1er. Encuesta Latinoamericana sobre Seguridad Informática 2009

1er. Encuesta Latinoamericana sobre Seguridad Informática ‐ 2009

Jeimy J. Cano, Ph.D, CFEUNIANDES - Colombia

Gabriela M. Saucedo M., MDOHUNIVA – México

Eduardo CarozoCsirt-ANTEL - Uruguay

AGENDAAGENDA

IntroducciónIntroducciónEstructura de la encuesta AlcanceAnálisis y comentarios por gruposAnálisis y comentarios por grupos

DemografíaPresupuestoFallas de seguridadgHerramientas y buenas prácticas de seguridad informáticaPolíticas de seguridadCapital intelectual

Conclusiones generalesReferencias

INTRODUCCIÓNINTRODUCCIÓN

Como fruto de la necesidad por conocer la evolución de laseguridad de la información en Latinoamérica y como parte dela estrategia de exploración y descubrimiento de nuestrola estrategia de exploración y descubrimiento de nuestrocontinente, la Asociación Colombiana de Ingenieros deSistemas – ACIS, la Universidad del Valle de Atemajac- UNIVAen México y el Centro de Atención de Incidentes de SeguridadInformática y Telecomunicaciones – ANTEL de Uruguay, hanunido esfuerzos con el fin de tomar una primera radiografía alestado actual de la seguridad de la información en elcontinente.

ESTRUCTURA DE LA ESTRUCTURA DE LA ENCUESTAENCUESTA

DEMOGRAFÍADEMOGRAFÍA PRESUPUESTOPRESUPUESTO FALLAS DE FALLAS DE SEGURIDADSEGURIDAD

Esta sección identifica los sectores que participan, el

tamaño de la organización, el personal dedicado de tiempo Esta parte muestra si las

Esta sección revisa los tipos de fallas de seguridad más

frecuentes; cómo se enteranpersonal dedicado de tiempo completo al área de

seguridad, las certificaciones en seguridad, la experiencia requerida para laborar en seguridad, la dependencia

i i l d l id d

organizaciones han destinado un rubro para la seguridad

informática. Permite revisar el tipo de tecnología en el que invierten y un estimado del monto de la inversión en

frecuentes; cómo se enteran sobre ellas y a quién las notifican. Por otra parte,

identificar las causas por las cuales no se denuncian y si existe la conciencia sobre la id i di it l l t ióorganizacional de la seguridad,

los cargos de las personas que respondieron las preguntas y

su ubicación geográfica.

seguridad informática. evidencia digital en la atención de incidentes de seguridad

informática.

ESTRUCTURA DE LA ESTRUCTURA DE LA ENCUESTAENCUESTA

HERRAMIENTAS YHERRAMIENTAS YHERRAMIENTAS Y HERRAMIENTAS Y PRÁCTICAS DE PRÁCTICAS DE SEGURIDAD SEGURIDAD INFORMÁTICAINFORMÁTICA

POLÍTICAS DE POLÍTICAS DE SEGURIDADSEGURIDAD CAPITAL INTELECTUALCAPITAL INTELECTUAL

En este segmento de la encuesta, el objetivo es identificar las prácticas de las empresas sobre la

Esta sección busca indagar sobre la formalidad de las políticas de seguridad en la En este grupo interesa las empresas sobre la

seguridad, los dispositivos o herramientas que con más frecuencia utilizan para el

desarrollo de la infraestructura tecnológica

políticas de seguridad en la organización; los principales obstáculos para lograr una adecuada seguridad; la buenas prácticas o

estándares que utilizan; los

conocer la demanda del profesional en Seguridad

Informática y la importancia que tiene para las organizaciones las

certificaciones en estegy las estrategias que utilizan las organizaciones para enterarse de las fallas de

seguridad.

q ;contactos nacionales e

internacionales para seguir posibles intrusos.

certificaciones en este tema.

ALCANCEALCANCE

nden BoliviaBrasil

HondurasPanamáParaguay

Otros países participantes

BrasilCosta RicaCubaEcuadorEl SalvadorGuatemala

ParaguayPuerto RicoRepública DominicanaVenezuelaBarcelonaEspaña

55 36%

40,00%

50,00%

60,00%55,36%

Participaciones:

513513

10,00%

20,00%

30,00%

5,46%7,41%

10,33%6,04%

15,40%

0,00%

,

Argentina Chile Colombia México Uruguay Otro

DEMOGRAFÍADEMOGRAFÍA

e %

Servicios Financieros y Banca 11,7Comentarios Generales:Comentarios Generales: Construcción / Ingeniería 4,34Telecomunicaciones 13,6Sector de Energía 2,4Salud 3,2Alimentos 1 2nt

esnt

es

Comentarios Generales:Comentarios Generales:

Los resultados muestran una participación activa del sector de las telecomunicaciones, el Alimentos 1,2

Educación 13,6Gobierno / Sector público 12,3Manufactura 3,8Consultoría Especializada 12,3

artic

ipa

artic

ipa ,

sector educativo, el gobierno y la consultoría especializada, cuatro sectores donde de acuerdo

ores

pa

ores

pa con las tendencias

internacionales se viene manifestando la necesidad de contar con una directriz formal en temas de seguridad 4 00%

6,00%8,00%

10,00%12,00%14,00%

Sect

oSe

cto formal en temas de seguridad

de la información y una demanda creciente por el cumplimiento de buenas prácticas y referentes

0,00%2,00%4,00%

prácticas y referentes internacionales.


pComentariosComentarios GeneralesGenerales::

aniz

ació

nan

izac

ión Los resultados advierten una alta participación de pequeñas y grandes empresas, dos

mundos que en su contexto, reconocen a la seguridad de la información comoelemento diferenciador y generador de confianza y valor para la empresa, sus clientesy grupos de interés. Las empresas en Latinoamérica muestran un claro interés para

s de

la o

rgs

de la

org

y g p p pformular estrategias de protección de la información que les permita participar en uncontexto interconectado y global.

31% 31,40%

empl

eado

sem

plea

dos 31% 31,40%

mer

o de

em

ero

de e

7,30%8,50%

5,10%7,50%

9,10%

Núm

Núm

1 a 50 51 a 100 101 a 200 201 a 300 301 a 500 501 a 1000 Mas de 1000

DEMOGRAFÍADEMOGRAFÍA Comentarios Generales:Comentarios Generales:

l del

áre

a l d

el á

rea

tica

tica

De acuerdo con la experiencia internacional el área de seguridad de la información nace de manera natural en

%Auditoria interna 5,1Di ecto de Seg idad 21 9

niza

cion

ani

zaci

ona

d in

form

átd

info

rmát el área de tecnologías de información y

en este contexto Latinoamérica no es la excepción. En este sentido, se advierte

un marcado interés técnico de la

Director de Seguridad Informática

21,9

Director Departamento de Sistemas/Tecnología

36,8

ncia

org

annc

ia o

rgan

segu

ridad

segu

ridad seguridad, que si bien se basa en un

reconocimiento de los riesgos asociados con la información, no trasciende de

manera formal a los procesos de

gGerente Ejecutivo 1,4Gerente de Finanzas 0,4Gerente de Operaciones 2,2No se tiene especificado 20 9

Dep

ende

nD

epen

den

de s

de s negocio, donde debería estar inmersa

como parte esencial de su diseño y operación.

No se tiene especificado formalmente

20,9

DD


%Presidente/Gerente General 6,5

ante

san

tes

/ ,Director Ejecutivo 3,0Director/Vicepresidente 2,8Director/Jefe de Seguridad Informática 6,9Profesional del Departamento de 11,9

part

icip

apa

rtic

ipa p

Seguridad Informática,

Profesional de Departamento de Sistemas/Tecnología

33,2

Asesor externo 4,7

s de

los

s de

los

ComentariosComentarios GeneralesGenerales::

Los resultados de esta primera encuesta confirman que son los profesionales de

,Auditor Interno 8,7

Car

goC

argo

Los resultados de esta primera encuesta confirman que son los profesionales detecnologías de información, quienes están en la infraestructura y operación fueron los quemás participaron en esta iniciativa; siguiendo de manera preferente aquellos ubicadosformalmente en las áreas de seguridad informática creadas en las organizaciones. Estosdatos nos ilustran que se requiere un nivel de madurez de la función de seguridad de ladatos nos ilustran que se requiere un nivel de madurez de la función de seguridad de lainformación que le permita ser más que un aliado tecnológico del negocio, un socioestratégico que genere valor para la organización y sus clientes.

PRESUPUESTOPRESUPUESTO

INCLUSIÓN DE ASPECTOS DE SEGURIDAD EN EL

97 1%

INCLUSIÓN DE ASPECTOS DE SEGURIDAD EN EL PRESUPUESTO DE LA ORGANIZACIÓN

SI NO

74,8%

58,8%

97,1%

69,2%64,9%

44 4%41 2%

55,6%

44,4%

25,2%

41,2%

2,9%

30,8%35,1%

Colombia Argentina Chile Uruguay México Otros

RESULTADOS GLOBALES:RESULTADOS GLOBALES:RESULTADOS GLOBALES:RESULTADOS GLOBALES:SI 72.10%SI 72.10%NO 27.90%NO 27.90%

PRESUPUESTOPRESUPUESTO

ComentariosComentarios GeneralesGenerales::%

sión

en

sión

en

caca

Latinoamérica muestra una tendencia en lainversión en seguridad concentrada en temasperimetrales, las redes y sus componentes,así como la protección de datos de clientes que

%Protección de la red 74,4Proteger los datos críticos de la organización 57,9

Proteger la propiedad intelectual 23,1P t l l i t d d t

e la

inve

rse

la in

vers

nfor

mát

icnf

orm

átic se reafirma con el 53,1% en temas de seguridad

de la información. Si estos datos son correctos lafunción de seguridad de la información, si bienestá concentrada en los temas tecnológicos,

Proteger el almacenamiento de datos de clientes 44,9

Concientización/formación del usuario final 26,7

Comercio/negocios electrónicos 16,2Desarrollo y afinamiento de seguridad

trac

ión

detr

ació

n de

gurid

ad in

gurid

ad in existe un marcado interés por el aseguramiento

de los flujos de información en la organización,que nos dice que la administración de riesgos detecnología comienza a tomar un rumbo más haciael negocio y sus impactos Estos datos son

Desarrollo y afinamiento de seguridad de las aplicaciones 25,1

Seguridad de la Información 53,1Contratación de personal más calificado 15,1

Evaluaciones de seguridad internas y 29 2

Con

cent

Con

cent sese

el negocio y sus impactos. Estos datos, sonconsistentes con los resultados expuestos en el2009 Annual Global Security Survey de Deloitteand Touche, donde la función de seguridad semueve de un entorno tecnológico de operación a

Evaluaciones de seguridad internas y externas 29,2

Pólizas contra cibercrimen 6Cursos especializados en seguridad informática(cursos cortos, diplomados, especializaciones, maestrías)

21,3mueve de un entorno tecnológico de operación auno de riesgos, generalmente animado porcumplimiento de regulaciones y normasinternacionales.

p )Cursos de formación de usuarios en seguridad informática 12,6

Monitoreo de Seguridad Informática 7 x 24 27,7

PRESUPUESTOPRESUPUESTO20

0920

09 ComentariosComentarios GeneralesGenerales::

nfor

mát

ica

2nf

orm

átic

a 2

Si bien las exigencias de nuevos marcos regulatorios hacen que el tema de seguridadadquiera la relevancia requerida en las organizaciones, las desaceleraciones económicasmundiales afectan este tipo de inversiones. En los resultados se observa que lospresupuestos previstos para la seguridad se han impactado tanto en las pequeñas como lasgrandes industrias sin perjuicio de que provisiones especiales se hayan efectuado para

egur

idad

ineg

urid

ad in grandes industrias, sin perjuicio de que provisiones especiales se hayan efectuado para

balancear los efectos de la crisis y así mantener los niveles de seguridad actuales sincomprometer el ambiente de gestión y aseguramiento de la información

vist

o pa

ra s

evi

sto

para

se

40,00%

50,00%

60,00%

pues

to p

rev

pues

to p

rev

10,00%

20,00%

30,00%

Pres

upPr

esup 0,00%

Menos de USD$50.000

Entre USD$50.001 y USD$70.000



Entre USD$110.001 y USD$130.000

Más de USD$130.000

FALLAS DE FALLAS DE SEGURIDADSEGURIDADSEGURIDADSEGURIDAD

Reconocimiento de la información como un activo a proteger

Si41%

No

sólo algunas personas48%

SI NO SÓLO ALGUNAS PERSONAS

Colombia 40.1% 10.4% 49.5%A ti 41 2% 11 8% 47 1% No

11%48%

l d l b l

Argentina 41.2% 11.8% 47.1%Chile 47.1% 8.8% 44.1%Uruguay 36.0% 12.0% 52.0%México 48.6% 18.9% 32.4%Otros 35.2% 9.3% 55.6%

Resultados globales

61,60%

26,10%

8,40%3,90%

Consciencia sobre la seguridad informática (buenas prácticas de seguridad, comunicaciones, redes y seguridad en

Muy conscientes Algunas personas son conscientes

Nadie es consciente No sabe

y ginternet)

FALLAS DE FALLAS DE SEGURIDADSEGURIDADSEGURIDADSEGURIDAD

%

ridad

ridad


Mientras en el informe de Deloitte and Touche de 2009 se muestran claramente

Ninguno 8,1Manipulación de aplicaciones de software

22,2

Instalación de software no 60,7

de

segu

r d

e se

gur que los hallazgos más frecuentes

identificados por la auditoría en el ejercicio de seguimiento y verificación son exceso de privilegios, inadecuada segregación de

autorizadoAccesos no autorizados al web 30,9Fraude 10.8Virus 70.9

de

falla

s d

e fa

llas funciones y incumplimiento de

procedimientos de control de acceso, los resultados de la encuesta confirman éstos ilustrando con los virus, la instalación de

f

Robo de datos 9,9Caballos de troya 33Monitoreo no autorizado del tráfico

11,4

Tipo

sTi

pos software no autorizado y los caballos de

Troya, que el área de seguridad de la información debe alinear sus esfuerzo para no solamente instalar tecnologías de

ió i d l

Negación del servicio 15Pérdida de integridad 4,8Pérdida de información 19,5Suplantación de identidad 13,5

protección, sino comprender las implicaciones de negocio y los atributos de seguridad requeridos en los mismos.

Phishing 16,8Pharming 3Fuga de Información 21

FALLAS DE FALLAS DE SEGURIDADSEGURIDAD


Los registros de auditoría cada vez más adquieren importancia en el ejercicio de la función de

SEGURIDADSEGURIDAD

as fa

llas

as fa

llas

g q p jseguridad de la información. En este contexto, se advierte que las organizaciones comienzan acomprender que sólo mediante al atención de incidentes se hace claro y real el nivel de gestión ygeneración de valor que exige el negocio del área de seguridad. La participación de loscolaboradores es la fuente de mayor información sobre el análisis de la situación que se hapresentado El intercambio de experiencia a través de listas de seguridad en Latinoamérica es una

ació

n de

lac

ión

de l

40,00%

45,00%

50,00%

presentado. El intercambio de experiencia a través de listas de seguridad en Latinoamérica es unatendencia emergente.

iden

tific

aid

entif

ica

20 00%

25,00%

30,00%

35,00%

Med

io d

e M

edio

de

5,00%

10,00%

15,00%

20,00%

MM

0,00%Material o datos

alteradosAnálisis de reg. de auditoría/sist. de archivos/reg.

Firewall

Sistema de detección de intrusos

Alertado por un cliente/proveedor

Alertado por un colega

Seminarios o conferencias Nacionales e

internacionales

Notificación de un empleado/Colabo

rador

Series1 24,60% 47,70% 36,00% 23,70% 19,20% 2,70% 37,80%

FALLAS DE FALLAS DE SEGURIDADSEGURIDAD


Estas cifran confirman lo que intuitivamente se comenta

SEGURIDADSEGURIDAD

%Asesor legal 19,5

tes

/ te

s /

unci

arun

ciar

Estas cifran confirman lo que intuitivamente se comenta en los diferentes foros de seguridad de la información en Latinoamérica: no existe una clara cultura de reporte, lo que envía un mensaje de falta de interés y preparación para enfrentar a las bandas delincuenciales y grupos de cibercriminales emergentes quienes aprovechándose del

Autoridades locales/regionales 10,8

Autoridades nacionales(Dijin, Fiscalía) 10,2

Equipo de atención de 35 7

e in

cide

nte

inci

dent

a no

den

ua

no d

enu cibercriminales emergentes, quienes aprovechándose del

miedo propio de la pérdida de imagen, la falta de oportunidad y celeridad en la judicialización de los delitos informáticos, se fortalecen y mimetizan a través de las actividades diarias de las organizaciones.

Equipo de atención de incidentes 35,7

Ninguno: No se denuncian 39,3

icac

ión

deic

ació

n de

ació

n pa

raac

ión

para


La administración de riesgos de seguridad articulados con aquellos identificados para los procesos de negocio, d b i ti d i t d

Not

ifiN

otifi

Mot

iva

Mot

iva

%Pérdida de valor de accionistas 9,6Publicación de noticias desfavorables en los medios/pérdida de imagen

28,5

deben ser un imperativo que produzca sistemas de gestión de seguridad y de proceso más resistente, resiliente y confiable. Si esto es correcto y se aplica de manera sistemática y sistémica en la dinámica de negocio de la organización, las denuncias de incidentes no d b í i l i d l l i medios/pérdida de imagen

Responsabilidad legal 22,5Motivaciones personales 25,8Vulnerabilidad ante la competencia 23,4

deberían impactar la imagen de las empresas, al contrario, debería fortalecerlas y reconocerlas por su compromiso con el cliente y su propio gobierno.

HERRAMIENTAS Y HERRAMIENTAS Y PRÁCTICASPRÁCTICASPRÁCTICAS PRÁCTICAS

%

zada

sza

das Una al año 30,3

Entre 2 y 4 al año 29,1Más de 4 al año 14,7

ebas

real

izeb

as re

aliz


Ninguna 25,9

ro d

e pr

uero

de

prue Los resultados de esta sección son contrastantes. Por un lado un grueso de la

población adelanta al menos una prueba al año, mientras el 25,9 % no hace ningúnesfuerzo en este sentido. Estas cifras deben llevarnos a meditar en la inseguridadde la información, ese dual que constantemente cambia y nos hace pensar sobre

Núm

erN

úmer las posibilidades a través de las cuales los intrusos pueden materializar sus

acciones. Las pruebas no van a agotar la imaginación o posibilidades que tienen losatacantes para vulnerar nuestras infraestructuras, pero si nos dan un panorama delo que pueden hacer y nos ayudan a evitar el síndrome de la “falsa sensación deseguridad”. Por tanto, no hacerlo es arriesgarse a ser parte formal de lasestadísticas de aquellos para quienes la seguridad es sólo un referente tecnológicoque hay que tener.

HERRAMIENTAS Y HERRAMIENTAS Y PRÁCTICASPRÁCTICAS


L if 2009 t l ti i

PRÁCTICAS PRÁCTICAS

%Smart Cards 14,4

dad

dad

Las cifras en 2009 muestran a los antivirus,las contraseñas y los firewalls de softwarecomo los mecanismos de seguridad másutilizados, seguidos por los sistemas VPN y

i Di h t d i h t

Smart Cards 14,4Biométricos (huella digital, iris, etc) 25,6Antivirus 86,3Contraseñas 81,9Cifrado de datos 48,8Filtro de paquetes 31 6

de s

egur

ide

seg

uri proxies. Dichas tendencias son coherentes

como estrategias contra amenazas críticascomo el ciberterrorismo, la manipulación depáginas web, negación del servicio yb h d i ió d d t t d

Filtro de paquetes 31,6Firewalls Hardware 57,2Firewalls Software 62,5Firmas digitales/certificados digitales 32,5VPN/IPSec 50

anis

mos

dan

ism

os d brechas de exposición de datos reportada

tanto en el informe de amenazas delGeorgia Tech Information Security Centercomo en el de Deloitte and Touche. En esteúlti i f t d

Proxies 49,1Sistemas de detección de intrusos -IDS 36,3

Monitoreo 7x24 29,7Sistemas de prevención de intrusos -

Mec

aM

eca último informe se muestra un marcado

interés por las herramientas de cifrado dedatos y control de contenidos dostendencias emergentes ante las frecuentesf d i f ió i ió d l

Sistemas de prevención de intrusos -IPS 25,9

Administración de logs 35,6Web Application Firewalls 25,9ADS (Anomaly detection systems) 6,3

ó fugas de información y migración de lasaplicaciones web al contexto de servicios oweb services.

Herramientas de validación de cumplimiento con regulaciones internacionales

8,8

HERRAMIENTAS Y HERRAMIENTAS Y PRÁCTICASPRÁCTICASPRÁCTICAS PRÁCTICAS

43 10%

58,40%49,10%

form

ados

form

ados 36,30%

43,10% 49,10%

16,60%

ener

se in

fen

erse

inf

Proveedores Colegas Revistas especializadas

Listas de seguridad

No se tiene este hábito.

ara

man

tear

a m

ante


La lectura de artículos en revistas especializadas y la lectura y análisis de las listas

Med

ios

paM

edio

s pa

p y yde seguridad son las fuentes de información más frecuentes para notificarse sobre fallas de seguridad. Si bien sabemos que la dinámica del día a día limita el tiempo para el estudio permanente de la dinámica de la inseguridad, se sugiere un cambio importante para dedicar un espacio en la agenda para la comprensión y revisión de MM p p p g p p ylas fallas de seguridad y su impacto en la organización. SEGURINFO, continúa creciendo llegando en este momento a 2000 participantes desde su fundación en el año 2000.

POLÍTICAS DE POLÍTICAS DE SEGURIDADSEGURIDAD

adad ComentariosComentarios GeneralesGenerales::

SEGURIDADSEGURIDAD

e se

gurid

ae

segu

rida

El 66% de las empresas en Latinoamérica no cuentan con política de seguridad definidasformalmente o se encuentran en desarrollo. Esta cifra muestra que si bien se ha avanzando entemas de tecnologías de seguridad de la información, las políticas de seguridad aún requierenun esfuerzo adicional conjunto entre el área de negocio y la de tecnología. La seguridad de la

olíti

cas

deol

ítica

s de

j g y g ginformación por reacción y cómo apoyo a las funciones de negocio, es más costosa en el largoplazo; mientras una función de seguridad articulada con las estrategias de negocio y vinculada ala visión de los clientes, puede generar mucho más valor y asimilar mejor las fallas de seguridadque se presenten.

41,60%

de

las

po d

e la

s po

20 00%25,00%30,00%35,00%40,00%45,00%

24,40%

,34,10%

do a

ctua

ldo

act

ual

0,00%5,00%

10,00%15,00%20,00%

No se tienen políticas de

Actualmente se encuentran en

Política formal, escrita

Esta

dEs

tad políticas de

seguridad definidasencuentran en desarrollo

escrita documentada e

informada a todo el personal



SEGURIDADSEGURIDAD

sarr

olla

r sa

rrol

lar

dd

La falta de apoyo directivo, la pocacolaboración entre las áreas y el pocotiempo asignado al tema se manifiestancomo los rubros más sobresalientes en

%Inexistencia de política de seguridad 10,40%

o pa

ra d

eso

para

des

e se

gurid

ade

segu

ridad esta sección. Estas cifras hablan del

limitado entendimiento de la seguridad dela información en el contexto de negocio,de la poca creatividad de los profesionales

seguridad ,

Falta de tiempo 12,70%Falta de formación técnica 10,10%Falta de apoyo directivo 18,50%Falta de colaboración entre 14 00%

al o

bstá

cul

al o

bstá

cul

polít

icas

de

polít

icas

de p p

de la seguridad para vender la distinciónde la seguridad y la necesidad dedesarrollar un lenguaje que permita laintegración entre el proceso y la protección

áreas/departamentos 14,00%

Complejidad tecnológica 7,50%Poco entendimiento de la seguridad informática 14

Poco entendimiento de los flujos

Prin

cipa

Prin

cipa pp g p y p

de la información. La gestión de laseguridad de la información entendida másallá del PHVA (Planear, Hacer, Verificar yActuar) del ISO 27001, es construir un

Poco entendimiento de los flujos de la información en la organización

4,20%

)lenguaje común de negocios que vea en laseguridad una forma de integrarse con ladinámica del mundo globalizado.


s e

s e sos

sos ComentariosComentarios GeneralesGenerales::

SEGURIDADSEGURIDAD

s na

cion

ales

s na

cion

ales

nes

de in

trus

nes

de in

trus

Si por un lado no se denuncian las posiblesfallas de seguridad de la información o delitos,es claro que no se tengan contactos para

Si

auto

ridad

esau

torid

ades

pers

ecuc

ion

pers

ecuc

ion avanzar en la judicialización de éstas y sus

infractores, bien sea por desconocimiento o porel riesgo de imagen que implica para laorganización.

No52.90%No Sabe

37 70%

Si 9.40%

acio

nes

con

acio

nes

con

n ca

sos

de p

n ca

sos

de p

La academia, los gremios, el gobierno, losproveedores y los usuarios deben organizarsepara construir estrategias de combate delcrimen organizado y en la construcción de

37.70%

tact

os o

rela

tact

os o

rela

acio

nale

s en

acio

nale

s en crimen organizado y en la construcción de

modelos de seguridad resilientes frente a losembates de la inseguridad de la información.Adicionalmente se hace necesario estableceracuerdos interinstitucionales e internacionales

Con

tC

ont

inte

rnin

tern con entes de policía judicial para actuar con

oportunidad frente a una conducta punible enmedios informáticos.


ica

y

SEGURIDADSEGURIDAD

Estándares y buenas prácticas %ISO 27001 45,8

ad In

form

áti

form

ació

n

Common Criteria 5,2Cobit 4.1 23,4Magerit 5,2Octave 2,3Guías NIST (National of and Technology) 12,3

s en

seg

urid

dad

de la

inf Guías NIST (National of and Technology) 12,3

Guías de (European Network of Information Security Agency) 2,3

Top 20 de fallas de seguridad del SANS 7,1OSSTM - Open Standard Security Testing Model 7,5ISM3 I f ti S it M t M t i M d l 3 9

as p

ráct

icas

s en

seg

urid


ISM3 - Information Security Management Maturiy Model 3,9ITIL 26,9No se consideran 37,7

ares

y b

uena

Reg

ulac

ione

Los resultados sugieren que en Latinoamérica el ISO 27000, ITIL y el Cobit 4.1,son el estándar y las buenas prácticas que están en las áreas de seguridad de lainformación o en los departamentos de tecnología informática. Estas orientaciones

Está

nda R metodológicas procuran establecer marcos de planeación y acción en temas de

tecnologías de información y seguridad que permitan a la organización ordenar lapráctica de dichas áreas.


ica

y

SEGURIDADSEGURIDADAplicación de regulación y normativa aplicada en temas de seguridad de la información

ad In

form

áti

form

ació

n

52,30%

33,80%

s en

seg

urid

dad

de la

inf 15,60%

as p

ráct

icas

s en

seg

urid

Ninguna Regulaciones internacionales (SOX, BASILEA II)

Normativas aprobadas por entes de supervisión

(Superintendencias, Ministerios o Institutos gubernamentales)

ares

y b

uena

Reg

ulac

ione ComentariosComentarios GeneralesGenerales::

En ese mismo sentido, las regulaciones sobre seguridad de la información lideradas porregulaciones internacionales como SOX y Basilea II, en contraste de un alto porcentaje que no debeacogerse a alguna regulación muestran que los esfuerzos en seguridad de la información son

Está

nda R acogerse a alguna regulación, muestran que los esfuerzos en seguridad de la información sonparciales y sectorizados, lo que implica que se requiere una dinámica similar a la de Banca y elmercado accionarios, para generar un esfuerzo común en procura de una cultura de seguridad de lainformación más homogénea y dinámica.

CAPITAL CAPITAL INTELECTUALINTELECTUAL

átic

a


INTELECTUALINTELECTUALid

ad in

form

á

Los resultados muestran que en Latinoamérica se tiene un número reducido de personas dedicadasde tiempo completo a los tema de seguridad de la información, esto bien sea por el tamaño de lasorganizaciones, como por las prioridades que actualmente éstas tienen. Así mismo, se advierte unapreocupación importante, cuando se observa un 34,3% donde los participantes dicen que no se

s a

la s

egur

p p p , , p p qtienen profesionales destinados formalmente a esta función. Revisando el entorno de la región, seprevé con el paso del tiempo, que esta situación cambie por la aparición de regulacionesinternacionales que obliguen al desarrollo de un entorno de seguridad y control inherente ysistemático.

as d

edic

ada

34,30%

44,10%

o de

per

sona

11,80%

3,70% 6,10%

Núm

ero

Ninguna 1 a 5 6 a 10 11 a 15 Más de 15

CAPITAL CAPITAL INTELECTUALINTELECTUALINTELECTUALINTELECTUAL

trab

ajar

en


En la región se muestra una clara37,70%

erid

os p

ara

tor

mát

ica

tendencia a que aquellos que cuentencon más de dos años de experienciaen temas de seguridad informática soncandidatos elegibles para trabajar en

21,50%

29,00%

,

ienc

ia re

que

egur

idad

inf las áreas de seguridad. Pese a que en

la actualidad, exista una oferta limitadade formación académica en estostemas y que la exposición y aplicación

11,80%

os d

e ex

peri se autodidacta frente a los dilemas de

seguridad es la constante, no esextraño observar que un 21,5% de lasorganizaciones no exijan experiencia

l l l

Ninguno Menos de un año de

experiencia

Uno a dos años Más de dos años de

experiencia

Año en el tema, pues por lo general

prefieren formarlos internamente a lamedida de sus necesidades.

CAPITAL CAPITAL INTELECTUALINTELECTUAL

C i G lC i G l

INTELECTUALINTELECTUAL

egur

idad

al

es d

e la

s Comentarios Generales:Comentarios Generales:

Los resultados muestran que en Latinoamérica el tema de seguridad de l i f ió i

%

Ninguna 57,9

adas

con

se

s pr

ofes

iona

ticip

ante

s

la información no requiere formalmente temas de certificación, sino más experiencia aplicada en el hacer de los mecanismos de

id d t ló i E t il t

Ninguna 57,9CISSP - Certified Information System Security Professional

20,5

CISA - Certified Information System Auditor

13,8

CISM C tifi d I f ti S it 11 8

nes

rela

cion

ae

pose

en lo

sm

pres

as p

art seguridad tecnológica. Esto ilustra que

si bien existe un déficit importante de formación académica en el tema, certificaciones como CISSP, CISA y CISM t d i

CISM - Certified Information Security Manager

11,8

CFE - Certified Fraud Examiner 4CIFI - Certified Information Forensics Investigator

4

Cer

tific

acio

nor

mát

ica

que

em CISM marcan una tendencia y preferencia entre los profesionales latinoamericanos que se dedican a seguridad de la información.

gCIA - Certified Internal Auditor 8,4SECURITY+ 8,4

Cin

fo

CAPITAL CAPITAL INTELECTUALINTELECTUALINTELECTUALINTELECTUAL

45,00%

Opinión sobre la importancia de estar certificado en el tema de Seguridad de la Información

15 00%20,00%25,00%30,00%35,00%40,00%

0,00%5,00%10,00%15,00%

Muy Importante Importante No es Importante No sabe

f d f f l f d f dCISSP ‐ Certified Information System Security Professional CISA ‐ Certified Information System Auditor

CISM ‐ Certified Information Security Manager CFE ‐ Certified Fraud Examiner

CIFI ‐ Certified Information Forensics Investigator CIA ‐ Certified Internal Auditor

MCSE/ISA‐MCP (Microsoft) Unix/Linux LP1

Security+y

ComentariosComentarios GeneralesGenerales::Las certificaciones CISSP, CISA y CISM son la más valoradas por el mercado y las que a la hora deconsiderar un proyecto de seguridad de la información marcan la diferencia para su desarrollo ycontratación Se advierte un particular interés en las certificaciones CFE CIA y CIFI que si bien nocontratación. Se advierte un particular interés en las certificaciones CFE, CIA y CIFI que si bien noaparecen con resultados “muy importantes”, si son consideradas importantes por la industria. Se necesitafortalecer la formación académica formal en los temas de seguridad, control y auditoría, así como lasáreas de manejo de fraude, como una estrategia complementaria al esquema de certificaciones.

CONCLUSIONES CONCLUSIONES GENERALESGENERALESGENERALESGENERALES

1. Las regulaciones internacionales llevarán a las organizaciones en Latinoamérica ag gfortalecer los sistemas de gestión de la seguridad de la información. Actualmente lasnormas como SOX y Basilea II comienzan a cambiar el panorama de la seguridadde la información en la Banca y en el mercado accionario.

2. La industria en Latinoamérica exige más de dos años de experiencia en seguridadinformática como requisito para optar por una posición en esta área. De igual forma,se nota que poco a poco el mercado de especialistas en seguridad de lainformación toma fuerza, pero aún la oferta de programas académicos formales sep p gencuentra limitada, lo que hace que las organizaciones opten por contratar aprofesionales con poca experiencia en seguridad y formarlos localmente.

3. Las certificaciones CISSP, CISA y CISM son las más valoradas por el mercado y lasy p yque a la hora de considerar un proyecto de seguridad de la información marcan ladiferencia para su desarrollo y contratación. Se advierte un importante giro en lascertificaciones CFE, CIA y CIFI que si bien no aparecen con resultados “muyimportantes”, si son consideradas importantes por la industria.p p p


4. La inversión en seguridad de la información se encuentra concentrada en aspectosperimetrales, las redes y sus componentes, así como la protección de datos deli t fi l 53 1% t d t d id d d lclientes que se reafirma con el 53,1% concentrado en temas de seguridad de la

información.

5. Las cifras en 2009 muestran a los antivirus, las contraseñas y los firewalls deft l i d id d á tili d id lsoftware como los mecanismos de seguridad más utilizados, seguidos por los

sistemas VPN y proxies. Existe un marcado interés por las herramientas de cifradode datos y control de contenidos dos tendencias emergentes ante las frecuentesfugas de información y migración de las aplicaciones web al contexto de servicios o

b iweb services.

6. La limitada aplicación de las normas o regulaciones vigentes en temas de delitoinformático en Latinoamérica y baja formación de los jueces en estos temas

t bl t i t t l d i i t ió d j ti i l ti t Eestablece un reto importante para la administración de justicia en el continente. Eneste contexto, adelantar un proceso jurídico puede resultar más costoso para laorganización que para el posible infractor, dado que generalmente la carga de laprueba está a cargo de la parte acusadora y los posibles costos derivados de

it j i f áti áli i f d l í lperitaje informático o análisis forense no ayudan con la economía procesalrequerida.


7. Si bien están tomando fuerza las unidades especializadas en delito informático enLatinoamérica es necesario continuar desarrollando esfuerzos conjuntos entre laLatinoamérica, es necesario continuar desarrollando esfuerzos conjuntos entre laacademia, el gobierno, las organizaciones y la industria, para mostrarles a losintrusos que estamos preparados para enfrentarlos.

8 La falta de apoyo directivo y la falta de tiempo no pueden ser excusas para no8. La falta de apoyo directivo y la falta de tiempo, no pueden ser excusas para noavanzar en el desarrollo de un sistema de gestión de seguridad. La inversión enseguridad es costosa, pero la materialización de inseguridad puede serlo muchomás. La decisión está en sus manos.

9. Los resultados sugieren que el ISO 27000, ITIL y el Cobit 4.1 son el estándar y lasbuenas prácticas que están en las áreas de seguridad de la información o en losdepartamentos de tecnologías de información.

10. Son motivadores de la inversión en seguridad: la continuidad de negocio, elcumplimiento de regulaciones y normativas internas y externas, así como laprotección de la reputación de la empresa. Así mismo, se manifiesta la necesidadde adelantar al menos un ejercicio anual de análisis de riesgos como soporte a losde adelantar al menos un ejercicio anual de análisis de riesgos como soporte a lostemas de seguridad y procesos de negocio.

REFERENCIASREFERENCIAS

MCAFEE (2009) Informe de amenazas. Primer trimestre de 20092009.

GEORGIA TECH INFORMATION SECURITY CENTER (2009) Emerging Cyber Threats Report for 2009

DELOITTE & TOUCHE (2009) Annual Global Security Survey

1er. Encuesta Latinoamericana sobre Seguridad Informática ‐ 2009

Jeimy J. Cano, Ph.D, CFEUNIANDES - Colombia

Gabriela M. Saucedo M., MDOHUNIVA – México

Eduardo CarozoCsirt-ANTEL - Uruguay

Documents

1er. Encuesta Latinoamericana sobre Seguridad Informática 2009