View
3
Download
0
Category
Preview:
Citation preview
1er. Encuesta Latinoamericana sobre Seguridad Informática ‐ 2009
Jeimy J. Cano, Ph.D, CFEUNIANDES - Colombia
Gabriela M. Saucedo M., MDOHUNIVA – México
Eduardo CarozoCsirt-ANTEL - Uruguay
AGENDAAGENDA
IntroducciónIntroducciónEstructura de la encuesta AlcanceAnálisis y comentarios por gruposAnálisis y comentarios por grupos
DemografíaPresupuestoFallas de seguridadgHerramientas y buenas prácticas de seguridad informáticaPolíticas de seguridadCapital intelectual
Conclusiones generalesReferencias
INTRODUCCIÓNINTRODUCCIÓN
Como fruto de la necesidad por conocer la evolución de laseguridad de la información en Latinoamérica y como parte dela estrategia de exploración y descubrimiento de nuestrola estrategia de exploración y descubrimiento de nuestrocontinente, la Asociación Colombiana de Ingenieros deSistemas – ACIS, la Universidad del Valle de Atemajac- UNIVAen México y el Centro de Atención de Incidentes de SeguridadInformática y Telecomunicaciones – ANTEL de Uruguay, hanunido esfuerzos con el fin de tomar una primera radiografía alestado actual de la seguridad de la información en elcontinente.
ESTRUCTURA DE LA ESTRUCTURA DE LA ENCUESTAENCUESTA
DEMOGRAFÍADEMOGRAFÍA PRESUPUESTOPRESUPUESTO FALLAS DE FALLAS DE SEGURIDADSEGURIDAD
Esta sección identifica los sectores que participan, el
tamaño de la organización, el personal dedicado de tiempo Esta parte muestra si las
Esta sección revisa los tipos de fallas de seguridad más
frecuentes; cómo se enteranpersonal dedicado de tiempo completo al área de
seguridad, las certificaciones en seguridad, la experiencia requerida para laborar en seguridad, la dependencia
i i l d l id d
organizaciones han destinado un rubro para la seguridad
informática. Permite revisar el tipo de tecnología en el que invierten y un estimado del monto de la inversión en
frecuentes; cómo se enteran sobre ellas y a quién las notifican. Por otra parte,
identificar las causas por las cuales no se denuncian y si existe la conciencia sobre la id i di it l l t ióorganizacional de la seguridad,
los cargos de las personas que respondieron las preguntas y
su ubicación geográfica.
seguridad informática. evidencia digital en la atención de incidentes de seguridad
informática.
ESTRUCTURA DE LA ESTRUCTURA DE LA ENCUESTAENCUESTA
HERRAMIENTAS YHERRAMIENTAS YHERRAMIENTAS Y HERRAMIENTAS Y PRÁCTICAS DE PRÁCTICAS DE SEGURIDAD SEGURIDAD INFORMÁTICAINFORMÁTICA
POLÍTICAS DE POLÍTICAS DE SEGURIDADSEGURIDAD CAPITAL INTELECTUALCAPITAL INTELECTUAL
En este segmento de la encuesta, el objetivo es identificar las prácticas de las empresas sobre la
Esta sección busca indagar sobre la formalidad de las políticas de seguridad en la En este grupo interesa las empresas sobre la
seguridad, los dispositivos o herramientas que con más frecuencia utilizan para el
desarrollo de la infraestructura tecnológica
políticas de seguridad en la organización; los principales obstáculos para lograr una adecuada seguridad; la buenas prácticas o
estándares que utilizan; los
conocer la demanda del profesional en Seguridad
Informática y la importancia que tiene para las organizaciones las
certificaciones en estegy las estrategias que utilizan las organizaciones para enterarse de las fallas de
seguridad.
q ;contactos nacionales e
internacionales para seguir posibles intrusos.
certificaciones en este tema.
ALCANCEALCANCE
nden BoliviaBrasil
HondurasPanamáParaguay
Otros países participantes
BrasilCosta RicaCubaEcuadorEl SalvadorGuatemala
ParaguayPuerto RicoRepública DominicanaVenezuelaBarcelonaEspaña
55 36%
40,00%
50,00%
60,00%55,36%
Participaciones:
513513
10,00%
20,00%
30,00%
5,46%7,41%
10,33%6,04%
15,40%
0,00%
,
Argentina Chile Colombia México Uruguay Otro
DEMOGRAFÍADEMOGRAFÍA
e %
Servicios Financieros y Banca 11,7Comentarios Generales:Comentarios Generales: Construcción / Ingeniería 4,34Telecomunicaciones 13,6Sector de Energía 2,4Salud 3,2Alimentos 1 2nt
esnt
es
Comentarios Generales:Comentarios Generales:
Los resultados muestran una participación activa del sector de las telecomunicaciones, el Alimentos 1,2
Educación 13,6Gobierno / Sector público 12,3Manufactura 3,8Consultoría Especializada 12,3
artic
ipa
artic
ipa ,
sector educativo, el gobierno y la consultoría especializada, cuatro sectores donde de acuerdo
ores
pa
ores
pa con las tendencias
internacionales se viene manifestando la necesidad de contar con una directriz formal en temas de seguridad 4 00%
6,00%8,00%
10,00%12,00%14,00%
Sect
oSe
cto formal en temas de seguridad
de la información y una demanda creciente por el cumplimiento de buenas prácticas y referentes
0,00%2,00%4,00%
prácticas y referentes internacionales.
DEMOGRAFÍADEMOGRAFÍA
pComentariosComentarios GeneralesGenerales::
aniz
ació
nan
izac
ión Los resultados advierten una alta participación de pequeñas y grandes empresas, dos
mundos que en su contexto, reconocen a la seguridad de la información comoelemento diferenciador y generador de confianza y valor para la empresa, sus clientesy grupos de interés. Las empresas en Latinoamérica muestran un claro interés para
s de
la o
rgs
de la
org
y g p p pformular estrategias de protección de la información que les permita participar en uncontexto interconectado y global.
31% 31,40%
empl
eado
sem
plea
dos 31% 31,40%
mer
o de
em
ero
de e
7,30%8,50%
5,10%7,50%
9,10%
Núm
Núm
1 a 50 51 a 100 101 a 200 201 a 300 301 a 500 501 a 1000 Mas de 1000
DEMOGRAFÍADEMOGRAFÍA Comentarios Generales:Comentarios Generales:
l del
áre
a l d
el á
rea
tica
tica
De acuerdo con la experiencia internacional el área de seguridad de la información nace de manera natural en
%Auditoria interna 5,1Di ecto de Seg idad 21 9
niza
cion
ani
zaci
ona
d in
form
átd
info
rmát el área de tecnologías de información y
en este contexto Latinoamérica no es la excepción. En este sentido, se advierte
un marcado interés técnico de la
Director de Seguridad Informática
21,9
Director Departamento de Sistemas/Tecnología
36,8
ncia
org
annc
ia o
rgan
segu
ridad
segu
ridad seguridad, que si bien se basa en un
reconocimiento de los riesgos asociados con la información, no trasciende de
manera formal a los procesos de
gGerente Ejecutivo 1,4Gerente de Finanzas 0,4Gerente de Operaciones 2,2No se tiene especificado 20 9
Dep
ende
nD
epen
den
de s
de s negocio, donde debería estar inmersa
como parte esencial de su diseño y operación.
No se tiene especificado formalmente
20,9
DD
DEMOGRAFÍADEMOGRAFÍA
%Presidente/Gerente General 6,5
ante
san
tes
/ ,Director Ejecutivo 3,0Director/Vicepresidente 2,8Director/Jefe de Seguridad Informática 6,9Profesional del Departamento de 11,9
part
icip
apa
rtic
ipa p
Seguridad Informática,
Profesional de Departamento de Sistemas/Tecnología
33,2
Asesor externo 4,7
s de
los
s de
los
ComentariosComentarios GeneralesGenerales::
Los resultados de esta primera encuesta confirman que son los profesionales de
,Auditor Interno 8,7
Car
goC
argo
Los resultados de esta primera encuesta confirman que son los profesionales detecnologías de información, quienes están en la infraestructura y operación fueron los quemás participaron en esta iniciativa; siguiendo de manera preferente aquellos ubicadosformalmente en las áreas de seguridad informática creadas en las organizaciones. Estosdatos nos ilustran que se requiere un nivel de madurez de la función de seguridad de ladatos nos ilustran que se requiere un nivel de madurez de la función de seguridad de lainformación que le permita ser más que un aliado tecnológico del negocio, un socioestratégico que genere valor para la organización y sus clientes.
PRESUPUESTOPRESUPUESTO
INCLUSIÓN DE ASPECTOS DE SEGURIDAD EN EL
97 1%
INCLUSIÓN DE ASPECTOS DE SEGURIDAD EN EL PRESUPUESTO DE LA ORGANIZACIÓN
SI NO
74,8%
58,8%
97,1%
69,2%64,9%
44 4%41 2%
55,6%
44,4%
25,2%
41,2%
2,9%
30,8%35,1%
Colombia Argentina Chile Uruguay México Otros
RESULTADOS GLOBALES:RESULTADOS GLOBALES:RESULTADOS GLOBALES:RESULTADOS GLOBALES:SI 72.10%SI 72.10%NO 27.90%NO 27.90%
PRESUPUESTOPRESUPUESTO
ComentariosComentarios GeneralesGenerales::%
sión
en
sión
en
caca
Latinoamérica muestra una tendencia en lainversión en seguridad concentrada en temasperimetrales, las redes y sus componentes,así como la protección de datos de clientes que
%Protección de la red 74,4Proteger los datos críticos de la organización 57,9
Proteger la propiedad intelectual 23,1P t l l i t d d t
e la
inve
rse
la in
vers
nfor
mát
icnf
orm
átic se reafirma con el 53,1% en temas de seguridad
de la información. Si estos datos son correctos lafunción de seguridad de la información, si bienestá concentrada en los temas tecnológicos,
Proteger el almacenamiento de datos de clientes 44,9
Concientización/formación del usuario final 26,7
Comercio/negocios electrónicos 16,2Desarrollo y afinamiento de seguridad
trac
ión
detr
ació
n de
gurid
ad in
gurid
ad in existe un marcado interés por el aseguramiento
de los flujos de información en la organización,que nos dice que la administración de riesgos detecnología comienza a tomar un rumbo más haciael negocio y sus impactos Estos datos son
Desarrollo y afinamiento de seguridad de las aplicaciones 25,1
Seguridad de la Información 53,1Contratación de personal más calificado 15,1
Evaluaciones de seguridad internas y 29 2
Con
cent
Con
cent sese
el negocio y sus impactos. Estos datos, sonconsistentes con los resultados expuestos en el2009 Annual Global Security Survey de Deloitteand Touche, donde la función de seguridad semueve de un entorno tecnológico de operación a
Evaluaciones de seguridad internas y externas 29,2
Pólizas contra cibercrimen 6Cursos especializados en seguridad informática(cursos cortos, diplomados, especializaciones, maestrías)
21,3mueve de un entorno tecnológico de operación auno de riesgos, generalmente animado porcumplimiento de regulaciones y normasinternacionales.
p )Cursos de formación de usuarios en seguridad informática 12,6
Monitoreo de Seguridad Informática 7 x 24 27,7
PRESUPUESTOPRESUPUESTO20
0920
09 ComentariosComentarios GeneralesGenerales::
nfor
mát
ica
2nf
orm
átic
a 2
Si bien las exigencias de nuevos marcos regulatorios hacen que el tema de seguridadadquiera la relevancia requerida en las organizaciones, las desaceleraciones económicasmundiales afectan este tipo de inversiones. En los resultados se observa que lospresupuestos previstos para la seguridad se han impactado tanto en las pequeñas como lasgrandes industrias sin perjuicio de que provisiones especiales se hayan efectuado para
egur
idad
ineg
urid
ad in grandes industrias, sin perjuicio de que provisiones especiales se hayan efectuado para
balancear los efectos de la crisis y así mantener los niveles de seguridad actuales sincomprometer el ambiente de gestión y aseguramiento de la información
vist
o pa
ra s
evi
sto
para
se
40,00%
50,00%
60,00%
pues
to p
rev
pues
to p
rev
10,00%
20,00%
30,00%
Pres
upPr
esup 0,00%
Menos de USD$50.000
Entre USD$50.001 y USD$70.000
Entre USD$70.001 y USD$90.000
Entre USD$90.001 y USD$110.000
Entre USD$110.001 y USD$130.000
Más de USD$130.000
FALLAS DE FALLAS DE SEGURIDADSEGURIDADSEGURIDADSEGURIDAD
Reconocimiento de la información como un activo a proteger
Si41%
No
sólo algunas personas48%
SI NO SÓLO ALGUNAS PERSONAS
Colombia 40.1% 10.4% 49.5%A ti 41 2% 11 8% 47 1% No
11%48%
l d l b l
Argentina 41.2% 11.8% 47.1%Chile 47.1% 8.8% 44.1%Uruguay 36.0% 12.0% 52.0%México 48.6% 18.9% 32.4%Otros 35.2% 9.3% 55.6%
Resultados globales
61,60%
26,10%
8,40%3,90%
Consciencia sobre la seguridad informática (buenas prácticas de seguridad, comunicaciones, redes y seguridad en
Muy conscientes Algunas personas son conscientes
Nadie es consciente No sabe
y ginternet)
FALLAS DE FALLAS DE SEGURIDADSEGURIDADSEGURIDADSEGURIDAD
%
ridad
ridad
ComentariosComentarios GeneralesGenerales::
Mientras en el informe de Deloitte and Touche de 2009 se muestran claramente
Ninguno 8,1Manipulación de aplicaciones de software
22,2
Instalación de software no 60,7
de
segu
r d
e se
gur que los hallazgos más frecuentes
identificados por la auditoría en el ejercicio de seguimiento y verificación son exceso de privilegios, inadecuada segregación de
autorizadoAccesos no autorizados al web 30,9Fraude 10.8Virus 70.9
de
falla
s d
e fa
llas funciones y incumplimiento de
procedimientos de control de acceso, los resultados de la encuesta confirman éstos ilustrando con los virus, la instalación de
f
Robo de datos 9,9Caballos de troya 33Monitoreo no autorizado del tráfico
11,4
Tipo
sTi
pos software no autorizado y los caballos de
Troya, que el área de seguridad de la información debe alinear sus esfuerzo para no solamente instalar tecnologías de
ió i d l
Negación del servicio 15Pérdida de integridad 4,8Pérdida de información 19,5Suplantación de identidad 13,5
protección, sino comprender las implicaciones de negocio y los atributos de seguridad requeridos en los mismos.
Phishing 16,8Pharming 3Fuga de Información 21
FALLAS DE FALLAS DE SEGURIDADSEGURIDAD
ComentariosComentarios GeneralesGenerales::
Los registros de auditoría cada vez más adquieren importancia en el ejercicio de la función de
SEGURIDADSEGURIDAD
as fa
llas
as fa
llas
g q p jseguridad de la información. En este contexto, se advierte que las organizaciones comienzan acomprender que sólo mediante al atención de incidentes se hace claro y real el nivel de gestión ygeneración de valor que exige el negocio del área de seguridad. La participación de loscolaboradores es la fuente de mayor información sobre el análisis de la situación que se hapresentado El intercambio de experiencia a través de listas de seguridad en Latinoamérica es una
ació
n de
lac
ión
de l
40,00%
45,00%
50,00%
presentado. El intercambio de experiencia a través de listas de seguridad en Latinoamérica es unatendencia emergente.
iden
tific
aid
entif
ica
20 00%
25,00%
30,00%
35,00%
Med
io d
e M
edio
de
5,00%
10,00%
15,00%
20,00%
MM
0,00%Material o datos
alteradosAnálisis de reg. de auditoría/sist. de archivos/reg.
Firewall
Sistema de detección de intrusos
Alertado por un cliente/proveedor
Alertado por un colega
Seminarios o conferencias Nacionales e
internacionales
Notificación de un empleado/Colabo
rador
Series1 24,60% 47,70% 36,00% 23,70% 19,20% 2,70% 37,80%
FALLAS DE FALLAS DE SEGURIDADSEGURIDAD
ComentariosComentarios GeneralesGenerales::
Estas cifran confirman lo que intuitivamente se comenta
SEGURIDADSEGURIDAD
%Asesor legal 19,5
tes
/ te
s /
unci
arun
ciar
Estas cifran confirman lo que intuitivamente se comenta en los diferentes foros de seguridad de la información en Latinoamérica: no existe una clara cultura de reporte, lo que envía un mensaje de falta de interés y preparación para enfrentar a las bandas delincuenciales y grupos de cibercriminales emergentes quienes aprovechándose del
Autoridades locales/regionales 10,8
Autoridades nacionales(Dijin, Fiscalía) 10,2
Equipo de atención de 35 7
e in
cide
nte
inci
dent
a no
den
ua
no d
enu cibercriminales emergentes, quienes aprovechándose del
miedo propio de la pérdida de imagen, la falta de oportunidad y celeridad en la judicialización de los delitos informáticos, se fortalecen y mimetizan a través de las actividades diarias de las organizaciones.
Equipo de atención de incidentes 35,7
Ninguno: No se denuncian 39,3
icac
ión
deic
ació
n de
ació
n pa
raac
ión
para
ComentariosComentarios GeneralesGenerales::
La administración de riesgos de seguridad articulados con aquellos identificados para los procesos de negocio, d b i ti d i t d
Not
ifiN
otifi
Mot
iva
Mot
iva
%Pérdida de valor de accionistas 9,6Publicación de noticias desfavorables en los medios/pérdida de imagen
28,5
deben ser un imperativo que produzca sistemas de gestión de seguridad y de proceso más resistente, resiliente y confiable. Si esto es correcto y se aplica de manera sistemática y sistémica en la dinámica de negocio de la organización, las denuncias de incidentes no d b í i l i d l l i medios/pérdida de imagen
Responsabilidad legal 22,5Motivaciones personales 25,8Vulnerabilidad ante la competencia 23,4
deberían impactar la imagen de las empresas, al contrario, debería fortalecerlas y reconocerlas por su compromiso con el cliente y su propio gobierno.
HERRAMIENTAS Y HERRAMIENTAS Y PRÁCTICASPRÁCTICASPRÁCTICAS PRÁCTICAS
%
zada
sza
das Una al año 30,3
Entre 2 y 4 al año 29,1Más de 4 al año 14,7
ebas
real
izeb
as re
aliz
ComentariosComentarios GeneralesGenerales::
Ninguna 25,9
ro d
e pr
uero
de
prue Los resultados de esta sección son contrastantes. Por un lado un grueso de la
población adelanta al menos una prueba al año, mientras el 25,9 % no hace ningúnesfuerzo en este sentido. Estas cifras deben llevarnos a meditar en la inseguridadde la información, ese dual que constantemente cambia y nos hace pensar sobre
Núm
erN
úmer las posibilidades a través de las cuales los intrusos pueden materializar sus
acciones. Las pruebas no van a agotar la imaginación o posibilidades que tienen losatacantes para vulnerar nuestras infraestructuras, pero si nos dan un panorama delo que pueden hacer y nos ayudan a evitar el síndrome de la “falsa sensación deseguridad”. Por tanto, no hacerlo es arriesgarse a ser parte formal de lasestadísticas de aquellos para quienes la seguridad es sólo un referente tecnológicoque hay que tener.
HERRAMIENTAS Y HERRAMIENTAS Y PRÁCTICASPRÁCTICAS
ComentariosComentarios GeneralesGenerales::
L if 2009 t l ti i
PRÁCTICAS PRÁCTICAS
%Smart Cards 14,4
dad
dad
Las cifras en 2009 muestran a los antivirus,las contraseñas y los firewalls de softwarecomo los mecanismos de seguridad másutilizados, seguidos por los sistemas VPN y
i Di h t d i h t
Smart Cards 14,4Biométricos (huella digital, iris, etc) 25,6Antivirus 86,3Contraseñas 81,9Cifrado de datos 48,8Filtro de paquetes 31 6
de s
egur
ide
seg
uri proxies. Dichas tendencias son coherentes
como estrategias contra amenazas críticascomo el ciberterrorismo, la manipulación depáginas web, negación del servicio yb h d i ió d d t t d
Filtro de paquetes 31,6Firewalls Hardware 57,2Firewalls Software 62,5Firmas digitales/certificados digitales 32,5VPN/IPSec 50
anis
mos
dan
ism
os d brechas de exposición de datos reportada
tanto en el informe de amenazas delGeorgia Tech Information Security Centercomo en el de Deloitte and Touche. En esteúlti i f t d
Proxies 49,1Sistemas de detección de intrusos -IDS 36,3
Monitoreo 7x24 29,7Sistemas de prevención de intrusos -
Mec
aM
eca último informe se muestra un marcado
interés por las herramientas de cifrado dedatos y control de contenidos dostendencias emergentes ante las frecuentesf d i f ió i ió d l
Sistemas de prevención de intrusos -IPS 25,9
Administración de logs 35,6Web Application Firewalls 25,9ADS (Anomaly detection systems) 6,3
ó fugas de información y migración de lasaplicaciones web al contexto de servicios oweb services.
Herramientas de validación de cumplimiento con regulaciones internacionales
8,8
HERRAMIENTAS Y HERRAMIENTAS Y PRÁCTICASPRÁCTICASPRÁCTICAS PRÁCTICAS
43 10%
58,40%49,10%
form
ados
form
ados 36,30%
43,10% 49,10%
16,60%
ener
se in
fen
erse
inf
Proveedores Colegas Revistas especializadas
Listas de seguridad
No se tiene este hábito.
ara
man
tear
a m
ante
ComentariosComentarios GeneralesGenerales::
La lectura de artículos en revistas especializadas y la lectura y análisis de las listas
Med
ios
paM
edio
s pa
p y yde seguridad son las fuentes de información más frecuentes para notificarse sobre fallas de seguridad. Si bien sabemos que la dinámica del día a día limita el tiempo para el estudio permanente de la dinámica de la inseguridad, se sugiere un cambio importante para dedicar un espacio en la agenda para la comprensión y revisión de MM p p p g p p ylas fallas de seguridad y su impacto en la organización. SEGURINFO, continúa creciendo llegando en este momento a 2000 participantes desde su fundación en el año 2000.
POLÍTICAS DE POLÍTICAS DE SEGURIDADSEGURIDAD
adad ComentariosComentarios GeneralesGenerales::
SEGURIDADSEGURIDAD
e se
gurid
ae
segu
rida
El 66% de las empresas en Latinoamérica no cuentan con política de seguridad definidasformalmente o se encuentran en desarrollo. Esta cifra muestra que si bien se ha avanzando entemas de tecnologías de seguridad de la información, las políticas de seguridad aún requierenun esfuerzo adicional conjunto entre el área de negocio y la de tecnología. La seguridad de la
olíti
cas
deol
ítica
s de
j g y g ginformación por reacción y cómo apoyo a las funciones de negocio, es más costosa en el largoplazo; mientras una función de seguridad articulada con las estrategias de negocio y vinculada ala visión de los clientes, puede generar mucho más valor y asimilar mejor las fallas de seguridadque se presenten.
41,60%
de
las
po d
e la
s po
20 00%25,00%30,00%35,00%40,00%45,00%
24,40%
,34,10%
do a
ctua
ldo
act
ual
0,00%5,00%
10,00%15,00%20,00%
No se tienen políticas de
Actualmente se encuentran en
Política formal, escrita
Esta
dEs
tad políticas de
seguridad definidasencuentran en desarrollo
escrita documentada e
informada a todo el personal
POLÍTICAS DE POLÍTICAS DE SEGURIDADSEGURIDAD
ComentariosComentarios GeneralesGenerales::
SEGURIDADSEGURIDAD
sarr
olla
r sa
rrol
lar
dd
La falta de apoyo directivo, la pocacolaboración entre las áreas y el pocotiempo asignado al tema se manifiestancomo los rubros más sobresalientes en
%Inexistencia de política de seguridad 10,40%
o pa
ra d
eso
para
des
e se
gurid
ade
segu
ridad esta sección. Estas cifras hablan del
limitado entendimiento de la seguridad dela información en el contexto de negocio,de la poca creatividad de los profesionales
seguridad ,
Falta de tiempo 12,70%Falta de formación técnica 10,10%Falta de apoyo directivo 18,50%Falta de colaboración entre 14 00%
al o
bstá
cul
al o
bstá
cul
polít
icas
de
polít
icas
de p p
de la seguridad para vender la distinciónde la seguridad y la necesidad dedesarrollar un lenguaje que permita laintegración entre el proceso y la protección
áreas/departamentos 14,00%
Complejidad tecnológica 7,50%Poco entendimiento de la seguridad informática 14
Poco entendimiento de los flujos
Prin
cipa
Prin
cipa pp g p y p
de la información. La gestión de laseguridad de la información entendida másallá del PHVA (Planear, Hacer, Verificar yActuar) del ISO 27001, es construir un
Poco entendimiento de los flujos de la información en la organización
4,20%
)lenguaje común de negocios que vea en laseguridad una forma de integrarse con ladinámica del mundo globalizado.
POLÍTICAS DE POLÍTICAS DE SEGURIDADSEGURIDAD
s e
s e sos
sos ComentariosComentarios GeneralesGenerales::
SEGURIDADSEGURIDAD
s na
cion
ales
s na
cion
ales
nes
de in
trus
nes
de in
trus
Si por un lado no se denuncian las posiblesfallas de seguridad de la información o delitos,es claro que no se tengan contactos para
Si
auto
ridad
esau
torid
ades
pers
ecuc
ion
pers
ecuc
ion avanzar en la judicialización de éstas y sus
infractores, bien sea por desconocimiento o porel riesgo de imagen que implica para laorganización.
No52.90%No Sabe
37 70%
Si 9.40%
acio
nes
con
acio
nes
con
n ca
sos
de p
n ca
sos
de p
La academia, los gremios, el gobierno, losproveedores y los usuarios deben organizarsepara construir estrategias de combate delcrimen organizado y en la construcción de
37.70%
tact
os o
rela
tact
os o
rela
acio
nale
s en
acio
nale
s en crimen organizado y en la construcción de
modelos de seguridad resilientes frente a losembates de la inseguridad de la información.Adicionalmente se hace necesario estableceracuerdos interinstitucionales e internacionales
Con
tC
ont
inte
rnin
tern con entes de policía judicial para actuar con
oportunidad frente a una conducta punible enmedios informáticos.
POLÍTICAS DE POLÍTICAS DE SEGURIDADSEGURIDAD
ica
y
SEGURIDADSEGURIDAD
Estándares y buenas prácticas %ISO 27001 45,8
ad In
form
áti
form
ació
n
Common Criteria 5,2Cobit 4.1 23,4Magerit 5,2Octave 2,3Guías NIST (National of and Technology) 12,3
s en
seg
urid
dad
de la
inf Guías NIST (National of and Technology) 12,3
Guías de (European Network of Information Security Agency) 2,3
Top 20 de fallas de seguridad del SANS 7,1OSSTM - Open Standard Security Testing Model 7,5ISM3 I f ti S it M t M t i M d l 3 9
as p
ráct
icas
s en
seg
urid
ComentariosComentarios GeneralesGenerales::
ISM3 - Information Security Management Maturiy Model 3,9ITIL 26,9No se consideran 37,7
ares
y b
uena
Reg
ulac
ione
Los resultados sugieren que en Latinoamérica el ISO 27000, ITIL y el Cobit 4.1,son el estándar y las buenas prácticas que están en las áreas de seguridad de lainformación o en los departamentos de tecnología informática. Estas orientaciones
Está
nda R metodológicas procuran establecer marcos de planeación y acción en temas de
tecnologías de información y seguridad que permitan a la organización ordenar lapráctica de dichas áreas.
POLÍTICAS DE POLÍTICAS DE SEGURIDADSEGURIDAD
ica
y
SEGURIDADSEGURIDADAplicación de regulación y normativa aplicada en temas de seguridad de la información
ad In
form
áti
form
ació
n
52,30%
33,80%
s en
seg
urid
dad
de la
inf 15,60%
as p
ráct
icas
s en
seg
urid
Ninguna Regulaciones internacionales (SOX, BASILEA II)
Normativas aprobadas por entes de supervisión
(Superintendencias, Ministerios o Institutos gubernamentales)
ares
y b
uena
Reg
ulac
ione ComentariosComentarios GeneralesGenerales::
En ese mismo sentido, las regulaciones sobre seguridad de la información lideradas porregulaciones internacionales como SOX y Basilea II, en contraste de un alto porcentaje que no debeacogerse a alguna regulación muestran que los esfuerzos en seguridad de la información son
Está
nda R acogerse a alguna regulación, muestran que los esfuerzos en seguridad de la información sonparciales y sectorizados, lo que implica que se requiere una dinámica similar a la de Banca y elmercado accionarios, para generar un esfuerzo común en procura de una cultura de seguridad de lainformación más homogénea y dinámica.
CAPITAL CAPITAL INTELECTUALINTELECTUAL
átic
a
ComentariosComentarios GeneralesGenerales::
INTELECTUALINTELECTUALid
ad in
form
á
Los resultados muestran que en Latinoamérica se tiene un número reducido de personas dedicadasde tiempo completo a los tema de seguridad de la información, esto bien sea por el tamaño de lasorganizaciones, como por las prioridades que actualmente éstas tienen. Así mismo, se advierte unapreocupación importante, cuando se observa un 34,3% donde los participantes dicen que no se
s a
la s
egur
p p p , , p p qtienen profesionales destinados formalmente a esta función. Revisando el entorno de la región, seprevé con el paso del tiempo, que esta situación cambie por la aparición de regulacionesinternacionales que obliguen al desarrollo de un entorno de seguridad y control inherente ysistemático.
as d
edic
ada
34,30%
44,10%
o de
per
sona
11,80%
3,70% 6,10%
Núm
ero
Ninguna 1 a 5 6 a 10 11 a 15 Más de 15
CAPITAL CAPITAL INTELECTUALINTELECTUALINTELECTUALINTELECTUAL
trab
ajar
en
ComentariosComentarios GeneralesGenerales::
En la región se muestra una clara37,70%
erid
os p
ara
tor
mát
ica
tendencia a que aquellos que cuentencon más de dos años de experienciaen temas de seguridad informática soncandidatos elegibles para trabajar en
21,50%
29,00%
,
ienc
ia re
que
egur
idad
inf las áreas de seguridad. Pese a que en
la actualidad, exista una oferta limitadade formación académica en estostemas y que la exposición y aplicación
11,80%
os d
e ex
peri se autodidacta frente a los dilemas de
seguridad es la constante, no esextraño observar que un 21,5% de lasorganizaciones no exijan experiencia
l l l
Ninguno Menos de un año de
experiencia
Uno a dos años Más de dos años de
experiencia
Año en el tema, pues por lo general
prefieren formarlos internamente a lamedida de sus necesidades.
CAPITAL CAPITAL INTELECTUALINTELECTUAL
C i G lC i G l
INTELECTUALINTELECTUAL
egur
idad
al
es d
e la
s Comentarios Generales:Comentarios Generales:
Los resultados muestran que en Latinoamérica el tema de seguridad de l i f ió i
%
Ninguna 57,9
adas
con
se
s pr
ofes
iona
ticip
ante
s
la información no requiere formalmente temas de certificación, sino más experiencia aplicada en el hacer de los mecanismos de
id d t ló i E t il t
Ninguna 57,9CISSP - Certified Information System Security Professional
20,5
CISA - Certified Information System Auditor
13,8
CISM C tifi d I f ti S it 11 8
nes
rela
cion
ae
pose
en lo
sm
pres
as p
art seguridad tecnológica. Esto ilustra que
si bien existe un déficit importante de formación académica en el tema, certificaciones como CISSP, CISA y CISM t d i
CISM - Certified Information Security Manager
11,8
CFE - Certified Fraud Examiner 4CIFI - Certified Information Forensics Investigator
4
Cer
tific
acio
nor
mát
ica
que
em CISM marcan una tendencia y preferencia entre los profesionales latinoamericanos que se dedican a seguridad de la información.
gCIA - Certified Internal Auditor 8,4SECURITY+ 8,4
Cin
fo
CAPITAL CAPITAL INTELECTUALINTELECTUALINTELECTUALINTELECTUAL
45,00%
Opinión sobre la importancia de estar certificado en el tema de Seguridad de la Información
15 00%20,00%25,00%30,00%35,00%40,00%
0,00%5,00%10,00%15,00%
Muy Importante Importante No es Importante No sabe
f d f f l f d f dCISSP ‐ Certified Information System Security Professional CISA ‐ Certified Information System Auditor
CISM ‐ Certified Information Security Manager CFE ‐ Certified Fraud Examiner
CIFI ‐ Certified Information Forensics Investigator CIA ‐ Certified Internal Auditor
MCSE/ISA‐MCP (Microsoft) Unix/Linux LP1
Security+y
ComentariosComentarios GeneralesGenerales::Las certificaciones CISSP, CISA y CISM son la más valoradas por el mercado y las que a la hora deconsiderar un proyecto de seguridad de la información marcan la diferencia para su desarrollo ycontratación Se advierte un particular interés en las certificaciones CFE CIA y CIFI que si bien nocontratación. Se advierte un particular interés en las certificaciones CFE, CIA y CIFI que si bien noaparecen con resultados “muy importantes”, si son consideradas importantes por la industria. Se necesitafortalecer la formación académica formal en los temas de seguridad, control y auditoría, así como lasáreas de manejo de fraude, como una estrategia complementaria al esquema de certificaciones.
CONCLUSIONES CONCLUSIONES GENERALESGENERALESGENERALESGENERALES
1. Las regulaciones internacionales llevarán a las organizaciones en Latinoamérica ag gfortalecer los sistemas de gestión de la seguridad de la información. Actualmente lasnormas como SOX y Basilea II comienzan a cambiar el panorama de la seguridadde la información en la Banca y en el mercado accionario.
2. La industria en Latinoamérica exige más de dos años de experiencia en seguridadinformática como requisito para optar por una posición en esta área. De igual forma,se nota que poco a poco el mercado de especialistas en seguridad de lainformación toma fuerza, pero aún la oferta de programas académicos formales sep p gencuentra limitada, lo que hace que las organizaciones opten por contratar aprofesionales con poca experiencia en seguridad y formarlos localmente.
3. Las certificaciones CISSP, CISA y CISM son las más valoradas por el mercado y lasy p yque a la hora de considerar un proyecto de seguridad de la información marcan ladiferencia para su desarrollo y contratación. Se advierte un importante giro en lascertificaciones CFE, CIA y CIFI que si bien no aparecen con resultados “muyimportantes”, si son consideradas importantes por la industria.p p p
CONCLUSIONES CONCLUSIONES GENERALESGENERALESGENERALESGENERALES
4. La inversión en seguridad de la información se encuentra concentrada en aspectosperimetrales, las redes y sus componentes, así como la protección de datos deli t fi l 53 1% t d t d id d d lclientes que se reafirma con el 53,1% concentrado en temas de seguridad de la
información.
5. Las cifras en 2009 muestran a los antivirus, las contraseñas y los firewalls deft l i d id d á tili d id lsoftware como los mecanismos de seguridad más utilizados, seguidos por los
sistemas VPN y proxies. Existe un marcado interés por las herramientas de cifradode datos y control de contenidos dos tendencias emergentes ante las frecuentesfugas de información y migración de las aplicaciones web al contexto de servicios o
b iweb services.
6. La limitada aplicación de las normas o regulaciones vigentes en temas de delitoinformático en Latinoamérica y baja formación de los jueces en estos temas
t bl t i t t l d i i t ió d j ti i l ti t Eestablece un reto importante para la administración de justicia en el continente. Eneste contexto, adelantar un proceso jurídico puede resultar más costoso para laorganización que para el posible infractor, dado que generalmente la carga de laprueba está a cargo de la parte acusadora y los posibles costos derivados de
it j i f áti áli i f d l í lperitaje informático o análisis forense no ayudan con la economía procesalrequerida.
CONCLUSIONES CONCLUSIONES GENERALESGENERALESGENERALESGENERALES
7. Si bien están tomando fuerza las unidades especializadas en delito informático enLatinoamérica es necesario continuar desarrollando esfuerzos conjuntos entre laLatinoamérica, es necesario continuar desarrollando esfuerzos conjuntos entre laacademia, el gobierno, las organizaciones y la industria, para mostrarles a losintrusos que estamos preparados para enfrentarlos.
8 La falta de apoyo directivo y la falta de tiempo no pueden ser excusas para no8. La falta de apoyo directivo y la falta de tiempo, no pueden ser excusas para noavanzar en el desarrollo de un sistema de gestión de seguridad. La inversión enseguridad es costosa, pero la materialización de inseguridad puede serlo muchomás. La decisión está en sus manos.
9. Los resultados sugieren que el ISO 27000, ITIL y el Cobit 4.1 son el estándar y lasbuenas prácticas que están en las áreas de seguridad de la información o en losdepartamentos de tecnologías de información.
10. Son motivadores de la inversión en seguridad: la continuidad de negocio, elcumplimiento de regulaciones y normativas internas y externas, así como laprotección de la reputación de la empresa. Así mismo, se manifiesta la necesidadde adelantar al menos un ejercicio anual de análisis de riesgos como soporte a losde adelantar al menos un ejercicio anual de análisis de riesgos como soporte a lostemas de seguridad y procesos de negocio.
REFERENCIASREFERENCIAS
MCAFEE (2009) Informe de amenazas. Primer trimestre de 20092009.
GEORGIA TECH INFORMATION SECURITY CENTER (2009) Emerging Cyber Threats Report for 2009
DELOITTE & TOUCHE (2009) Annual Global Security Survey
1er. Encuesta Latinoamericana sobre Seguridad Informática ‐ 2009
Jeimy J. Cano, Ph.D, CFEUNIANDES - Colombia
Gabriela M. Saucedo M., MDOHUNIVA – México
Eduardo CarozoCsirt-ANTEL - Uruguay
Recommended