iii encuesta latinoamericana de -...
TRANSCRIPT
III Encuesta Latinoamericana deIII Encuesta Latinoamericana de Seguridad de la Información
ACIS 2011ACIS 2011
J i J CJ i J C C di d G lC di d G l•• Jeimy J. Cano Jeimy J. Cano –– Coordinador GeneralCoordinador General
•• Emilio A. Emilio A. SamudioSamudio –– Coordinador ParaguayCoordinador Paraguay
•• Patricia Patricia PrandiniPrandini –– Coordinadora ArgentinaCoordinadora Argentina
•• Eduardo Corozo Eduardo Corozo –– Coordinador UruguayCoordinador Uruguay
•• Andrés Andrés AlmanzaAlmanza –– Coordinador ColombiaCoordinador Colombia
AGRADECIMIENTOSAGRADECIMIENTOS
• A la Asociación Colombiana de Ingenieros en Sistemas (ACIS),el Centro de Atención de Incidentes de Seguridad Informáticagy Telecomunicaciones – ANTEL de Uruguay, el Capítulo deISACA y la organización Usuaria de Buenos Aires, Argentina eISACA Capítulo Asunción ParaguayISACA Capítulo Asunción, Paraguay
• Los hallazgos y reflexiones que se presentan a continuación seg y q pdesarrollan en el contexto básico de los resultados tabuladosde una encuesta abierta desplegada a través de la Web enAbril y Mayo de 2011Abril y Mayo de 2011.
AGENDAAGENDA
• Antecedentes
• Referentes utilizados
• Demografíag
• Resultados más significativos
• ConclusionesConclusiones
• Referencias
ANTECEDENTESANTECEDENTES
• Los resultados de la Primera Encuesta Latinoamericana deSeguridad de la Información se presentaron en Junio de 2009g p
• Se han sumado a este esfuerzo países como:– México, Argentina, Paraguay, Uruguay, Chile, Colombia, Perú, Brasil* y
algunas naciones centroamericanasalgunas naciones centroamericanas
• El nivel de participación oscila entre 300 y 400 profesionalesen toda la latinoamérica.
• Las tendencias identificadas en este estudio revelan patronesde acción para los profesionales en seguridad de lainformacióninformación.
REFERENTES UTILIZADOSREFERENTES UTILIZADOS• 13th Annual Global Information Security13th Annual Global Information Security Survey realizada por Ernst & Young
• Global State of Information Security Survey• Global State of Information Security Survey2011 adelantada por PriceWaterhouseCoopers,
• 2011 (ISC)2 Global Information Security Workforce Study efectuado por Frost & SullivanSullivan
• Reporte de PriceWaterhouseCoopersI f ti S it 2020Information Security 2020
DEMOGRAFÍADEMOGRAFÍA58,90%
60%
65,40%
12,76%
17%
2%5%
na e
6,50%8,80%
12,20%7,10%
0%0%
0% 10,30%6,07% 6,38%
5,50%
5%3%
0% 13%
Argenti
Chil
Colombia
México
Uruguay
raguay
es:
erú, C
0%
U
Par
Otros paíse
nezuela, Pe
osta …
OVen
2009 2010 2011
DEMOGRAFÍADEMOGRAFÍA
M f t
Consultoría Especializada
Otros sectores: …
Educación
Gobierno / Sector público
Manufactura
Salud
Alimentos
Construcción / Ingeniería
Telecomunicaciones
Sector de Energía
Sectores participantes
2011 2010 2009
Servicios Financieros y Banca
Construcción / Ingeniería Sectores participantes
RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
C d f ió d i id d
Monitoreo de Seguridad Informática 7 x 2427,7
3 12
5,28
6,75
6,49
Evaluaciones de seguridad internas y externas
Pólizas contra cibercrimen
Cursos especializados en seguridad informática(cursos …
Cursos de formación de usuarios en seguridad …
29 2
6
21,3
12,6
6,24
1,14
5,35
3,12
7,19
0,78
5,96
,
/ l ó
Desarrollo y afinamiento de seguridad de las …
Seguridad de la Información
Contratación de personal más calificado
g y
25,1
53,1
15,1
29,2
5,54
13,12
2,61
2 89
12,54
16,48
4,82
N
Proteger la propiedad intelectual
Proteger el almacenamiento de datos de clientes
Concientización/formación del usuario final
Comercio/negocios electrónicos
23 1
44,9
26,7
16,2
4,46
10,19
6,94
3,37
4,56
0
6,74
2,89
RSIÓN EN
GURIDAD
0 10 20 30
Protección de la red
Proteger los datos críticos de la organización
74,4
57,9
23,1
17,46
14,34
17,63
13,85
INVE
SEG
20 30 40 50 60 70 80
2011% 2010% 2009%
RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
70
85
100
25
40
55
50,30
47,72
16 41
32 24
127
4 5 16
%
‐5
10
Menos de USD$20.000 Entre
USD$20.001 y Entre $ Entre
0 17,46,9
6,24,4 14,9
16,4110,03
4,554,55 16,71
5
USD$50.000 USD$50.001 y USD$70.000
Entre USD$70.001 y USD$90.000
Entre USD$90.001 y USD$110.000
Entre USD$110.001
y USD$130.000
Más de USD$130.000
Presupuesto para el 20112009 2010 2011
RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
90100
5060708090
010203040
20090
2010
2011
FALLAS DE SEGURIDAD
RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
13 14
Equipo de atención de incidentes
Ninguno: No se denuncian
35 7
39,3
41,23
27,69
18,04
13,14
Autoridades locales/regionales
Autoridades nacionales(Dijin, Fiscalía)10,2
35,7
8 3
5,53
4,45
9,13
Asesor legal
Autoridades locales/regionales
19,5
10,8
0
17,23
8,3
44 76
10,46
0 20 4060
Directivos de la organización 00 44,76
6080
100
NOTIFICACIÓN DE INCIDENTES 2011 2010 2009
RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
90100
86,3 81,9
4050607080
,
48,8
31 6
57,262,5
32 5
50 49,1
36,329 7
35,6
010203040
14,425,6
31,6 32,5 29,7 25,9 25,9
6,3 8,80 02,25 2,63
11,04 10,926,45 4,75 8,32 7,43 5,31 8,03 6,5 4,08 3,27 4,16 4,37 3,23 0,97 1,18 0 0,42 2009
2010
2011
MECANISMOS DE SEGURIDAD
ÁÁRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
2009 2010 2011
24 33
24 4
14,85 43,8441,3
24 3343
2009
2010
201124,4
41,6 34,1
2009No se tienen políticas de seguridad definidas
Actualmente se encuentran en desarrollo
Política formal, escrita definidas desarrollo ,documentada e informada a todo
el personalPolítica de Seguridad de la Información
ÁÁRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
Poco entendimiento de los flujos de la información en la organización
Otras respuestas:
4,2
0
5,79
8,74
9,32
0
/
Complejidad tecnológica
Poco entendimiento de la seguridad informática
7,5
149,78
18,47
7,19
16,37
Falta de formación técnica
Falta de apoyo directivo
Falta de colaboración entre áreas/departamentos
18,5
14
4,7115,21
10,86
9,18
16,37
19,04
MPLEM
ENTA
R AD
Inexistencia de política de seguridad
Falta de tiempo
12,7
10,1
13 04
13,4
,
10,78
11,71
ULO
S PA
RA IM
LA SEG
URIDA
10,413,04
OBS
TÁCU
2011 2010 2009
RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
%S
Guías del NIST
(National Institute
Guías de la ENISA (European Top 20 de
OSSTM ‐Open
ISM3 ‐Information Security No seRE
S Y BU
ENAS
ÁCT
ICAS
ISO 27001Common Criteria
Cobit 4.1 Magerit OctaveInstitute
of Standards
and Technology) USA
Network of
Information Security Agency)
fallas de seguridad del SANS
Standard Security Testing Model
n Security Managem
ent Maturiy Model
ITILNo se
consideran
ESTÁ
NDA
PRÁ
2009 45,8 5,2 23,4 5,2 2,3 12,3 2,3 7,1 7,5 3,9 26,9 37,7
2010 26,37 2,1 14,88 3,23 1,29 8,09 0,97 2,91 3,23 0,97 17,47 10,19
2011 28,88 3,65 14,62 2,74 2,19 7,49 1,46 0 4,38 1,46 18,28 14,8
RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
2009 2010 2011
8090
100
2949
2009 2010 2011
3040506070
34 3
18,84 45,59
29
9
01020
Ninguna
34,3 44,1
11,8
3,7
5,473,95
7,59
3 10
g1 a 5
6 a 1011 a 15
Más de 15
6,1
PERSONAS DEDICADAS A LA SEGURIDAD
RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
60
40
50
44,07
56
20
3021,5
29
37,7
28,57
36
2009
2010
0
1011,8
3,34 5,4753
2010
2011
NingunoMenos de un
año de experiencia
Uno a dos añosMás de dos
ñ dexperiencia años de experienciaEXPERIENCIA REQUERIDA
RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
34,86
2009 2010 2011
57,9
37,23
16 4
15,23 14,42
3,8
12,02
1 85,61 5,61 3,4
20,5
13,8
0
11,8
4 48,4 8,4
0 0
16,4 14,3
0
13,5
2,34 3,1 4,68 4,68 2,86 0,78
, 1,8 03,4
0,6
Ninguna CISSP ‐Certified
Information System
CISA ‐Certified
Information System
CRISC –Certified Risk and
Information
CISM ‐Certified
Information Security
CFE ‐Certified Fraud
Examiner
CIFI ‐Certified
Information Forensics
CIA ‐Certified Internal Auditor
SECURITY+ GIAC‐SANS NSA IAM/IEM
0 0 0
ySecurity
Professional
yAuditor Systems
Control
yManager Investigator
CERTIFICACIONES OBTENIDAS
RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
NSA IAM/IEM 2,061,81
Unix/Linux LP1
GIAC ‐ Sans Institute
Security+
5,65
0
7,28
7,02
4,05
5,77
CIFI Certified Information Forensics Investigator
CIA ‐ Certified Internal Auditor
MCSE/ISA‐MCP (Microsoft)
8 0
6,86
5,65
,
7,75
5,34
4,13
CRISC ‐ Certified Risk and Information Systems Control
CFE ‐ Certified Fraud Examiner
CIFI ‐ Certified Information Forensics Investigator
0
4,78
8,04
16 37
9,82
4,74
CISSP ‐ Certified Information System Security Professional
CISA ‐ Certified Information System Auditor
CISM ‐ Certified Information Security Manager
23,36
14,67
17,39
20,77
12,32
16,37
0 5 10 15 20 25
CERTIFICACIONES ESPERADAS POR LAS ORGANICACIONES 2011 2010
RESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOSRESULTADOS MÁS SIGNIFICATIVOS
22 38
1Están ofreciendo programas académicos formales en esta área
2Existen limitados laboratorios e infraestructura para soportar los cursos especializados22,38 26,11
14,15
2010 2011especializados
3Hacen poca difusión sobre éstos temas
4Hay poca investigación científica en el área
5Hay poca motivación de los estudiantes
15,679,88 11,23 12,69
10,77 12,24
5 y ppara estudiar el tema
6Hay poca oferta (o nula) de programas académicos en esta área
7
Hay pocas (o nulas) alianzas con proveedores de tecnología de seguridad
1
3,735,59
4,85
1,11 2,614,1
7,46
5,39
3,79,32 10,67
7proveedores de tecnología de seguridad y/o agremiaciones relacionadas con el tema
8La formación es escasa y sólo a nivel de cursos cortos
Los estudiantes no conocen las1 2 3 4 5 6 7 89
1011
2,98
,
3,350
0
9Los estudiantes no conocen las oportunidades laborales en esta área
10Los profesores tienen poca formación académica en el tema
11No han pensado adelantar programas 11
12PERCEPCIÓN DE LA FORMACIÓN EN LA SEGURIDAD
INFORMÁTICA DESDE LA ACADEMIA
11 p p gacadémicos o cursos cortos en esta área
12Se han dejado desplazar por certificaciones generales y de producto
CONCLUSIONESCONCLUSIONES• Los resultados sugieren que en Latinoamérica el ISO 27000, ITIL y el Cobit 4.1 son el estándar
y las buenas prácticas que están en las áreas de seguridad de la información o en losdepartamentos de tecnología de información.
• La industria en Latinoamérica exige más de dos años de experiencia en seguridad informáticacomo requisito para optar por una posición en esta área. Se advierte cada vez más unaformación más concreta y formal para los analistas de seguridad en la región.
• Las certificaciones CISSP, CISA y CISM continúan como las más valoradas por el mercado y lasque a la hora de considerar un proyecto de seguridad de la información marcan la diferenciapara su desarrollo y contratación. Resulta interesante ver el reciente posicionamiento de lap y pnueva certificación de ISACA denominada CRISC.
• Latinoamérica sigue una tendencia de la inversión en seguridad concentrada en temasperimetrales, las redes y sus componentes, así como la protección de datos críticos. De igualforma existe un marcado interés por el aseguramiento de los flujos de información en laforma, existe un marcado interés por el aseguramiento de los flujos de información en laorganización, como práctica base en el entendimiento de los riesgos en los proceso denegocio.
• Las cifras en 2011 muestran a los antivirus, las contraseñas y los firewalls de hardware comolos mecanismos de seguridad más utilizados seguidos por los sistemas de firewalls delos mecanismos de seguridad más utilizados, seguidos por los sistemas de firewalls desoftware y las VPN. Existe un marcado interés por las herramientas de prevención de fuga deinformación y tecnologías de gestión de accesos e identidades.
CONCLUSIONESCONCLUSIONES• La pérdida de reputación, el riesgo de imagen y la vulnerabilidad ante la competencia son factores
l f l d d d bl d lóclaves frente a la denuncia o no de una conducta punible en medios tecnológicos.Adicionalmente, la carga de la prueba frente a los hechos ocurridos está a cargo de la parteafectada y los posibles costos derivados del peritaje informático o análisis forense se cuestionanfrente a la efectividad de los mismos.
L l t d tí l i t i li d l l t áli i d l li t d id d• La lectura de artículos en revistas especializadas y la lectura y análisis de las listas de seguridad sonlas fuentes de información más frecuentes para notificarse sobre fallas de seguridad.SEGURINFO, se ubica como una lista en español referente en los temas de seguridad de lainformación en Latinoamérica.
• La falta de colaboración entre áreas el apoyo directivo y el limitado entendimiento de la• La falta de colaboración entre áreas, el apoyo directivo y el limitado entendimiento de laseguridad, no pueden ser excusas para no avanzar en el desarrollo de un sistema de gestión deseguridad. La inversión en seguridad es costosa, pero la materialización de inseguridad puede serlomucho más.
• Los resultados de este año establecen que el 57% de las empresas en Latinoamérica no cuentan• Los resultados de este año establecen que el 57% de las empresas en Latinoamérica no cuentancon una política de seguridad definida formalmente o se encuentra en desarrollo. Este resultado nomuestra avance significativo en el reconocimiento de la información como un activo fundamentalde la organización.
• Se muestra un ligero aumento de programas académicos formales en seguridad de la• Se muestra un ligero aumento de programas académicos formales en seguridad de lainformación, con un llamado concreto para la academia para que exista una mayor investigacióncientífica en esta área, que permita balancear el uso de las tecnologías disponibles con el desarrollode propuestas innovadoras fruto de un entendimiento más profundo de la seguridad en lasorganizaciones.
REFERENCIASREFERENCIASREFERENCIASREFERENCIAS• ERNEST & YOUNG (2011) 13th Annual Global Information Security Survey.
Disponible en:Disponible en: http://www.ey.com/Publication/vwLUAssets/Global_information_security_survey_2010_advisory/$FILE/GISS%20report_final.pdf (Consultado: 12‐06‐2011)
( ) l b l f f• PRICEWATERHOUSECOOPERS (2011) Global State of Information Security Survey 2011. Disponible en: http://www.pwc.com/gx/en/information‐security‐survey/pdf/giss‐2011‐survey‐report.pdf (Consultado: 12‐06‐2010)
• FROST & SULLIVAN (2011) 2011 (ISC)2 Global Information Security WorkforceStudy. Disponible en: https://www.isc2.org/uploadedFiles/Industry_Resources/FS_WP_ISC%20Study_020811_MLW_Web.pdf (Consultado: 12‐06‐2010)
• PRICEWATERHOUSECOOPERS (2010) Information Security 2020. Disponible en: http://www pwc co uk/eng/publications/revolution or evolution informatiohttp://www.pwc.co.uk/eng/publications/revolution_or_evolution_information_security_2020.html (Consultado: 12‐06‐2010)
III Encuesta Latinoamericana deIII Encuesta Latinoamericana de Seguridad de la Información
ACIS 2011ACIS 2011
J i J CJ i J C C di d G lC di d G l•• Jeimy J. Cano Jeimy J. Cano –– Coordinador GeneralCoordinador General
•• Emilio A. Emilio A. SamudioSamudio –– Coordinador ParaguayCoordinador Paraguay
•• Patricia Patricia PrandiniPrandini –– Coordinadora ArgentinaCoordinadora Argentina
•• Eduardo Corozo Eduardo Corozo –– Coordinador UruguayCoordinador Uruguay
•• Andrés Andrés AlmanzaAlmanza –– Coordinador ColombiaCoordinador Colombia