II Encuesta Latinoamericana de Seguridad de la Información ACIS 2010 Jeimy J. Cano Coordinador General Emilio A. Samudio D Coordinador Paraguay Patricia Prandini Coordinadora Argentina Eduardo Corozo Coordinador Uruguay Gabriela Saucedo Coordinadora México Erick Iriarte Coordinador Perú
NOTA DE AGRADECIMIENTOS! Centro de Atención de Incidentes de Seguridad Informática y Telecomunicaciones ANTEL de Uruguay, lared Latinoamericana de Expertos en Derecho Informático Alfa Redi de Peru,laSuperintendencia de Servicios de Certificación, Sucerte de la República Bolivariana de Venezuela, la Universidad del Valle de Atemajac, Campus Guadalajara y el Colegio de Profesionistas en Computación del Estado de Hidalgo, México, el Capítulo de ISACA y la organización Usuaria de Buenos Aires, Argentina e ISACA Capítulo Asunción, Paraguay. Las reflexiones y resultados que se presentan a continuación se desarrollan en el contexto del análisis básico de resultados de una encuesta abierta desplegada a través del WEB durante el mes de Abril de 2010. JCM10-All rights reserved 2
Agenda Antecedentes t Referentes utilizados Demografía Resultados más significativos Conclusiones Referencias JCM10-All rights reserved 3
Antecedentes Primer esfuerzo latinoamericano independiente para revisar el estado actual de la seguridad de la información. Se presentó la primera Encuesta Latinoamericana de Seguridad de la Información en Junio de 2010. Participaron inicialmente: Uruguay, México y Colombia Los resultados se publicaron una vez concluidas las IX Jornadad Nacionales de Seguridad Informática ACIS 2009. Participaron 434 personas JCM10-All rights reserved 4
Referentes Utilizados JCM10-All rights reserved 5
2010 Demografía Argentina 6,38% 5,50% Chile 6,07% 12,76% Colombia 10,30% México 58,90% Uruguay Paraguay 2009 Otros países: Venezuela, Perú, Costa Rica, España, Bolivia 7,10% 0 6,50% Argentina Chile 12,20% 8,80% Colombia México Uruguay 65,40% Paraguay Otros países: Venezuela, Perú, Costa Rica, España, Bolivia JCM10-All rights reserved 6
Demografía Otros sectores: Asegurador, Logística, Importador, 0 Consultoría Especializada Manufactura Gobierno / Sector público Educación 5,16% 3,80% 18,25% 14,58% 12,30% 14,58% 12,30% 12,76% 13,60% Alimentos Salud Sector de Energía Telecomunicaciones Construcción / Ingeniería Servicios Financieros y Banca 0,91% 1,20% 2010 3,34% 2009 3,20% 4% 2,40% 6,07% 13,60% 3,64% 4,34% 16,71% 11,70% 0,00% 100,00% JCM10-All rights reserved 7
100 Algunos resultados significativos 90 Inv versión en Segurid dad 80 70 60 50 40 30 20 10 0 74,4 17,46 57,9 44,9 53,1 26,7 23,1 25,1 14,34 16,2 12 15,11 10,19 13,12 4,46 6,94 3,37 5,54 2,61 29,2 6,24 6 1,14 27,7 21,3 12,6 5,35 3,12 5,28 2009 2010 JCM10-All rights reserved 8
Algunos resultados significativos 100 Presup puestos 85 70 55 40 25 10 50,3 5 Menos de USD$50.000 47,72 17,4 Entre USD$50.001 y USD$70.000 16,41 6,9 Entre USD$70.001 001 y USD$90.000 10,03 6,2 Entre USD$90.001 y USD$110.000 4,55 Entre USD$110.001 y USD$130.000 4,55 16,71 2010 4,4 14,9 2009 Más de USD$130.000 2009 2010 JCM10-All rights reserved 9
Algunos resultados significativos Fallas de seguridad d Otras 0 Fuga de Información 21 Pharming 3 Phishing 16,8 Suplantación de identidad 13,5 Pérdida de información 19,5 Pérdida de integridad 4,8 Negación del servicio 15 Monitoreo no autorizado del tráfico 11,4 Caballos de troya Robo de datos 9,9 Virus Fraude 10,8 Accesos no autorizados al web Instalación de software no autorizado Manipulación de aplicaciones de software 22,2 Ninguno 81 8,1 33 30,9 60,7 70,9 2010% 2009% 0 10 20 30 40 50 60 70 80 90 100 JCM10-All rights reserved 10
Algunos resultados significativos Noti ificación de Incide ntes Ninguno: No se denuncian Equipo de atención de incidentes Autoridades nacionales(dijin, Fiscalía) Autoridades locales/regionales Asesor legal 8,3 10,8 27,69 39,3 41,23 35,7 5,53 2010% 10,2 2009% 17,23 19,5 0 20 40 60 80 100 JCM10-All rights reserved 11
Algunos resultados significativos de segur ridad Mec canismos 100 90 80 70 60 50 40 30 20 10 0 86,3 81,9 57,2 62,5 48,8 31,6 32,5 25,6 14,4 11,04 10,92 6,45 2,25 2,63 475 4,75 8,32 7,43 531 5,31 50 49,1 36,3 35,6 29,7 25,9 25,9 8,03 6,5 8,8 408 4,08 327 3,27 416 4,16 437 4,37 323 3,23 6,3 0,97 1,18 00,42 2009% 2010% JCM10-All rights reserved 12
Algunos resultados significativos Política de Seguridad de la Información Po olíticas de Segurid ad 100 80 60 40 20 0 24,4 No se tienen políticas de seguridad definidas 14,85 Actualmente se encuentran en desarrollo 41,6 43,84 34,1 Política formal, escrita documentada e informada a todo el personal 41,3 2010% 2009% 2009% 2010% JCM10-All rights reserved 13
Algunos resultados significativos Obstá áculos par ra la Segu uridad 13,04 13,4 12,7 10,4 10,1 471 4,71 18,5 18,47 15,21 14 14 10,86 9,78 7,5 5,79 4,2 20 18 16 14 12 10 8,74 8 6 4 2 0 0 2009% 2010% Lineal (2010%) JCM10-All rights reserved 14
Algunos resultados significativos Estánd dares y Bu uenas prá ácticas No se consideran ITIL ISM3 Information Security Management Maturiy Model OSSTM Open Standard Security Testing Model Top 20 de fallas de seguridad del SANS Guías de la ENISA (European Network of Information Security Guías del NIST (National Institute of Standards and Octave Magerit Cobit 4.1 Common Criteria 10,19 17,47 26,9 0,97 3,9 3,23 7,5 2,91 71 7,1 0,97 2,3 8,09 12,3 1,29 2,3 3,23 5,2 14,88 23,4 2,1 5,2 37,7 2010% 2009% ISO 27001 26,37 45,8 JCM10-All rights reserved 15
Persona s dedicad das a la se eguridad 100 90 80 70 60 50 40 30 20 10 0 Ninguna Algunos resultados significativos 18,84 34,3 44,1 1 a 5 45,59 6 a 10 11,8 5,47 3,7 11 a 15 3,95 6,1 Más de 15 7,59 2009% 2010% JCM10-All rights reserved 16
Persona s dedicad das a la se eguridad 100 90 80 70 60 50 40 30 20 10 0 Ninguna Algunos resultados significativos 18,84 34,3 44,1 1 a 5 45,59 6 a 10 11,8 5,47 3,7 11 a 15 3,95 6,1 Más de 15 7,59 2009% 2010% JCM10-All rights reserved 17
Experien ncia reque erida en seguridad 100 90 80 70 60 50 40 30 20 10 0 Algunos resultados significativos Ninguno 21,5 3,34 11,8 5,47 Menos de un año de experiencia 29 28,57 Uno a dos años 44,07 37,7 Más de dos años de experiencia 2009% 2010% JCM10-All rights reserved 18
Algunos resultados significativos ficaciones en segu uridad NSA IAM/IEM GIAC SANS SECURITY+ CIA Certified Internal Auditor CIFI Certified Information Forensics Investigator CFE Certified Fraud Examiner CISM Certified Information Security Manager CISA Certified Information System Auditor 0,78 0 2,86 0 468 4,68 8,4 4,68 8,4 3,1 4 2,34 4 13,5 11,8 14,3 13,8 2010% 2009% Certif CISSP Certified Information System Security Professional Ninguna 16,4 20,5 37,23 57,9 0 10 20 30 40 50 60 70 80 90 100 JCM10-All rights reserved 19
Algunos resultados significativos s por el 2,06% CISSP Certified Information System Security Professional CISA Certified Information System Auditor Certific caciones requerida merc cado 6,86% 5,65% 8,04% 5,65% 4,78% 7,28% CISM Certified Information Security Manager 23,36% 17,39% 14,67% CFE Certified Fraud Examiner CIFI Certified Information Forensics Investigator CIA Certified Internal Auditor MCSE/ISA MCP (Microsoft) Unix/Linux LP1 Security+ NSA IAM/IEM JCM10-All rights reserved 20
Algunos resultados significativos es por se ector Cert tificacion 35,00% 30,00% 25,00% 20,00% 15,00% 5,00% 0,00% Cuenta de Ninguna Cuenta de CISSP Certified Information System Security Professional Cuenta de NSA IAM/IEM Cuenta de SECURITY+ 10,00% 00% Cuenta de GIAC SANS Institute Cuenta de CISA Certified Information System Auditor Cuenta de CIA Certified Internal Auditor Cuenta de CISM Certified Information Security Manager Cuenta de CIFI Certified Information Forensics Investigator Cuenta de CFE Certified Fraud Examiner JCM10-All rights reserved 21
seguridad dgg Algunos resultados significativos ación en s cademia e la forma esde la ac cepción de de Perc Se han dejado desplazar por certificaciones generales y de producto No han pensado adelantar programas académicos o cursos cortos en esta área Los profesores tienen poca formación académica en el tema Los estudiantes no conocen las oportunidades laborales en esta área La formación es escasa y sólo a nivel de cursos cortos Hay pocas (o nulas) alianzas con proveedores de tecnología de seguridad y/o Hay poca oferta (o nula) de programas académicos en esta área Hay poca motivación de los estudiantes para estudiar el tema Hay poca investigación científica en el área Hacen poca difusión sobre éstos temas Existen limitados laboratorios e infraestructura para soportar los cursos especializados Están ofreciendo programas académicos formales en esta área 3,35 4,1 2,98 2,61 1,11 7,46 4,85 5,59 3,73 15,67 26,11 22,38 0 10 20 30 40 50 60 70 80 90 100 JCM10-All rights reserved 22
Conclusiones La industria en Latinoamérica exige más de dos años de experiencia en seguridad informática como requisito para optar por una posición en esta área. Las certificaciones CISSP, CISA y CISM continúan como las más valoradas por el mercado y las que a la hora de considerar un proyecto de seguridad de la información marcan la diferencia para su desarrollo y contratación. Latinoamérica sigue una tendencia de la inversión en seguridad concentrada en temas perimetrales, las redes y sus componentes, así como la protección de datos críticos. Se advierte una contradicción en cuanto a las respuestas de los participantes p frente al papel pp de la academia en la formación de profesionales de la seguridad de la información: poca oferta de programas académicos y la existencia de programas formales. El poco entendimiento de la seguridad informática y la falta de apoyo directivo, no pueden ser excusas para no avanzar en el desarrollo de un sistema de gestión de seguridad. JCM10-All rights reserved 23
Conclusiones Los resultados sugieren que en latinoamérica el ISO 27000, ITIL y el Cobit 4.1 son el estándar y las buenas prácticas que están en las áreas de seguridad de la información o en los departamentos de tecnologías de información. Las cifras en 2010 muestran a los antivirus, las contraseñas y las VPN como los mecanismos de seguridad más utilizados, seguidos por los sistemas firewalls de software. Existe un marcado interés por las herramientas de prevención de fuga de información. Si bien están tomando fuerza las unidades especializadas en delito informático en latinoamérica, es necesario continuar desarrollando esfuerzos conjuntos entre la academia, el gobierno, las organizaciones y la industria, para mostrarles a los intrusos que estamos preparados p para enfrentarlos. JCM10-All rights reserved 24
Para finalizar. ( ) El pensador creativo debe procurar superar su ego y, simplemente, escuchar y jugar, sin dejarse tampoco condicionar en exceso por todo aquello que sabe. ( ) PONTI, F. (2010) Los siete movimientos de la innovación. Editorial Norma. Pág.117 JCM10-All rights reserved 25
Referencias ERNEST & YOUNG (2010) 12th Annual Global Information Security Survey. Disponible en:http://www.ey.com/publication/vwluassets/12th_annual_giss/$file/12th_ann / / / _ /$ / _ ual_giss.pdf (Consultado: 06 06 2010) PRICEWATERHOUSECOOPERS (2010) Global State of Information Security Survey 2010. Disponible en: http://www.pwc.com/en_gx/gx/information security survey/pdf/pwcsurvey2010_report.pdf report (Consultado: 06 06 2010) DELOITTE & TOUCHE (2010) 2010 TMT Global Security Study. Disponible en: http://www.deloitte.com/assets/dcom Global/Local%20Assets/Documents/TMT/2010_TMT_Global_Security_study.pdf (Consultado: 06 06 2010) FORRESTER (2010) The state of Enterprise IT Security and emerging trends: 2009 to 2010. Disponible en: http://www.thesecuritypub.com/wp content/uploads/data/state_of_enterprise_it_security_and_emerging.pdfof enterprise it security and emerging pdf (Consultado: 06 06 2010) JCM10-All rights reserved 26
JCM10-All rights reserved 27
II Encuesta Latinoamericana de Seguridad de la Información ACIS 2010 Jeimy J. Cano Coordinador General Emilio A. Samudio D Coordinador Paraguay Patricia Prandini Coordinadora Argentina Eduardo Corozo Coordinador Uruguay Gabriela Saucedo Coordinadora México EikIi Erick Iriarte Coordinador d Perú