ESTUDIO GLOBAL SOBRE PROFESIONALES DE SEGURIDAD DE LA INFORMACIÓN DE (ISC)

Transcripción

1 ESTUDIO GLOBAL SOBRE PROFESIONALES DE SEGURIDAD DE LA INFORMACIÓN DE (ISC) Informe oficial de Frost & Sullivan patrocinado por Aceleramos el crecimiento

2 RESUMEN EJECUTIVO En nombre de (ISC) 2, se contrató a Frost & Sullivan para brindar un panorama detallado de las tendencias y oportunidades importantes que surgen a nivel mundial en la profesión de seguridad de la información. Se realizó una encuesta electrónica por medio de un portal en la Web, donde encuestados pertenecientes a compañías y organizaciones del sector público, de todo el mundo, aportaron sus opiniones sobre la profesión de seguridad de la información en la que están empleados. Los temas cubiertos en la encuesta incluyeron, entre otros, sus años de experiencia en seguridad de la información, la capacitación recibida, el valor de las certificaciones y las áreas nuevas donde es necesaria capacitación adicional. Algunos de los resultados claves del estudio de este año son los siguientes: Se encuestó a personas procedentes de las tres grandes regiones del mundo: América (4), Europa, Oriente Medio y África (EMEA) (25%) y Asia-Pacífico (34%). Además, es interesante notar que este año, los encuestados de África, América Latina y Oceanía conformaron un 17% del total de encuestados. Un tercio de los encuestados informó que sus responsabilidades funcionales primarias son principalmente gerenciales, y una proporción mayor (48%) informó que serían principalmente gerenciales en los dos o tres años siguientes. Los encuestados de América observan una demanda creciente de formación en administración de la seguridad (5), desarrollo de aplicaciones y sistemas de seguridad (39%) y seguridad de redes y telecomunicaciones (34%). Los encuestados de la región EMEA observan una demanda creciente en administración de la seguridad (40%), planificación de recuperación de desastres y continuidad de las operaciones (29%) y privacidad (29%). Los encuestados de Asia-Pacífico observan una demanda creciente en administración de la seguridad (54%), desarrollo de aplicaciones y sistemas de seguridad (36%) y seguridad de redes y telecomunicaciones (34%). Tres cuartos de los encuestados consideran que los ataques de virus y gusanos son una de las amenazas principales. La siguiente posible amenaza a la seguridad en nivel de importancia son los piratas informáticos y los empleados internos. Tres cuartos de los encuestados perciben como prioridades principales el impacto del tiempo de inactividad del servicio (7) y el daño a la reputación de la empresa (7). También son prioridades principales los problemas de los clientes debido a violaciones a la privacidad (70%) y robo de identidad del cliente (67%). Frost & Sullivan e (ISC) 2 2

3 Los encuestados del sector bancario, de seguros y finanzas están más preocupados por todas las amenazas de seguridad (por ejemplo, piratas informáticos, virus y otros tipos de amenazas) en comparación con los encuestados de otros segmentos de la industria. Una proporción mayor de encuestados del sector gubernamental consideran que el ciberterrorismo es una preocupación principal (4). Los profesionales de seguridad de la información están cada vez bajo mayor presión para proteger no sólo el perímetro de la organización, sino el total de la información y los empleados pertenecientes a la organización. Entre los requisitos de implementar nuevas tecnologías y soluciones de seguridad dentro de presupuestos más restringidos, la necesidad de que los profesionales de seguridad de la información reciban capacitación especializada continúa creciendo. Ya se trate de investigar nuevas tecnologías o implementar iniciativas de gestión de riesgos de la información, los profesionales de seguridad de la información se ven exigidos por estándares más estrictos que nunca. METODOLOGÍA El Estudio Global sobre Profesionales de Seguridad de la Información (GISWS, por sus siglas en inglés) de 2008 se realizó durante el otoño de 2007 en representación de (ISC) 2, una organización sin ánimo de lucro dedicada a brindar formación, certificación y oportunidades para relacionarse con sus colegas a los profesionales de seguridad de la información en todo el mundo. (ISC) 2 contrató a Frost & Sullivan para que proveyera un panorama detallado de las tendencias y oportunidades importantes que surgen a nivel mundial en la profesión de seguridad de la información. El objetivo de este estudio es brindar datos de investigación significativos sobre la profesión de seguridad de la información a los interesados del sector, incluidos profesionales, corporaciones, agencias gubernamentales, miembros de (ISC) 2, el sector académico y otras partes interesadas, por ejemplo gerentes de contratación. La parte electrónica de la encuesta para este estudio se realizó por medio de un portal web; los visitantes fueron invitados al sitio por medio de mensajes por correo electrónico. Frost & Sullivan encuestó a personas de compañías y organizaciones del sector público de todo el mundo para recabar sus opiniones sobre la profesión de seguridad de la información. Las encuestas realizadas a través de la Web se dirigieron a profesionales de la seguridad de la información en todo el mundo. Además Frost & Sullivan complementó el análisis con otras fuentes de datos primarios y métodos propios. Se hicieron varias preguntas para determinar la inclusión de los encuestados, quienes fueron seleccionados según los siguientes criterios: Empleo en la profesión de seguridad de la información Responsabilidad en la adquisición o administración de recursos de seguridad de la información en sus organizaciones Participación en el proceso de toma de decisiones respecto al uso de tecnología y servicios de seguridad o a la contratación de personal de seguridad interno Para el estudio de este año, las muestras de miembros y no miembros de (ISC) 2 se compararon de acuerdo a la proporción relativa con la población real de profesionales en todo el mundo. Se desarrolló una estrategia de ponderación, que se aplicó a las muestras de miembros y no miembros. Frost & Sullivan e (ISC) 2 3

4 Ambas muestras (miembros y no miembros) se ponderaron según las proporciones poblacionales de las regiones de América, EMEA y Asia-Pacífico y según las proporciones poblacionales relativas entre miembros y no miembros. En consecuencia, los datos y resultados de la encuesta son más representativos de la población mundial de profesionales de seguridad de la información que los resultados de encuestas de años anteriores. Se debe actuar con prudencia cuando se realicen comparaciones con los datos de años anteriores, ya que los datos ahora son más representativos del personal de seguridad de la información en todo el mundo. Los resultados de la encuesta de este año evidencian diferencias en diversas áreas como: años en la profesión, salarios, tipo y tamaño de las organizaciones. Nota: las cifras monetarias utilizadas en este estudio se refieren en todos los casos a dólares estadounidenses. INTRODUCCIÓN Incidentes serios de robo de identidad y de pérdida de datos, como los informados por la institución minorista TJX en los Estados Unidos, el Servicio de Aduanas e Impuestos del Reino Unido y la Administración de Veteranos de los Estados Unidos, subrayan la importancia crítica de la seguridad en las organizaciones modernas. Ya se acabaron los días en los que la principal preocupación en materia de seguridad de la información era la seguridad perimetral. Para una organización moderna, es esencial proteger los datos, sea almacenados o en tránsito, dentro y fuera de la organización. Los clientes esperan que sus datos estén protegidos y han demostrado que abandonarán las organizaciones que traicionen su confianza. Y además de la seguridad de datos, también es primordial la necesidad de cumplir con los requisitos normativos. Hay un número creciente de iniciativas normativas que las organizaciones deben cumplir, como la ley Sarbanes-Oxley (SOX), una norma estadounidense que se aplica en todo el mundo a cualquier compañía que realice transacciones en una bolsa estadounidense; el Acuerdo de Basilea II, que abarca el sector de servicios financieros en Europa; el Estándar de Seguridad de Datos para la Industria de las Tarjetas de Crédito (PCIDSS), que abarca las transacciones con tarjeta de crédito en todo el mundo; la Ley de Portabilidad y Responsabilidad del Seguro Médico estadounidense (HIPAA); y un número creciente de normas propias de algunos países y sectores de actividad, como la Ley de Instrumentos Financieros y Bolsa de Japón (conocida informalmente como J-SOX) y la Ley Federal de Administración de la Seguridad de la Información (FISMA), la cual regula las organizaciones gubernamentales federales de los Estados Unidos. Las organizaciones se encuentran con la exigencia de adoptar dos o más normas, cada una de las cuales posee sus propios requisitos; y los profesionales de seguridad de la información tienen que ser lo suficientemente talentosos como para lidiar con esta tendencia creciente. Este estudio muestra que en la raíz de una seguridad eficaz están las personas (5 de los encuestados dicen que los empleados internos representan la mayor amenaza). En el pasado, numerosas organizaciones y ejecutivos recurrieron a la tecnología para resolver muchos de sus desafíos de seguridad. Sin embargo, con la creciente visibilidad de la seguridad para la gerencia ejecutiva y las amenazas planteadas por acciones maliciosas y accidentales de los empleados internos, se percibe que la respuesta a los desafíos de seguridad de una organización está en contar con profesionales de seguridad de la información formados, calificados y experimentados. Frost & Sullivan e (ISC) 2 4

5 Ante la amplia variedad de iniciativas normativas y los ataques en la actualidad, los profesionales de seguridad de la información deben poseer el conocimiento, las habilidades y la capacidad para hacer frente a estos desafíos. Para Frost & Sullivan, es esencial que los profesionales en seguridad de la información instruyan a las organizaciones respecto de la necesidad de contratar personas calificadas adecuadamente y de las consecuencias posibles de contratar profesionales subcalificados. Incluso con una disminución de la actividad económica en algunos sectores, Frost & Sullivan cree que la seguridad de la información es un campo que seguirá creciendo a un ritmo continuo. En particular, hay tres factores principales que según Frost & Sullivan contribuirán con este crecimiento sólido: Confianza pública: en lo que constituye un cambio notorio respecto de los años anteriores, la mayoría de los encuestados consideraron que evitar el daño a la reputación de una organización era su prioridad principal. Para Frost & Sullivan, esto será un factor cada vez más importante, no sólo en el corto plazo sino también conforme las compañías cumplan con las iniciativas normativas. Las organizaciones están descubriendo que las filtraciones de datos provocan costos importantes. Muchas estimaciones colocan el costo de cualquier filtración de datos entre $50 y $200 por registro perdido, y esos números no incluyen los costos que son difíciles de cuantificar, como es el daño a la reputación. Cumplimiento: es una fuerza principal detrás del crecimiento de la profesión. Cada vez más, las iniciativas normativas colocan la responsabilidad del cumplimiento directamente sobre los hombros del equipo ejecutivo. Esto aumenta la importancia de la seguridad de la información dentro de las organizaciones, lo que lleva a un crecimiento en el número de los profesionales. Rendimiento de la inversión (ROI): uno de los desafíos principales que los gerentes de contratación enfrentan es tener que demostrar que están obteniendo rendimiento de la inversión. Las multas por incumplimiento de normas son una medida más tangible que los gerentes poseen para justificar los gastos en seguridad. Esto, combinado con el aumento de eficiencia logrado con herramientas de seguridad adicionales como Gestión de Información de Eventos de Seguridad (SEIM) y el Inicio de Sesión Único (SSO) están creando un ambiente donde el valor de la seguridad puede medirse con un ROI positivo. Frost & Sullivan estima que en todo el mundo, el número de profesionales de seguridad de la información en 2007 ha sido alrededor de 1,66 millones. Se espera que esta cifra aumente a casi 2,7 millones de profesionales para el año 2012, lo que representa una tasa de crecimiento anual compuesta de 10% desde 2007 a 2012 (ver Tabla 1). Las regiones de América y EMEA representarán las oportunidades de mayor crecimiento para los profesionales de seguridad de la información, en comparación con la región Asia-Pacífico. Sin embargo, tanto en Asia-Pacífico como en la región EMEA, las organizaciones continúan desarrollando propuestas interesantes para atraer a los profesionales calificados. Frost & Sullivan e (ISC) 2 5

6 La Tabla 1 refleja estos resultados de nuestras observaciones de la contratación de personal durante los 12 meses previos y de nuestras investigaciones primarias sobre las intenciones de las organizaciones de incrementar sus presupuestos de seguridad de la información, incluido el de dotación del personal. Tabla 1: Profesionales de seguridad de la información, en todo el mundo, por región, 2007 a TCAC América % Asia- Pacífico % EMEA Total % DATOS DEMOGRÁFICOS El estudio de este año recabó las opiniones de una muestra representativa de profesionales de seguridad de la información en más de 100 países. Se encuestó a personas procedentes de las tres grandes regiones del mundo: América (4), Europa, Oriente Medio y África (EMEA) (25%) y Asia-Pacífico (34%). Además, es interesante notar que este año, los encuestados de África, América Latina y Oceanía (que incluye Australia, Fiyi, Nueva Zelanda, la Polinesia Francesa y Guam) conformaron un 17% del total de encuestados. Estas áreas son candidatas probables para un futuro crecimiento en seguridad de la información. Los profesionales de seguridad que participaron en la encuesta abarcaron una multitud de funciones laborales y títulos, desde Analista de Seguridad hasta Director General de Seguridad (CSO). La figura 1 muestra que aproximadamente el 20% de todos los encuestados tenían nivel ejecutivo (Director General de Informática, Director General de Seguridad de la Información, Director General de Seguridad, Director General de Riesgo). Otro 20% se identificaron a sí mismos como Directores o Gerentes de TI y el resto, como profesionales en seguridad, ya sea ingenieros de seguridad, gerentes de seguridad o algún cargo cuya función estuviera relacionada con la seguridad de la información en la organización. Cada encuestado está involucrado, de alguna manera, en decisiones relacionadas con la seguridad de la información, desde la elección de tecnologías para la gestión de la seguridad hasta la contratación de personal. No se incluyeron en este estudio personas cuya única responsabilidad fuera la seguridad física. 1. Las predicciones presentadas en este estudio representan las mejores estimaciones y proyecciones de Frost & Sullivan para los años 2007 a 2012, basadas en investigaciones secundarias de Frost & Sullivan sobre tendencias y acontecimientos observados e informados en Las predicciones pueden ser influenciadas por acontecimientos futuros específicos de cada segmento, incluidos los efectos imprevistos del comportamiento de los clientes, las acciones de los proveedores, la competencia en el mercado y cambios pertinentes en el entorno normativo. Frost & Sullivan e (ISC) 2 6

7 Figura 1: Encuestados según la denominación del puesto 0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20% Gerente/Director de TI Administrador de Sistemas Director General de Informática Administrador de Redes Programador Director General de Tecnología Gerente de Seguridad Director General de Seguridad de la Información Gerente de Control de TI Asesor de Seguridad Ingeniero de Seguridad de Sistemas Analista de Seguridad Auditor de Seguridad Integrador de Sistemas Director General de Riesgo Director General de Seguridad Director de Seguridad Arquitecto de Redes Vicepresidente de Operaciones Gerente de Seguridad de la Web Otro 2% 2% 2% 4% 7% 7% 6% 1 10% 12% 19% Los profesionales de seguridad de la información encuestados este año representan organizaciones de todos los tamaños. Las organizaciones pequeñas (de uno a 499 empleados) comprendieron más de la mitad de los encuestados (58%). Las organizaciones con más de 500 pero menos de empleados emplean aproximadamente un tercio de los encuestados, y las compañías con más de empleados (ver la figura 2) emplean un poco más del 10%. El ingreso anual fue otro criterio de medición empleado para obtener una perspectiva de los tipos de organización que emplean profesionales de seguridad de la información. Un total de cuatro de 10 organizaciones generan menos de $50 millones en ingresos anualmente. Aquellas organizaciones que generan más de millones en ingresos anuales emplean al 7% de los encuestados. Figura 2: Encuestados según tamaño e ingresos de la compañía No sabe/no corresponde/ no responde, 18% Más de $ millones, 7% $500 millones a menos de $ millones, empleados o más, 12% a empleados, 12% Menos de $50 millones, 4 $50 millones a menos de $500 millones, 2 Uno a 499 empleados, 58% 500 a empleados, 18% Frost & Sullivan e (ISC) 2 7

8 Frost & Sullivan cree que la gran cantidad de profesionales que trabajan para organizaciones pequeñas refleja diversas tendencias que se observan en todo el sector. En primer lugar, como en todas las actividades empresariales continúa habiendo un componente de transmisión electrónica de datos, las organizaciones de todos los tamaños están comenzando a preocuparse por la seguridad, ya sea para proteger los datos de los clientes o los de sus propios empleados. En segundo lugar, ha aumentado el número de iniciativas normativas (especialmente en los dos últimos años), lo que afecta a organizaciones de todos los tamaños. Directivas tales como la PCIDSS son de alcance mundial y afectan a una amplia gama de organizaciones que enfrentan por primera vez desafíos en materia de seguridad. Desde una perspectiva vertical, la tecnología de la información y los servicios profesionales son los dos sectores principales de empleo de los profesionales de seguridad de la información (ver la figura 3). La suma continua de normas específicas de cada sector y la variación en el acceso a recursos como el capital y el personal continúa obligando a cada sector y a cada tamaño de organización a encarar sus necesidades de seguridad de la información con el equilibrio adecuado entre riesgo y costo. Este equilibrio se hace cada vez más difícil de mantener, conforme la necesidad de seguridad se extiende a más aspectos de las operaciones de la organización. Figura 3: Encuestados según categorías verticales 0% 2% 4% 6% 8% 10% 12% 14% 16% 18% Tecnología de la información Servicios profesionales Fabricación discreta Educación Fabricación por proceso Atención de la salud Gobierno (excepto defensa) Banca Otro sector financiero Venta minorista Venta mayorista Telecomunicaciones Construcción Transporte y servicios de transporte Seguros Medios de comunicación Servicios personales Servicios públicos Gobierno (defensa) Industrias de recursos Otro 2% 2% 2% 4% 4% 4% 4% 4% 4% 5% 5% 5% 5% 6% 6% 15% 17% LOGRO DE METAS A CORTO PLAZO Los profesionales de seguridad de la información indican que emplean la mayor parte de su tiempo en investigar tecnologías nuevas. En muchos casos, esto refleja que a los profesionales de seguridad de información se les encarga la tarea de proteger las tecnologías nuevas que las organizaciones planean implementar. La figura 4 muestra las principales tecnologías que las organizaciones planean implementar dentro de los siguientes 12 meses, según las respuestas de los encuestados. Frost & Sullivan e (ISC) 2 8

9 Figura 4: Tecnologías de seguridad de la información (en plan de implementación) 0% 2% 4% 6% 8% 10% 12% 14% 16% Soluciones de seguridad inalámbricas Biometría Continuidad de las operaciones y planificación de recuperación de desastres Detección de intrusiones Criptografía Seguridad de almacenamiento Prevención de intrusiones Soluciones de gestión de riesgos Evaluación de vulnerabilidades y pruebas de penetración Gestión de incidentes Gestión de acceso e identidad Gestión de información o eventos de seguridad Gestión de vulnerabilidades Gestión de seguridad de la información (SIM) Gestión de problemas Gestión de cumplimiento normativo Gestión de configuración Seguridad de bases de datos Seguridad de aplicaciones web Gestión de información y eventos de seguridad (SIEM) Gestión de cambios 12% 12% % 10% 10% 10% 9% 9% 9% 9% 9% 8% 8% 8% 8% 8% 8% 15% 14% Algunas tecnologías de seguridad comunes que se están implementando en todas las regiones son: seguridad inalámbrica, biometría, prevención de intrusiones, criptografía y recuperación de desastre/continuidad de las operaciones. Para Frost & Sullivan, estas áreas principales (que se muestran en la tabla 2) representan algunas de las vulnerabilidades más grandes en la mayoría de las organizaciones. Lo informado respecto de la implementación de la seguridad inalámbrica y la biometría concuerda con los resultados del año anterior. Conforme el número de puntos de acceso inalámbrico y de dispositivos móviles continúa aumentando (como lo ilustran en particular incidentes como la filtración de datos de TJX en los Estados Unidos), las organizaciones están cada vez más preocupadas por las soluciones de seguridad inalámbricas. El interés en la biometría muestra la necesidad continua de las organizaciones de proveer controles de acceso actualizados y mejorados, en los niveles apropiados, para proteger los activos de información de la organización y los datos de los clientes. Como las normas cada vez tienen más exigencias en materia de privacidad, el incremento del interés en la biometría no es una sorpresa. Tabla 2: Las cinco tecnologías de seguridad principales implementadas, por región Lugar América Asia-Pacífico EMEA 1 Biometría Soluciones de seguridad inalámbricas 2 Soluciones de seguridad inalámbricas Detección de intrusiones 3 Continuidad de las operaciones y planificación de recuperación de desastres Continuidad de las operaciones y planificación de recuperación de desastres Soluciones de seguridad inalámbricas Seguridad de almacenamiento Biometría 4 Detección de intrusiones Biometría Soluciones de gestión de riesgos 5 Criptografía Criptografía Continuidad de las operaciones y planificación de recuperación de desastres Frost & Sullivan e (ISC) 2 9

10 Frost & Sullivan e (ISC) 2 10 Para implementar eficazmente las soluciones, las organizaciones deben invertir sumas adecuadas en personal para satisfacer sus metas de seguridad. Los encuestados informaron que los gastos de personal en seguridad de la información han permanecido estables en América y EMEA en 2007, comparados con los de Por el contrario, los encuestados de Asia-Pacífico anticipan un aumento en los costos de seguridad de la información en todas las áreas. Este número incluye todos los gastos para atraer, contratar y retener los profesionales de seguridad calificados necesarios para ejecutar la estrategia de seguridad de la organización y lograr sus objetivos empresariales. Además, se incluye en esta cifra toda capacitación que reciban los empleados en materia de seguridad, sea interna o externa. La figura 5 destaca las diferencias regionales en la financiación de las necesidades de personal de seguridad, desde 2006, según los años de experiencia, la función laboral, la región geográfica y el tamaño de la organización. Geográficamente, el 3 de los encuestados en América y Asia-Pacífico informaron que el gasto aumentó, mientras que en la región EMEA informaron un aumento el 27% de los encuestados. Un gran número de encuestados en las tres regiones indicó que el gasto en capacitación permaneció igual al del año 2006 (cerca del 50% en América y Asia-Pacífico y más del 60% en la región EMEA). Los profesionales con cinco a nueve años de experiencia de trabajo para organizaciones con ingresos de $500 a $ millones informaron el mayor aumento en la cantidad de capacitación recibida en Figura 5: Cambios en la capacitación y formación en seguridad de la información (período de 12 meses) Years of experience Aumento Estable Disminución No sabe Job Role Aumento Igual Disminución Menos de cinco años Cinco a nueve años Diez a 14 años 34% 42% 3 46% 45% 54% 10% 9% 10% 4% 9% 4% Principalmente gerenciales Principalmente operativas Principalmente técnicas Principalmente de auditoría 36% 37% 37% 36% 47% 4 46% 4 17% 2 16% 20% 15 años o más 4 48% 9% Principalmente de arquitectura 32% 47% 20% Geographic Region Aumento Igual Disminución Size of Organization Aumento Igual Disminución Mundial 38% 48% 10% Menos de $50 millones 36% 48% 9% América 4 47% 9% $50 millones a $500 millones 40% 49% 8% EMEA 27% 54% 1 $500 millones a $ millones 49% 38% 10% Asia-Pacífico 4 44% 8% Más de $ millones 44% 44% 12% Aumento Estable Disminución No sabe De cara al futuro, los profesionales eran muy optimistas respecto de que en 2008 habría incrementos en los presupuestos para capacitación (ver la figura 6). Casi el 60% de los encuestados con menos de 10 años de experiencia informaron que anticipaban incrementos en la financiación para capacitación. Además, más del 5 de los encuestados con funciones operativas informaron que

11 anticipaban incrementos en los presupuestos de capacitación. Casi el 60% de los encuestados en América y Asia-Pacífico informaron que anticipaban aumentos para formación y capacitación en los siguientes 12 meses. Finalmente, los encuestados que trabajan en compañías que generan hasta $ millones en ingresos informaron que anticipaban un aumento. Estos resultados optimistas validan lo que Frost & Sullivan ha observado en sus otras investigaciones, a saber, que la seguridad continúa siendo importante, no sólo para las organizaciones más grandes, sino para las organizaciones de todos los tamaños. Además, parece que la mayoría de las organizaciones están comenzando a reconocer que la seguridad es una habilidad especializada que requiere de capacitación adicional y continua. Figura 6: Cambios anticipados en el presupuesto de gastos de seguridad de TI (12 meses) Years of experience Job Role Aumento Igual Disminución No sabe Aumento Igual Disminución Menos de cinco años Cinco a nueve años Diez a 14 años 57% 57% 52% 29% 34% 39% 5% 9% 6% 4% 5% Principalmente gerenciales Principalmente operativas Principalmente técnicas Principalmente de auditoría 42% 5 45% 4 49% 40% 44% 46% 7% 7% 7% 8% 15 años o más 55% 39% 2% Principalmente de arquitectura 4 48% 10% Geographic Region Size of Organization Aumento Igual Disminución Aumento Igual Disminución Mundial 56% 35% 4% Menos de $50 millones 54% 34% América 58% 36% 2% $50 millones a $500 millones 58% 35% 4% EMEA 49% 37% 6% $500 millones a $ millones 58% 34% 6% Asia-Pacífico 57% 3 4% Más de $ millones 5 44% 5% Aumento Estable Disminución No sabe PERFIL DE UN PROFESIONAL DE SEGURIDAD DE LA INFORMACIÓN Desde el punto de vista del desarrollo profesional, como en los últimos años, los encuestados informaron haber alcanzado un nivel de educación alto (ver la figura 7). La mayoría de las personas empleadas en seguridad de la información tienen al menos una licenciatura o título equivalente. A nivel mundial, el 47% de los profesionales de seguridad de la información poseen una licenciatura o equivalente; América y Asia-Pacífico poseen el mayor número, con 54% y 49% respectivamente. Sin embargo, la región EMEA informó los números más altos de profesionales que poseen una maestría o un doctorado (37% y 8% respectivamente). América y Asia-Pacífico empatan en el nivel de maestría (3 cada una) y Asia-Pacífico posee ligeramente más profesionales con doctorado que América (7% comparado con 5%). Frost & Sullivan e (ISC) 2 11

12 Frost & Sullivan cree que el incremento del nivel de educación de los encuestados indica la mayor madurez del campo. Si bien las universidades desarrollan programas especializados de licenciatura, maestría e incluso doctorado, los profesionales de seguridad de la información sienten la presión creciente de buscar opciones de formación cada vez más especializadas. Los gerentes de contratación tendrán que equilibrar la formación recibida en aulas formales con la experiencia obtenida en la práctica. Figura 7: Nivel de educación según la región 60% 47% 54% 49% 40% 32% % % 0% 14% 9% 1 Escuela secundaria (o escuela superior equivalente) Licenciado Maestría (o equivalente, (o equivalente, después primera etapa de la de la secundaria) educación superior) 6% 5% 8% 7% Doctorado (o equivalente, segunda etapa de la educación superior) Ninguno de los anteriores 0% Mundial América EMEA Asia-Pacífico Otro importante criterio posible para los gerentes de contratación y sus organizaciones como un complemento o sustituto de la educación son los años de experiencia profesional. Con la maduración de la comunidad profesional y conforme los contratados nuevos satisfacen las necesidades de personal de las organizaciones, se han informado algunos cambios en todos los segmentos de experiencia. En 2007, los profesionales de seguridad en América tenían un promedio de 9,5 años de experiencia, mientras que en EMEA y Asia-Pacífico, los promedios eran 8,3 años y 7,1 años, respectivamente. La región de América posee los profesionales con la mayor experiencia en seguridad de la información. Los números crecientes en estas regiones muestran que los profesionales de seguridad de la información permanecen en sus funciones. Al haber más individuos que logran niveles de educación más elevados y obtienen experiencia valiosa, este año los salarios en el área de la seguridad de la información han cambiado globalmente en reflejo de algunas de estas dinámicas regionales. Frost & Sullivan e (ISC) 2 12

13 Frost & Sullivan observó además una diferencia importante en los salarios informados por los miembros de (ISC) 2 (profesionales de seguridad de la información que poseen certificaciones SSCP, CISSP o CAP ) en comparación con los que no poseen una certificación (ISC) 2. Incluso cuando se comparan según los años de experiencia (la mayoría de los miembros de (ISC) 2 poseen más de cinco años de experiencia), existen diferencias importantes de salarios entre las regiones. Esta diferencia de salarios va desde 7% en Asia-Pacífico a casi el 30% en EMEA. Hay un número de factores que contribuyen a estas diferencias, de los cuales el más notable es el número de profesionales experimentados en cada región. La región Asia-Pacífico posee un personal relativamente inexperto y pocos profesionales sobrepasan la marca de cinco años de experiencia. Figura 8: Comparación del salario anual promedio entre miembros de (ISC) 2 y no miembros, por región (más de 5 años de experiencia) Asia-Pacífico $52,912 $53,701 EMEA $61,324 $69,888 América $75,650 $93,505 Mundial $64,621 $80,752 $0 $10,000 $20,000 $30,000 $40,000 $50,000 $60,000 $70,000 $80,000 $90,000 $100,000 Salario anual promedio en 2007 (dólares estadounidenses) Salario anual promedio en 2006 (dólares estadounidenses) Base: n=7.548 miembros y no miembros de (ISC) 2 (estudio 2007), miembros de (ISC) 2 (estudio 2006) Las dependencias jerárquicas para la mayoría de los profesionales de seguridad de la información en todo el mundo no han cambiado drásticamente en el curso de los últimos 12 meses (ver la figura 9). Tres de cada diez profesionales todavía informan directamente al departamento de TI, lo cual es ligeramente inferior al 32% informado en 2004 y En 2007, sin embargo, el número de profesionales que informan a la gerencia ejecutiva aumentó a 3, lo que muestra un aumento de la visibilidad de la seguridad en ese nivel. Otros grupos (como los de gestión de riesgo, auditoría interna y control/cumplimiento normativo) se han establecido más en las jerarquías organizativas en los últimos dos años, debido a la mayor cantidad de normas en todo el mundo. Frost & Sullivan continúa observando un número creciente de normas con un alcance más global. Algunas de éstas incluyen la PCIDSS, la Directiva 2002/58/EC de la UE y la norma ISO 27001/ Estos estándares y otros de alcance regional, como la Ley de Tecnología de la India y la Ley de Privacidad de Australia, obligarán al nivel ejecutivo a apoyar las iniciativas de seguridad de la información como parte de las operaciones internacionales. Frost & Sullivan e (ISC) 2 13

14 Figura 9: Área funcional a la que informan los encuestados 0% 5% 10% 15% 20% 25% 30% 35% Gerencia ejecutiva (Director Ejecutivo, Director General de 3 Informática o equivalente) Departamento de TI 30% Consejo Directivo Operaciones/administración Departamento de Seguridad (seguridad de la información) Finanzas Gestión de riesgos Control/cumplimiento normativo Auditoría interna Otro 2% 5% 7% 16% EL VALOR DE LAS CERTIFICACIONES EN SEGURIDAD DE LA INFORMACIÓN Veinte años atrás, muy pocos profesionales tenían experiencia práctica en la protección de redes, ya que era un área nueva de la TI y una disciplina poco comprendida. Se consideraba que sólo las redes de más alta seguridad necesitaban incluso seguridad, y por eso había pocos profesionales. Diez años atrás, las organizaciones y los gerentes de contratación comenzaron a darse cuenta de la importancia de contar con personal capacitado en seguridad de la información. Sin embargo, el número de los profesionales experimentados todavía era muy escaso. En consecuencia, los gerentes de contratación comenzaron a confiar en las certificaciones, en lugar de la experiencia, como un criterio de selección al momento de contratar un empleado. La posesión de una certificación de seguridad era una señal importante a los ojos de posibles empleadores en el sentido de que una persona había buscado el conocimiento, las habilidades y las capacidades para proteger a una organización contra posibles violaciones de seguridad y construir las defensas necesarias. Este tipo de logros colocaban a los candidatos por delante de sus colegas, ya que no se disponía de otras mediciones además de las certificaciones. Según el 5 de los encuestados que se identificaron a sí mismos como parte del proceso de contratación de personal de seguridad de la información dentro de sus organizaciones, la importancia de las certificaciones como criterio de contratación permaneció alta, con 78% de los gerentes de contratación que las mencionaron como un criterio muy importante o un tanto importante (ver la figura 10). Frost & Sullivan e (ISC) 2 14

15 Figura 10: Importancia de las certificaciones en seguridad de la información al momento de la contratación Es usted responsable, actualmente, de contratar al personal de su organización que se dedica a actividades de seguridad de la información? De ser así, cuando toma decisiones de contratación para el personal de seguridad de la información, qué importancia reviste que el candidato poseea certificaciones en seguridad de la información? No toma decisiones de contratación, 47% Toma decisiones de contratación, 5 Muy importante, 4 Un tanto importante, 37% Absolutamente sin importancia, 4% Ni importante ni sin importancia, 15% Un tanto sin importancia, A lo largo de los años el proceso de contratación se ha vuelto más complejo, debido a la gran cantidad de certificaciones ofrecidas en el mercado y a las diferencias cualitativas entre ellas. La lista de certificaciones en seguridad (tanto específicas de un proveedor como genéricas) crece cada año, lo cual hace más difícil para los empleados, los gerentes de contratación y sus organizaciones discernir cuáles de esas certificaciones les resultan más valiosas. Seis años atrás, había en el mercado aproximadamente 15 certificaciones de seguridad diferentes. Hoy, el número ha crecido significativamente a más de 40 certificaciones genéricas y más de 25 certificaciones específicas de un proveedor. Según Frost & Sullivan, el volumen de certificaciones de seguridad de la información puede provocar un efecto de dilución en el mercado, que en el futuro les hará más difícil diferenciarse entre ellas. La preocupación es que las certificaciones que en la actualidad se consideran de gran valor pierdan importancia en el futuro para los profesionales de seguridad de la información y, lo que es más importante, para sus empleadores. La responsabilidad de articular el valor de las certificaciones de seguridad (sean genéricas o específicas) y de distinguirlas entre sí recaerá sobre sus patrocinadores y sus proveedores. Existen programas de certificación que siguen estándares de desarrollo rigurosos y requieren una considerable cantidad de formación, experiencia y conocimiento profundo en seguridad de la información. Los proveedores de certificaciones necesitarán destacar las exigencias, las calificaciones, los años de experiencia, la educación continua y otros pasos necesarios para obtener y mantener sus certificaciones. Al final, serán los profesionales de seguridad de la información quienes decidan cuáles son las certificaciones de valor para ellos. En lo que respecta a los posibles criterios de selección de la organización, se ilustran en la figura 11 las razones más importantes por las cuales los gerentes prefieren contratar profesionales de seguridad de la información con certificaciones relacionadas. Las principales siguen siendo la calidad del trabajo, la política de la empresa y la competencia de los empleados; pero están surgiendo otras razones. Como muestra el estudio de este año, más organizaciones exigen que su personal de seguridad de la información posea certificaciones, tanto por las políticas de las empresas cuanto por Frost & Sullivan e (ISC) 2 15

16 el cumplimiento de las normativas. En América, los gerentes de contratación sienten la presión del cumplimiento normativo y desean garantizar que su personal de seguridad de la información esté capacitado y posea las credenciales necesarias para garantizar dicho cumplimiento. Un ejemplo en los Estados Unidos es la Directiva del Departamento de Defensa que exige que todos los técnicos, gerentes y contratistas de seguridad de la información estén capacitados y certificados según un nivel de referencia obligatorio del Departamento de Defensa. El programa de certificación de empresas de la Directiva identifica y exige trece certificaciones, incluidas las de (ISC) 2. Figura 11: Razones principales para que el personal posea certificaciones en seguridad de la información Su organización exige que su personal posea certificaciones en seguridad de la información? De ser así, cuáles son todas las razones por las que su organización exige que el personal posea certificaciones en seguridad de la información? No se exigen certificaciones, 6 Se exigen certificaciones, 39% Calidad del trabajo Política de la empresa 7 67% Competencia de los empleados 6 Requisitos normativos (control) 44% Imagen o reputación de la empresa 44% Legal/auditoría (diligencia debida) 36% Requisitos del cliente 3 Otro 0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % Aún cuando poseer una certificación no debería ser la única calificación de un profesional de seguridad de la información, el número creciente de compañías con políticas declaradas respecto de la contratación de profesionales certificados y el aumento de la cantidad de directivas normativas que especifican la necesidad de una certificación (como la Directiva del Departamento de Defensa de los EE. UU.) aumentan la importancia que se le dará a las certificaciones de seguridad de la información en el futuro. Frost & Sullivan e (ISC) 2 16

17 EDUCACIÓN CONTINUA PARA LOS PROFESIONALES DE SEGURIDAD DE LA INFORMACIÓN Un valor fundamental de las certificaciones es que sientan una base sobre la cual los profesionales serios pueden construir. Como las amenazas de seguridad evolucionan continuamente, los profesionales de seguridad deben ampliar paralelamente su conocimiento y sus habilidades, y utilizar herramientas y técnicas nuevas para adaptarse a las amenazas cambiantes y responder a ellas. En algunos casos, una certificación nueva puede ser el mejor modo de validar habilidades nuevas, pero independientemente de la certificación que los profesionales elijan, su éxito en la profesión y la protección de sus compañías en definitiva provendrán de su capacidad para aprender defensas nuevas y emplear todas las herramientas y técnicas de seguridad nuevas dentro de la infraestructura y de la organización completa. Otras razones por las cuales ha habido interés en obtener certificaciones en seguridad de la información es como modo de diferenciarse de otros candidatos y por los posibles beneficios salariales. Los profesionales de la seguridad de la información continúan disfrutando de estos beneficios adicionales, según lo demuestran los resultados de todo este estudio. En un esfuerzo por asegurarse de seguir actualizados, el 40% de los encuestados dijeron que buscarían agregar una o más certificaciones nuevas a sus herramientas en el período (ver la figura 12). Figura 12: Planes de adquirir certificaciones nuevas Planea adquirir certificaciones en seguridad adicionales en los próximos 12 meses? De ser así, qué certificaciones en seguridad neutrales planea adquirir o renovar en los próximos 12 meses? ABCP - Associate Business Continuity Professional 15% No 60% Sí 40% BS 7799/ISO ISMS Auditor CISSP - Certified Information Systems Security Professional CAP - Certification and Accreditation Professional 15% 15% 14% CISA - Certified Information Systems Auditor 1 CCSA - Certification in Control Self-Assessment 12% CFCE - Certified Forensic Computer Examiner 12% 0% 5% 10% 15% 20% 25% En el futuro, los profesionales de seguridad deberán permanecer a la vanguardia de las últimas tecnologías y de las mejores prácticas, por medio de una formación y una experiencia práctica continuas, para poder lidiar con el desarrollo de los entornos informáticos (p. ej., la arquitectura orientada al servicio y la virtualización) y con la naturaleza cambiante de la seguridad de la información. Las organizaciones se dirigen hacia un ambiente de seguridad convergente en el cual la seguridad física y la lógica operan sobre una única red. El conocimiento técnico será importante; sin embargo, el conocimiento del negocio y la utilización de habilidades empresariales como la comunicación, la negociación y la gestión en ambas direcciones de la cadena jerárquica serán aún más fundamentales para el progreso profesional y la supervivencia de un individuo. Frost & Sullivan e (ISC) 2 17

18 DE CARA AL FUTURO Esfuerzos formativos futuros En un esfuerzo por permanecer en la cresta de la ola, los profesionales de seguridad de la información identificaron oportunidades adicionales de capacitación y formación en una variedad de disciplinas. Primero y principal estuvo la necesidad de capacitación aplicada a la gestión de seguridad (ver la figura 13). Mientras las organizaciones implementan las nuevas soluciones tecnológicas, la necesidad de una mayor capacitación y formación respecto de cómo administrar esos sistemas de manera segura es muy importante. Figura 13: Necesidad creciente de capacitación 0% 10% 20% 30% 40% 50% 60% Administración de seguridad Seguridad en desarrollo de sistemas y aplicaciones Seguridad de redes y telecomunicaciones Metodología y sistemas de control de acceso Continuidad de las operaciones y planificación de recuperación de desastres Seguridad de operaciones Gestión de riesgos de la información Planificación comercial Prácticas de gestión de seguridad Privacidad 35% 3 30% 29% 27% 27% 26% 25% 25% 50% Para Frost & Sullivan, el desarrollo de aplicaciones y sistemas y su seguridad continuará siendo un área fundamental de inversión para las organizaciones en el futuro. Muchas organizaciones están comprendiendo que sus propios sistemas internos padecen los mismos riesgos de seguridad que los que vienen de los proveedores. La tecnología sola no arreglará el problema del usuario Aunque la persona responsable del mantenimiento de la seguridad en una organización es la piedra angular de la protección, la seguridad en definitiva es obligación de todos. Basta que una persona sea incapaz de mantener y cumplir las políticas de seguridad para que todos los sistemas informáticos y la viabilidad de la organización estén en riesgo. Cada funcionario de alto nivel es responsable hasta cierto punto. Según los resultados de nuestras encuestas, hemos observado un traspaso gradual de la responsabilidad del Director General de Informática a otras áreas de la gerencia superior y de la empresa. Los Directores Ejecutivos, los Consejos Directivos, los Directores Generales de Seguridad de la Información, los Directores Generales de Seguridad, los Departamentos Legales, los Directores de Cumplimiento Normativo y los Directores Generales de Riesgo comparten la responsabilidad por la seguridad y por los riesgos generales de la organización. Si el ambiente normativo sigue la tendencia actual, en un futuro cercano estos individuos tal vez tendrán una parte mayor de la responsabilidad por los riesgos. Frost & Sullivan e (ISC) 2 18

19 Cada vez más, la gerencia ejecutiva está comenzando a adquirir y conservar un interés en la seguridad de la información de sus organizaciones. Los profesionales de seguridad de la información han mantenido una actitud positiva con respecto a su capacidad para influir y han sido decisivos para cambiar el modo de pensar de los ejecutivos y convencerlos de que la seguridad es un problema de toda la empresa y no solamente del departamento de TI (ver la figura 14). Figura 14: Importancia relativa de proteger la organización Que los usuarios cumplan la política de seguridad 2% 17% 32% 48% Apoyo gerencial a la política de seguridad 18% 35% 4 Capacitación del personal sobre las políticas de seguridad 4% 18% 38% 39% Personal de seguridad calificado 6% 22% 32% 36% Soluciones de software Soluciones de hardware 24% 42% 29% Tener acceso a la gerencia ejecutiva (p. ej. el Director Ejecutivo) 4% 6% 29% 35% 28% Absolutamente sin importancia Sin importancia Un tanto importante Importante Muy importante Los profesionales de la seguridad de la información emplearán la mayor parte de su tiempo en reuniones con los ejecutivos y la gerencia para tratar la importancia de las políticas de seguridad corporativas y las razones para implementarlas y más importante aún, hacerlas cumplir. Según el estudio de 2008, esta es la preocupación principal de los profesionales de seguridad respecto de proteger eficazmente las infraestructuras de sus organizaciones. La lista siguiente muestra los factores (desde el más importante al menos importante) que afectan la capacidad de los profesionales de seguridad para proteger y asegurar apropiadamente la infraestructura informática y sus recursos contra violaciones, malos usos y abusos: 1. Que los usuarios cumplan la política de seguridad 2. Apoyo gerencial a la política de seguridad 3. Capacitación del personal sobre las políticas de seguridad 4. Personal de seguridad calificado 5. Soluciones de software Esta lista no ha cambiado desde la encuesta de 2006 y muestra el énfasis permanente sobre el aspecto personal de la seguridad, una de las áreas primordiales que en el pasado se ha visto frecuentemente ignorada por prestar más atención al empleo de más tecnología como forma de resolver los problemas de seguridad. Los profesionales de seguridad de la información de todas las regiones reconocieron por unanimidad que la tecnología es solo un instrumento (no la solución) Frost & Sullivan e (ISC) 2 19

20 para ejecutar una estrategia de seguridad sólida y brindar apoyo a un programa de gestión de riesgo bien definido y articulado, donde todos los interesados compartan la responsabilidad. Los encuestados además citaron que las habilidades de comunicación son una de las cinco habilidades más importantes que necesita un profesional de seguridad de la información para tener éxito (ver la figura 15). Según Frost & Sullivan, esto refleja que los ejecutivos se han dado cuenta de que la tecnología no es suficiente para solucionar los problemas de seguridad de una organización. Los profesionales de seguridad de la información tienen cada vez más tareas que cumplir en materia de formación y capacitación dentro de las organizaciones. Para transmitir los conceptos básicos de seguridad a una audiencia sin preparación técnica se requiere personal versátil con habilidades diversas, tanto técnicas como comunicativas. Figura 15: Importancia de las habilidades en seguridad de la información Conocimiento técnico 4% 12% 34% 5 Concientización y comprensión sobre las últimas amenazas a la seguridad 2% 1 34% 5 Amplia comprensión del campo de la seguridad 2% % Habilidades de comunicación 16% 4 40% Formulación y aplicación de políticas de seguridad 19% 42% 36% Habilidades empresariales 5% 24% 4 26% Conocimiento legal 6% 28% 40% 24% Absolutamente sin importancia Sin importancia Un tanto importante Importante Muy importante Base: n=7.548 miembros y no miembros de (ISC) 2 CONCLUSIÓN La seguridad de la información es una preocupación de toda la organización, a lo largo de toda la escala jerárquica y en todo el mundo, que no puede ser tratada solo con soluciones tecnológicas. Requiere del compromiso incondicional de una organización en los niveles financiero, gerencial y operativo, para asegurar y proteger proactivamente los activos lógicos y físicos de la organización. La gestión de seguridad siempre exigirá el equilibrio apropiado entre las personas, las políticas, los procesos y la tecnología para mitigar eficazmente los riesgos asociados con las conexiones digitales del moderno entorno empresarial. Frost & Sullivan cree que los profesionales de seguridad de la información que compartieron sus puntos de vista y opiniones en este estudio son los promotores de la seguridad dentro de sus organizaciones. Estos encuestados comprenden cabalmente que la seguridad es ahora un Frost & Sullivan e (ISC) 2 20