Seguridad de la Información

Transcripción

1 III Encuesta Latinoamericana de Seguridad de la Información ACIS 211 Ji Jeimy J. Cano Coordinador d General Emilio A. Samudio Patricia Prandini Coordinador Paraguay Coordinadora Argentina Eduardo Corozo Coordinador Uruguay Andrés Almanza Coordinador Colombia

2 AGRADECIMIENTOS A la Asociación Colombiana de Ingenieros en Sistemas (ACIS), el Centro de Atención de Incidentes de Seguridad Informática ytelecomunicaciones ANTELdeUruguay,elCapítulode ISACA y la organización Usuaria de Buenos Aires, Argentina e ISACACapítuloAsunción Capítulo Asunción, Paraguay Los hallazgos y reflexiones que se presentan a continuación se desarrollan en el contexto básico de los resultados tabulados de una encuesta abierta desplegada a través de la Web en Abril y Mayo de 211.

3 AGENDA Antecedentes Referentes utilizados Demografía Resultados más significativos Conclusiones Referencias

4 ANTECEDENTES Los resultados de la Primera Encuesta Latinoamericana de Seguridad de la Información se presentaron en Junio de 29 Se han sumado a este esfuerzo países como: México, Argentina, Paraguay, Uruguay, Chile, Colombia, Perú, Brasil* y algunas naciones centroamericanas El nivel de participación oscila entre 3 y 4 profesionales en toda la latinoamérica. Las tendencias identificadas en este estudio revelan patrones de acción para los profesionales en seguridad de la información.

5 REFERENTES UTILIZADOS 13thAnnual Global Information Security Survey realizada por Ernst & Young Global StateofInformation Security Survey 211 adelantada por PriceWaterhouseCoopers, 211 (ISC)2 Global Information Security Workforce Study efectuado por Frost & Sullivan Reporte de PriceWaterhouseCoopers InformationSecurity it 22

6 DEMOGRAFÍA 12,76% 17% 6,5% 8,8% 6% 58,9% 65,4% 2% 5% % 1,3% 12,2% 6,7% 7,1% 3% % 13% 6,38% 5,5% % % Argenti Chil na e Colombia México Uruguay Paraguay Otros países: Venezuela, Perú, C osta

7 DEMOGRAFÍA Otros sectores: Consultoría Especializada Manufactura Gobierno / Sector público Educación Alimentos Salud Sector de Energía Telecomunicaciones Construcción / Ingeniería Servicios Financieros y Banca Sectores participantes

8 INVE RSIÓN EN SEG GURIDAD Monitoreo de Seguridad Informática 7 x 24 Cursos de formación de usuarios en seguridad d Cursos especializados en seguridad informática(cursos Pólizas contra cibercrimen Evaluaciones de seguridad internas y externas Contratación de personal más calificado Seguridad de la Información Desarrollo y afinamiento de seguridad de las Comercio/negocios electrónicos Concientización/formación del usuario final Proteger el almacenamiento de datos de clientes Proteger la propiedad intelectual Proteger los datos críticos de la organización Protección de la red 6,49 5,28 6, ,12 12,6 5,96 5,35,78 1,14 6 7,19 6,24 4,82 2,61 5, ,89 3,37 6,74 6,94 4,56 4,46 15,1 16,48 13,12 12,54 1,19 16,2 13,85 14,34 21,3 17,63 17,46 27,7 25,1 23,1 29,22 26,7 44,9 53,1 57,9 74, % 21% 29%

9 % , ,3 7 16, ,4 1,3 4,55 5 6,9 Menos de 6,2 USD$2. Entre USD$2.1 y Entre USD$5. USD$5.1 y Entre USD$7. USD$7.1 y Entre USD$9. USD$9.1 y USD$11. 4 Entre USD$11.1 y USD$ ,55 16,71 4,4 14,9 Más de USD$13. Presupuesto para el

10 FALLAS DE SEGURIDAD

11 Ninguno: No se denuncian Equipo de atención de incidentes Autoridades nacionales(dijin, Fiscalía) Autoridades locales/regionales Asesor legal Directivos de la organización 13, ,69 39,3 18,4 41,23 35,7 9,13 5,53 1,2 4, ,3 1,8 1,46 17,23 19,5 44, NOTIFICACIÓN DE INCIDENTES

12 ,3 81,9 57,2 62,5 48,8 5 49,1 36,3 31,6 32,5 35,6 25,6 29,7 25,9 25,9 14,4 2,25 2,63 11,4 1,92 6,45 4,75 8,32 7,43 5,31 8,3 6,5 4,8 3,27 4,16 4,37 3,23,97 1,18, ,3 8, MECANISMOS DE SEGURIDAD

13 ,44 No se tienen políticas de seguridad definidas ,85 43,84 41,6 34,1 Actualmente se encuentran en definidas desarrollo, Política de Seguridad de la Información 41,3 29 Política formal, escrita documentada e informada a todo el personal

14 Otras respuestas: 8,74 Poco entendimiento de los flujos de la información en la organización 4,2 5,79 9,32 OBSTÁCU ULOS PARA IM MPLEMENTAR LA SEGURIDA AD Poco entendimiento de la seguridad informática Complejidad tecnológica Falta de colaboración entre áreas/departamentos Falta de apoyo directivo Falta de formación técnica Falta de tiempo Inexistencia de política de seguridad 4,71 7,19 7,5 14 9,78 1, ,18 1,1 11,71 13,4 12,7 1,78 13,4 1,4 16,37 16,37 15,21 18,47 18,5 19,

15 % ESTÁNDA RES Y BUENAS PRÁ ÁCTICAS ISO 271 Common Criteria Cobit 4.1 Magerit Octave Guías del NIST (National Institute of Standards and Technolog y) USA Guías de la ENISA (European Top 2 de Network of Informatio n Security Agency) fallas de seguridad del SANS OSSTM Open Standard Security Testing Model ISM3 Informatio n Security Managem ent Maturiy Model ITIL No se considera n 29 45,8 5,2 23,4 5,2 2,3 12,3 2,3 7,1 7,5 3,9 26,9 37, ,37 2,1 14,88 3,23 1,29 8,9,97 2,91 3,23,97 17,47 1, ,88 3,65 14,62 2,74 2,19 7,49 1,46 4,38 1,46 18,28 14,8

16 ,84 45,59 34,33 44, ,8 5,47 9 3, ,59 Ninguna 1 a 5 6 a 1 3,7 11 a 15 6,1 Más de 15 PERSONAS DEDICADAS A LA SEGURIDAD

17 ,5 11,8 3,34 5 5, , ,7 44, Ninguno Menos de un año de experiencia EXPERIENCIA REQUERIDA Uno a dos años Más de dos años de experiencia

18 ,9 37,23 34,86 15,23 14,42 12,2 16,4 14,3 3,8 13,5 18 1,8 5,61 5,61 3,4,6 2,5 13,8 2,34 3,1 4,68 4,68 2,86 11,8 8,4 8,4 4 4,78 Ninguna CISSP Certified Information System Security Professional CISA Certified Information System Auditor CRISC Certified Risk and Information Systems Control CISM Certified Information Security y Manager CFE Certified Fraud Examiner CIFI Certified Information Forensics Investigator CIA Certified Internal Auditor SECURITY+ GIAC SANS NSA IAM/IEM CERTIFICACIONES OBTENIDAS

19 1,81 NSA IAM/IEM 2,6 Security+ GIAC Sans Institute Unix/Linux LP1 MCSE/ISA MCP (Microsoft) CIA Certified Internal Auditor CIFI Certified Information Forensics Investigator CFE Certified Fraud Examiner CRISC Certified Risk and Information Systems Control CISM Certified Information Security Manager CISA Certified Information System Auditor CISSP Certified Information System Security Professional 5,77 7,28 4,5 7,2 5,65 4,13 5,65 5,34 6,86 7,75 8 8,4 4,74 4,78 9,82 12,32 16,37 17,39 14,67 2,77 23,36 CERTIFICACIONES ESPERADAS POR LAS ORGANICACIONES

20 22,38 26, ,15 3,73 2 9,88 5, ,23 12,69 4,85 4 5,39 3,7 1,11 2, ,77 15, ,24 2,98 9 4,1 PERCEPCIÓN DE LA FORMACIÓN EN LA SEGURIDAD INFORMÁTICA DESDE LA ACADEMIA ,32 1,67 3, , Están ofreciendo programas académicos formales en esta área Existen limitados laboratorios e 2infraestructura para soportar los cursos especializados 3 Hacen poca difusión sobre éstos temas Hay poca investigación científica en el 4 área 5 Hay poca motivación de los estudiantes para estudiar el tema 6Hay poca oferta (o nula) de programas académicos en esta área Hay pocas (o nulas) alianzas con proveedoresde de tecnología de seguridad 7 y/o agremiaciones relacionadas con el tema 8La formación es escasa y sólo a nivel de cursos cortos 9 Los estudiantesnono conocen las oportunidades laborales en esta área 1Los profesores tienen poca formación académica en el tema 11 No han pensado adelantar programas académicos o cursos cortos en esta área 12 Se han dejado desplazar por certificaciones generales y de producto

21 CONCLUSIONES Los resultados sugieren que en Latinoamérica el ISO 27, ITIL y el Cobit 4.1 son el estándar y las buenas prácticas que están en las áreas de seguridad de la información o en los departamentos de tecnología de información. La industria en Latinoamérica exige más de dos años de experiencia en seguridad informática como requisito para optar por una posición en esta área. Se advierte cada vez más una formación más concreta y formal para los analistas de seguridad en la región. Las certificaciones CISSP, CISA y CISM continúan como las más valoradas por el mercado y las que a la hora de considerar un proyecto de seguridad de la información marcan la diferencia para su desarrollo y contratación. Resulta interesante ver el reciente posicionamiento de la nueva certificación de ISACA denominada CRISC. Latinoamérica sigue una tendencia de la inversión en seguridad concentrada en temas perimetrales, las redes y sus componentes, así como la protección de datos críticos. De igual forma, existe un marcado interés por el aseguramiento de los flujos de información en la organización, como práctica base en el entendimiento de los riesgos en los proceso de negocio. Las cifras en 211 muestran a los antivirus, las contraseñas y los firewalls de hardware como los mecanismos de seguridad más utilizados, seguidos por los sistemas de firewalls de software y las VPN. Existe un marcado interés por las herramientas de prevención de fuga de información y tecnologías de gestión de accesos e identidades.

22 CONCLUSIONES La pérdida de reputación, el riesgo de imagen y la vulnerabilidad ante la competencia son factores claves frente a la denuncia o no de una conducta punible en medios tecnológicos. Adicionalmente, la carga de la prueba frente a los hechos ocurridos está a cargo de la parte afectada y los posibles costos derivados del peritaje informático o análisis forense se cuestionan frente a la efectividad de los mismos. La lectura de artículos en revistas especializadas y la lectura y análisis i de las listas de seguridad d son las fuentes de información más frecuentes para notificarse sobre fallas de seguridad. SEGURINFO, se ubica como una lista en español referente en los temas de seguridad de la información en Latinoamérica. La falta de colaboración entre áreas, el apoyo directivo y el limitado entendimiento de la seguridad, no pueden ser excusas para no avanzar en el desarrollo de un sistema de gestión de seguridad. La inversión en seguridad es costosa, pero la materialización de inseguridad puede serlo mucho más. Los resultados de este año establecen que el 57% de las empresas en Latinoamérica no cuentan con una política de seguridad definida formalmente o se encuentra en desarrollo. Este resultado no muestra avance significativo en el reconocimiento de la información como un activo fundamental de la organización. Se muestra un ligero aumento de programas académicos formales en seguridad de la información, con un llamado concreto para la academia para que exista una mayor investigación científica en esta área, que permita balancear el uso de las tecnologías disponibles con el desarrollo de propuestas innovadoras fruto de un entendimiento más profundo de la seguridad en las organizaciones.

23 REFERENCIAS ERNEST & YOUNG (211) 13th Annual Global Information Security Survey. Disponible en: vey_21_advisory/$file/giss%2report_final.pdf (Consultado: ) PRICEWATERHOUSECOOPERS (211) Global lstate of Information Security Survey 211. Disponible en: securitysurvey/pdf/giss 211 survey report.pdf (Consultado: ) FROST & SULLIVAN (211) 211 (ISC)2 Global Information Security Workforce Study. Disponible en: y_2811_mlw_web.pdf (Consultado: ) PRICEWATERHOUSECOOPERS (21) Information Security 22. Disponible en: co or evolution informatio n_security_22.html (Consultado: )

24 III Encuesta Latinoamericana de Seguridad de la Información ACIS 211 Ji Jeimy J. Cano Coordinador d General Emilio A. Samudio Patricia Prandini Coordinador Paraguay Coordinadora Argentina Eduardo Corozo Coordinador Uruguay Andrés Almanza Coordinador Colombia