Professional Documents
Culture Documents
Junio/2015
Agenda
Introduccin
Documentos referentes revisados
Anlisis consolidados
Tendencias identificadas
Conclusiones
ACIS 2015
Junio/2015
Demografa
Fuerzas Armadas
0%
Manufactura
3%
270
encuestas
Consultora
Especializada
16%
Gobierno /
Sector pblico
18%
Servicios
Financieros y
Banca
22%
Telecomunicacio
nes
12%
Educacin
14%
ACIS 2015
Alimentos
1%
Salud
5%
Construccin
/ Ingeniera
3%
Sector de Energa
e Hidrocarburos
6%
4
Junio/2015
Demografa
1-50 empleados
51-200 empleados
201-500 empleados
501-1000 empleados
1001-5000 empleados
Mayor de 5001 empleados
18,6%
15,2%
11,8%
13,7%
25,1%
15,6%
DEPENDENCIA DE LA RESPONSABILIDAD
DE LA SEGURIDAD INFORMTICA EN LA
ORGANIZACIN
Auditora interna
Director de Seguridad Informtica
Director Departamento de
Sistemas/Tecnologa
Gerente Ejecutivo
Gerente de Finanzas
Gerente de Operaciones
No se tiene especificado formalmente
Tercerizado
-
Profesional de
Departamento de
Sistemas/Tecnologa
23.8%
2009
2010
2012
2013
2014
2015
5,10%
21,90%
2,43%
26,13%
5,00%
28,00%
2,20%
23,61%
4,58%
25,83%
1,85%
26,94%
1.5%
34.7%
36,80%
41,03%
38,00%
36,67%
33,75%
35,42%
13.7%
1,40%
4,00% 2,20%
20,90%
-
2,43%
3,00%
3,61%
0,28%
3,89%
14,72%
2,50%
0,42%
0,83%
17,50%
0,83%
13,75%
2,21%
3.4%
0.4%
3.4%
14.9%
0.8%
14.9%
3,00%
13,37%
14,31%
Otros cargos
2011
3,00%
15,00%
1,00% 7,00%
15,00%
3,69%
15,87%
1,11%
12,92%
Tareas realizadas
Aseguramiento de procesos de la organizacin
42,5%
72,4%
38,7%
64,4%
ACIS 2015
2014
45%
41,0%
39,5%
54,4%
44,4%
66,3%
52,5%
43,3%
48,3%
42,5%
53,3%
41,8%
42,5%
31,4%
41,4%
Ingeniero
de
Seguridad
53%
CISO
45.3%
Auditor
de SI
30.1%
Junio/2015
Presupuesto
La alta direccin
poco se involucra
en el tema de
seguridad de
informacin y no lo
tiene en su agenda
estratgica.
22%
2014
- $20,000 USD
24.3%
2015
- $20,000 USD
24.2%
La alta direccin
solo delega y espera
informes de avance
24%
La alta direccin
entiende participa y
toma decisiones
relacionadas con la
seguridad de la
informacin
29%
La alta direccin
entiende y atiende
recomendaciones
en materia de
seguridad de la
informacin
25%
ACIS 2015
Junio/2015
Incidentes
Directivos:
57.1%
Equipo atn. inc.: 35.9%
Autoridades:
13.9%
70,0%
Empleados:
Anlisis registros:
Monitoreo:
Terceros:
59,6%
60,0%
15.6% (2015)
VS
13.28% (2014)
44,6%
50,0%
40,0%
32,4%
29,1%
30,0%
20,0%
57.1%
46.2%
37.6%
20.0%
19,7%
16,4%
10,3%
10,0%
9,9%
8,0%
12,7%
15,5%
12,7%
16,9%
11,7%
0,9%
0,0%
Instalaci
Manipul
Accesos
n de
Virus/C
acin de
no
Fraude
software
aballos Robo de
aplicaci
autoriza electrni
no
de
datos
ones de
dos al
co
autoriza
Troya
software
web
do
Series1 16,4%
59,6%
29,1%
10,3%
44,6%
9,9%
1,4%
22,5%
7,0%
6,6%
7,0%
Evidencia digital
MECANISMOS DE PROTECCIN
Sistemas de deteccin y/o prevencin
de intrusos IDS/IPS tradicionales
Firewalls de nueva generacin
Biomtricos (huella digital, iris, etc.)
Proxies/Proxies inversos
Firmas digitales/certificados digitales
Cifrado de datos
Firewalls tradicionales
(Hardware/Software)
VPN/IPSec
Soluciones Anti-Malware
Sistemas de Contraseas
JCM*GSM-15 All rights reserved
ACIS 2015
2015
36,9%
39,1%
39,6%
43,1%
45,3%
49,8%
64,4%
67,6%
69,8%
71,6%
21.9% (2015)
VS
18.0% (2014)
Se mantienen
actualizados
Lectura revistas:
57.3%
Listas de seguridad:
48.4%
10
Junio/2015
80,0%
69,7%
70,0%
60,0%
49,8%
50,0%
47,4%
40,0%
29,9%
30,0%
21,8%
28,4%
26,5%
19,4%
20,0%
18,0%
19,4%
8,5%
10,0%
0,0%
CISSP
CRISCCISA
CISM
Certified
Certified in
Certified
Informatio Certified
Risk and
n System Informatio Informatio
Informatio
n System n Security
Security
n System
Auditor
Manager
Profession
Control
al
Series1
74,4%
49,8%
69,7%
47,4%
CFE Certified
Fraud
Examiner
CIFI
Certified
Informatio
n Forensics
Investigato
r
CIA Certified
Internal
Auditor
GIAC
SANS
Institute
21,8%
29,9%
26,5%
19,4%
MCSE/ISAUnix/Linux
MCP
LP1
(Microsoft)
18,0%
19,4%
Security+
NSA
IAM/IEM
28,4%
8,5%
11
54,5%
47,4%
43,7%
35,7%
34,3%
33,3%
18,8%
72,3%
ACIS 2015
69,0%
56,3%
Amenazas Malware en
persistente dispositivos
s avanzadas mviles
Series1
74,6%
73,7%
72,3%
56,3%
Ciber
guerra
Ciber
espionaje
35,7%
47,4%
Seguridad y
control en
Fuga de Inteligencia Internet de
Ciber
la
Ciber armas
informaci
de la
la cosas
seguridad
computaci
n sensible Seguridad
IoT
n en la
nube
73,7%
18,8%
74,6%
69,0%
43,7%
34,3%
Grandes
datos y
analtica
Ataques a
infraestruct
uras crticas
33,3%
54,5%
12
Junio/2015
45,0%
40,0%
35,0%
30,0%
25,0%
20,0%
15,0%
10,0%
5,0%
0,0%
COSO
GRC (
ERM(Enter Governanc
prise Risk
e, Risk &
ISO 31000
Managment Compliance
)
)
Series1
17,3%
19,5%
39,1%
Lo que desconoce
el entorno
AS/NZ
4360
Magerit
Octave
Ninguna
10,5%
15,8%
8,3%
21,1%
Lo que conoce
la organizacin
Lo que desconoce
la organizacin
Amenazas
y riesgos
conocidos
Amenazas
y riesgos
latentes
Amenazas
y riesgos
focalizados
Amenazas
y riesgos
emergentes
13
ACIS 2015
14
Junio/2015
Series1
41,6%
45,7%
35,7%
33,5%
31,2%
24,9%
24,9%
24,0%
22,6%
15,8%
Inexistencia
de poltica
de seguridad
24,9%
Falta de
tiempo
Falta de
formacin
tcnica
Falta de
apoyo
directivo
31,2%
24,9%
41,6%
Poco
Poco
Falta de
entendimien
entendimien
colaboracin
to de los
Complejidad
to de la
entre
flujos de la
tecnolgica seguridad de
reas/depart
informacin
la
amentos
en la
informacin
organizacin
45,7%
24,0%
33,5%
Poca
visibilidad
del tema a
nivel
ejecutivo
Habilidades
gerenciales
de los CISOs
35,7%
15,8%
22,6%
15
70,0%
60,0%
50,0%
40,0%
30,0%
20,0%
10,0%
0,0%
58,7%
55,4%
52,1%
56,3%
49,3%
46,5%
28,2%
Habilidades
Habilidades
Visin
para
gerenciales
prctica de
Habilidades comunicar e
(liderazgo, Capacidades estrategias
Formacin
Capacidades
para
interconectar
comunicaci prospectivas
livianas,
acadmica y
tcnicas
entender el
negocios y
n, carisma,
y de
sencillas y
tcnica
negocio
necesidades
rendicin de pronstico
efectivas
en materia
cuentas,
para el
de
proyeccion
aseguramie
Series1
58,7%
55,4%
52,1%
46,5%
56,3%
28,2%
49,3%
ACIS 2015
16
Junio/2015
Ninguna
22,92%
17,30%
2014
2015
1a5
52,50%
62,60%
6 a 10
8,75%
8,40%
2014
11 a 15
6,25%
5,10%
Ms de 15
9,58%
6,50%
2015
17
Estn
ofreciendo
programas
acadmicos
de grado y/o
posgrado
formales en
esta rea
Series1
44,6%
ACIS 2015
Existen
Los
Hay poca
limitados
No ofrecen Se han dejado El nivel de
profesores motivacin de laboratorios e
La formacin
programas desplazar por investigacin Hacen poca
tienen poca
los
infraestructur
se limita a
acadmicos o certificaciones en el rea es difusin sobre
formacin
estudiantes
a para
cursos cortos cursos cortos generales y de
escasa o
stos temas
acadmica en para estudiar soportar los
en esta rea
producto
insuficiente
el tema
el tema
cursos
especializados
31,9%
10,3%
31,9%
41,8%
33,8%
27,7%
34,7%
36,6%
18,3%
27,7%
33,8%
41,8%
31,9%
10,3%
31,9%
44,6%
18,3%
36,6%
Hay pocas (o
nulas)
alianzas con
proveedores
de tecnologa
de seguridad
y/o
asociaciones
o entidades
relacionadas
34,7%
18
Junio/2015
Conclusiones
Se consolida el rea de seguridad de la informacin. Si bien su dependencia en el
rea de tecnologa an se mantiene, cada vez ms lo es menos.
La visibilidad de los incidentes de seguridad de la informacin a nivel global, ha
aumentado la sensibilidad de las organizaciones sobre un adecuado tratamiento de
la informacin.
La academia comienza a recuperar terreno frente a la oferta de programas en
seguridad de la informacin. Sin embargo, no avanza con tanta celeridad en los
temas de investigacin, desarrollo e innovacin en esta temtica.
JCM*GSM-15 All rights reserved
19
Conclusiones
Se advierten una series de brechas en los profesionales de la seguridad de la
informacin, que deben ser revisadas y analizadas por la academia para formar tanto
especialistas como ejecutivos en esta rea. Conocimiento tcnico y capacidad para
comunicar las dos de mayor relevancia.
Tres temas emergentes en la prctica de seguridad de la informacin: ciber seguridad,
seguridad y control en la nube y fuga de informacin sensible. Todos ellos relacionados
con una mayor exposicin de las organizaciones con el contexto de un ecosistema
digital.
Monedas digitales e internet de las cosas, temas que generan mayor incertidumbre
para las organizaciones y la funcin de seguridad de la informacin.
JCM*GSM-15 All rights reserved
ACIS 2015
20
10
Junio/2015
ACIS 2015
21
11