre 1001 y 5000 26 % Entre 5001 y 25 000 12 % Entre 25 001 y 75 000 8 % Menos de 75 000 5 % Total 100 % Valor extrapolado 10 933

Ponemon Institute Gestión de información fiable

Ponemon Institute se dedica a la investigación y a la educación independiente, y proporciona información fiable, así como recomendaciones de gestión privada, a empresas y organismos gubernamentales. Nuestra misión es realizar estudios empíricos de gran calidad sobre temas importantes que afectan a la gestión y a la seguridad de información importante, tanto personal como empresarial. Como miembros del Consejo de Organizaciones de Investigación y Encuestas de Estados Unidos (CASRO), seguimos estrictos estándares de confidencialidad de datos, privacidad e investigación ética. No recopilamos información que pueda identificar a alguna persona (o a empresas en nuestros estudios empresariales). Es más, cumplimos estándares estrictos de calidad para garantizar que a los encuestados se les haga preguntas pertinentes y adecuadas.

inseguridad en impresoras conectadas a la red · 2018-04-13 · informe de investigación de...

Documents