VII Encuesta Latinoamericana de Seguridad de la Informacin

Junio/2015

VII Encuesta Latinoamericana de Seguridad de la Informacin

Nuevos retos, nuevas realidades

Jeimy J. Cano M., Ph.D, CFE

Gabriela Saucedo Mesa, MDOH
@itinsecure

JCM*GSM-15 All rights reserved

Agenda

Introduccin
Documentos referentes revisados
Anlisis consolidados
Tendencias identificadas
Conclusiones

JCM*GSM-15 All rights reserved

ACIS 2015

VII Encuesta Latinoamericana de Seguridad de la Informacin

Junio/2015

Documentos referentes revisados

JCM*GSM-15 All rights reserved

Demografa
Fuerzas Armadas
0%

Manufactura
3%

270
encuestas

Consultora
Especializada
16%

Gobierno /
Sector pblico
18%

Servicios
Financieros y
Banca
22%

Telecomunicacio
nes
12%

Educacin
14%

JCM*GSM-15 All rights reserved

ACIS 2015

Alimentos
1%

Salud
5%

Construccin
/ Ingeniera
3%

Sector de Energa
e Hidrocarburos
6%
4

VII Encuesta Latinoamericana de Seguridad de la Informacin

Junio/2015

Demografa
1-50 empleados
51-200 empleados
201-500 empleados
501-1000 empleados
1001-5000 empleados
Mayor de 5001 empleados

18,6%
15,2%
11,8%
13,7%
25,1%
15,6%

DEPENDENCIA DE LA RESPONSABILIDAD
DE LA SEGURIDAD INFORMTICA EN LA
ORGANIZACIN
Auditora interna
Director de Seguridad Informtica
Director Departamento de
Sistemas/Tecnologa
Gerente Ejecutivo
Gerente de Finanzas
Gerente de Operaciones
No se tiene especificado formalmente
Tercerizado
-

Profesional de
Departamento de
Sistemas/Tecnologa

23.8%
2009

2010

2012

2013

2014

2015

5,10%
21,90%

2,43%
26,13%

5,00%
28,00%

2,20%
23,61%

4,58%
25,83%

1,85%
26,94%

1.5%
34.7%

36,80%

41,03%

38,00%

36,67%

33,75%

35,42%

13.7%

1,40%
4,00% 2,20%
20,90%
-

2,43%

3,00%

3,61%
0,28%
3,89%
14,72%

2,50%
0,42%
0,83%
17,50%
0,83%
13,75%

2,21%

3.4%
0.4%
3.4%
14.9%
0.8%
14.9%

3,00%
13,37%
14,31%

Otros cargos

2011

3,00%
15,00%
1,00% 7,00%

15,00%

3,69%
15,87%
1,11%
12,92%

JCM*GSM-15 All rights reserved

Tareas realizadas
Aseguramiento de procesos de la organizacin

42,5%

Velar por la proteccin de la informacin empresarial

72,4%

Velar por la proteccin de la informacin personal

Seguimiento de prcticas en materia de seguridad de la informacin
Seguimiento de prcticas en materia de proteccin de la privacidad de la informacin
personal
Creacin de programas de gobierno y gestin en materia de seguridad de la informacin
Interaccin con las diferentes reas de negocio
Creacin de programas de entrenamiento en materia de seguridad de la informacin
Definicin de controles de TI en materia de seguridad de la informacin
Implementacin de controles de TI en materia de seguridad de la informacin
Dirigir y supervisar los programas de riesgos de seguridad de la informacin de la org.
Gestionar el programa de gestin de incidentes de seguridad de la informacin
Evaluar la eficiencia y efectividad del modelo de seguridad de la informacin
Establecer e implementar un modelo de polticas en materia de seguridad de la informacin
Supervisar procesos de cumplimiento regulatorio en tecnologa de informacin
Establecer y revisar la arquitectura de seguridad de la informacin
Supervisar y gestionar los procesos de investigaciones forenses digitales
JCM*GSM-15
All rights reserved
Definir, implementar
y asegurar la estrategia de ciber seguridad de la empresa

38,7%
64,4%

ACIS 2015

2014
45%

41,0%
39,5%
54,4%
44,4%
66,3%
52,5%
43,3%
48,3%
42,5%
53,3%
41,8%
42,5%
31,4%
41,4%

Ingeniero
de
Seguridad
53%

CISO
45.3%
Auditor
de SI
30.1%

VII Encuesta Latinoamericana de Seguridad de la Informacin

Junio/2015

Presupuesto
La alta direccin
poco se involucra
en el tema de
seguridad de
informacin y no lo
tiene en su agenda
estratgica.
22%

2014
- $20,000 USD
24.3%

2015
- $20,000 USD
24.2%

La alta direccin
solo delega y espera
informes de avance
24%

La alta direccin
entiende participa y
toma decisiones
relacionadas con la
seguridad de la
informacin
29%

La alta direccin
entiende y atiende
recomendaciones
en materia de
seguridad de la
informacin
25%

JCM*GSM-15 All rights reserved

Implicaciones de los incidentes de InfoSec

Ataques ms prevalentes efectuados

Tomado de: NYSE (2015) Cybersecurity in the boardroom. Veracode.

JCM*GSM-15 All rights reserved

ACIS 2015

Tomado de: Ponemon- Raytheon (2015) 2015 Global

Megatrends in Cybersecurity.

VII Encuesta Latinoamericana de Seguridad de la Informacin

Junio/2015

Incidentes
Directivos:
57.1%
Equipo atn. inc.: 35.9%
Autoridades:
13.9%

70,0%

Empleados:
Anlisis registros:
Monitoreo:
Terceros:

59,6%

60,0%

15.6% (2015)
VS
13.28% (2014)

44,6%

50,0%
40,0%

32,4%

29,1%

30,0%
20,0%

57.1%
46.2%
37.6%
20.0%

19,7%

16,4%

10,3%

10,0%

9,9%

8,0%

12,7%

15,5%

12,7%

16,9%

11,7%
0,9%

0,0%
Instalaci
Manipul
Accesos
n de
Virus/C
acin de
no
Fraude
software
aballos Robo de
aplicaci
autoriza electrni
no
de
datos
ones de
dos al
co
autoriza
Troya
software
web
do

Series1 16,4%

59,6%

29,1%

10,3%

44,6%

9,9%

1,4%

22,5%
7,0%

6,6%

7,0%

Ataque Robo de Incident Ciberde

element
es
Ataques
Prdida
aplicaci
os
relacion ( APT o
Monitor Negaci
Prdida/
de
Suplant Accione
ones crticos ados ataques
eo no
n del
Fuga de
integrid
acin de s de Phishin Pharmin Espiona Web (
de
con la dirigidos
autoriza servicio
informa
Ninguno
ad de la
identida ingenier
g
g
je
XSS, hardwar privacid
,
do del (DOS/D
cin
informa
d
a social
SQL
e
ad de denega
trfico DOS)
crtica
cin
Injection (notebo
los
cin de
,
oks,
datos servicio
Directo discos, person
s
8,0% 19,7% 12,7% 15,5% 12,7% 11,7% 32,4% 0,9%
1,4% 16,9% 22,5% 7,0%
6,6%
7,0%

JCM*GSM-15 All rights reserved

Evidencia digital

MECANISMOS DE PROTECCIN
Sistemas de deteccin y/o prevencin
de intrusos IDS/IPS tradicionales
Firewalls de nueva generacin
Biomtricos (huella digital, iris, etc.)
Proxies/Proxies inversos
Firmas digitales/certificados digitales
Cifrado de datos
Firewalls tradicionales
(Hardware/Software)
VPN/IPSec
Soluciones Anti-Malware
Sistemas de Contraseas
JCM*GSM-15 All rights reserved

ACIS 2015

2015
36,9%
39,1%
39,6%
43,1%
45,3%
49,8%
64,4%
67,6%
69,8%
71,6%

21.9% (2015)
VS
18.0% (2014)

Se mantienen
actualizados
Lectura revistas:
57.3%
Listas de seguridad:
48.4%
10

VII Encuesta Latinoamericana de Seguridad de la Informacin

Junio/2015

Certificaciones ms relevantes para el desarrollo de la

prctica de seguridad de la informacin
74,4%

80,0%

69,7%

70,0%
60,0%

49,8%

50,0%

47,4%

40,0%

29,9%

30,0%

21,8%

28,4%

26,5%
19,4%

20,0%

18,0%

19,4%
8,5%

10,0%
0,0%

CISSP
CRISCCISA
CISM
Certified
Certified in
Certified
Informatio Certified
Risk and
n System Informatio Informatio
Informatio
n System n Security
Security
n System
Auditor
Manager
Profession
Control
al
Series1
74,4%
49,8%
69,7%
47,4%

CFE Certified
Fraud
Examiner

CIFI
Certified
Informatio
n Forensics
Investigato
r

CIA Certified
Internal
Auditor

GIAC
SANS
Institute

21,8%

29,9%

26,5%

19,4%

MCSE/ISAUnix/Linux
MCP
LP1
(Microsoft)

18,0%

19,4%

Security+

NSA
IAM/IEM

28,4%

8,5%

JCM*GSM-15 All rights reserved

11

Temas en la agenda de los profesionales de seguridad de

la informacin para 2015
80,0%
70,0%
60,0%
50,0%
40,0%
30,0%
20,0%
10,0%
0,0%

54,5%

47,4%

43,7%

35,7%

34,3%

33,3%

18,8%

72,3%

JCM*GSM-15 All rights reserved

ACIS 2015

69,0%

56,3%

Amenazas Malware en
persistente dispositivos
s avanzadas mviles
Series1

74,6%

73,7%

72,3%

56,3%

Ciber
guerra

Ciber
espionaje

35,7%

47,4%

Seguridad y
control en
Fuga de Inteligencia Internet de
Ciber
la
Ciber armas
informaci
de la
la cosas
seguridad
computaci
n sensible Seguridad
IoT
n en la
nube
73,7%

18,8%

74,6%

69,0%

43,7%

34,3%

Grandes
datos y
analtica

Ataques a
infraestruct
uras crticas

33,3%

54,5%

12

VII Encuesta Latinoamericana de Seguridad de la Informacin

Junio/2015

Estndares para la gestin de riesgos

Lo que conoce
el entorno

45,0%
40,0%
35,0%
30,0%
25,0%
20,0%
15,0%
10,0%
5,0%
0,0%

COSO
GRC (
ERM(Enter Governanc
prise Risk
e, Risk &
ISO 31000
Managment Compliance
)
)
Series1
17,3%
19,5%
39,1%

Lo que desconoce
el entorno
AS/NZ
4360

Magerit

Octave

Ninguna

10,5%

15,8%

8,3%

21,1%

Lo que conoce
la organizacin

Lo que desconoce
la organizacin

Amenazas
y riesgos
conocidos

Amenazas
y riesgos
latentes

Amenazas
y riesgos
focalizados

Amenazas
y riesgos
emergentes

Instrumento diseado y desarrollado por: Jeimy J. Cano M., Ph.D

JCM*GSM-15 All rights reserved

13

Aumento del riesgo en seguridad de la informacin para 2015

JCM*GSM-15 All rights reserved

ACIS 2015

Tomado: de Ponemon-Raytheon (2015) 2015 Global megatrends in cybersecurity

14

VII Encuesta Latinoamericana de Seguridad de la Informacin

Junio/2015

Obstculos de la seguridad de la informacin para 2015

50,0%
45,0%
40,0%
35,0%
30,0%
25,0%
20,0%
15,0%
10,0%
5,0%
0,0%

Series1

41,6%

45,7%
35,7%

33,5%

31,2%
24,9%

24,9%

24,0%

22,6%
15,8%

Inexistencia
de poltica
de seguridad

24,9%

Falta de
tiempo

Falta de
formacin
tcnica

Falta de
apoyo
directivo

31,2%

24,9%

41,6%

Poco
Poco
Falta de
entendimien
entendimien
colaboracin
to de los
Complejidad
to de la
entre
flujos de la
tecnolgica seguridad de
reas/depart
informacin
la
amentos
en la
informacin
organizacin
45,7%

24,0%

33,5%

Poca
visibilidad
del tema a
nivel
ejecutivo

Habilidades
gerenciales
de los CISOs

35,7%

15,8%

22,6%

JCM*GSM-15 All rights reserved

15

Formacin en seguridad de la informacin

Brechas en los profesionales de seguridad de la informacin

70,0%
60,0%
50,0%
40,0%
30,0%
20,0%
10,0%
0,0%

58,7%

55,4%

52,1%

56,3%

49,3%

46,5%
28,2%

Habilidades
Habilidades
Visin
para
gerenciales
prctica de
Habilidades comunicar e
(liderazgo, Capacidades estrategias
Formacin
Capacidades
para
interconectar
comunicaci prospectivas
livianas,
acadmica y
tcnicas
entender el
negocios y
n, carisma,
y de
sencillas y
tcnica
negocio
necesidades
rendicin de pronstico
efectivas
en materia
cuentas,
para el
de
proyeccion
aseguramie
Series1
58,7%
55,4%
52,1%
46,5%
56,3%
28,2%
49,3%

NYSE (2015) Cybersecurity in the boardroom. Veracode.

JCM*GSM-15 All rights reserved

ACIS 2015

16

VII Encuesta Latinoamericana de Seguridad de la Informacin

Junio/2015

Cantidad de personas en el rea de seguridad de la

informacin
70,00%
60,00%
50,00%
40,00%
30,00%
20,00%
10,00%
0,00%

Ninguna
22,92%
17,30%

2014
2015

1a5
52,50%
62,60%

6 a 10
8,75%
8,40%
2014

11 a 15
6,25%
5,10%

Ms de 15
9,58%
6,50%

2015

JCM*GSM-15 All rights reserved

17

Estn
ofreciendo
programas
acadmicos
de grado y/o
posgrado
formales en
esta rea
Series1

44,6%

JCM*GSM-15 All rights reserved

ACIS 2015

Existen
Los
Hay poca
limitados
No ofrecen Se han dejado El nivel de
profesores motivacin de laboratorios e
La formacin
programas desplazar por investigacin Hacen poca
tienen poca
los
infraestructur
se limita a
acadmicos o certificaciones en el rea es difusin sobre
formacin
estudiantes
a para
cursos cortos cursos cortos generales y de
escasa o
stos temas
acadmica en para estudiar soportar los
en esta rea
producto
insuficiente
el tema
el tema
cursos
especializados
31,9%

10,3%

31,9%

41,8%

33,8%

27,7%

34,7%

36,6%
18,3%

27,7%

33,8%

41,8%

31,9%
10,3%

31,9%

44,6%

Papel de la academia en la formacin de profesionales en

seguridad de la informacin

18,3%

36,6%

Hay pocas (o
nulas)
alianzas con
proveedores
de tecnologa
de seguridad
y/o
asociaciones
o entidades
relacionadas
34,7%
18

VII Encuesta Latinoamericana de Seguridad de la Informacin

Junio/2015

Conclusiones
Se consolida el rea de seguridad de la informacin. Si bien su dependencia en el
rea de tecnologa an se mantiene, cada vez ms lo es menos.
La visibilidad de los incidentes de seguridad de la informacin a nivel global, ha
aumentado la sensibilidad de las organizaciones sobre un adecuado tratamiento de
la informacin.
La academia comienza a recuperar terreno frente a la oferta de programas en
seguridad de la informacin. Sin embargo, no avanza con tanta celeridad en los
temas de investigacin, desarrollo e innovacin en esta temtica.
JCM*GSM-15 All rights reserved

19

Conclusiones
Se advierten una series de brechas en los profesionales de la seguridad de la
informacin, que deben ser revisadas y analizadas por la academia para formar tanto
especialistas como ejecutivos en esta rea. Conocimiento tcnico y capacidad para
comunicar las dos de mayor relevancia.
Tres temas emergentes en la prctica de seguridad de la informacin: ciber seguridad,
seguridad y control en la nube y fuga de informacin sensible. Todos ellos relacionados
con una mayor exposicin de las organizaciones con el contexto de un ecosistema
digital.
Monedas digitales e internet de las cosas, temas que generan mayor incertidumbre
para las organizaciones y la funcin de seguridad de la informacin.
JCM*GSM-15 All rights reserved

ACIS 2015

20

10

VII Encuesta Latinoamericana de Seguridad de la Informacin

Junio/2015

VII Encuesta Latinoamericana de Seguridad de la Informacin

Nuevos retos, nuevas realidades

Jeimy J. Cano M., Ph.D, CFE

Gabriela Saucedo Mesa, MDOH
@itinsecure

JCM*GSM-15 All rights reserved

ACIS 2015

21

11