i n v e s t i g a c i n

Encuesta nacional Seguridad informtica en Colombia: Tendencias 20101

Andrs Ricardo Almanza Junco, CISO Coordinador XJNSI
INTRODUCCIN ste ao cumplimos 10 aos viendo la realidad y los diferentes escenarios alrededor de la seguridad en nuestro pas. Observamos un gran esfuerzo considerando la panormica latinoamericana. Es importante resaltar que dentro de este laborioso esfuerzo son significativos los cambios en la forma cmo la seguridad informtica se ha transformado y juega un papel importante dentro de la realidad nacional. Este ao la participacin en la X Encuesta Nacional de Seguridad Informtica fue de 194 personas de los diferentes sectores productivos del pas. Como en el ao anterior, otros pases adelantaron el mismo ejercicio, entre ellos Mxico, a travs de la Universidad del Valle de Atema26 Sistemas

jac (UNIVA), cuyos resultados estn disponibles en el sitio web de dicha institucin. As mismo, Uruguay, Argentina y Paraguay. El anlisis presentado a continuacin est basado en una muestra aleatoria de la encuesta interactiva, realizada a travs de una pgina web dispuesta por la Asociacin Colombiana de Ingenieros de Sistemas (ACIS) para tal fin. Dadas las limitaciones de tiempo y recursos disponibles en la Asociacin, se ha realizado un conjunto de anlisis bsicos, los cuales pretenden ofrecer los elementos ms sobresalientes de los resultados obtenidos para orientar al lector sobre las tendencias identificadas en el estudio. Con esto en mente y considerando otros estudios internacionales como el 2010 Global State of Information

Security Study de PricewaterhouseCoopers (PwC), y el CSI Computer Crime and Security Survey, se proceder a analizar los resultados de la Encuesta Nacional de Seguridad Informtica, ACIS 2010. ESTRUCTURA DE LA ENCUESTA Fue diseado un cuestionario compuesto por 34 preguntas sobre los siguientes temas: Demografa Presupuestos Fallas de seguridad Herramientas y prcticas de seguridad Polticas de seguridad Capital Intelectual

Fallas de seguridad Esta seccin revisa los tipos de fallas de seguridad ms frecuentes; cmo las detectan y a quin las notifican. Por otra parte, identifica las causas por las cuales no se denuncian y si existe conciencia sobre la evidencia digital en la atencin de incidentes de seguridad informtica. Herramientas y prcticas de seguridad informtica En este segmento de la encuesta, el objetivo es identificar las prcticas de las empresas sobre la seguridad, los dispositivos o herramientas que con ms frecuencia utilizan para el desarrollo de la infraestructura tecnolgica y las estrategias que utilizan las organizaciones para enterarse de las fallas de seguridad. Polticas de seguridad Esta seccin busca indagar sobre la formalidad de las polticas de seguridad en la organizacin; los principales obstculos para lograr una adecuada seguridad; la buenas prcticas o estndares que utilizan; los contactos nacionales e internacionales para seguir posibles intrusos. Capital Intelectual Aqu se analiza la situacin de desarrollo profesional en torno a conocimientos relacionados con tareas propias de tecnologas de la informacin: personal dedicado a esta tarea, personal certificado, importancia de
Sistemas 27

Demografa Esta seccin identifica los siguientes elementos Zona Geogrfica Sector de la organizacin Tamao de la organizacin Responsabilidad y responsables de la seguridad Ubicacin de la responsabilidad en la organizacin

Presupuestos Esta parte muestra si las organizaciones han destinado un rubro para la seguridad informtica, y su valor anual. Permite revisar el tipo de tecnologa en el que invierten y un estimado del monto en seguridad informtica.

las certificaciones y los aos de experiencia en el rubro de seguridad informtica Consideraciones de la muestra Considerando una poblacin limitada (alrededor de 2093 personas que participan activamente en la lista de seguridad SEGURINFO) se ha estimado un error muestral de 7% (conDEMOGRAFIA Sectores participantes:

fianza del 93%), lo cual nos permite manejar una muestra adecuada y cercana a los 183 participantes. Al contar con 194 participantes en la muestra, los resultados presentados son estadsticamente representativos. A continuacin se presentan los resultados (en porcentajes) por temas y algunos comentarios relacionados con los datos obtenidos:

2002 (%) 2003 (%) 2004 (%) 2005 (%) 2007(%) 2008(%) 2009(%)

Banca Ingeniera Industria Informtica / TI Educacin Servicios Pblicos/Energa Gobierno / Sector Pblico Seguros Petrleo Transporte Telecomunicaciones Farmacutico Sin nimo de lucro Manufactura Salud Alimentos Consultora Especializada [ ] Otro, especifique: Comercializadora, Vigilancia, Salud, Superintendencia, Consultora, Cementos, Servicios de Seguridad Informtica, Consumo

10,4 6,5 23,4 19,5 3,9 16,9 2,6 0 3,9 6,5 1,3 5,2 -

12,5 2,3 13,6 19,3 5,7 25 8 0 2,3 10,2 0 1,1 -

9,6 6,4 15,1 14,2 1,8 10,5 2,7 1,4 0,5 10,0 1,4 3,7 -

13 4 15 24 3 9 8 0 2 5 2 1 -

16,1 7,3 10,8 17,6 1,5 16,1 0 0 1,5 2,5 0 0 -

16,26 6,90 0 14,78 0 9,85 0 0,49 0 8,37 0 0 3,45 2,46 0,99 -

13.92 6.19 4.12 14.43 2.58 11.86 0 1.03 0.52 4.64 0 0 7.22 3.61 1.03 14.95

33,8

22,7

22,8

20

35,8

36,45

13.92

Comentarios generales: Los resultados muestran una participacin activa de la banca, el sector
28 Sistemas

educativo y el Gobierno, adems del sector de la consultora especializada, cuatro sectores en los que, de acuerdo con las tendencias internacionales,

vienen manifestando la necesidad de contar con una directriz formal en temas de seguridad de la informacin. Adicionalmente, es importante anotar la nueva regulacin en materia de seguridad informtica expedida por la Superintendencia Financiera de No. de empleados de la organizacin
AO 2002 %

Colombia, Circular 052 de 2007, as como la Circular 014 de 2009, que acelerar los cambios previstos para la Banca y el sector financiero en general. A la fecha, se adelantan importantes esfuerzos en el sector financiero para dar cumplimiento con esta directriz.

AO 2003 %
19 13,3 18,1 16,2 16,2 11,4 5,7

1 a 100 101 a 250 251 a 500 501 a 1000 1001 a 2500 2501 a 5000 Ms de 5000

31,4 17,6 10,8 11,8 11,8 8,8 7,8

AO 2004%

AO 2005%
28 19 11 5 12 13 13

AO 2007%
27,3 12,9 7,7 7,2 10,8 9,3 24,7

AO 2008%
31,03 9,36 7,39 7,88 11,33 7,88 25,12

AO 2009%
23,50 4,64 12,37 8,25 9,79 8,76 32,99

1 a 50 51 a 100 101 a 200 201 a 300 301 a 500 501 a 1000 ms de1000

27,9 11,6 13,0 3,3 11,2 11,6 21,4

Comentarios generales: Al igual que en aos anteriores, las industrias medianas y grandes participan con porcentajes similares en la encuesta. La seguridad de la informacin, en la mediana empresa, contina convirtindose en un elemento clave para la

formalizacin de sus estrategias de negocio y en la grande empresa, es evidente que se trata de un tema parte de la gestin misma de la organizacin, dado que las regulaciones internas y tendencias internacionales establecen referentes que no pueden ser ignorados en un contexto globalizado.

Dependencia organizacional del rea de seguridad informtica

2002 % 2003 %
3,9 14,7

2004 %
6,1 10,2

2005 %
7 18

2007 %
4,8 20,5

2008 %
5,56 25,25

2009%
2,58 23,71

Auditora interna Director de Seguridad Informtica

5 11,9

Contina Sistemas 29

Director Departamento de Sistemas/Tecnologa Gerente Ejecutivo Gerente de Finanzas No se tiene especificado formalmente Otro, especifique: Riesgo operativo, Vicepresidencia de Operaciones, Jefe de Telemtica, etc.

60,4 4 0 11,9 6,9

52,9 2 1 22,5 2,9

53,8 1,5 1 18,3 9,1

39 4 0 21 11

44,6 0,6 0 17,5 12

38,89 1,52 2,02 19,7 7,07

46,39 1,55 0 17,01 8,25

Comentarios generales: Los resultados de este ao muestran un aumento significativo del cargo Director Departamento de Sistemas/ Tecnologa. Vale la pena resaltar que disminuyen en forma moderada, las organizaciones que no tienen formalmente especificada la dependencia del tema de seguridad de la informacin. Segn se observa en los datos, la seguridad de la informacin conCargos que respondieron la encuesta
2002 % 2003 %
6,7 8,6 15,2 3,8 46,7 2,9 -

tina ganando terreno, pero es necesario afinar el discurso, tanto de las reas de seguridad como de tecnologa, para que sus propuestas se afinen con los procesos de negocio y no estrictamente con los elementos tecnolgicos y de infraestructura, toda vez que esta rea contina teniendo un matiz eminentemente tecnolgico y operacional, lo que limita su participacin en decisiones de negocio o estrategias de las organizacin.

2004 %
9,8 5,2 8,2 8,8 44,8 4,1 -

2005 %
5 6 14 11 36 4 -

2007 %
7,2 3,6 10,2 12,7 36,1 1,2 -

2008 %
5,56 3,03 11,11 9,60 36,87 5,05 5,05

2009%
4,12 2,06 11,86 13,92 30,41 8,25 5,15

Presidente/Gerente General/ Director Ejecutivo Director/Vicepresidente Director/Jefe de Seguridad Informtica Profesional del Departamento de Seguridad Informtica Profesional de Departamento de Sistemas/Tecnologa Auditor Interno Asesor Externo Otro, especifique: Director de Investigacin y Desarrollo, Investigador criminalstico, Gerente de proyectos, Consultor de seguridad.

8,5 16 11,3 11,3 35,8 2,8 -

14,2

16,2

19,1

24

27,1

21,21

21,65

30 Sistemas

Comentarios generales: Los resultados de este ao continan marcando la seguridad informtica dentro del rea de tecnologas de informacin, pero con algo interesante, un incremento de profesionales en seguridad informtica con un fuerte nfasis en el tema de infraestructura y operacin. Un ligero aumento en la participacin de los gerentes o directores de seguridad; muestra que este cargo, comienza a tener un lugar importante dentro de la organizacin. De igual forma, la participacin de la alta gerencia a pesar de ser limitada en los resultados de este ao, contina hacindose presente y reflejando que el tema es de su inters, pero en el contexto del negocio. Nuevamente se insiste en la necesidad de abrir espacios de comunicacin bidireccionales, entre la gerencia del negocio y la de seguridad de la informacin, para avanzar en una reflexin coordinada que beneficie a la organizacin y al rea de seguridad. PRESUPUESTO El presupuesto global de su organizacin, incluye aspectos de seguridad de la informacin, y cul es el

valor porcentual del presupuesto global?

2009

Si No

78,35% 21,65%

Valores porcentuales de la inversin cuando se hace

2009 %

Entre el 0 y el 2% Entre el 3 y el 5% Entre el 6 y el 8% Entre el 9 y el 11% Ms del 11% (en blanco)

30,26 26,32 19,08 10,53 12,50 1,32

Comentarios generales: Esta es una nueva pregunta introducida, con el propsito de observar qu suma del presupuesto se invierte en los temas de seguridad de la informacin. Es importante resaltar que dicha inversin en las organizaciones, es una tendencia que muestra el entendimiento de proteger la informacin. En el momento de ver las cifras, observamos que ms del 75% de las respuestas indica inversiones menores del 8% del presupuesto global y un inters moderado por la proteccin de la informacin.

En qu temas se concentra la inversin en seguridad informtica?

2002 % 2003 %
22,7 19,5 3,7

2004 %
20,6 18,8 6,1

2005 %
19 18 6

2007 %
74,1 62 21,1

2008 % 2009 %
75,9 61,1 30 81,4 59,8 69,1 24,2

Proteccin de la red Seguridad de la Informacin Proteger los datos crticos de la organizacin Proteger la propiedad intelectual

19,3 19,8 8,9

Contina Sistemas 31

Proteger el almacenamiento de datos de clientes Concientizacin/formacin del usuario final Comercio/negocios electrnicos Desarrollo y afinamiento de seguridad de las aplicaciones Asesores de seguridad informtica Contratacin de personal ms calificado Evaluaciones de seguridad internas y externas Monitoreo de Seguridad Informtica 7x24 Cursos especializados Cursos de formacin usuarios en seguridad informtica Plizas de cibercrimen Otro, especifique: Ninguno, Capacitacin, auditora, certificaciones de seguridad, continuidad del negocio

12,8 7,8 4,7 9,4 5,5 1,8 9,9 0,3

13,7 7,4 4 10,3 5,8 1,8 9,8 1,3

11,7 9,2 6,5 8,1 6,3 2,0 9,6 1,1

12 8 5 11 7 3 4 0

47,6 28,3 10,8 27,1 20,5 13,9 25,9 25,3 27,1

47,8 33,5 21,2 31 23,2 11,3 25,1 25,6 25,6 15,3 4,43 6,4

42,2 26,8 14,4 24,2 12,4 25,3 23,7 18,6 10,8 5,2 3,1

Comentarios generales: Los resultados de este ao reafirman la tendencia de la inversin en seguridad concentrada en la zona perimetral, en las redes y sus componentes, as como la proteccin de datos crticos de la organizacin. Llama la atencin la aparicin del tema de seguridad de la informacin, como un elemento emergente que se empieza a imponer a nivel nacional. Es un nuevo control que desea abarcar la proteccin de la organizacin como un proceso de

mejoramiento continuo, que ofrezca mayor confianza. Los dems tems, en sus debidas proporciones, tienen disminuciones que se reafirman con las encuestas internacionales, en las que pese a la crisis econmica mundial, las inversiones en las diferentes temticas de proteccin de la informacin, se mantienen con disminuciones moderadas. Las notorias bajas en concientizacin y entrenamiento de usuario final, as como de personal dedicado a la seguridad, se refuerzan en el CSI Computer Crime Security Survey 2009.

Presupuesto previsto para seguridad informtica 2009

2003 % 2004 %
58,1 15,2 5,7

2005 %
50 21 6

2007 %
67,9 12,7 7,3

2008 %
58,33 15,10 4,69

2009 %
55,7 21,6 6,7

Menos de USD$50.000 Entre USD$50.001 y USD$70.000 Entre USD$70.001 y USD$90.000

64,3 12,2 3,1

Contina

32 Sistemas

Entre USD$90.001 y USD$110.000 Entre USD$110.001 y USD$130.000 Ms de USD$130.000

3,1 4,1 13,3

6,7 3,8 10,5

8 3 12

1,8 3 7,3

5,21 4,17 12,50

4,1 3,6 8,2

Comentarios generales: Es interesante ver cmo existe para este ao una leve disminucin de la inversin en seguridad, en la franja menor de los USD$50.000, pero se siguen presentando crecimientos importantes entre los USD$50.000 a $70.000. Esto se apalanca en la cantidad de normativas y regulaciones alrededor de la industria nacional, que motiva la inversin en mayores recursos para la proteccin de la informacin. En las dems franjas de inversin, se observa una disminucin leve, a excepcin de la franja de los USD$130.000, que puede deberse a los efectos de las crisis econmicas mundiales y a que en aos anteriores se han venido realizan-

do inversiones de este tipo, que hoy, se pueden mantener con unos niveles ms bajos de inversin. La encuesta 2009 Computer Crime and Security Survey, as como La encuesta de seguridad realizada por PricewaterhouseCoopers Global Information Security State 2010, muestran que las empresas norteamericanas disminuyeron su inversin en seguridad informtica y los encuestados entre el 7% al 10% esperaban que disminuyeran sus inversiones en seguridad, en el corto plazo (6 meses). Esto debido a las tensiones de los mercados internacionales y las cadas de las principales bolsas del mundo que afectaron las utilidades de las empresas.

Presupuesto previsto para seguridad informtica 2010

2007 % 2008 %
50,52 19,27 7,29 5,73 5,73 11,46

2009%
49,48 19,07 11,34 4,64 3,61 11,86

Menos de USD$50.000 Entre USD$50.001 y USD$70.000 Entre USD$70.001 y USD$90.000 Entre USD$90.001 y USD$110.000 Entre USD$110.001 y USD$130.000 Ms de USD$130.000

61,8 13,3 4,8 6,1 1,8 12,1

Comentarios generales: Las proyecciones de las organizaciones en los temas de inversin en seguridad sugieren unos incrementos leves para el 2010. Se nota un considerable incremento en la franja de los $USD70.000 hasta los USD$90.000, orientado fundamentalmente a cum-

plir con normatividad de obligatorio cumplimiento, certificaciones de procesos de misin crtica y temas de plizas de seguro, frente a temas de cibercriminalidad. Estas inversiones, generalmente desarrolladas por la Banca, el sector de telecomunicaciones y la grande empresa, establecen un referente base para la dinmica
Sistemas 33

empresarial del pas, que le dice a cada uno de los sectores productivos que, la seguridad de la informacin no es un tema de los informticos y requiere el concurso de la gerencia y el rea de tecnologas de la informacin, para alcanzar las metas propuesta. En el informe 2010 Global State of Information Security Study de Price waterhouseCoopers,sobresalen como direccionadores de la inversin en seguridad, la continuidad de negocio, el cumplimiento de regulaciones y normativas internas y externas, adems de la proteccin de la reputacin de la empresa. Esto sumado a que la gran crisis econmica mundial ha causado presin fuerte sobre los presupuestos destinados a la proteccin de la informacin, obligando a los gerentes de seguridad a ser selectivos con los programas definidos en pro de la proteccin de la informacin. Reconocimiento por parte de la organizacin de la informacin como un activo a proteger
2008 2009 %
56,70% 37,11% 6,19%

que hay un conocimiento colectivo de lo que la informacin representa y la forma de apoyarse en la tecnologa, como elemento de vital importancia. FALLAS DE SEGURIDAD Conciencia en seguridad de la informacin y el uso de buenas prcticas
2008% 2009 %
69,49% 24,29% 3,95% 2,26%

Algunas personas son conscientes Muy conscientes Nadie es consciente No sabe

61,60 26,10 8,40 3,90

Comentarios generales: La tendencia nos muestra cmo las organizaciones, poco a poco, han venido abordando el tema de la seguridad de la informacin y el uso de buenas prcticas en su proteccin. Se observa una disminucin importante en la falta de conciencia frente al uso de las buenas prcticas; en este escenario es vlido por los diferentes avances que en trminos de regulacin existen, temas como las normativas de la Superintendencia Financiera, la Circular 014 de control interno, as como los estndares internacionales los cuales contribuyen a mirar la seguridad de la informacin, como un elemento de conciencia corporativa. Intrusiones o incidentes de seguridad identificados en el ao
2008% 2009 %
24,86 45,76

Si Slo algunas personas No

40,80% 48,20% 11,00%

Comentarios generales: Este cuestionamiento muestra que hay una tendencia importante en entender la informacin como un activo de valor dentro de la organizacin; un aumento significativo muestra la importancia que la informacin tiene como activo de valor en el negocio; se confirma
34 Sistemas

Ninguna Entre 1-3

20,70 44,40

Contina

Entre 4-7 Ms de 7

15,00 19,80

15,82 13,56

Comentarios generales: Estos resultados muestran cmo las intrusiones se han venido identificando y tratado ms del 70%, lo que indica que hay un monitoreo continuo buscando ser ms reactivo, frente a un panorama que pareciera no tener fin. Esto se refuerza en el Tipos de fallas de seguridad
2002 %

2009 Computer Crime and Security Survey, donde explicitan el aumento de las incidencias y, sobre todo, aquellas de tipo financiero, as como el malware en trminos generales aumenta su propagacin. Este panorama nos invita a fortalecer los escenarios de proteccin de la informacin y a buscar el esfuerzo continuo para controlar las incidencias y disminuir su efecto dentro de las organizaciones.

2003 %
8,7 4,3 10,6 3,9 33,3 3,9 4,8 7,7 7,2 3,9 10,1 1,4

2004 %
6,6 5,8 9,4 1,8 34,9 2,6 10,0 5,8 7,6 2,9 10,5 2,1

2005 %
9 8 10 5 29 2 11 8 7 3 7 1

2007 %
5,3 24,8 35,4 13,3 62,8 10,6 29,2 7,1 21,2 12,4 24,8 17,7 3,5 6,2

2008 %
2,46 14,8 26,6 6,4 41,9 7,39 16,7 9,36 13,8 4,93 11,3 13,50 11,8 1,48 40,9 21,00 1,97

2009%
11,9 11,9 26,3 6,2 56,2 4,6 20,6 8,8 12,9 3,1 13,9 5,2 10,8 0,0 52,6 0,0 22,7 2,7

Ninguno Manipulacin de aplicaciones de software Accesos no autorizados al web Fraude Virus Robo de datos Caballos de troya Monitoreo no autorizado del trfico Negacin del servicio Prdida de integridad Prdida de informacin Suplantacin de Identidad Phising Pharming Software no autorizado Espionaje Fuga de Informacin Otros, especifique: prdida de laptops, acceso no autorizado a equipos, fuga de informacin, spyware.

5,4 4,5 14,8 4 33,6 3,6 4,9 4,9 6,3 6,7 9,4 1,8

Comentarios generales: Estos resultados continan presentando el cdigo malicioso, el soft-

ware no autorizado y los accesos no autorizados al web, como las fallas ms frecuentes en Colombia. Estos datos se refuerzan con informes, taSistemas 35

les como el documento OWASP Ton Ten, donde muestran los errores comunes en los temas de aplicaciones web que estn siendo aprovechados por los atacantes. De igual manera, el 2009 Computer Crime and Security Survey refleja al malware, como la mayor causa de infecciones de la actualidad. Es importante llamar a los diferentes sectores desarrolladores, administra-

dores y el nivel de gestin, para realizar un frente comn de proteccin, tendiente a escribir cdigos pensados en la seguridad de las aplicaciones, en la administracin de plataformas que contemplen la administracin de seguridad, dentro de sus procedimientos, y la gestin con un modelo estructurado que pueda medir qu tan efectivas puedan llegar a ser las medidas de proteccin que la organizacin est implementando.

Identificacin de las fallas de seguridad informtica

2002 % 2003 %
22,6 27 10,2 16,8 12,4 2,9 8

2004 %
19,3 26,0 17,3 10,0 13,7 7,0 6,7

2005 %
14 29 17 11 9 8 12

2007 %
23 54 29,2 27,4 23,9 7,1 7,1

2008%
20,1 33 21,18 19,70 14,77 4,92 37,80 4,43

2009%
19,1 38,7 28,9 17,40 14,9 4,1 40,2 12,4

Material o datos alterados Anlisis de registros de auditora/ sistema de archivos/registros Firewall Sistema de deteccin de intrusos Alertado por un cliente/proveedor Alertado por un colega Seminarios o conferencias Nacionales e internacionales Notificacin de un empleado/ Colaborador Otro, especifique: revisin manual, prdida del servicio, auditorias

24,2 28,8 9,2 16,3 11,1 3,9 6,5

Comentarios generales: Vemos cmo las tecnologas reactivas o de proteccin de permetro son las fuentes primarias para la deteccin de posibles fallas de seguridad en las infraestructuras de computacin. As mismo, contina mostrando al colaborador de las organizaciones, como un gran aliado a la hora de identificar fallas de seguridad informtica. Si

esto es correcto, el anlisis del incidente es la accin seguida para confirmar o no la presencia de un intruso o falla en el sistema. La interaccin con colegas y proveedores son la fuente de mayor informacin, sobre el anlisis de la situacin que se ha presentado. El intercambio de experiencia a travs de listas de seguridad en Colombia es una tendencia emergente.

36 Sistemas

Notificacin de un incidente de seguridad informtica

2002 % 2003 %
9,5 3,8 5,7 32,4 34,3 14,3

2004 %
10,6 2,1 1,6 21,8 50,5 13,3

2005 %
13 7 9 21 43 7

2007 %
9,7 11,5 4,4 39,8 47,8 -

2008%
11,82 5,41 5,41 24,63 30,04 -

2009%
17,0 5,2 6,7 40,2 29,9 10,8

Asesor legal Autoridades locales/regionales Autoridades nacionales Equipo de atencin de incidentes Ninguno: No se denuncian [ ] Otro

13,9 5,9 3 23,8 39,6 13,9

Comentarios generales: Los datos de este ao muestran un incremento en la vinculacin de los asesores legales en temas asociados con incidentes de seguridad. Esto puede sugerir una mayor comunicacin entre las reas tcnicas y los abogados de las reas jurdicas, para adelantar un trabajo en equipo ms coordinado y formal. As mismo, un incremento importante de organizaciones muestra avances significativos en la tenencia de grupos de atencin de incidentes de seguridad informtica, lo que indica que se avanza en la preocupacin por atender los incidentes de seguridad, como lo muestran las tendencias Si decide no denunciar

internacionales al momento de revelar la importancia de los grupos de atencin de incidentes dentro de las organizaciones. De otra parte, preocupa el 30% que no denuncia el incidente, porque es necesario avanzar en la formacin de especialistas en Derecho Informtico, en el fortalecimiento de la legislacin sobre delincuencia informtica y en la formacin de especialistas en informtica forense, como estrategias para enfrentar la amenaza creciente del cibercrimen. Es de resaltar la labor que actualmente adelanta la Unidad de Delitos Informticos de la DIJIN en la Polica Nacional, as como sus semejantes en el DAS y en la Fiscala General de la Nacin.

2002 % 2003 % 2004 % 2005 % 2007 % 2008 % 2009%

Prdida de valor de accionistas Publicacin de noticias desfavorables Responsabilidad legal Motivaciones personales Vulnerabilidad ante la competencia Otro, especifique: manejo interno de la empresa, desconocimiento

2,5 30 13,8 16,3 17,5 20

7,1 26,3 10,1 14,1 20,2 22,2

5,6 24 11,6 17,6 20,4 20,8

8 15 14 20 16 27

10,7 31,2 22,3 22,3 25 26,8

6,93 24,27 11,56 15,60 22,54 19,07

6,7 26,3 17,0 22,7 19,1 22,7

Comentarios generales: La publicacin de noticias desfavorables, el desconocimiento sobre el

tema y sus procedimientos, as como la responsabilidad legal, son las tendencias ms significativas de los resultados en esta parte de la encuesta.
Sistemas 37

La administracin de riesgos de seguridad informtica, articulados con aquellos identificados para los procesos de negocio, debe ser un imperativo que produzca sistemas de gestin de seguridad y de proceso ms resistentes, resilentes y confiables. Es importante anotar, que cada vez ms se establecen legislaciones o estndares de aplicacin obligatorios, como medidas para procurar un proceso continuo de administracin de los riesgos de la seguridad de la informacin. Algunos ejemplos son la nueva norma de la Superfinanciera de Colombia sobre seguridad informtica, el FISMA (Federal Information Security Management Act) y las directrices del ENISA Europeo. Conciencia de la evidencia digital, y su tratamiento en la atencin de incidentes
2008 % 2009%
61,36 19,89 18,75

Existen procedimientos formales para la administracin de la evidencia digital

2008% 2009 %
50,94% 33,96% 15,09%

No Si No Sabe

51,50 30,90 17,60

Comentarios generales: Los tems anteriores nos muestran que existe preocupacin por el tratamiento de los incidentes relacionados con la seguridad de la informacin. Los segundos resultados reflejan que aunque existe la preocupacin por atender y tratar los incidentes, no hay claridad en los procedimientos formalmente definidos dentro de las organizaciones, para tener consistencia en caso de un requerimiento judicial. Hecho que pone de manifiesto la necesidad de mejorar las prcticas de tratamiento de evidencia digital y de la formalidad dentro de las organizaciones, para el manejo de estos temas, de manera de estar preparados para cualquier requerimiento de los entes judiciales.

Si No No sabe

37,68 15,14 11,97

HERRAMIENTAS Y PRCTICAS DE SEGURIDAD No. de pruebas de seguridad realizadas

2002 % 2003 %
28,4 27,5 14,7 29,4

2004 %
29,4 28,8 11,9 30,0

2005 %
30 30 14 26

2007 %
31,3 21,8 10,2 36,7

2008 %
28,02 29,67 10,99 31,32

2009%
27,84 27,32 8,76 36,08

Una al ao Entre 2 y 4 al ao Ms de 4 al ao Ninguna

25,7 29,5 17,1 27,6

38 Sistemas

Comentarios generales: Los resultados de esta seccin son contrastantes. Por un lado, una buena parte de la poblacin adelanta al menos una prueba al ao, mientras el 36% no hace ningn esfuerzo en ese sentido. Estas cifras motivan la reflexin sobre la inseguridad de la informacin, ese dual que constantemente cambia y nos hace pensar sobre las posibilidades a travs de las cuales Mecanismos de seguridad

los intrusos pueden materializar sus acciones. Las pruebas no van a agotar la imaginacin o las posibilidades que tienen los atacantes, para vulnerar las infraestructuras, pero s nos dan un panorama de lo que pueden hacer y nos ayudan a evitar el sndrome de la falsa sensacin de seguridad. Por tanto, no hacerlo es arriesgarse a formar parte de las estadsticas conformadas por quienes consideran que la seguridad es slo un referente tecnolgico.

2002 % 2003 % 2004 % 2005 % 2007 % 2008 % 2009%

Smart Cards Biomtricos (huella digital, iris, etc.) Antivirus Contraseas Cifrado de datos Filtro de paquetes Firewalls Hardware Firewalls Software Firmas digitales/certificados digitales VPN/IPSec Proxies Sistemas de deteccin de intrusos Monitoreo 7x24 Sistemas de prevencin de intrusos Sistemas de deteccin de anomalas - ADS Firewalls de aplicaciones web - WAF Administracin de Logs Herramientas de validacin de cumplimiento con regulaciones internacionales Monitoreo de Bases de Datos Otro, especifique: antispyware, antispam, honeypots, inForce, monitoreos transaccionales

4 2,1 0 21,6 10,2 7,4 8,8 8,6 3,3 7,2 16,3 6 3,7 0,7

1,8 1,9 17,6 16,2 7,8 5,6 8,5 11,1 4,4 5,5 10,9 5,3 2,8 0,5

2,4 1,6 16,2 15,9 7,7 6,3 8,5 11,5 3,5 5,5 11,1 5,9 3,5 0,3

3 2 14 13 7 7 8 12 5 7 11 7 3 1

15 18,4 86,4 85 39,5 34,7 55,1 66 33,3 44,2 49,7 29,9 25,2 27,9 3,4 4,8

11,3 19,7 76,4 78,3 42,9 28,1 49,3 58,1 27,6 51,2 54,2 27,1 22,7 20,7 4,93 22,2 26.6 8,8 -

13,9 16,0 77,8 75,8 41,2 30,9 55,7 52,6 34,5 54,1 44,8 30,9 19,1 27,3 7,2 21,6 26,3 7,2 23,7 3,1

Sistemas 39

Comentarios generales: Esta seccin muestra los antivirus, contraseas, firewalls de hardware, sistemas de deteccin y prevencin de intrusiones dentro de los top de herramientas utilizadas. Como dato importante se observa este ao un alza importante en los sistemas de firmas digitales o certificados digitales. Dichas tendencias son semejantes con las presentadas por el 2009 CSI Computer Crime and Security, sobre las

tecnologas ms sobresalientes: los antivirus, los firewalls, las VPN y los sistemas antispyware, as como todo lo que le de visualizacin dentro de las organizaciones. Ejemplo de ello son los tableros de control de seguridad. Segn un informe de Check Point Sofwtare Tecnologies, el 85% de los encuestados confa en las herramientas de cifrado de datos, como el mecanismo de proteccin de los datos corporativos.

Cmo se entera de las fallas de seguridad?

2002 % 2003 % 2004 % 2005 % 2007 % 2008 % 2009%

Notificaciones de proveedores Notificaciones de colegas Lectura de artculos en revistas especializadas Lectura y anlisis de listas de seguridad (BUGTRAQ, SEGURINFO, NTBUGTRAQ, etc.) No se tiene este hbito.

23,7 24,2 26,8 16,2 9,1

23,8 20,3 26,4 18,5 11

21,2 22,9 28,8 20,0 7,1

23 19 24 26 8

39,5 40,1 55,1 45,6 22,4

33,49 36,94 49,75 43,84 20,19

38,1 33,5 52,1 45,9 14,9

Comentarios generales: Los vnculos entre las empresas prestadoras de servicios de seguridad y las organizaciones se han fortalecido y muestran un incremento interesante, a la hora de notificacin de las fallas de seguridad. De igual manera, el tem ms importante es la lectura POLTICAS DE SEGURIDAD

de artculos y revistas especializadas. Tambin vale la pena resaltar que, los usuarios encuestados dicen dedicarle ms tiempo a las listas de seguridad como SEGURINFO, entre otras. La lista de seguridad contina creciendo y en este momento cuenta con ms de 2000 participantes, desde su fundacin en el ao 2000.

Estado actual de las polticas de seguridad

2002 % 2003 %
27,5

2004 %
28,8

2005 %
23

2007%
27,9

2008 %
22,53

2009%
16,15

No se tienen polticas de seguridad definidas

25

Contina

40 Sistemas

Actualmente se encuentran en desarrollo Poltica formal, escrita documentada e informada a todo el personal

48,1 26,9

49 23,5

46,8 24,4

44 33

43,5 28,6

45,05 32,42

49,69 34,16

Comentarios generales: Ms del 66% de las empresas en Colombia no cuentan con una poltica de seguridad definida formalmente o se encuentran en desarrollo. Esta cifra muestra que, a pesar del avance en las tecnologas de seguridad de la informacin, las polticas de seguridad an requieren un esfuerzo adicional

conjunto, entre el rea de negocio y la de tecnologa. La seguridad de la informacin por reaccin y como apoyo a las funciones de negocio, es ms costosa en el largo plazo. Mientras una funcin de seguridad articulada con las estrategias de negocio y vinculada a la visin de los clientes, puede generar mucho ms valor y asimilar mejor las fallas de seguridad que se presenten.

Principal obstculo para desarrollar una adecuada seguridad

2002 % 2003 % 2004 % 2005 % 2007 % 2008 % 2009%
Inexistencia de poltica de seguridad Falta de tiempo Falta de formacin tcnica Falta de apoyo directivo Falta de colaboracin entre reas/ departamentos Complejidad tecnolgica Poco entendimiento de la seguridad de la informacin Poco entendimiento de los flujos de informacin Otro: Asignacin presupuestal, falta de recurso humano, cultura de la empresa 20 17,1 12,1 13,6 12,1 12,9 12,1 22,7 14 16,3 15,1 14,5 6,4 11 17,0 23,5 8,5 18,3 9,8 7,8 15,0 16 18 7 23 13 9 14 36,1 32,7 26,5 34 28,6 16,3 29,9 8,8 10,40 12,70 10,10 18,50 14,00 7,50 14,00 4,20 5,50 16,15 15,00 6,25 13,13 8,13 11,25 19,38 3,75 6,88

Comentarios generales: La falta de tiempo, la inexistencia de una poltica de seguridad de la informacin, la complejidad tecnolgica y el poco entendimiento de la seguridad de la informacin son los rubros ms sobresalientes en esta seccin. Es de resaltar que ya hay un mayor apoyo

de la direccin en las organizaciones, por contar con un proceso estructural de seguridad de la informacin, orientado a brindar soporte a las acciones importantes y de valor que las compaas pueden crear en su ciclo de vida. No entender la seguridad de la informacin, significa no involucrarla dentro del contexto de negocio, y el
Sistemas 41

poco esfuerzo ejercido por los profesionales del rea, para inspirar el inteContactos para seguir intrusos
2002 % 2003 %
11,7 66 22,3

rs y la integracin entre el proceso y la proteccin de la informacin.

2004 %
7,4 66,4 26,2

2005 %
61 30 9

2007 %
8,2 61,9 29,9

2008 %
7,69 64,29 28,02

2009%
9,32 54,04 36,65

Si No No sabe

13,5 72,1 14,4

Autoridades que se contactan

Autoridades 2008 %
7,14 21,43 7,14 7,14 7,14 7,14 7,14 7,14 7,14 7,14 7,14 7,14

2009%
0,62 1,86 0,62 0 0 0 0 0 0 0,62 0,62 0,62

DAS - ATA Dijin Fiscala, Polica Nacional HTCIA interpol, Interpol, Das, Dijin ori, minint OSRI Si SIJIN Sijin, DAS Unidad de delitos Informticos DAS

En este punto la Academia, los gremios, el Gobierno, los proveedores y los usuarios deben organizarse en un frente comn, para construir estrategias de combate del crimen organizado y modelos de seguridad resistentes a los embates hacia la informacin. Adicionalmente, es necesario establecer acuerdos interinstitucionales con entes de Polica Judicial, para actuar frente a una conducta punible en medios informticos. Estndares y buenas prcticas en seguridad informtica y regulaciones en seguridad de la informacin
Estndar o Buena Prctica 2008 %
45,80 5,20 23,40 5,20 2,3 12,30 2,3 7,10 7,50 3,90 26.90 37,70 10,20

Comentarios generales: Si el escenario real es no denunciar los incidentes de seguridad, en los que la tecnologa se ve involucrada, es menos factible que existan contactos claros para trabajar las investigaciones judiciales frente a esos incidentes. Las razones existen y contemplan desde el desconocimiento, hasta riesgos para la organizacin. Hay que agregar que en Colombia existe una legislacin sobre los delitos informticos, que ha avanzado frente a las amenazas electrnicas. Seguir un proceso de esta naturaleza puede ser ms costoso y con pobres resultados.
42 Sistemas

2009 %
49,0 2,6 21,6 5,2 3,1 14,4 0,5 5,2 5,2 2,6 35,1 12,9 22,2 7,7

ISO 27001 Common Criteria Cobit 4.1 Magerit Octave Guas NIST Guas ENISA Top SANS OSSTM ISM3 ITIL Servicios de Auditora Especializada No se consideran Otra

Norma

2008%
48,11 10,37 19,81 12,73 8,96

2009%
38,7 10,8 34,0 7,2

Ninguna Sarbanes Oxley Superintendencia Financiera CRT Otra

Comentarios generales: Esta pregunta muestra que en Colombia, ISO/IEC 27001, Cobit, Nist, e ITIL son las prcticas ms utilizadas en el rea de seguridad de la informacin dentro de las organizaciones. CAPITAL INTELECTUAL

Su utilizacin implica crear procesos metdicos de trabajo para construir modelos adecuados de proteccin de la informacin en las organizaciones. En la segunda seccin sobre las regulaciones aplicables a las organizaciones, muestra que los esfuerzos en seguridad de la informacin son parciales y sectorizados, lo que implica que se requiere una dinmica similar a la de la Banca, para generar un esfuerzo comn, en procura de una cultura hacia la seguridad de la informacin, ms homognea y dinmica.

No. de personas dedicadas a seguridad informtica

AO 2002 % AO 2003 %
90,6 6,6 1,9 0,9 0

Diferencia Porc.
0,3 2,7 2 0,9 1,9

1 a 10 11 a 20 21 a 50 Ms de 50 Ninguna

90,3 3,9 3,9 0 1,9

AO 2004 %

AO 2005 %
26 58 5 5 6

AO 2007 %
28,6 54,9 10,9 0,5 5,2

AO 2008 %
23,65 62,56 8,37 1,97 3,45

ANO 2009%
28,21 58,97 5,13 3,21 4,49

Ninguna 1a5 6 a 10 11 a 15 ms de 15

26,8 58,2 10,9 0,9 3,2

Comentarios generales: Los resultados de este ao nos muestran una leve disminucin en el personal dedicado (1 a 5), y leves aumentos en otras franjas (11 a 15 y ms de 15). Dichos aumentos indican que las grandes empresas estn ms preocupadas por dedicar recursos a la seguridad de la

informacin, considerando las exigencias internacionales y las regulaciones nacionales existentes. No deja de preocupar el 28,21% que no tiene ninguna persona dedicada con exclusividad al tema de seguridad, lo que sugiere que existe un nmero importante de empresas que todava no dedican formalmente recursos en esa direccin.
Sistemas 43

Aos de experiencia requeridos para trabajar en seguridad informtica

2007 % 2008 %
8,39 7,1 39,9 51,61

2009%
2,56 5,77 41,67 50,00

Ninguna Menos de un ao de experiencia Uno a dos aos Ms de dos aos

6.6 10,7 38,5 44,3

Comentarios generales: La tendencia de estos tres aos nos muestra que es necesario para las empresas colombianas poseer recursos con experiencia entre uno a dos aos, como base para trabajar en los temas de seguridad de la informacin.

El estudio de este ao refleja que el 91% de los encuestados considera importante la experiencia de las personas dedicadas a la seguridad de la informacin, y una disminucin de quienes consideran que los recursos humanos ocupados en tales temas, no deben tener experiencia en esa rama.

Certificaciones en seguridad informtica

2007 % 2008 %
57,90 20,50 13,80 11,80 4,0 4,0 8,40 5,91 13,8

2009%
46,4 15,5 10,8 13,4 3,6 4,1 6,7 3,6 6,2 1,0 11,9

Ninguna CISSP CISA CISM CFE CIFI CIA GIAC SANS Security+ NSA IAM/IEM Otras: Especializaciones en Auditora de Sistemas, Especializaciones en Seguridad Informtica, Diplomados en Seguridad Informtica, Auditor Lder BS7799, Certified Ethical Hacking, CCNA, CCSP, GSEC, MCSE, etc.

60,3 20,7 14,9 9,9 0,8 5,8 10,7 18,2

Comentarios generales: En este ao vemos una disminucin moderada en el personal que dice no contar con certificaciones de seguridad de la informacin. Un aumento moderado se refleja en la certificacin CISM, certificaciones orientadas
44 Sistemas

a los temas de gerencia de la seguridad de la informacin. Se mantiene un inters por la certificacin CISSP. Esto resultados reiteran el llamado a la Academia para atender la demanda de formacin en estas reas, nuevo perfil exigido por las organizaciones para fortalecer sus esquemas de segu-

ridad y control, de cara a la exigencia de un escenario globalizado. Dentro del grupo de las otras certificaciones, es importante resaltar que algunos encuestados hablaron de CEH, como una certificacin importante, a la hora

de trabajos con la seguridad de la informacin. En tal sentido, lo que se est buscando son especialistas certificados en ethical hacking, una tendencia local en aumento, que requiere especialistas formados en la materia.

Importancia de contar con certificaciones en seguridad informtica

2007 Muy importante %
46 25 31 19 21 23 17 23

Importante %
39 38 49 37 36 38 33 30

No es importante %
10 26 13 33 31 26 34 33

No sabe%
5 10 8 11 12 13 15 14

CISSP CISA CISM CFE CIFI CIA MCSE/ISA-MCP Unix/Linux LP1

2008

Muy importante %
51,03 25,74 40,15 22,9 23,62 16,94 22,83 31,78 31,78

Importante %
38,62 53,68 44,53 42,75 43,31 49,19 37,01 37,21 34,88

No es importante %
3,45 11,03 5,84 19,08 22,83 20,97 27,56 20,93 14,73

No sabe%
6,90 9,56 9,49 15,27 10,24 12,90 12,60 10,08 18,60

CISSP CISA CISM CFE CIFI CIA MCSE/ISA-MCP Unix/Linux LP1 Security+

2009 %

CISSP CISA CISM CFE CIFI CIA GIAC SANS MCSE/ISA-MCP Unix/Linux LP1 Security+ NSA IAM/IEM

64,9 36,1 43,3 13,9 25,3 21,1 14,9 17,0 17,5 19,6 6,7

El estudio de este ao refleja que el 91% de los encuestados considera importante la experiencia de las personas dedicadas a la seguridad de la informacin...
Sistemas 45

...es necesario establecer acuerdos interinstitucionales con entes de Polica Judicial, para actuar frente a una conducta punible en medios informticos
Comentarios generales: En la medida de la importancia de todas las certificaciones, la pregunta este ao apunt a cules son las importantes para desarrollar funciones de seguridad de la informacin. Las

respuestas de los encuestados sealan las certificaciones CISSP, CISA y CISM como las ms valoradas por el mercado y las que a la hora de considerar un proyecto de seguridad de la informacin, marcan la diferencia para su desarrollo y contratacin. Otras certificaciones como CFE, CIA y CIFI tambin muestran algn grado de importancia dentro del plus que los especialistas en seguridad con formacin acadmica pueden obtener. Las certificaciones son referentes para la industria, frente a las tendencias internacionales, pero se necesita fortalecer la formacin acadmica formal en los temas de seguridad, control y auditora, adems de las reas de manejo de fraude, como una estrategia complementaria al esquema de certificaciones.

Papel de la educacin superior en la formacin de profesionales de seguridad de la informacin

2009%

Hay poca oferta (o nula) de programas acadmicos en esta rea Estn ofreciendo programas acadmicos formales en esta rea La formacin es escasa y slo a nivel de cursos cortos Se han dejado desplazar por certificaciones generales y de producto Hay poca investigacin cientfica en el rea Hacen poca difusin sobre stos temas Los estudiantes no conocen las oportunidades laborales en esta rea Existen limitados laboratorios e infraestructura para soportar los cursos especializados Los profesores tienen poca formacin acadmica en el tema Hay pocas (o nulas) alianzas con proveedores de tecnologa de seguridad y/o agremiaciones relacionadas con el tema No han pensado adelantar programas acadmicos o cursos cortos en esta rea Hay poca motivacin de los estudiantes para estudiar el tema

23,23% 21,94% 11,61% 10,97% 7,10% 5,81% 4,52% 4,52% 3,23% 3,23% 2,58% 1,29%

46 Sistemas

Comentarios generales: Este ao se incluy esta pregunta para indagar sobre el papel de la educacin superior en la formacin de profesionales en seguridad de la informacin. Un 23% de los encuestados cree que existen pocos programas al respecto, as como un 11% destaca la escasa formacin y slo cursos de niveles cortos. Dentro de este mismo rango se observa que ms del 10% tambin cree que se ha desdibujado la educacin formal, con relacin a las certificaciones de productos y de propsito. Por otro lado, el 21% cree que existen ofertas de formacin en el rea. Los encuestados manifiestan un mayor esfuerzo por parte de la Academia para cubrir estos espacios de formacin tan necesarios. CONCLUSIONES GENERALES Los resultados generales que sugiere la encuesta podramos resumirlos en algunas breves reflexiones: 1. La inversin en seguridad de la informacin se encuentra concentrada todava en tecnologa como las redes y sus componentes, adems de la proteccin de datos de los clientes y un ligero inters en el tema de control de la propiedad intelectual y derechos de autor. 2. Son motivadores de la inversin en seguridad: la continuidad de negocio, el cumplimiento de regu-

laciones y las normativas internas y externas, as como la proteccin de la reputacin de la empresa. 3. Las regulaciones nacionales e internacionales llevarn a las organizaciones en Colombia a fortalecer los sistemas de gestin de la seguridad de la informacin. Actualmente, la norma de la Superfinanciera comienza a cambiar el panorama de la seguridad de la informacin en la Banca y en el pas. 4. La industria en Colombia exige ms de dos aos de experiencia en seguridad informtica, como requisito para optar por una posicin en esta rea. De igual forma, se nota que poco a poco el mercado de especialistas en seguridad de la informacin toma fuerza, pero an la oferta de programas acadmicos formales se encuentra limitada, lo que hace que las organizaciones opten por contratar a profesionales con poca experiencia en seguridad y decidan formarlos localmente. 5. Las certificaciones CISSP, CISA y CISM son las ms valoradas por el mercado y las que a la hora de considerar un proyecto de seguridad de la informacin, marcan la diferencia para su desarrollo y contratacin. 6. Las cifras en 2009 muestran los mecanismos tradicionales de pro-

Sistemas 47

teccin entre ellos los antivirus, las contraseas, los firewalls de software y hardware, como los mecanismos de seguridad ms utilizados, seguidos por los sistemas VPN y proxies, as como un aumento creciente por el uso de certificados digitales. Existe un marcado inters por las herramientas de cifrado de datos y los firewalls de aplicaciones web, que establecen dos tendencias emergentes, ante las frecuentes fugas de informacin y migracin de las aplicaciones web, al contexto de servicios o web services. 7. De igual manera que las tendencias mundiales, los virus son considerados como una de las
48 Sistemas

fuentes mejor identificadas, frente a los incidentes de seguridad, tratados en la actualidad en forma ms continua, pero con pocos procedimientos formales para su manejo. 8. Aunque existe una legislacin en temas de delito informtico en el pas, llevar a cabo un proceso jurdico puede resultar costoso 9. Los sistemas de gestin de seguridad de la informacin demanda en las organizaciones mayores esfuerzos, que parten desde las polticas de seguridad de la informacin, uno de los talones de Aquiles en los procesos de ese entorno.

10. Los estndares internacionales de la industria se ven reflejados en Colombia en las buenas prcticas en seguridad de la informacin. De ah que el ISO 27000, el Cobit 4.1 y las Guas del NIST sean bien aceptados en los departamentos de tecnologa informtica. Referencias [1] COMPUTER SECURITY INSTITUTE (2009) CSI/FBI Computer Crime and Security Survey 2007.

[2] PRICEWATERHOUSECOOPERS (2009) 2009 Global State of Information Security Study. Notas [1] Agradecimientos especiales al Ph.D Jeimy Jos Cano por su apoyo para contar con la revisin de nivel conceptual de la encuesta. As mismo, la disposicin y oportunidad del Ing. Luis Mauricio Gonzlez Motavita, para adelantar con oportunidad y efectividad la encuesta nacional de seguridad informtica.

Andrs Ricardo Almanza Junco. Msc. Ingeniero de Sistemas de la Universidad Catlica de Colombia, graduado de la Especializacin de Seguridad en Redes en la misma universidad. Mster en Seguridad de la Informacin de la Universidad Oberta de Catalua. Se ha desempeado como profesor de postgrados de la Universidad Pontificia Bolivariana, en el rea de la seguridad en redes, y sistemas de deteccin de intrusiones. As mismo, como docente de postgrado de la Universidad del Norte en la Maestra de Gobierno de TI, y en la Universidad Externado de Colombia, en el rea de Fraude Electrnico. En la actualidad, es miembro de la Red Iberoamericana de Criptologa y Seguridad de la Informacin CriptoRED (http: //www.criptored.upm.es). Es coordinador del rea de Seguridad y Proteccin de la Informacin de la Cmara de Comercio de Bogot Sistemas 49