Agenda. VII Encuesta Latinoamericana de Seguridad de la Información Nuevos retos, nuevas realidades

Transcripción

1 VII Encuesta Latinoamericana de Seguridad de la Información Nuevos retos, nuevas realidades Jeimy J. Cano M., Ph.D, CFE Gabriela Saucedo Mesa, JCM*GSM-15 All rights reserved 1 Agenda Introducción Documentos referentes revisados Análisis consolidados Tendencias identificadas Conclusiones JCM*GSM-15 All rights reserved 2 ACIS

2 Documentos referentes revisados JCM*GSM-15 All rights reserved 3 Demografía Fuerzas Armadas 0% 270 encuestas Manufactura 3% Gobierno / Sector público 18% Consultoría Especializada 16% Servicios Financieros y Banca 22% Telecomunicacio nes 12% Construcción / Ingeniería 3% Alimentos 1% Educación 14% Sector de Energía e Hidrocarburos 6% JCM*GSM-15 All rights reserved 4 Salud 5% ACIS

3 1-50 empleados 18,6% empleados 15,2% empleados 11,8% empleados 13,7% empleados 25,1% Mayor de 5001 empleados 15,6% Demografía Profesional de Departamento de Sistemas/Tecnología 23.8% DEPENDENCIA DE LA RESPONSABILIDAD DE LA SEGURIDAD INFORMÁTICA EN LA ORGANIZACIÓN Auditoría interna 5,10% 2,43% 5,00% 2,20% 4,58% 1,85% 1.5% Director de Seguridad Informática 21,90% 26,13% 28,00% 23,61% 25,83% 26,94% 34.7% Director Departamento de Sistemas/Tecnología 36,80% 41,03% 38,00% 36,67% 33,75% 35,42% 13.7% Gerente Ejecutivo 1,40% 2,43% 3,00% 3,61% 2,50% 2,21% 3.4% Gerente de Finanzas 4,00%- - 0,28% 0,42% 0.4% Gerente de Operaciones 2,20% 3,00% 3,00% 3,89% 0,83% 3,69% 3.4% No se tiene especificado formalmente 20,90% 13,37% 15,00% 14,72% 17,50% 15,87% 14.9% Tercerizado - - 1,00%- 0,83% 1,11% 0.8% Otros cargos 14,31% 7,00% 15,00% 13,75% 12,92% 14.9% JCM*GSM-15 All rights reserved 5 Tareas realizadas Aseguramiento de procesos de la organización 42,5% Velar por la protección de la información empresarial 72,4% Velar por la protección de la información personal 38,7% Seguimiento de prácticas en materia de seguridad de la información 64,4% Seguimiento de prácticas en materia de protección de la privacidad de la información personal 41,0% Creación de programas de gobierno y gestión en materia de seguridad de la información 39,5% Interacción con las diferentes áreas de negocio 54,4% Creación de programas de entrenamiento en materia de seguridad de la información 44,4% Definición de controles de TI en materia de seguridad de la información 66,3% Implementación de controles de TI en materia de seguridad de la información 52,5% Dirigir y supervisar los programas de riesgos de seguridad de la información de la org. 43,3% Gestionar el programa de gestión de incidentes de seguridad de la información 48,3% Evaluar la eficiencia y efectividad del modelo de seguridad de la información 42,5% Establecer e implementar un modelo de políticas en materia de seguridad de la información 53,3% Supervisar procesos de cumplimiento regulatorio en tecnología de información 41,8% Establecer y revisar la arquitectura de seguridad de la información 42,5% Supervisar y gestionar los procesos de investigaciones forenses digitales 31,4% Definir, implementar y asegurar la estrategia de ciber seguridad de la empresa 41,4% % Ingeniero de Seguridad 53% JCM*GSM-15 All rights reserved 6 CISO 45.3% Auditor de SI 30.1% ACIS

4 Presupuesto La alta dirección poco se involucra en el tema de seguridad de información y no lo tiene en su agenda estratégica. 22% La alta dirección entiende participa y toma decisiones relacionadas con la seguridad de la información 29% $20,000 USD 24.3% $20,000 USD 24.2% La alta dirección solo delega y espera informes de avance 24% La alta dirección entiende y atiende recomendaciones en materia de seguridad de la información 25% JCM*GSM-15 All rights reserved 7 Implicaciones de los incidentes de InfoSec Ataques más prevalentes efectuados Tomado de: NYSE (2015) Cybersecurity in the boardroom. Veracode. Tomado de: Ponemon- Raytheon (2015) 2015 Global JCM*GSM-15 All rights reserved Megatrends in Cybersecurity. 8 ACIS

5 ,4% Manipul ación de aplicaci ones de software 59,6% Instalaci ón de software no autoriza do 29,1% Accesos no autoriza dos al web 10,3% Fraude electróni co 44,6% Virus/C aballos de Troya Robo de datos Incidentes 9,9% 8,0% 19,7% Monitor eo no autoriza do del tráfico Negació n del servicio (DOS/D DOS) 12,7% 15,5% 12,7% 11,7% Pérdida de integrid ad de la informa ción Pérdida/ Suplant Fuga de ación de informa identida ción d crítica Empleados: 57.1% Análisis registros: 46.2% Monitoreo: 37.6% Terceros: 20.0% JCM*GSM-15 All rights reserved 9 Accione s de ingenierí a social Phishin g Pharmin Espiona g je Ataque de aplicaci ones Web ( XSS, SQL Robo de element os críticos de hardwar e Injection (notebo, oks, Directo discos, Incident es relacion ados con la privacid ad de los datos person Ciber- Ataques ( APT o ataques Series1 16,4% 59,6% 29,1% 10,3% 44,6% 9,9% 8,0% 19,7% 12,7% 15,5% 12,7% 11,7% 32,4% 0,9% 1,4% 16,9% 22,5% 7,0% 6,6% 7,0% 32,4% 0,9% 1,4% Directivos: 57.1% Equipo at n. inc.: 35.9% Autoridades: 13.9% 16,9% 22,5% 7,0% 6,6% 7,0% dirigidos, denega ción de servicio s 15.6% (2015) VS 13.28% (2014) Ninguno Evidencia digital MECANISMOS DE PROTECCIÓN 2015 Sistemas de detección y/o prevención de intrusos IDS/IPS tradicionales 36,9% Firewalls de nueva generación 39,1% Biométricos (huella digital, iris, etc.) 39,6% Proxies/Proxies inversos 43,1% Firmas digitales/certificados digitales 45,3% Cifrado de datos 49,8% Firewalls tradicionales (Hardware/Software) 64,4% VPN/IPSec 67,6% Soluciones Anti-Malware 69,8% Sistemas de Contraseñas 71,6% 21.9% (2015) VS 18.0% (2014) Se mantienen actualizados Lectura revistas: 57.3% Listas de seguridad: 48.4% JCM*GSM-15 All rights reserved 10 ACIS

6 Certificaciones más relevantes para el desarrollo de la práctica de seguridad de la información ,4% CISSP Informatio n System Security Profession al 49,8% CISA Informatio n System Auditor 69,7% CISM Informatio n Security Manager 47,4% CRISC- in Risk and Informatio n System Control 21,8% CFE - Fraud Examiner 29,9% CIFI Informatio n Forensics Investigato r CIA - Internal Auditor GIAC SANS Institute MCSE/ISA- Unix/Linux MCP LP1 (Microsoft) Security+ Series1 74,4% 49,8% 69,7% 47,4% 21,8% 29,9% 26,5% 19,4% 18,0% 19,4% 28,4% 8,5% 26,5% 19,4% 18,0% 19,4% 28,4% 8,5% NSA IAM/IEM JCM*GSM-15 All rights reserved 11 Temas en la agenda de los profesionales de seguridad de la información para ,3% 56,3% Amenazas Malware en persistente dispositivos s avanzadas móviles 35,7% Ciber guerra 47,4% Ciber espionaje 73,7% Ciber seguridad 18,8% Ciber armas Seguridad y control en la computació n en la nube Fuga de informació n sensible Inteligencia de la Seguridad Internet de la cosas IoT Grandes datos y analítica Ataques a infraestruct uras críticas Series1 72,3% 56,3% 35,7% 47,4% 73,7% 18,8% 74,6% 69,0% 43,7% 34,3% 33,3% 54,5% 74,6% 69,0% 43,7% 34,3% 33,3% 54,5% JCM*GSM-15 All rights reserved 12 ACIS

7 Estándares para la gestión de riesgos Lo que conoce la organización Lo que desconoce la organización 45,0% 35,0% 3 25,0% 15,0% 1 5,0% COSO ERM(Enter prise Risk Managment ) GRC ( Governanc e, Risk & Compliance ) ISO AS/NZ 4360 Magerit Octave Ninguna Lo que conoce el entorno Lo que desconoce el entorno Amenazas y riesgos conocidos Amenazas y riesgos focalizados Amenazas y riesgos latentes Amenazas y riesgos emergentes Series1 17,3% 19,5% 39,1% 10,5% 15,8% 8,3% 21,1% Instrumento diseñado y desarrollado por: Jeimy J. Cano M., Ph.D JCM*GSM-15 All rights reserved 13 Aumento del riesgo en seguridad de la información para 2015 Tomado: de Ponemon-Raytheon (2015) 2015 Global megatrends in cybersecurity JCM*GSM-15 All rights reserved 14 ACIS

8 Obstáculos de la seguridad de la información para ,0% 35,0% 3 25,0% 15,0% 1 5,0% 24,9% Inexistencia de política de seguridad 31,2% Falta de tiempo 24,9% Falta de formación técnica 41,6% Falta de apoyo directivo 45,7% Falta de colaboración Complejidad entre tecnológica áreas/depart amentos Poco entendimien to de la seguridad de la información Poco entendimien to de los flujos de la información en la organización Poca visibilidad del tema a nivel ejecutivo Habilidades gerenciales de los CISO s Series1 24,9% 31,2% 24,9% 41,6% 45,7% 24,0% 33,5% 22,6% 35,7% 15,8% 24,0% 33,5% 22,6% 35,7% 15,8% JCM*GSM-15 All rights reserved 15 Formación en seguridad de la información Brechas en los profesionales de seguridad de la información ,7% Capacidades técnicas 55,4% Habilidades para entender el negocio 52,1% Habilidades para comunicar e interconectar negocios y necesidades en materia de 46,5% Formación académica y técnica 56,3% Habilidades gerenciales (liderazgo, comunicació n, carisma, rendición de cuentas, proyeccion 28,2% Capacidades prospectivas y de pronóstico 49,3% Visión práctica de estrategias livianas, sencillas y efectivas para el aseguramie Series1 58,7% 55,4% 52,1% 46,5% 56,3% 28,2% 49,3% NYSE (2015) Cybersecurity in the boardroom. Veracode. JCM*GSM-15 All rights reserved 16 ACIS

9 10,3% 18,3% 31,9% 31,9% 33,8% 27,7% 44,6% 41,8% 36,6% 34,7% VII Encuesta Latinoamericana de Seguridad de la Información Cantidad de personas en el área de seguridad de la información 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% Ninguna 1 a 5 6 a a 15 Más de ,92% 52,50% 8,75% 6,25% 9,58% ,30% 62,60% 8,40% 5,10% 6,50% JCM*GSM-15 All rights reserved 17 Papel de la academia en la formación de profesionales en seguridad de la información Están ofreciendo programas académicos de grado y/o posgrado formales en esta área La formación se limita a cursos cortos No ofrecen programas académicos o cursos cortos en esta área Se han dejado desplazar por certificaciones generales y de producto El nivel de investigación en el área es escasa o insuficiente Hacen poca difusión sobre éstos temas Los profesores tienen poca formación académica en el tema Hay poca motivación de los estudiantes para estudiar el tema Existen limitados laboratorios e infraestructur a para soportar los cursos especializados Hay pocas (o nulas) alianzas con proveedores de tecnología de seguridad y/o asociaciones o entidades relacionadas Series1 44,6% 31,9% 10,3% 31,9% 41,8% 33,8% 27,7% 18,3% 36,6% 34,7% JCM*GSM-15 All rights reserved 18 ACIS

10 Conclusiones Se consolida el área de seguridad de la información. Si bien su dependencia en el área de tecnología aún se mantiene, cada vez más lo es menos. La visibilidad de los incidentes de seguridad de la información a nivel global, ha aumentado la sensibilidad de las organizaciones sobre un adecuado tratamiento de la información. La academia comienza a recuperar terreno frente a la oferta de programas en seguridad de la información. Sin embargo, no avanza con tanta celeridad en los temas de investigación, desarrollo e innovación en esta temática. JCM*GSM-15 All rights reserved 19 Conclusiones Se advierten una series de brechas en los profesionales de la seguridad de la información, que deben ser revisadas y analizadas por la academia para formar tanto especialistas como ejecutivos en esta área. Conocimiento técnico y capacidad para comunicar las dos de mayor relevancia. Tres temas emergentes en la práctica de seguridad de la información: ciber seguridad, seguridad y control en la nube y fuga de información sensible. Todos ellos relacionados con una mayor exposición de las organizaciones con el contexto de un ecosistema digital. Monedas digitales e internet de las cosas, temas que generan mayor incertidumbre para las organizaciones y la función de seguridad de la información. JCM*GSM-15 All rights reserved 20 ACIS