Conferencistas:Jeimy J. Cano, Ph.Djcano@uniandes.edu.co

Lista de Seguridad Informática-SEGURINFO-

Andrés R. Almanza, Ms(c)andres_almanza@hotmail.com

VII Encuesta Nacional de Seguridad Informática

2

AgendaAgenda

✔ Presentación de Resultados

✔ Componentes de la Encuesta

✔ Datos

✔ Conclusiones

3

Estructura de la EncuestaEstructura de la Encuesta

✔ Cuestionario compuesto por 20 preguntas sobre los

siguientes temas:

✔ Demografía

✔ Presupuestos

✔ Fallas de seguridad

✔ Herramientas y prácticas de seguridad

✔ Políticas de seguridad

4

Consideraciones MuestralesConsideraciones Muestrales

✔ El número de participantes este año es de 223 personas (en comparación con las 182 del 2005).

✔ Mayor población población de los diferentes sectores productivos sobre el tema de seguridad informática en el país.

✔ Considerando una población limitada (alrededor de 1400 personas que participan activamente en la lista de seguridad SEGURINFO) se ha estimado un error muestral de 7% (confianza del 93%), lo cual nos permite manejar una muestra adecuada cercana a los 178 participantes. Al contar con 223 participantes en la muestra, los resultados presentados son estadísticamente representativos

5

Paises ParticipantesPaises ParticipantesPaises Participantes

85%

0%

0%

0%

0%

0%

0% 3%

1%

11%

Colombia México Venezuela Bolivia

Chile Costa Rica Ecuador España

US No Contestaron

6

Ciudades de ColombiaCiudades de Colombia

57%

3%

1%

1%

1%

7%

0%0%

0%

0%

0%0%

0%

1%

0%

12%

3%

5%6%

Bogota DC Medellín Cali Bucaram anga BarranquillaCartagena Manizales Montería Popayán Valledupar - CesarARMENIA Córdoba Envigado Fusagasuga IbaguéTunja Villavicencio Yopal No Contes taron

7

Sectores ParticipantesSectores Participantes

16,1%

7,3%

17,6%

0,0%

35,8%

2,6%4,7%

0,0%

0,0% 0,0%0,0%

0,0%

0,0%

0,0%16,1%

[ ] Banca [ ] Ingeniería [ ] Industria Informática [ ] Educación [ ] Servicios Públicos/Energía [ ] Gobierno [ ] Seguros [ ] Petróleo

[ ] Transporte [ ] Telecomunicaciones [ ] Farmacéutico [ ] Sin ánimo de lucro [ ] Otro, especifique: [ ]Salud [ ]Manofactura

8

Número de Empleados en la compañíaNúmero de Empleados en la compañía

27%

13%

8%

7% 11%

9%

25%

1 a 50 51 a 100 101 a 200 201 a 300 301 a 500 501 a 1000 más de 1000

9

0

20

40

60

80

100

120

140

2004 2005 2007

2004 59 128 24 2 7

2005 45 100 8 8 10

2007 55 106 21 1 10

Ninguna 1 a 5 6 a 10 11 a 15 más de 15

Personal de Seguridad de la Personal de Seguridad de la InformaciónInformación

10

0

20

40

60

80

100

120

140[ ]

Pro

tecc

ión

de la

red

[ ] P

rote

ger l

os d

atos

críti

cos

de la

org

aniz

ació

n

[ ] P

rote

ger l

a pr

opie

dad

inte

lect

ual

[ ] P

rote

ger e

lal

mac

enam

ient

o de

dat

osde

clie

ntes

[ ]C

onci

entiz

ació

n/fo

rmac

ión

del u

suar

io fi

nal

[ ] C

omer

cio/

nego

cios

elec

tróni

cos

[ ] D

esar

rollo

y a

finam

ient

ode

seg

urid

ad d

e la

sap

licac

ione

s

[ ] A

seso

res

de s

egur

idad

info

rmát

ica

[ ] C

ontra

taci

ón d

epe

rson

al m

ás c

alific

ado

[ ] E

valu

acio

nes

dese

gurid

ad in

tern

as y

exte

rnas

[ ] M

onito

reo

de S

egur

idad

Info

rmát

ica

7x24

[ ] O

tro, e

spec

ifique

:

AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2006 AÑO 2007

Invesión en Seguridad Invesión en Seguridad InformáticaInformática

11

Inclusión de Tópicos en presupuestos en Inclusión de Tópicos en presupuestos en Seguridad por Tamaño de EmpresasSeguridad por Tamaño de Empresas

18,2%

12,4%

6,6%

7,4%

15,7%

12,4%

27,3%

1 a 50 51 a 100 101 a 200 201 a 300 301 a 500 501 a 1000 Más de 1000

12

Pro

tecció

n de l

a red

Pro

teger

los d

atos c

rítico

s de l

a orga

nizació

n

Pro

teger

la pr

opied

ad in

telec

tual

Pro

teger

el alm

acena

miento de

dato

s de

clien

tes

Con

cient

izació

n/for

mación

del u

suar

io fin

al

Com

ercio

/nego

cios e

lectró

nicos

Des

arroll

o y af

inamiento

de se

gurid

ad de

las a

pli...

Ase

sores

de se

gurid

ad info

rmátic

a

Con

tratac

ión de

perso

nal más c

alific

ado

Eva

luacion

es de

segu

ridad

inter

nas y

exter

nas

Mon

itore

o de S

egur

idad i

nform

ática

7 x 2

4

Otro

s

0

5

10

15

20

25

30

35

40

45

50

Servicios FinancierosConstrucción / IngenieríaEducaciónGobierno / Sector públicoSaludManofacturaOtra (Por favor especifique)

Centro de Gastos en Seguridad por sector Centro de Gastos en Seguridad por sector

13

0

5

10

15

20

25

30

35

40

45

ServiciosFinancieros

Construcción /Ingeniería

Educación Gobierno /Sector público

Salud Manofactura Otros

2006 Menos de USD$50.000

2007 Menos de USD$50.000

2006 Entre USD$50.001 y USD$70.000

2007 Entre USD$50.001 y USD$70.000

2006 Entre USD$70.001 y USD$90.000

2007 Entre USD$70.001 y USD$90.000

2006 Entre USD$90.001 y USD$110.000

2007 Entre USD$90.001 y USD$110.000

2006 Entre USD$110.001 y USD$130.000

2007 Entre USD$110.001 y USD$130.000

2006 Más de USD$130.000

2007 Más de USD$130.000

Presupuestos/Proyección en Seguridad Presupuestos/Proyección en Seguridad Informática por SectorInformática por Sector

14

Servicio

s Financ

ieros

Constru

cción /

Ingenie

ría

Educació

n

Gob

ierno / S

ector

público

Salud

Manofa

ctura

Otra

0

5

10

15

20

25

30

35

40

Muy conscientes

Algunas personas son conscientes

Nadie es consciente

Conciencia en Seguridad InformáticaConciencia en Seguridad Informática

15

Servicios Financieros

Cons trucción / Ingeniería

Educación

Gobierno / Sector público

Salud

Manofactura

Otros

13

4

11

8

01

14

5

2 6

4

01

8

9

24 7

01

9

2

1 56

01

6

4

3

24

1

02

2

2 5

5

01

6

4

1 4

4

01 5

4

1 45

01

2

CFE CIFI CIA MCSE/ISA-MCP (Microsoft) Unix/Linux LP1 CISM CISA CISSP

Importancia de las Certificaciones por Importancia de las Certificaciones por SectorSector

16

0

20

40

60

80

100

120

140

[ ] Ning

uno

[ ] Manip

ulació

n de a

plicac

iones d

e soft

ware

[ ] Acce

sos no

autor

izados

al web

[ ] Frau

de

[ ] Viru

s

[ ] Rob

o de da

tos

[ ] Cab

allos de t

roya

[ ] Monito

reo no

autor

izado

del tr

áfico

[ ] Neg

ación d

el ser

vicio

[ ] Pérd

ida de

integ

ridad

[ ] Pérd

ida de

inform

ación

[ ] Phis

hing

[ ] Pha

rming

[ ] Otro

s, esp

ecifiq

ue:

AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2007

Violaciones de Seguridad Más ComunesViolaciones de Seguridad Más Comunes

17

Ninguno

Manipulación de aplicaciones de software

Accesos no autorizados al web

Fraude

Virus

Robo de datos

Caballos de troya

Monitoreo no autorizado del tráfico

Negación del servicio

Pérdida de integridad

Pérdida de información

Phishing

Pharming

Otra

1

1115

3

26

4

13

29

9

17

5

13

01

1

02

02

12

00

01

0

1 5 8

2

19

2 6

1 5

2 7

13

00

1

02

00

00

00

00

0

2 55 8

7

4

2

0 3

1 6

3

01

1 4 8

2

11

2 6

44

4

33

00

12

2

4

4

01

00

2

1

0

Construcción / Ingeniería

Gobierno / Sector público

Servicios Financieros

Manofactura

Educación

Salud

Otra (Por favor especifique)

Violaciones de Seguridad Más Comunes por Violaciones de Seguridad Más Comunes por SectoresSectores

18

Servicios Financieros

Construcción / Ingeniería

Educación

Gobierno / Sector público

Salud

Manofactura

Otra

11

7 12

8

11

28

9

2 5 8

2 5

17

6

1 55

11 6

2

0 6

4

01

110

5

10

15

20

25

30

Entre 4-7

Más de 7

Ninguna

Entre 1-3

Intrusiones o Incidentes Identificados Intrusiones o Incidentes Identificados el año anteriorel año anterior

19

Como se entera de las violaciones de Como se entera de las violaciones de seguridadseguridad

0

10

20

30

40

50

60

70

80

90

[ ] M

ater

ial o

dato

s alte

rados

[ ] A

nális

is de

regis

tros

de a

udito

ría/s

i...

[ ] S

istem

a de

dete

cción

de

intru

sos

[ ] A

lerta

do p

or u

n clien

te/p

rove

edor

[ ] A

lerta

do p

or u

n coleg

a

[ ] S

emina

rios o

con

fere

ncias

Nac

ional.

.

[ ] O

tro, e

spec

ifique:

AÑO 2002

AÑO 2003

AÑO 2004

AÑO 2005

AÑO 2007

20

Servicios Financieros

Construcción / Ingeniería

Educación

Gobierno / Sector público

Salud

Manofactura

Otra

10

5 9

9

1

1

265

34

6

01

14

2

01

2

1

02

1

13

2

1

0

0

3

06

3

2

1

12

5

18

6

2

0

9

3

1 6

5

1

0

10

Material o datos alterados

Alertado por un cliente/proveedor

Alertado por un colega

Seminarios o conferenciasNacionales e internacionales

Otra (Por favor especifique)7

Sistema de detección de intrusos

Análisis de registros deauditoría/sistema dearchivos/registros Firew all

Como se entera de intrusionesComo se entera de intrusiones

21

Notificación de las violaciones de Notificación de las violaciones de seguridadseguridad

0

10

20

30

40

50

60

70

80

90

100

[ ]Asesor legal [ ] Autoridadeslocales/regionales

[ ] Autoridadesnacionales

[ ] Equipo deatención deincidentes

[ ] Ninguno: No sedenuncian

AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2007

22

Notificación de IncidenciasNotificación de Incidencias

Servicios Financieros

Construcción / Ingeniería

Educación

Gobierno / Sector público

Salud

Manofactura

Otra

6

4

13

10

2

0

19

01

13

0

0

0

2

13 6

0

01

2

02

2

00

5

11

3 6

2

12

20

Equipo de atención de incidentes

Asesor legal

Autoridades locales/regionales

Autoridades nacionales

Ninguno: No se denuncian

23

Motivos de No denunciar las violaciones Motivos de No denunciar las violaciones de seguridadde seguridad

0

10

20

30

40

50

60

70

[ ] Pérdida devalor de

accionistas

[ ] Publicación denoticias

desfavorables

[ ]Responsabilidad

legal

[ ] Motivacionespersonales

[ ] Vulnerabilidadante la

competencia

[ ] Otro,especifique:

AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2007

24

Pérdida de valor de accionistas

Publicación de noticias desfavorables en losmedios/pérdida de imagen

Responsabilidad legal

Motivaciones personales

Vulnerabilidad ante la competencia

Otro (Por favor especifique)

4

12

11

1115

10

3 6

27

57

0

0

0

1

1

0

02

1

0

1

1

16

5

0 35

1

1

1

1

0 4

38

5

5

3

3

Servicios FinancierosConstrucción / IngenieríaGobierno / Sector públicoSaludManofacturaEducaciónOtra (Por favor especifique)

Motivos de No denunciar las violaciones Motivos de No denunciar las violaciones de seguridadde seguridad

25

Pruebas de Seguridad RealizadasPruebas de Seguridad Realizadas

31

18

2929 28

15

30

47 4648

4345

37

46

32

27

1920

15

54

[ ] Una al año [ ] Entre 2 y 4 al año [ ] Más de 4 al año [ ] Ninguna

AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2007

26

Servicios Financieros

Construcción / Ingeniería

Educación

Gobierno / Sector público

Salud

Manofactura

Otra

18

32 7

13

56

7

00 3

11 3

12

11 4

4

28

17

3

1

10

5

19

Una al año Entre 2 y 4 al año Más de 4 al año Ninguna

Utilización de las pruebas de seguridad Utilización de las pruebas de seguridad por sectorpor sector

27

Top (10) Herramientas de SeguridadTop (10) Herramientas de Seguridad

Ant

iviru

s

Con

trase

ñas

Fire

wal

ls S

oftw

are

Fire

wal

ls H

ardw

are

Pro

xies

VPN

/IPSe

c

Enc

ripci

ón d

e da

tos

Filtr

o de

paq

uete

s

Firm

as d

igita

les/

certi

ficad

osdi

gita

les

IDS

IPS

Mon

itore

o 7x

24

Bio

mét

ricos

Sm

art C

ards

Otro

AD

S

127 125

97

8173

6558

51 49 44 41 3727 22

7 5

28

Herramientas de seguridad por sectoresHerramientas de seguridad por sectores

Antivirus

Contraseñas

Firew alls Softw are

Firew alls Hardw are

Proxies

VPN/IPSec

Encripción de datos

49

47

38

28

2628

29

2223

15

1518

88

19

19

15

13

12

55

20

19

1317

1117

10

78

7

4

3

34

4

3

3

12

2

1

66

6

3

12

1

Manofactura

Salud

Construcción / Ingeniería

Servicios Financieros

Educación

Gobierno / Sector público

Otra

29

Investigación de la fallas de SeguridadInvestigación de la fallas de Seguridad

0

20

40

60

80

100

120

[ ] Notificaciones deproveedores

[ ] Notif icaciones decolegas

[ ] Lectura de artículos enrevistas especializadas

[ ] Lectura y análisis delistas de seguridad

(BUGTRAQ, SEGURINFO,NTBUGTRAQ, etc)

[ ] No se tiene este hábito.

AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2007

30

Notificaciones de proveedores Notificaciones de colegas Lectura de artículos en revistas especializadas Lectura y análisis de listas de seguridad ...

No se tiene este hábito.

22

20

29

28

14

14

14

14

12

4

10

7 12

8

8

79 12

10

5

1 4 7

2

0

2

2

2

2

1

23

5

5

1

Construcción / Ingeniería

Salud

Manofactura

Educación

Gobierno / Sector público

Servicios Financieros

Otra

Investigacion sectorizada de las fallas Investigacion sectorizada de las fallas de seguridadde seguridad

31

Políticas de Seguridad InformáticaPolíticas de Seguridad Informática

2628

45

32

41

50 50

73

63 64

2824

38

4742

[ ] No se tienen políticas deseguridad definidas

[ ] Actualmente seencuentran en desarrollo

[ ] Política formal, escritadocumentada e informada

a todo el personal

2002 2003 2004 2005 2007

32

Sectorización Políticas de Seguridad Sectorización Políticas de Seguridad InformáticaInformática

Servicios Financieros

Construcción / Ingeniería

Educación

Gobierno / Sector público

Salud

Manofactura

Otra

22

33

1115

46

16

2 7

2

2

13

16

2

16

6

3 7

No se tienen políticas deseguridad definidas

Política formal, escritadocumentada e informadaa todo el personal

Actualmente seencuentran en desarrollo

33

Obstaculos para una adecuada seguridad Obstaculos para una adecuada seguridad informáticainformática

39

2826

23

53

24

36

25

48

28

17

1310

39

26

19

2831

50

25

1715

19

42

11

18

1213

24

1917

23

20

44

13

[ ] In

exis

tenc

ia d

epo

lític

a de

seg

urid

ad

[ ] F

alta

de

tiem

po

[ ] F

alta

de

form

ació

nté

cnic

a

[ ] F

alta

de

apoy

odi

rect

ivo

[ ] F

alta

de

cola

bora

ción

ent

reár

eas/

depa

rtam

ento

s

[ ] C

ompl

ejid

adte

cnol

ógic

a

[ ] P

oco

ente

ndim

ient

ode

la s

egur

idad

info

rmát

ica

[ ] O

tro, e

spec

ifique

:

2003 20022004 20052007

34

Sectorización de los obstáculosSectorización de los obstáculos

Inexistencia de política de seguridad

Falta de tiempo

Falta de formación técnica

Falta de apoyo directivo

Falta de colaboración entre áreas/departamentos

Complejidad tecnológica

Poco entendimiento de la seguridad informática

Cuenta de Otros (Por favor especif ique)

1821

1212

11

7

15

5

10

79 12

11

8

6

3

8

6 811

8

2

12

1

10

56

7

5

4 6

2

1

0

0 22

12

2

22

2

12

0

00

4 7

2 5

3

23

Construcción / Ingeniería

Salud

Manofactura

Servicios Financieros

Educación

Gobierno / Sector público

Otra

35

Contactos para seguir intrusosContactos para seguir intrusos

14

75

1512

68

23

11

99

39

86

42

12

91

44

12

0

20

40

60

80

100

120

[ ] No [ ] No sabe [ ] Si, especifique cuáles:

2002 2003 2004 2005 2007

36

Servicios Financieros

Construcción / Ingeniería

Educación

Gobierno / Sector público

Salud

Manofactura

Otra

14

5

16

14

3 5

34

7

4 77

12

16

5

3

4

Si,

No sabe

No

Contactos para seguir intrusosContactos para seguir intrusos

37

ConclusionesConclusiones

➔Las regulaciones nacionales e internacionales llevarán a las

organizaciones en Colombia fortalecer los sistemas de gestión de la

seguridad de la información, no solamente para cumplir con lo

establecido en la norma ISO 27001, sino en el diseño de sistemas más

resistentes y confiables para los usuarios.

➔El mercado de los profesionales de seguridad de la información

demanda una formación que conjugue la práctica y experiencia

verificable.

➔La formación académica (en programas de educación formal como

especializaciones o maestrías) y la posesión de certificaciones generales

como factores claves y atractivos para los empleadores.

38

ConclusionesConclusiones

➔La inversión en seguridad de la información se encuentra concentrada

en el perímetro de las organizaciones: redes y sistemas de

comunicaciones, mientras los aspectos relacionados con la clasificación

de la información y los dispositivos de almacenamiento móviles aún no

son prioridad dentro de las organizaciones.

➔Mientras que las VPN, los proxies y firewalls son elementos

fundamentales de los mecanismos de seguridad en las organizaciones

colombianas, las herramientas forenses aún no encuentran su lugar y ni

su justificación para incorporarse al discurso de la seguridad informática

en Colombia.

39

ConclusionesConclusiones➔Si bien están tomando fuerza las unidades especializadas en delito

informático en Colombia, es necesario desarrollar esfuerzos conjuntos

entre la academia, el gobierno, las organizaciones y la industria, para

mostrarles a los intrusos que estamos preparados para enfrentarlos.

➔La inexistencia de políticas de seguridad y la falta de tiempo, no

pueden ser excusas para no avanzar en el desarrollo de un sistema de

gestión de seguridad. La inversión en seguridad es costosa, pero la

materialización de la inseguridad puede serlo mucho más. Ud. Decide!

➔Es hora de empezar a medir cuánto nos cuestan los incidentes de

seguridad de la información para avanzar en la construcción del

indicador de retorno de la inversión, como una manera de saber qué

debemos fortalecer, qué debemos desaprender y a qué nos podemos

comprometer en el combate de la inseguridad de la información.

40

ReferenciasReferencias➔AUSCERT (2006) 2006 Australian Computer Crime and Security

Survey. Disponible en: . (Consultado: 6/05/2007)

➔COMPUTER SECURITY INSTITUTE (2006) CSI/FBI Computer Crime

and Security Survey. Disponible en: . (Consultado: 6/05/2007)

➔PRICEWATERHOUSECOOPERS – UK- DTI (2006) Information

Security Breaches Survey 2006. Disponible en: . (Consultado: 6/05/2007)

➔IBM XFORCE (2006) X-Force 2006 Trend Statistics. Disponible en: .

(Consultado: 6/05/2007)

➔ACIS (2007) Seguridad Informática en Colombia Tendencias 2007.

Jeimy J. Cano, Ph.D, CFE