iii encuesta latinoamericana de - acis · evaluaciones de seguridad internas y externas pólizas...

III Encuesta Latinoamericana deIII Encuesta Latinoamericana de Seguridad de la Información

ACIS 2011ACIS 2011

J i J CJ i J C C di d G lC di d G l•• Jeimy J. Cano Jeimy J. Cano –– Coordinador GeneralCoordinador General

•• Emilio A. Emilio A. SamudioSamudio –– Coordinador ParaguayCoordinador Paraguay

•• Patricia Patricia PrandiniPrandini –– Coordinadora ArgentinaCoordinadora Argentina

•• Eduardo Corozo Eduardo Corozo –– Coordinador UruguayCoordinador Uruguay

•• Andrés Andrés AlmanzaAlmanza –– Coordinador ColombiaCoordinador Colombia

AGRADECIMIENTOSAGRADECIMIENTOS

• A la Asociación Colombiana de Ingenieros en Sistemas (ACIS),el Centro de Atención de Incidentes de Seguridad Informáticagy Telecomunicaciones – ANTEL de Uruguay, el Capítulo deISACA y la organización Usuaria de Buenos Aires, Argentina eISACA Capítulo Asunción ParaguayISACA Capítulo Asunción, Paraguay

• Los hallazgos y reflexiones que se presentan a continuación seg y q pdesarrollan en el contexto básico de los resultados tabuladosde una encuesta abierta desplegada a través de la Web enAbril y Mayo de 2011Abril y Mayo de 2011.

AGENDAAGENDA

• Antecedentes

• Referentes utilizados

• Demografíag

• Resultados más significativos

• ConclusionesConclusiones

• Referencias

ANTECEDENTESANTECEDENTES

• Los resultados de la Primera Encuesta Latinoamericana deSeguridad de la Información se presentaron en Junio de 2009g p

• Se han sumado a este esfuerzo países como:– México, Argentina, Paraguay, Uruguay, Chile, Colombia, Perú, Brasil* y

algunas naciones centroamericanasalgunas naciones centroamericanas

• El nivel de participación oscila entre 300 y 400 profesionalesen toda la latinoamérica.

• Las tendencias identificadas en este estudio revelan patronesde acción para los profesionales en seguridad de lainformacióninformación.

REFERENTES UTILIZADOSREFERENTES UTILIZADOS• 13th Annual Global Information Security13th Annual Global Information Security Survey realizada por Ernst & Young

• Global State of Information Security Survey• Global State of Information Security Survey2011 adelantada por PriceWaterhouseCoopers,

• 2011 (ISC)2 Global Information Security Workforce Study efectuado por Frost & SullivanSullivan

• Reporte de PriceWaterhouseCoopersI f ti S it 2020Information Security 2020

DEMOGRAFÍADEMOGRAFÍA58,90%

60%

65,40%

12,76%

17%

2%5%

na e

6,50%8,80%

12,20%7,10%

0%0%

0% 10,30%6,07% 6,38%

5,50%

5%3%

0% 13%

Argenti

Chil

Colombia

México

Uruguay

raguay

es:

erú, C

0%

U

Par

Otros paíse

nezuela, Pe

osta …

OVen

2009 2010 2011

DEMOGRAFÍADEMOGRAFÍA

M f t

Consultoría Especializada

Otros sectores: …

Educación

Gobierno / Sector público

Manufactura

Salud

Alimentos

Construcción / Ingeniería

Telecomunicaciones

Sector de Energía

Sectores participantes

2011 2010 2009

Servicios Financieros y Banca

Construcción / Ingeniería Sectores participantes

RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS

C d f ió d i id d

Monitoreo de Seguridad Informática 7 x 2427,7

3 12

5,28

6,75

6,49

Evaluaciones de seguridad internas y externas

Pólizas contra cibercrimen

Cursos especializados en seguridad informática(cursos …

Cursos de formación de usuarios en seguridad …

29 2

6

21,3

12,6

6,24

1,14

5,35

3,12

7,19

0,78

5,96

,

/ l ó

Desarrollo y afinamiento de seguridad de las …

Seguridad de la Información

Contratación de personal más calificado

g y

25,1

53,1

15,1

29,2

5,54

13,12

2,61

2 89

12,54

16,48

4,82

N

Proteger la propiedad intelectual

Proteger el almacenamiento de datos de clientes

Concientización/formación del usuario final

Comercio/negocios electrónicos

23 1

44,9

26,7

16,2

4,46

10,19

6,94

3,37

4,56

0

6,74

2,89

RSIÓN EN

GURIDAD

0 10 20 30

Protección de la red

Proteger los datos críticos de la organización

74,4

57,9

23,1

17,46

14,34

17,63

13,85

INVE

SEG

20 30 40 50 60 70 80

2011% 2010% 2009%


70

85

100

25

40

55

50,30

47,72

16 41

32 24

127

4 5 16

%

‐5

10

Menos de USD$20.000 Entre

USD$20.001 y Entre $ Entre

0 17,46,9

6,24,4 14,9

16,4110,03

4,554,55 16,71

5

USD$50.000 USD$50.001 y USD$70.000

Entre USD$70.001 y USD$90.000

Entre USD$90.001 y USD$110.000

Entre USD$110.001

y USD$130.000

Más de USD$130.000

Presupuesto para el 20112009 2010 2011

RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS

90100

5060708090

010203040

20090

2010

2011

FALLAS DE SEGURIDAD


13 14

Equipo de atención de incidentes

Ninguno: No se denuncian

35 7

39,3

41,23

27,69

18,04

13,14

Autoridades locales/regionales

Autoridades nacionales(Dijin, Fiscalía)10,2

35,7

8 3

5,53

4,45

9,13

Asesor legal

Autoridades locales/regionales

19,5

10,8

0

17,23

8,3

44 76

10,46

0 20 4060

Directivos de la organización 00 44,76

6080

100

NOTIFICACIÓN DE INCIDENTES 2011 2010 2009


90100

86,3 81,9

4050607080

,

48,8

31 6

57,262,5

32 5

50 49,1

36,329 7

35,6

010203040

14,425,6

31,6 32,5 29,7 25,9 25,9

6,3 8,80 02,25 2,63

11,04 10,926,45 4,75 8,32 7,43 5,31 8,03 6,5 4,08 3,27 4,16 4,37 3,23 0,97 1,18 0 0,42 2009

2010

2011

MECANISMOS DE SEGURIDAD

ÁÁRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS

2009 2010 2011

24 33

24 4

14,85 43,8441,3

24 3343

2009

2010

201124,4

41,6 34,1

2009No se tienen políticas de seguridad definidas

Actualmente se encuentran en desarrollo

Política formal, escrita definidas desarrollo ,documentada e informada a todo

el personalPolítica de Seguridad de la Información

ÁÁRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS

Poco entendimiento de los flujos de la información en la organización

Otras respuestas:

4,2

0

5,79

8,74

9,32

0

/

Complejidad tecnológica

Poco entendimiento de la seguridad informática

7,5

149,78

18,47

7,19

16,37

Falta de formación técnica

Falta de apoyo directivo

Falta de colaboración entre áreas/departamentos

18,5

14

4,7115,21

10,86

9,18

16,37

19,04

MPLEM

ENTA

R AD

Inexistencia de política de seguridad

Falta de tiempo

12,7

10,1

13 04

13,4

,

10,78

11,71

ULO

S PA

RA IM

LA SEG

URIDA

10,413,04

OBS

TÁCU

2011 2010 2009


%S

Guías del NIST

(National Institute

Guías de la ENISA (European Top 20 de

OSSTM ‐Open

ISM3 ‐Information Security No seRE

S Y BU

ENAS

ÁCT

ICAS

ISO 27001Common Criteria

Cobit 4.1 Magerit OctaveInstitute

of Standards

and Technology) USA

Network of

Information Security Agency)

fallas de seguridad del SANS

Standard Security Testing Model

n Security Managem

ent Maturiy Model

ITILNo se

consideran

ESTÁ

NDA

PRÁ

2009 45,8 5,2 23,4 5,2 2,3 12,3 2,3 7,1 7,5 3,9 26,9 37,7

2010 26,37 2,1 14,88 3,23 1,29 8,09 0,97 2,91 3,23 0,97 17,47 10,19

2011 28,88 3,65 14,62 2,74 2,19 7,49 1,46 0 4,38 1,46 18,28 14,8


2009 2010 2011

8090

100

2949

2009 2010 2011

3040506070

34 3

18,84 45,59

29

9

01020

Ninguna

34,3 44,1

11,8

3,7

5,473,95

7,59

3 10

g1 a 5

6 a 1011 a 15

Más de 15

6,1

PERSONAS DEDICADAS A LA SEGURIDAD


60

40

50

44,07

56

20

3021,5

29

37,7

28,57

36

2009

2010

0

1011,8

3,34 5,4753

2010

2011

NingunoMenos de un

año de experiencia

Uno a dos añosMás de dos

ñ dexperiencia años de experienciaEXPERIENCIA REQUERIDA


34,86

2009 2010 2011

57,9

37,23

16 4

15,23 14,42

3,8

12,02

1 85,61 5,61 3,4

20,5

13,8

0

11,8

4 48,4 8,4

0 0

16,4 14,3

0

13,5

2,34 3,1 4,68 4,68 2,86 0,78

, 1,8 03,4

0,6

Ninguna CISSP ‐Certified

Information System

CISA ‐Certified

Information System

CRISC –Certified Risk and

Information

CISM ‐Certified

Information Security

CFE ‐Certified Fraud

Examiner

CIFI ‐Certified

Information Forensics

CIA ‐Certified Internal Auditor

SECURITY+ GIAC‐SANS NSA IAM/IEM

0 0 0

ySecurity

Professional

yAuditor Systems

Control

yManager Investigator

CERTIFICACIONES OBTENIDAS


NSA IAM/IEM 2,061,81

Unix/Linux LP1

GIAC ‐ Sans Institute

Security+

5,65

0

7,28

7,02

4,05

5,77

CIFI Certified Information Forensics Investigator

CIA ‐ Certified Internal Auditor

MCSE/ISA‐MCP (Microsoft)

8 0

6,86

5,65

,

7,75

5,34

4,13

CRISC ‐ Certified Risk and Information Systems Control

CFE ‐ Certified Fraud Examiner

CIFI ‐ Certified Information Forensics Investigator

0

4,78

8,04

16 37

9,82

4,74

CISSP ‐ Certified Information System Security Professional

CISA ‐ Certified Information System Auditor

CISM ‐ Certified Information Security Manager

23,36

14,67

17,39

20,77

12,32

16,37

0 5 10 15 20 25

CERTIFICACIONES ESPERADAS POR LAS ORGANICACIONES 2011 2010


22 38

1Están ofreciendo programas académicos formales en esta área

2Existen limitados laboratorios e infraestructura para soportar los cursos especializados22,38 26,11

14,15

2010 2011especializados

3Hacen poca difusión sobre éstos temas

4Hay poca investigación científica en el área

5Hay poca motivación de los estudiantes

15,679,88 11,23 12,69

10,77 12,24

5 y ppara estudiar el tema

6Hay poca oferta (o nula) de programas académicos en esta área

7

Hay pocas (o nulas) alianzas con proveedores de tecnología de seguridad

1

3,735,59

4,85

1,11 2,614,1

7,46

5,39

3,79,32 10,67

7proveedores de tecnología de seguridad y/o agremiaciones relacionadas con el tema

8La formación es escasa y sólo a nivel de cursos cortos

Los estudiantes no conocen las1 2 3 4 5 6 7 89

1011

2,98

,

3,350

0

9Los estudiantes no conocen las oportunidades laborales en esta área

10Los profesores tienen poca formación académica en el tema

11No han pensado adelantar programas 11

12PERCEPCIÓN DE LA FORMACIÓN EN LA SEGURIDAD

INFORMÁTICA DESDE LA ACADEMIA

11 p p gacadémicos o cursos cortos en esta área

12Se han dejado desplazar por certificaciones generales y de producto

CONCLUSIONESCONCLUSIONES• Los resultados sugieren que en Latinoamérica el ISO 27000, ITIL y el Cobit 4.1 son el estándar

y las buenas prácticas que están en las áreas de seguridad de la información o en losdepartamentos de tecnología de información.

• La industria en Latinoamérica exige más de dos años de experiencia en seguridad informáticacomo requisito para optar por una posición en esta área. Se advierte cada vez más unaformación más concreta y formal para los analistas de seguridad en la región.

• Las certificaciones CISSP, CISA y CISM continúan como las más valoradas por el mercado y lasque a la hora de considerar un proyecto de seguridad de la información marcan la diferenciapara su desarrollo y contratación. Resulta interesante ver el reciente posicionamiento de lap y pnueva certificación de ISACA denominada CRISC.

• Latinoamérica sigue una tendencia de la inversión en seguridad concentrada en temasperimetrales, las redes y sus componentes, así como la protección de datos críticos. De igualforma existe un marcado interés por el aseguramiento de los flujos de información en laforma, existe un marcado interés por el aseguramiento de los flujos de información en laorganización, como práctica base en el entendimiento de los riesgos en los proceso denegocio.

• Las cifras en 2011 muestran a los antivirus, las contraseñas y los firewalls de hardware comolos mecanismos de seguridad más utilizados seguidos por los sistemas de firewalls delos mecanismos de seguridad más utilizados, seguidos por los sistemas de firewalls desoftware y las VPN. Existe un marcado interés por las herramientas de prevención de fuga deinformación y tecnologías de gestión de accesos e identidades.

CONCLUSIONESCONCLUSIONES• La pérdida de reputación, el riesgo de imagen y la vulnerabilidad ante la competencia son factores

l f l d d d bl d lóclaves frente a la denuncia o no de una conducta punible en medios tecnológicos.Adicionalmente, la carga de la prueba frente a los hechos ocurridos está a cargo de la parteafectada y los posibles costos derivados del peritaje informático o análisis forense se cuestionanfrente a la efectividad de los mismos.

L l t d tí l i t i li d l l t áli i d l li t d id d• La lectura de artículos en revistas especializadas y la lectura y análisis de las listas de seguridad sonlas fuentes de información más frecuentes para notificarse sobre fallas de seguridad.SEGURINFO, se ubica como una lista en español referente en los temas de seguridad de lainformación en Latinoamérica.

• La falta de colaboración entre áreas el apoyo directivo y el limitado entendimiento de la• La falta de colaboración entre áreas, el apoyo directivo y el limitado entendimiento de laseguridad, no pueden ser excusas para no avanzar en el desarrollo de un sistema de gestión deseguridad. La inversión en seguridad es costosa, pero la materialización de inseguridad puede serlomucho más.

• Los resultados de este año establecen que el 57% de las empresas en Latinoamérica no cuentan• Los resultados de este año establecen que el 57% de las empresas en Latinoamérica no cuentancon una política de seguridad definida formalmente o se encuentra en desarrollo. Este resultado nomuestra avance significativo en el reconocimiento de la información como un activo fundamentalde la organización.

• Se muestra un ligero aumento de programas académicos formales en seguridad de la• Se muestra un ligero aumento de programas académicos formales en seguridad de lainformación, con un llamado concreto para la academia para que exista una mayor investigacióncientífica en esta área, que permita balancear el uso de las tecnologías disponibles con el desarrollode propuestas innovadoras fruto de un entendimiento más profundo de la seguridad en lasorganizaciones.

REFERENCIASREFERENCIASREFERENCIASREFERENCIAS• ERNEST & YOUNG (2011) 13th Annual Global Information Security Survey.

Disponible en:Disponible en: http://www.ey.com/Publication/vwLUAssets/Global_information_security_survey_2010_advisory/$FILE/GISS%20report_final.pdf (Consultado: 12‐06‐2011)

( ) l b l f f• PRICEWATERHOUSECOOPERS (2011) Global State of Information Security Survey 2011. Disponible en: http://www.pwc.com/gx/en/information‐security‐survey/pdf/giss‐2011‐survey‐report.pdf (Consultado: 12‐06‐2010)

• FROST & SULLIVAN (2011) 2011 (ISC)2 Global Information Security WorkforceStudy. Disponible en: https://www.isc2.org/uploadedFiles/Industry_Resources/FS_WP_ISC%20Study_020811_MLW_Web.pdf (Consultado: 12‐06‐2010)

• PRICEWATERHOUSECOOPERS (2010) Information Security 2020. Disponible en: http://www pwc co uk/eng/publications/revolution or evolution informatiohttp://www.pwc.co.uk/eng/publications/revolution_or_evolution_information_security_2020.html (Consultado: 12‐06‐2010)

III Encuesta Latinoamericana deIII Encuesta Latinoamericana de Seguridad de la Información

ACIS 2011ACIS 2011

J i J CJ i J C C di d G lC di d G l•• Jeimy J. Cano Jeimy J. Cano –– Coordinador GeneralCoordinador General

•• Emilio A. Emilio A. SamudioSamudio –– Coordinador ParaguayCoordinador Paraguay

•• Patricia Patricia PrandiniPrandini –– Coordinadora ArgentinaCoordinadora Argentina

•• Eduardo Corozo Eduardo Corozo –– Coordinador UruguayCoordinador Uruguay

•• Andrés Andrés AlmanzaAlmanza –– Coordinador ColombiaCoordinador Colombia

iii encuesta latinoamericana de - acis · evaluaciones de seguridad internas y externas pólizas...

Documents