II Encuesta Latinoamericana de Seguridad de la Información ACIS 2010

Transcripción

1 II Encuesta Latinoamericana de Seguridad de la Información ACIS 2010 Jeimy J. Cano Coordinador General Emilio A. Samudio D Coordinador Paraguay Patricia Prandini Coordinadora Argentina Eduardo Corozo Coordinador Uruguay Gabriela Saucedo Coordinadora México Erick Iriarte Coordinador Perú

2 NOTA DE AGRADECIMIENTOS! Centro de Atención de Incidentes de Seguridad Informática y Telecomunicaciones ANTEL de Uruguay, lared Latinoamericana de Expertos en Derecho Informático Alfa Redi de Peru,laSuperintendencia de Servicios de Certificación, Sucerte de la República Bolivariana de Venezuela, la Universidad del Valle de Atemajac, Campus Guadalajara y el Colegio de Profesionistas en Computación del Estado de Hidalgo, México, el Capítulo de ISACA y la organización Usuaria de Buenos Aires, Argentina e ISACA Capítulo Asunción, Paraguay. Las reflexiones y resultados que se presentan a continuación se desarrollan en el contexto del análisis básico de resultados de una encuesta abierta desplegada a través del WEB durante el mes de Abril de JCM10-All rights reserved 2

3 Agenda Antecedentes t Referentes utilizados Demografía Resultados más significativos Conclusiones Referencias JCM10-All rights reserved 3

4 Antecedentes Primer esfuerzo latinoamericano independiente para revisar el estado actual de la seguridad de la información. Se presentó la primera Encuesta Latinoamericana de Seguridad de la Información en Junio de Participaron inicialmente: Uruguay, México y Colombia Los resultados se publicaron una vez concluidas las IX Jornadad Nacionales de Seguridad Informática ACIS Participaron 434 personas JCM10-All rights reserved 4

5 Referentes Utilizados JCM10-All rights reserved 5

6 2010 Demografía Argentina 6,38% 5,50% Chile 6,07% 12,76% Colombia 10,30% México 58,90% Uruguay Paraguay 2009 Otros países: Venezuela, Perú, Costa Rica, España, Bolivia 7,10% 0 6,50% Argentina Chile 12,20% 8,80% Colombia México Uruguay 65,40% Paraguay Otros países: Venezuela, Perú, Costa Rica, España, Bolivia JCM10-All rights reserved 6

7 Demografía Otros sectores: Asegurador, Logística, Importador, 0 Consultoría Especializada Manufactura Gobierno / Sector público Educación 5,16% 3,80% 18,25% 14,58% 12,30% 14,58% 12,30% 12,76% 13,60% Alimentos Salud Sector de Energía Telecomunicaciones Construcción / Ingeniería Servicios Financieros y Banca 0,91% 1,20% ,34% ,20% 4% 2,40% 6,07% 13,60% 3,64% 4,34% 16,71% 11,70% 0,00% 100,00% JCM10-All rights reserved 7

8 100 Algunos resultados significativos 90 Inv versión en Segurid dad ,4 17,46 57,9 44,9 53,1 26,7 23,1 25,1 14,34 16, ,11 10,19 13,12 4,46 6,94 3,37 5,54 2,61 29,2 6,24 6 1,14 27,7 21,3 12,6 5,35 3,12 5, JCM10-All rights reserved 8

9 Algunos resultados significativos 100 Presup puestos ,3 5 Menos de USD$ ,72 17,4 Entre USD$ y USD$ ,41 6,9 Entre USD$ y USD$ ,03 6,2 Entre USD$ y USD$ ,55 Entre USD$ y USD$ ,55 16, ,4 14, Más de USD$ JCM10-All rights reserved 9

10 Algunos resultados significativos Fallas de seguridad d Otras 0 Fuga de Información 21 Pharming 3 Phishing 16,8 Suplantación de identidad 13,5 Pérdida de información 19,5 Pérdida de integridad 4,8 Negación del servicio 15 Monitoreo no autorizado del tráfico 11,4 Caballos de troya Robo de datos 9,9 Virus Fraude 10,8 Accesos no autorizados al web Instalación de software no autorizado Manipulación de aplicaciones de software 22,2 Ninguno 81 8, ,9 60,7 70,9 2010% 2009% JCM10-All rights reserved 10

11 Algunos resultados significativos Noti ificación de Incide ntes Ninguno: No se denuncian Equipo de atención de incidentes Autoridades nacionales(dijin, Fiscalía) Autoridades locales/regionales Asesor legal 8,3 10,8 27,69 39,3 41,23 35,7 5, % 10,2 2009% 17,23 19, JCM10-All rights reserved 11

12 Algunos resultados significativos de segur ridad Mec canismos ,3 81,9 57,2 62,5 48,8 31,6 32,5 25,6 14,4 11,04 10,92 6,45 2,25 2, ,75 8,32 7, , ,1 36,3 35,6 29,7 25,9 25,9 8,03 6,5 8, , , , , ,23 6,3 0,97 1,18 00, % 2010% JCM10-All rights reserved 12

13 Algunos resultados significativos Política de Seguridad de la Información Po olíticas de Segurid ad ,4 No se tienen políticas de seguridad definidas 14,85 Actualmente se encuentran en desarrollo 41,6 43,84 34,1 Política formal, escrita documentada e informada a todo el personal 41,3 2010% 2009% 2009% 2010% JCM10-All rights reserved 13

14 Algunos resultados significativos Obstá áculos par ra la Segu uridad 13,04 13,4 12,7 10,4 10, ,71 18,5 18,47 15, ,86 9,78 7,5 5,79 4, , % 2010% Lineal (2010%) JCM10-All rights reserved 14

15 Algunos resultados significativos Estánd dares y Bu uenas prá ácticas No se consideran ITIL ISM3 Information Security Management Maturiy Model OSSTM Open Standard Security Testing Model Top 20 de fallas de seguridad del SANS Guías de la ENISA (European Network of Information Security Guías del NIST (National Institute of Standards and Octave Magerit Cobit 4.1 Common Criteria 10,19 17,47 26,9 0,97 3,9 3,23 7,5 2, ,1 0,97 2,3 8,09 12,3 1,29 2,3 3,23 5,2 14,88 23,4 2,1 5,2 37,7 2010% 2009% ISO ,37 45,8 JCM10-All rights reserved 15

16 Persona s dedicad das a la se eguridad Ninguna Algunos resultados significativos 18,84 34,3 44,1 1 a 5 45,59 6 a 10 11,8 5,47 3,7 11 a 15 3,95 6,1 Más de 15 7, % 2010% JCM10-All rights reserved 16

17 Persona s dedicad das a la se eguridad Ninguna Algunos resultados significativos 18,84 34,3 44,1 1 a 5 45,59 6 a 10 11,8 5,47 3,7 11 a 15 3,95 6,1 Más de 15 7, % 2010% JCM10-All rights reserved 17

18 Experien ncia reque erida en seguridad Algunos resultados significativos Ninguno 21,5 3,34 11,8 5,47 Menos de un año de experiencia 29 28,57 Uno a dos años 44,07 37,7 Más de dos años de experiencia 2009% 2010% JCM10-All rights reserved 18

19 Algunos resultados significativos ficaciones en segu uridad NSA IAM/IEM GIAC SANS SECURITY+ CIA Certified Internal Auditor CIFI Certified Information Forensics Investigator CFE Certified Fraud Examiner CISM Certified Information Security Manager CISA Certified Information System Auditor 0,78 0 2, ,68 8,4 4,68 8,4 3,1 4 2, ,5 11,8 14,3 13,8 2010% 2009% Certif CISSP Certified Information System Security Professional Ninguna 16,4 20,5 37,23 57, JCM10-All rights reserved 19

20 Algunos resultados significativos s por el 2,06% CISSP Certified Information System Security Professional CISA Certified Information System Auditor Certific caciones requerida merc cado 6,86% 5,65% 8,04% 5,65% 4,78% 7,28% CISM Certified Information Security Manager 23,36% 17,39% 14,67% CFE Certified Fraud Examiner CIFI Certified Information Forensics Investigator CIA Certified Internal Auditor MCSE/ISA MCP (Microsoft) Unix/Linux LP1 Security+ NSA IAM/IEM JCM10-All rights reserved 20

21 Algunos resultados significativos es por se ector Cert tificacion 35,00% 30,00% 25,00% 20,00% 15,00% 5,00% 0,00% Cuenta de Ninguna Cuenta de CISSP Certified Information System Security Professional Cuenta de NSA IAM/IEM Cuenta de SECURITY+ 10,00% 00% Cuenta de GIAC SANS Institute Cuenta de CISA Certified Information System Auditor Cuenta de CIA Certified Internal Auditor Cuenta de CISM Certified Information Security Manager Cuenta de CIFI Certified Information Forensics Investigator Cuenta de CFE Certified Fraud Examiner JCM10-All rights reserved 21

22 seguridad dgg Algunos resultados significativos ación en s cademia e la forma esde la ac cepción de de Perc Se han dejado desplazar por certificaciones generales y de producto No han pensado adelantar programas académicos o cursos cortos en esta área Los profesores tienen poca formación académica en el tema Los estudiantes no conocen las oportunidades laborales en esta área La formación es escasa y sólo a nivel de cursos cortos Hay pocas (o nulas) alianzas con proveedores de tecnología de seguridad y/o Hay poca oferta (o nula) de programas académicos en esta área Hay poca motivación de los estudiantes para estudiar el tema Hay poca investigación científica en el área Hacen poca difusión sobre éstos temas Existen limitados laboratorios e infraestructura para soportar los cursos especializados Están ofreciendo programas académicos formales en esta área 3,35 4,1 2,98 2,61 1,11 7,46 4,85 5,59 3,73 15,67 26,11 22, JCM10-All rights reserved 22

23 Conclusiones La industria en Latinoamérica exige más de dos años de experiencia en seguridad informática como requisito para optar por una posición en esta área. Las certificaciones CISSP, CISA y CISM continúan como las más valoradas por el mercado y las que a la hora de considerar un proyecto de seguridad de la información marcan la diferencia para su desarrollo y contratación. Latinoamérica sigue una tendencia de la inversión en seguridad concentrada en temas perimetrales, las redes y sus componentes, así como la protección de datos críticos. Se advierte una contradicción en cuanto a las respuestas de los participantes p frente al papel pp de la academia en la formación de profesionales de la seguridad de la información: poca oferta de programas académicos y la existencia de programas formales. El poco entendimiento de la seguridad informática y la falta de apoyo directivo, no pueden ser excusas para no avanzar en el desarrollo de un sistema de gestión de seguridad. JCM10-All rights reserved 23

24 Conclusiones Los resultados sugieren que en latinoamérica el ISO 27000, ITIL y el Cobit 4.1 son el estándar y las buenas prácticas que están en las áreas de seguridad de la información o en los departamentos de tecnologías de información. Las cifras en 2010 muestran a los antivirus, las contraseñas y las VPN como los mecanismos de seguridad más utilizados, seguidos por los sistemas firewalls de software. Existe un marcado interés por las herramientas de prevención de fuga de información. Si bien están tomando fuerza las unidades especializadas en delito informático en latinoamérica, es necesario continuar desarrollando esfuerzos conjuntos entre la academia, el gobierno, las organizaciones y la industria, para mostrarles a los intrusos que estamos preparados p para enfrentarlos. JCM10-All rights reserved 24

25 Para finalizar. ( ) El pensador creativo debe procurar superar su ego y, simplemente, escuchar y jugar, sin dejarse tampoco condicionar en exceso por todo aquello que sabe. ( ) PONTI, F. (2010) Los siete movimientos de la innovación. Editorial Norma. Pág.117 JCM10-All rights reserved 25

26 Referencias ERNEST & YOUNG (2010) 12th Annual Global Information Security Survey. Disponible en: / / / _ /$ / _ ual_giss.pdf (Consultado: ) PRICEWATERHOUSECOOPERS (2010) Global State of Information Security Survey Disponible en: security survey/pdf/pwcsurvey2010_report.pdf report (Consultado: ) DELOITTE & TOUCHE (2010) 2010 TMT Global Security Study. Disponible en: Global/Local%20Assets/Documents/TMT/2010_TMT_Global_Security_study.pdf (Consultado: ) FORRESTER (2010) The state of Enterprise IT Security and emerging trends: 2009 to Disponible en: content/uploads/data/state_of_enterprise_it_security_and_emerging.pdfof enterprise it security and emerging pdf (Consultado: ) JCM10-All rights reserved 26

27 JCM10-All rights reserved 27

28 II Encuesta Latinoamericana de Seguridad de la Información ACIS 2010 Jeimy J. Cano Coordinador General Emilio A. Samudio D Coordinador Paraguay Patricia Prandini Coordinadora Argentina Eduardo Corozo Coordinador Uruguay Gabriela Saucedo Coordinadora México EikIi Erick Iriarte Coordinador d Perú