t
Estudio Sobre Delito Digital - 2008 Ernst & Young, Argentina
Resumen de Resultados17 de Diciembre 2008
Page 1 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
I.- Introducción.
Contenido
II.- Objeto.
III.- Hallazgos Clave.
V.- Anexo: Resumen de Participantes.
IV.- Hallazgos Colaterales y Otras Referencias.
Page 2 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
I.- Introducción
Con un enfoque desde las nuevas normas incluidas recientemente en el Código Penal Argentino (Ley 26.388), el Estudio sobre Delito Digital 2008 -Ernst & Young Argentina, comprende un relevamiento dinámico sobre :- la situación actual del Delito Digital en la comunidad de los negocios, sus
características, los perjuicios que ocasiona, y el modo en que se procuracontrarrestarlo;
- las implicancias que las organizaciones entienden que esta nueva Ley les transfiere;
- la percepción que existe en las distintas industrias sobre posibles riesgos de delitos digitales.
Este Estudio fue realizado entre Noviembre y Diciembre, desarrollando un temario limitado con el que se encuestó a Organizaciones de variadas industrias.
Para difundir los hallazgos clave se elaboró el presente Resumen, a cuenta del correspondiente Reporte que se comunicará a la brevedad.
Page 3 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
II.- Objeto
Este Estudio tiene por finalidad elaborar rápidamente un concepto genérico y muy aproximado de esta particular realidad, obteniéndose datos suficientes para:
1. dimensionar la magnitud de estos fenómenos;
3. estar en condiciones de compartir a la brevedad, con la comunidad de los negocios, con las autoridades y organizaciones a las que pueda resultarle de interés, y con la sociedad en general :
2. analizar sus características;
• las modalidades más comunes,
• los bienes en riesgo,
• la prevención necesaria,
• la percepción y las preocupaciones de las diferentes organizaciones.
Estudio Sobre Delito Digital – 2008 - Ernst & Young, ArgentinaPage 4
III.- Hallazgos Clave
Page 5 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
III.- Hallazgos Clave
1. Se considera que la ley genera implicancias para las Organizaciones, pero no se estiman cambios importantes.
2. Se identificó un alto porcentaje de delitos digitales en las Organizaciones.
3. Los Accesos Ilegítimos, la sustracción de dispositivos móviles y la defraudación son los principales delitos digitales.
4. Las pérdidas en las Organizaciones por delitos digitales son significativas en relación a la facturación anual.
5. Los Accesos Ilegítimos y la sustracción de dispositivos móviles generan la mayor cantidad de pérdidas.
6. En pocos casos que fueron investigados se identificó a los autores de los delitos digitales.
7. Las personas con mayor conocimiento sobre la Organización aparecen recurrentemente como autores del delito digital.
8. Pese a su valor crítico, no está generalizada como práctica formal el aseguramiento y resguardo apropiados de la evidencia digital.
Page 6 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
1. Se considera que la ley genera implicancias para las Organizaciones, pero no se estiman cambios importantes.
Nuestra Perspectiva:
Hallazgos Clave:4El 63 % de los consultados tiene una conocimiento
medio de la ley y solo el 9 % tiene un alto entendimiento de la misma.
4El 28% tiene un bajo conocimiento de la nueva ley.
4El 33 % de los consultados considera que la nueva ley genera un alto grado de implicancias en la Organización.
4El 72 % de los consultados entiende que habrá solo un nivel medio de cambios en la organización a partir de la sanción de la ley.
28 %
13 %
15 %
63 % 54 %72 %
9 %
33 %
13 %
¿Cuál es suconocimiento de la
nueva ley?
¿Considera que lanueva ley genera
implicancias para laOrganización?
¿Estima que serealizaran cambios a
nivel organización a raízde la sanción de la ley?
BajoMedio Alto
¿Cómo considera usted que es el riesgo de que otras organizaciones en su industria se vean afectadas por incidentes del tipo "Delito
Digital"?Bajo21%
Medio 69%
Alto10%4Se insinúa como necesaria una mayor difusión y
concientización en relación a algunas pautas de la ley, como por ejemplo las referidas a Protección de Datos Personales, que imponen implicancias importantes para las organizaciones (implementaciones eficientes para seguridad y confidencialidad)
Page 7 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
2. Se identificó un alto porcentaje de delitos digitales en las Organizaciones
Ha sufrido su Organización durante el ultimo año algún delito digital?
SI73%
NO11%
NO SABE16%
Otros
Contra la PropiedadIntelectual
Contra el CorreoElectrónico
Delitos extorsivos osimilares
Defraudaciones
Sustracción deDispositivos Móviles
Accesos ilegítimos
10%
19%
24%
29%
8%
6%
4%
De que tipo fueron los Delitos Digitales?
Hallazgos Clave:
4En consideración a los tipos que sanciona ahora el Código Penal, los delitos digitales que hoy ocurren en las organizaciones abarcan una amplia variedad.
4 84 de las 115 Organizaciones encuestadas, sufrieron delitos digitales en el último año.
4Casi todos los encuestados refieren no conocer si ha habido tráfico de pornografía infantil mediante uso ilegítmo de sus recursos tecnológicos. Muy pocos afirman categóricamente que no lo hubo.
Nuestra Perspectiva:4Algunas irregularidades perjudicaban a las
organizaciones recurrentemente aún con anterioridad a ser calificadas como delitos. Tales los casos de los Accesos Ilegítimos, o algunos modos de Defraudación, cuyas figuras han sido recientemente incluidas en el Código Penal.
4Se precisa una acción más efectiva contra la pornografía infantil. Incluso en salvaguarda de los riesgos para la propia organización.
Page 8 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
3. Los Accesos Ilegítimos, la sustracción de dispositivos móviles y la defraudación son los principales delitos digitales.
Nuestra Perspectiva:4Se evidencia un alto riesgo, el cual también se
percibe en las distintas industrias, según refieren las propias organizaciones encuestadas.
4Se impone una atención especial sobre los Accesos Ilegítimos y la Sustracción de Dispositivos Móviles, para su análisis y la definición de los emprendimientos necesarios para contrarrestarlos.
Otros - 4%
Contra la Propiedad Intelectual - 6% Contra el Correo Electrónico - 8%
Delitos extorsivos o similares - 10%
Hallazgos Clave:4El 72% de los casos de Delitos Digitales corresponden a
Accesos Ilegítimos, Sustracción de Dispositivos Móviles y Defraudación..
4Es muy importante la cantidad de Sustracción de Dispositivos Móviles (59 casos), del que obviamente debe deducirse el impacto por la pérdida de información.
4La mayor proporción de los casos de fraude involucra manipulación y/o acceso a datos.
Accesos Ilegítimos - 29%
14%
Datos Personales 10%
Otros Datos40%Denegación de Servicio
Virus o Malware 36%
Sustracción de Dispositivos Móviles - 24%
Notebooks/laptops58%
Dispositivos Externos de
almacenamiento22%
BlackBerry, iPhone o PDA 20%
Defraudaciones - 19%
Phishing33% Pharming
12%
Acceso ilegitimo a datos 43%
Alteración de la transmisión de datos 12%
Page 9 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
4. Las pérdidas en las Organizaciones por delitos digitales son significativas en relación a la facturación anual.
Hallazgos Claves: 4Un gran número de empresas encuestadas no ha estado en posibilidad de informar la relación entre las pérdidas y la facturación.
4Algunas empresas sufren pérdidas que están en el rango del 20 al 29% .
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
0 a 9 0 a 9 %% 10 a 19 10 a 19 %%
20 a 29 20 a 29 %:%:
NO SABE NO SABE Pérdidas en relación a la Facturación:
Casos de Organizaciones que han sufrido Delitos Digitales
Cant. de Respuestas : 45 de las 84 organizaciones que han sufrido delitos digitales dan una referencia sobre la cuantificación de las pérdidas.
Promedio : 0 a 9 % de la Facturación Anual
4No siempre es sencilla la rápida valoración de las pérdidas cuando el perjuicio para la compañía no se ha reducido solamente al monto de lo defraudado. Frecuentemente suelen involucrar aspectos relacionados con la imagen y otros bienes intangibles que son de difícil cuantificación “a priori”.
4El impacto en cuanto a la continuidad de la operaciones es más grave en las Organizaciones medianas y pequeñas.
Nuestra Perspectiva:
Page 10 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
0 A 9 % 10 a 19 %0
5
10
15
20
25
30
35
40
45
50%
20 a 29 %
Pérdidas en relación a la Facturación
OTROS
CONTRA LA PROPIEDAD INTELECTUAL
EXTORSIVOS O SIMILARES
CONTRA CORREO ELECTRÓNICO
DEFRAUDACION
SUSTRAC. DE DISPOSIT. MÓVILES (Laptops)
ACCESOS ILEGITIMOS
DELITOS
Nuestra Perspectiva:
4Podrían contrarrestarse estos delitos con acciones más eficientes destinadas a la prevención, alerta, investigación, etc.
4Las proporciones referidas a Defraudación mediante utilización de tecnología, guardan relación con otros relevamientos que se efectuaran sobre Fraude del tipo general en las organizaciones.
4Hay riesgos colaterales que imponen otros perjuicios no abarcados en las pérdidas cuantificadas al inicio de los incidentes detectados.
5. Los Accesos Ilegítimos y la sustracción de dispositivos móviles generan la mayor cantidad de pérdidas.
Hallazgos Clave:4Los accesos ilegítimos (a datos personales, otros datos, sistemas y programas), la sustracción de
dispositivos móviles y las distintas defraudaciones, no solo son los delitos digitales que más se repiten, sino que también son los que más pérdidas ocasionan a las organizaciones.
4Los Delitos contra la Propiedad Intelectual también aparecen con un índice relevante.
Page 11 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
Nuestra Perspectiva:4Al ser desbordados los controles de prevención,
detección y alertas tempranas por parte de los autores de delitos digitales, el éxito de las investigaciones depende de un conjunto de circunstancias (oportunidad, eficaz manejo de la situación crítica, tratamiento adecuado de la evidencia digital, etc.).
4Es necesario establecer previamente planes y cursos de acción para respuesta eficaz a este tipo de incidentes.
Hallazgos Claves:4Es alto el porcentaje de casos en que las
organizaciones disponen no emprender investigaciones por delitos digitales que las afectan.
4Entre los delitos digitales no investigados, principalmente se destacan los más repetidos y que más pérdidas ocasionan (Accesos Ilegítimos a datos, sistemas, programas; Sustracción de Dispositivos Móviles).
4Solo el 25% de los casos investigados corresponde a los delitos en que se identificara a los responsables.
SINONO SABE:
54%54%32 %
14%
0
10
20
30
40
50
60
70
Profesionales Especializados Externos
Justicia / Policía
Ejecutivos o Profesionales de la Compañía
NO se Identificóa los autores
Se Identificó a los autores
Se lograron indicios para sospechas fundadas sobre la identidad de los autores
%
¿Se investigaron los delitos digitales ocurridos en la organización?
6. En pocos casos que fueron investigados se identificaron los autores de los delitos digitales.
Page 12 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
Hallazgos Claves:4Estudiados varios tipos de delitos según la
tipificación del Código Penal, hay una proporción significativa de los que sus responsables son o han sido miembros de las Organizaciones afectadas.
02468
101214161820
DEFRAUDACIONES:
CONTRA CORREO
ELECTRÓNICO
DELITOS EXTORSIVOS
O SIMILARES
SUSTRAC. DISPOSIT.
MOVILES
(Laptops, otros)
CONTRA PROPIEDAD
INTELECTUAL
SE IGNORA PROCEDENCIA
TERCEROS IDENTIFICADOS
EX - MIEMBROS DE LA COMPAÑÍA
MIEMBROS DE LA COMPAÑÍA
DATOS
PERSONALES
OTROS DATOS
SISTEMAS
Y PROGRAMAS
OTROS DELITOS
ACCESOS ILEGÍTIMOS
%
7. Las personas con mayor conocimiento sobre la Organización aparecen recurrentemente como autores del delito digital.
Nuestra Perspectiva:4La alta proporción de delitos de los cuales se ignora la
pertenencia de sus autores, guarda relación con la gran cantidad de casos que no se han resuelto en una investigación.
Page 13 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
NO61%
SI39%
¿se formalizó denuncia policial o judicial?
31,11%31,11%
26,67%26,67%42,22%42,22% NO SABE
SISINONO
¿Se dispuso búsqueda y resguardo formal de los indicios, procurando asegurar su valor probatorio?
Si, con asesoramiento tecnolSi, con asesoramiento tecnolóógicogicoexterno.externo.
Si, con recursos de la Compañía.
Si, con asesoramiento JurSi, con asesoramiento JuríídicodicoExterno. 5%
47%
49%
¿Qué recursos se utilizaron para asegurar el valor probatorio de los indicios?
8. Pese a su valor crítico, no esta generalizada como práctica formal el aseguramiento y resguardo apropiados de la evidencia digital.
4No se aprecia una cultura sobre el tratamiento adecuado que corresponde a la evidencia digital, para que pueda ser luego considerada con valor probatorio suficiente en un proceso judicial.
Hallazgos Claves:
4Se precisa difundir el conocimiento de que la práctica forense sobre la materia es de rigurosa necesidad, y que condicionan severamente la evolución de las investigaciones de estos delitos.
Nuestra Perspectiva:
4Pocos casos se denuncian ante la justicia o policía.
Page 14 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
IV.- Hallazgos Colaterales y Otras Referencias
Page 15 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
IV.- Hallazgos Colaterales y otras Referencias
Durante el presente estudio se han evidenciado algunas otras circunstancias relacionadas directa o indirectamente con el fenómeno del Delito Digital:
I.- Insuficiente difusión sobre el contenido de la reforma al Código Penal, y las implicancias para las organizaciones:
Algunos aspectos referidos a la Protección de Datos Personales, en que se configura alguno de los delitos condicionándolo a la conducta previa de violación de implementaciones de seguridad y confidencialidad.
Adicionalmente, no deben dejar de considerarse las normas vigentes sobre la materia, que obligan a las organizaciones a la eficiencia en tales implementaciones.
Ej.:
Page 16 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
IV.- Hallazgos Colaterales y otras Referencias (Cont.)
II.- Necesidad de mayores emprendimiento para la prevención en general:
Seguridad Física Patrimonial, tanto en el ambiente de tecnología de la información, como en otros controles, tales como los de acceso de la Compañía y/o sectores internos restringidos (en relación a los riesgos de sustracción de dispositivos móviles, uno de los delitos más recurrentes).
Ej.:
Page 17 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
III.- El resultado exitoso que es dable esperar de las investigaciones por Delitos Digitales depende de un conjunto de condiciones que no siempre pueden lograrse:
Son muchas las investigaciones que no permiten identificar a los autores de los Delitos Digitales, o bien, no logran reunirse en ellas las pruebas para acreditar las responsabilidades de los mismos, y que convenzan de ello suficientemente al Juez.
- la detección o descubrimiento en forma oportuna;Ej.:
- el hallazgo de evidencia suficiente;
- el valor probatorio de la evidencia;
- en muchas ocasiones, la intervención de la autoridad judicial, en razón de que determinada información que es necesaria, está abarcada por la debida protección legal a la privacidad, y por ello solo un Juez puede requerirla;
- la idoneidad de quienes protagonicen la investigación;
- otros condicionamientos de tipo jurídico.
Tal frustración inevitablemente condiciona la posibilidad de que la Organización afectada reciba el oportuno resarcimiento por las pérdidas que ha sufrido.
Mejor es Prevenir
IV.- Hallazgos Colaterales y otras Referencias (Cont.)
Page 18 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
Mejor es Prevenir
Page 18© 2008 EYGM Limited, All Rights Reserved.Do Not Distribute Without Written Permission.
Estudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
Page 19 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
V.- Anexo: Resumen de Participantes.
Ciento quince Organizaciones de diferentes industrias, se prestaron a ser encuestadas para este Estudio.
16
14
11
11
10
9
6
5
5
28 Otros
Salud - Educación
Industrial – Productos de consumo
Servicios financieros – Bancos
Servicios profesionales
Tecnología y Telecomunicaciones
Industrial – Productos industriales
Energía y servicios públicos
Seguros
Industrial – Automotriz
(Inmobiliaria y construcción, Mayoristas y Distribución, Agropecuaria, Compañías de productos farmacéuticos,
Medios y entretenimiento, Transporte, Sin fines de lucro)
INDUSTRIAS
6
2
9
19
14
7
119
5
10
5 5
13
Otros
Directo
r de aud
itoría
interna
Administrado
r de red/s
istema
Ejecutivo
de segu
ridad infor
mática
Ejecutivo
de tecn
ología
informáti
ca
Princip
al resp
onsable
de riesg
os
Princip
al resp
onsa
blede t
ecnolog
ía(C
TO)
Princip
al resp
onsable
de seguri
dad(C
SO)
Princip
al resp
onsable
de seguri
dadde la
inform
ación (C
ISO)
Princip
al resp
onsable
de inform
ación (C
IO)
Princip
al resp
onsa
blefin
ancie
ro(C
FO)
Princip
al resp
onsable
operativ
o (COO)
Princip
al resp
onsa
bleejec
utivo(C
EO)
POSICIÓN DEL ENCUESTADO
>$AR 1.000 a millones
2424
1515
1923
212113
<$AR 100 millones
$AR 100 a $AR 250 millones
$AR 250 a $AR 499 millones
$AR 500 a $AR 999 millones
NO MENCIONA
FACTURACION ANUAL
3535
29292323
2020
88 Menos de 250
Entre 250 y 499
Entre 500 y 999
Entre 1.000 y 4.999
Más de 5.000
CANTIDAD DE EMPLEADOS
Page 20 tEstudio Sobre Delito Digital – 2008 - Ernst & Young, Argentina
Ernst & Young
Assurance | Tax | Transactions | Advisory
About Ernst & YoungErnst & Young is a global leader in assurance, tax, transaction and advisory services. Worldwide, our 130,000 people are united by our shared values and an unwavering commitment to quality. We make a difference by helping our people, our clients and our wider communities achieve potential.
For more information, please visit www.ey.com
Ernst & Young refers to the global organization of member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients.
About Ernst & Young’s Technology Risk and Security Services Information technology is one of the key enablers for modern organizations to compete. It gives the opportunity to get closer, more focused and faster in responding to customers, and can redefine both the effectiveness and efficiency of operations. But as opportunity grows, so does risk. Effective information technology risk management helps you to improve the competitive advantage of your information technology operations, to makethese operations more cost efficient and to manage down the risks related to running your systems. Our 6,000 information technology risk professionals draw on extensive personal experience to give you fresh perspectives and open, objective advice – wherever you are in the world. We work with you to develop an integrated, holistic approach to your information technology risk or to deal with a specific risk and security issue. And because we understand that, to achieve your potential, you need a tailored service as much as consistent methodologies, we work to give you the benefit of our broad sector experience, our deep subject matter knowledge and the latest insights from our work worldwide. It’s how Ernst & Young makes a difference.
www.ey.com
© 2008 EYGM Limited. All Rights Reserved.
This publication contains information in summary form and is therefore intended for general guidance only. It is not intended to be a substitute for detailed research or the exercise of professional judgment. Neither EYGM Limited nor any other member of the global Ernst & Young organization can accept any responsibility for loss occasioned to any person acting or refraining from action as a result of any material in this publication. On any specific matter, reference should be made to the appropriate advisor.
Top Related