Post on 26-Jun-2020
Conferencistas:J i J C Ph DJeimy J. Cano, Ph.Djcano@uniandes.edu.co
Lista de Seguridad InformáticaSEGURINFO-SEGURINFO-
Andrés R. Almanza, Mscandres_almanza@hotmail.com
AgendaAgendaAgendaAgendaPresentación de Resultados
Componentes de la Encuesta
Datos
Conclusiones
Estructura de la EncuestaEstructura de la EncuestaCuestionario compuesto por 34 preguntas sobre lossiguientes temas:
Demografía
PresupuestosPresupuestos
Fallas de seguridad
Herramientas y prácticas de seguridad
Políticas de seguridad
Consideraciones MuestralesConsideraciones MuestralesEl número de participantes este año es de 222 personas (encomparación con las 202 del 2008).
Considerando una población limitada (alrededor de 1800personas que participan activamente en la lista deseguridad SEGURINFO) se ha estimado un error muestral de 7%(confianza del N) lo cual nos permite manejar una muestra(confianza del N), lo cual nos permite manejar una muestraadecuada cercana a los 813 participantes. Al contar con 222participantes en la muestra, los resultados presentados sonestadísticamente representativos
P i P ti i tPaises Participantes
65.40%
80.00%
6.50% 8.80% 12.20%7.10%
40.00%
60.00%
0.00%
20.00%
Argentina Chile Colombia México Uruguay
Ciudades Participantes 1%
1% 1%1%2% 2%1%
9%7% 5%
1%
1%1%
1%
1%1%1%2%
2%2%
1%
65%
Bogotá Medellín Bucaramanga cali Barranquilla POpayan
Cartagena Tunja PEREIRA Manizales Santiago cucuta
Riohacha Pasto NEIVA Armenia Ibaguég
Sectores Participantes
14% Otra (Por favor especif ique)
16% 14% Educación
Telecomunicaciones
Consultoría Especializada
Gobierno / Sector público
19%12%
10%
Servicios Financieros y Banca
Manufactura
Construcción / Ingeniería
Salud
4%4% 4%2%
1%
Salud
Sector de Energía
Alimentos
Cantidad de Empleados
75
70
80
57
40
50
60
20
1119
25
1520
30
40
11
0
10
1 a 50 101 a 200 201 a 300 301 a 500 501 a 1000 51 a 100 Más de 1000
Dependencia del area de Seguridad
Auditoria interna
12
14
16
18Gerente de Operaciones
Gerente Ejecutivo
Otra
AlimentosConstrucción / IngenieríaConsultoría Especializada
Educación 4
6
8
10Otra
No se tiene especif icado formalmente
Director de Seguridad InformáticaEducación
Gobierno / Sector públicoManufactura
Otra (Por favor especif ique)Salud
Sector de EnergíaServicios Financieros y Banca
Telecomunicaciones
0
2
4Director Departamento deSistemas/Tecnología
160
180
Gastos en Seguridad80
100
120
140
20
40
60
0
ección d
e la r
edorga
n izació
dad in
telectu
aos d
e clien
tl us
uario f
ins ele
ctrón ico
sde
las ap
lla In
fo rmació
nmás
calific
ads y e
xterna
tra cib
ercrim
enn for
mátic.
egurid
ad
rmáti
ca 7 x 2 Otra
4
Protec
os dato
s críti
cos d
e la or
Proteg
er la pr
opieda
macenamien to
de dato
s
ntiza
ción/f
ormació
n del u
Comerci
o/negoci
os
amien
to de se
gurida
d d
Seguri
dad de la
tratació
n de pers
onal má
s de se
gurida
d inter
nas
Pólizas c
ontra
lizados e
n seguri
dad in
f
ación d
e usua
rios e
n seg
reo de
Segurid
ad Infor
m
Protege
r los
Protege
r el a
lmCon
cienti
Desarr
ollo y af
inam
Contra
Evaluaci
ones
Cursos e
specia
liz
Cursos de
form
acMonit
ore
Centro de Gastos en SeguridadOtra4
Comercio/negocios electrónicos
30
Comercio/negocios electrónicos
Contratación de personal más calificado
Pólizas contra cibercrimen
15
20
25Cursos especializados en seguridad informática(cursoscortos, diplomados, especializaciones, maestrías)Cursos de formación de usuarios en seguridadinformáticaProteger la propiedad intelectual
0
5
10
15 g p p
M onitoreo de Seguridad Informática 7 x 24
Desarro llo y afinamiento de seguridad de las aplicaciones
0 Concientización/formación del usuario final
Evaluaciones de seguridad internas y externas
Proteger el almacenamiento de datos de clientes
Seguridad de la Información
Proteger los datos críticos de la organización
Gastos/Proyecciones Seguridad2008 Entre USD$110.001 yUSD$130.0002009 Entre USD$110 001 y
253035
2009 Entre USD$110.001 yUSD$130.0002008 Entre USD$50.001 yUSD$70.0002009 Entre USD$50.001 yUSD$70 000
5101520
USD$70.0002008 Entre USD$70.001 yUSD$90.0002009 Entre USD$70.001 yUSD$90.0002008 Entre USD$90.001 y
05
Alimentos
ngenie ría
cia lizada
Educac
iónr públic
onu factu
raeci
fique) Saludde Ene
rg íay Bancaica
ciones
USD$110.0002009 Entre USD$90.001 yUSD$110.0002008 Más de USD$130.000
2009 Más de USD$130 000ACons
trucción / I
ng
Consultoría
Especi Ed
Gobierno /
Sector p
Manu
Otra (P
or favor e
spec
Sector d
e
ervic ios Finan
cieros y BTelecom
un ica 2009 Más de USD$130.000
2008 Menos de USD$50.000
2009 Menos de USD$50.000
O
Ser
25Conciencia de Seguridad
Alimentos
Construcción / Ingeniería
15
20Construcción / Ingeniería
Salud
Sector de Energía
Manufactura
5
10Consultoría Especializada
Educación
Gobierno / Sector público
Otra (Por favor especif ique)
0
Otra (Por favor especif ique)
Servicios Financieros y Banca
Telecomunicaciones
Algunas son conscientes
Muy conscientes
Nadie es conscienteNo sabe
Incidencias Identificadas2009
2008
8090
100
2008
50607080
20304050
010
Entre 1-3 Entre 4-7 Más de 7 Ninguna
Identificacion de Incidencias x Sectores
Ninguna
Más de 7
15
20Entre 4-7
Entre 1-3
AlimentosConstrucción / Ingeniería10
15
Construcción / IngenieríaConsultoría EspecializadaEducaciónGobierno / Sector público
ManufacturaOtra (Por favor especif ique)
Salud 0
5
Sector de EnergíaServicios Financieros y Banca
Telecomunicaciones
0
Evolucion de Fallas de Seguridad
100120140160
2002
2003
20406080
100 2003
2004
2005
2006
-200
20
Ninguno
apl. d
e sw
utoriz
ado
utoriz
ado
fraud
evir
usob
o dato
sba
llo tro
yauto
rizado
n servi
cioint
egrida
dform
acion
ntacio
n id.
phish
ingph
arming
formac
ion otro
2006
2007
2008
2009
Manipu
lacion
de ap
sw no
aut
web no
aut rob caba
monito
reo no
aune
gacio
n pe
rdida
inpe
rdida
info
supla
nta
p pFug
a de I
nfo
M
25
30 Intrusiones comunes x sector
10
15
20
0
5
AlimCoCE
VirusInstalación de softw are no autorizadoAccesos no autorizados al w eb mentos
Construcción / Ingeniería
Consultoría Especializad
Educación
Gobierno / Sector públi
Manufactura
Salud
Sector de Energía
Servicios Financi
Telecomunicaci
(Otra (Por fav
Accesos no autorizados al w ebCaballos de troyaManipulación de aplicaciones de softw areFraudeRobo de datosMonitoreo no autorizado del tráf icoNegación del servicioPérdida de integridadPérdida de información adablico
íacieros y Banca
ciones
vor especifique
Pérdida de informaciónSuplantación de identidadPhishingFuga de InformaciónPharmingNingunoOtros
Identificación de las Fallas
80
90Material o datos alterados
Analisis de registros
i t d t i
50
60
70 sistema deteccionintrusosalertado cliente
alertado colega
20
30
40alertado colega
seminarios
otro
10
0
10
20
2002 2003 2004 2005 2006 2007 2008 2009
otro
Notif icación de unempleado
-102002 2003 2004 2005 2006 2007 2008 2009
Notificacion de Fallas x Sector
Analisis de registros
otro
sistema deteccion intrusos
12
14
16alertado cliente
Material o datos alterados
alertado colega
N tif i ió d l d
8
10
12Notif icación de un empleado
seminarios
Sector de EnergíaServicios Financieros y Banca
TelecomunicacionesOtra (Por favor especifique)
4
6
AlimentosConstrucción / Ingeniería
Consultoría EspecializadaEducación
Gobierno / Sector públicoManufactura
SaludSector de Energía
0
2
Notificacion de Fallas Asesor legal
Autoridadeslocales/regionales Autoridades nacionales
Equipo de atención deincidentes Ninguno: No se denuncian
2002 2003 2004 2005 2006 2007 2008 2009
Notificacion x Sector
16
Ninguno: No se denuncian
Equipo de atención de incidentes
Asesor legal
10
12
14g
Autoridades nacionales
Autoridades locales/regionales
Aliment os
6
8
Aliment osConst rucción / Ingenierí a
Consult orí a EspecializadaEducación
Gobierno / Sect or públicoManuf act ura
Ot ra (Por f avor especif ique)Salud
Sect or de Energí a0
2
4
Servicios Financieros y BancaTelecomunicaciones
Motivos para no Denunciar
60
70 Pérdida de valor deaccionistas
40
50Publicación de noticiasdesfavorables
Responsabilidad legal
20
30Motivaciones personales
Vulnerabilidad ante la
-10
0
10
2002 2003 2004 2005 2006 2007 2008 2009
Vulnerabilidad ante lacompetencia
Otro, especif ique:
10
Conciencia de Evidencia DigitalConciencia de Evidencia Digital
23%
107
18%59%
5214 41
N N b SiNo No sabe Si
No No Sabe Si
Pruebas de Intrusión X Año
27 2947
43 46 51 54
1629 30 48 37
6
54 57 46
1815 19 20 3 15 20 26
46 45
54
5140
60
331 28
46 4517
32 51
0
20
2002 2003 2004 2005 2006 2007 2008 2009
Entre 2 y 4 al año Más de 4 al año Ninguna Una al año
Pruebas de Seguridad x Sector
14
6
8
10
12ento
s
niería
zadaiónlicorae)da
0
2
4
Alimen
Constr
ucción
/ Ing
enie
onsu
ltoría
Esp
ecializa
Educa
ció
bierno
/ Sec
tor púb
lic
Manufac
tura
Por favo
r esp
ecifiq
ue)
Salud
Sector
de E
nergía
Finan
cieros
y Ban
ca
eleco
munica
cione
s
Co
Con
Gob
Otra (P
o
Servicio
s FinTele
Una al año Entre 2 y 4 al año Ninguna Más de 4 al año
Mecanismos de Protección
180
140
160
180
80
100
120
40
60
80
20
0
20
ards
trico
s
viru
s
eñas
atos
etes
s H
w
s Sw ados
PSec
oxie
s
IDS
7x24
IPS
OG
S
wal
ls
ADS
ta d
ede o co
n
Otro
-20
Smar
t C
Biom
ét
Antiv
Con
trase
Cifr
ado
de d
a
Filtr
o de
paq
u
Fire
wal
ls
Fire
wal
ls
Firm
asdi
gita
les/
certi
fica
digi
tale
s
VPN
/I P Pro
Mon
itore
o 7 L
Web
fire
w
Her
ram
ient
Valid
acio
n cu
mpl
imie
nto
2002 2003 2004 2005 2006 2007 2008 2009
Notificacion x IndustriaLectura de artículos en
i t i li d
20
revistas ializadas
Lectura y análisis de listasde seguridad (BUGTRAQ,SEGURINFO, NTBUGTRAQ,
14
16
18, ,
etc)Notif icaciones de colegas
Notif icacion de
8
10
12Notif icacion deProveedores
No se tiene este hábito.
G bi / S t úbliManufactura
OtraSalud
Sector de EnergíaServicios Financieros
Telecomunicaciones
2
4
6
AlimentosConstrucción / Ingeniería
Consultoría EspecializadaEducación
Gobierno / Sector público 0
16
Politicas de Seguridad
10
12
14
16
4
6
8
10
dergíancieros
icacio
nes0
2
4
mentos/ Ingeniería
a Especializada
Educación
ierno / Secto
r público
ManufacturaOtraSalud
Sector de Energ
Servicios Financ
Telecomunica
Actualmente se encuentran endesarrollo
No se tienen políticas deseguridad definidas
Alime
Construcción / In
Consultoría EGobiern seguridad definidas
Política formal, escritadocumentada e informada a todoel personal
Obstaculos en SeguridadPoco entendimiento de
7
8
los f lujos de lainformación en laorganizaciónOtros (Por favorespecif ique)
5
6
7
Complejidadtecnológica
3
4Falta de colaboraciónentreáreas/departamentos
Falta de tiempo
AlimentosConstrucción / Ingeniería
Consultoría EspecializadaEducación 0
1
2p
Inexistencia de políticade seguridad
EducaciónGobierno / Sector público
ManufacturaOtra
SaludSector de EnergíaServicios Financieros
Telecomunicaciones
16
18No
N b
12
14
16No sabe
Si
6
8
10
udergíaBancaicaciones
2
4
Alimentos
nstrucción / Ingeniería
Consultoría EspecializadaEducación
Gobierno / Sector públicoManufactura
Otra (Por favor especif ique)Salud
Sector de Energí
Servicios Financieros y Ban
Telecomunicac0
ConstrCon
Contactos para seguir intrusos
Estandares usadosISM3
SANS
18
SANS
Common Criteria
Octave
Magerit
12
14
16ISO27005, BS25999
OSSTM
NIST
Cobit 4.1
6
8
10
Cobit 4.1
ITIL
No se consideran
ISO 27001
Aliment osConst rucción / Ingenierí aConsult orí a Especializada
EducaciónG bi / S t úbli
2
4
6
Gobierno / Sect or públicoManuf act ura
Ot raSalud
Sect or de Energí aServicios Financieros
Telecomunicaciones
0
Regulaciones
20
Otras
Regulaciones internacionales
Regulaciones nacionales
Ninguna
14
16
18
Alimentos8
10
12
Construcción / IngenieríaConsultoría Especializada
EducaciónGobierno / Sector público
M anufacturaOtra
SaludS t d E í 0
2
4
6
Sector de EnergíaServicios Financieros
Telecomunicaciones
0
Dedicacion de Tiempo del Personal a Seguridadg
120
140
60
80
100
20
40
60
0Ninguna 1 a 5 6 a 10 11 a 15 Más de 15
2009 2008 20072009 2008 2007
Experiencia de Expertos
M d ñ d i i
12
Menos de un año de experiencia
Ninguno
Uno a dos años
Más de dos años de experiencia
10
p
6
8
Aliment osConst rucción / Ingenierí a
Consult or í a EspecializadaEducación
Gobierno / Sect or públicoManuf act ura
Ot ra (Por f avor especif ique)S l d
2
4
SaludSect or de Energí a
Servicios Financieros y Banca
Telecomunicaciones
0
80
No Importante
No sabe
Importante
60Muy Importante
CISSPCISA
20
40
CISACISM
CFECIFI
CIAMCSE
LPISecurity+
0
Importancia de las CertificacionesImportancia de las Certificaciones
Las regulaciones nacionales e internacionales llevarán a las organizaciones en
Retos y Conclusionesg g
Colombia fortalecer los sistemas de gestión de la seguridad de la información.
LasLas certificacionescertificaciones CISSP,CISSP, CISMCISM yy CISA,CISA, sonson laslas masmas valoradasvaloradas porpor elelmercadomercado yy sonson laslas cartascartas dede presentaciónpresentación profesionalprofesional aa tenertener enen cuentacuenta enen lalamercado,mercado, yy sonson laslas cartascartas dede presentaciónpresentación profesionalprofesional aa tenertener enen cuentacuenta enen lalaejecuciónejecución dede proyectosproyectos dede seguridadseguridad..
EstándaresEstándares comocomo ISOISO 2700027000,, ITILITIL COBITCOBIT yy NISTNIST sonson loslos estándaresestándares masmasusadosusados parapara lala gestióngestión dede lala seguridadseguridadusadosusados parapara lala gestióngestión dede lala seguridadseguridad..
LaLa inversióninversión enen seguridadseguridad dede lala informacióninformación sese encuentraencuentra concentradaconcentrada enen elelperímetroperímetro dede laslas organizacionesorganizaciones:: redesredes yy sistemassistemas dede comunicaciones,comunicaciones, asíasí comocomoll t iót ió dd ll d td t d ld l li tli t ii lllala protecciónprotección dede loslos datosdatos deldel cliente,cliente, apareceaparece unun nuevonuevo escenarioescenario queque sonson laslaspólizaspólizas dede cibercrimencibercrimen
EsEs necesarionecesario mencionarmencionar queque sese debedebe reforzarreforzar elel tematema dede concienciaconciencia enen loslostemastemas dede seguridad,seguridad, adicionaladicional aa temastemas dede manejomanejo dede evidenciasevidencias digitalesdigitales yy susuformalizacionformalizacion dentrodentro dede laslas organizacionesorganizaciones..
Retos y Conclusiones
SeSe debedebe continuarcontinuar loslos esfuerzosesfuerzos desdedesde elel gobiernogobierno lala academiaacademia lala empresaempresa yySeSe debedebe continuarcontinuar loslos esfuerzosesfuerzos desdedesde elel gobierno,gobierno, lala academia,academia, lala empresaempresa yylala industria,industria, parapara afrontarafrontar loslos posiblesposibles ataquesataques dede loslos intrusosintrusos..
SeSe debedebe decidirdecidir sisi sese deseadesea queque sese materialicematerialice lala inseguridad,inseguridad, porpor lolo tantotanto esesnecesarionecesario desarrollardesarrollar fortalecerfortalecer loslos temastemas dede políticaspolíticas dentrodentro dede lala organi aciónorgani aciónnecesarionecesario desarrollardesarrollar yy fortalecerfortalecer loslos temastemas dede políticaspolíticas dentrodentro dede lala organizaciónorganización
SeSe veve queque laslas organziacionesorganziaciones realizanrealizan cadacada vezvez masmas masmas cantidadescantidades dedepruebaspruebas dede seguridad,seguridad, eses importanteimportante porpor queque muestramuestra queque sese preocupanpreocupan porpor lalaseguridadseguridad dede laslas plataformasplataformas tecnologicastecnologicas
AumentaAumenta dede maneramanera importanteimportante queque lala responsabilidadresponsabilidad dede seguridadseguridad frentefrente aaotrosotros anosanos crececrece concon respectorespecto aa laslas areasareas dede seguridadseguridad dede lala informacioninformacion oopp gginformatica,informatica, asiasi comocomo sese notanota queque hayhay mayoresmayores aumentosaumentos frentefrente aa laslas inversionesinversionesdede seguridadseguridad..
SeSe debedebe insistirinsistir enen queque eses necesarionecesario denunciardenunciar laslas intrusionesintrusiones dadodado queque eses ununSeSe debedebe insistirinsistir enen queque eses necesarionecesario denunciardenunciar laslas intrusiones,intrusiones, dadodado queque eses ununmecanismomecanismo dede controlcontrol queque ayudaayuda enen elel mejoramientomejoramiento dede lala seguridadseguridad..
Bibliografía
COMPUTERCOMPUTER SECURITYSECURITY INSTITUTEINSTITUTE ((20082008)) CSI/FBICSI/FBI ComputerComputer CrimeCrime andandCOMPUTERCOMPUTER SECURITYSECURITY INSTITUTEINSTITUTE ((20082008)) CSI/FBICSI/FBI.. ComputerComputer CrimeCrime andandSecuritySecurity SurveySurvey 20072007
PRICEWATERHOUSECOOPERSPRICEWATERHOUSECOOPERS--UKUK ((20082008)) InformationInformation SecuritySecurity BreachesBreachesSS 20082008SurveySurvey 20082008
PRICEWATERHOUSECOOPERSPRICEWATERHOUSECOOPERS ((20082008)) GlobalGlobal StateState ofof InformationInformation SecuritySecurityStudyStudy
DELOITTEDELOITTE && TOUCHETOUCHE ((20072007)) 20082008 PrivacyPrivacy andand datadata protectionprotection surveysurvey..