Tendencias 2014 Encuesta Nacional de Seguridad Informática

Escrito por  Lunes, 09 Junio 2014 21:08

Realizada por la Asociación Colombiana de Ingenieros de Sistemas (Acis).

La Encuesta Nacional de Seguridad Informática, capítulo Colombia, realizada por Acis, a través de Internet, contó con la participación de 189 encuestados, quienes con sus respuestas permiten conocer la realidad del país.

 

Este estudio cumple con varios propósitos. En primer lugar, muestra el panorama de las organizaciones colombianas frente a la seguridad de la información, y su respuesta a las demandas del entorno actual. En segunda instancia, es un instrumento referente para Colombia y Latinoamérica, en la medida en que llama la atención de todos los sectores interesados en los temas relacionados con la seguridad.

 

Metodología

El análisis presentado a continuación se desarrolló con base en una muestra aleatoria y de manera interactiva, a través de una página web dispuesta por Acis,  para tal fin. Considerando las limitaciones en términos de tiempo y recursos disponibles, se han tenido en cuenta los aspectos más sobresalientes de los resultados obtenidos, en procura de mostrar a los lectores las tendencias identificadas.

 

Lo nuevo

En este 2014 el formato oficial de la encuesta cuenta con algunas modificaciones. Contempla nuevas preguntas y una revisión sobre lo evaluado año tras año, en la búsqueda de conocer mejor el ambiente que viven las organizaciones colombianas y latinoamericanas, en el marco de la seguridad de la información.

 

De ahí que esté centrada en saber lo que piensan los especialistas y directores frente a los desafíos cambiantes de las organizaciones; sobre cuáles deben sus preocupaciones y los factores clave para el éxito de sus programas. Además, de dónde deben estar concentradas las responsabilidades de los CISO´s en las empresas.

 

Retos y desafíos

Cada día, la seguridad de la información cobra más fuerza dentro de las empresas, espacios que contemplan los escenarios de protección, entre sus preocupaciones fundamentales. Las crecientes anomalías electrónicas, unas regulaciones vigentes, unas tecnologías de protección cada vez más limitadas y una mayor dependencia de la tecnología en forma de hacer negocios, muestran cómo la necesidad de proteger la información es más relevante.

 

En esa misma óptica se observan unos ejecutivos de la seguridad más preocupados por utilizar lenguajes cercanos a la organización, para proveer  soluciones que armonicen las relaciones de funcionalidad y protección, dentro del marco del negocio.

 

También se ven unos responsables más preocupados porque la seguridad de la información aporte valor a la organización. Y, para ello, diseñan planes que den lugar a una adecuada sensación de confianza frente a los negocios y al valor que éste les ofrece a sus diferentes clientes.

 

En esa dirección, los encargados de la seguridad se preocupan por crear unos procesos de cultura dentro de la organización, hecho que ha marcado una tendencia mundial, en la que muchos coinciden en que el factor clave de la seguridad, no es la cantidad de tecnologías alrededor del tema, sino la existencia de una cultura sobre cómo proteger el activo estratégico, denominado información.

 

Los ejecutivos de la seguridad están convencidos de que la alineación de la seguridad y los objetivos del negocio son claves en los procesos de construcción de la cultura de seguridad de la organización. Por otra parte, quienes administran la seguridad y operan el día a día están preocupados por las regulaciones y su cumplimiento, como parte de las actividades y los procesos en la construcción de una cultura de seguridad de la información.

Top de hallazgos

Lo que más se mueve

Esta sección describe las cifras más importantes de la encuesta para 2014. La  situación muestra unas variaciones importantes frente a años anteriores.

Lo que menos se mueve

Son aquellos criterios considerados este año por los encuestados como lo menos importante. Su variación frente a años anteriores es negativa.


Lo nuevo

Esta sección contempla los nuevos ítems incluidos en esta versión de la encuesta.  A la pregunta sobre cuáles serían los temas claves o relevantes que debe tener en cuenta el responsable de seguridad de la información durante 2014, los encuestados señalan la fuga de información como el tópico más importante para tener en cuenta por los responsables de seguridad, seguido por la seguridad en la nube; respuesta alineada con la tendencia internacional sobre la utilización de servicios. Las amenazas persistentes avanzadas es el tercer tema de la agenda de los responsables, quienes también se ajustan a las tendencias internacionales actuales, las cuales indican cómo las organizaciones, cada vez más, diseñan estrategias para este tipo de ataques.

Dentro del grupo de preguntas nuevas figura indagar sobre los roles y responsabilidades que realiza el responsable de seguridad de la información. Es decir, en donde están más concentradas sus actividades.

Los resultados reflejan un 66.67% que vela por la protección de la información empresarial; un 65.61% que busca definir controles de TI; y, en tercer lugar, un 59.79% que sigue prácticas en materia de seguridad de la información. Esto nos muestra que hemos pasado de una visión netamente técnica, a una visión enfocada en la preocupación del negocio. Y que la seguridad de la información es considerada como un área necesaria para proteger el negocio y no las plataformas de TI.

 

Así mismo se encuentran datos importantes relacionados con las tecnologías. En un 32.8%, los encuestados consideran  que los firewalls de nueva generación son herramientas mucho más eficaces a la hora de implementar controles, frente a las amenazas existentes de la actualidad. Al contrastarlos con la realidad mundial vemos cómo la evolución de dichas tecnologías promueve que conceptos como el perímetro y la protección perimetral sean evaluados y cobren importancia frente a las amenazas de la actualidad.

 

En esta nueva edición de la encuesta también se indaga sobre si han sido detectados incidentes que afecten la privacidad de la información. Al respecto, el 7.94% de los encuestados ha tenido algún tipo de incidente que atenta contra la privacidad de los datos personales; tendencia manifiesta como una preocupación mundial, en la que las brechas relacionadas con la información se centran en afectar la privacidad de las personas.

 

Tendencias

La siguiente gráfica muestra la participación de los diferentes sectores que, año tras año, han venido respondiendo la encuesta. El primer sector con un incremento importante del 8% es el Gobierno; porcentaje que refleja la preocupación nacional –también es mundial- por estos temas, producto de los recientes incidentes registrados. En los servicios financieros y bancarios, aunque este año el porcentaje decrece –de 18.52% pasa a 15.87%-, continúa siendo un sector interesado en participar y aportar y se suma a la tendencia internacional en torno a los diferentes ejercicios realizados en el mundo.  Este año, la consultoría especializada es un sector con un incremento de más de 5 puntos porcentuales, así como las telecomunicaciones, con más de 3 puntos de incremento en su participación, frente a años anteriores. Esto demuestra su interés en aportar en este ejercicio, además de mostrar que son industrias preocupadas por aprender y construir para prestar mejores servicios con mayor confiabilidad.

 

La siguiente gráfica muestra el comportamiento de las diferentes anomalías electrónicas y cómo éstas se han mantenido desde el año 2011 hasta la fecha.

En la gráfica, las tendencias en los años evaluados son consistentes. Es decir, que los virus/Caballos de Troya, así como el software no autorizado se mantienen como las anomalías más importantes detectadas en las organizaciones. Pero, como dato interesante, este año refleja la disminución más importante en la categoría de virus, de casi un 26%, frente a años anteriores. Esto demuestra que,  aunque se trata de ataques usados en forma estándar, no son muy útiles y que han evolucionado hacia nuevas técnicas. Por otro lado, se puede interpretar cómo las herramientas tecnológicas estándar han cumplido su propósito, a sabiendas de que hoy existen debates interesantes sobre cómo nuestras tecnologías de protección están un paso atrás, frente a los vectores de las anomalías existentes.

 

La siguiente gráfica muestra la tendencia durante cuatro años sobre las herramientas tecnológicas utilizadas para diseñar infraestructuras de seguridad. Las herramientas tradicionales siguen siendo las más usadas (firewall, antivirus, VPN). No obstante, este año según los encuestados el uso de estas tecnologías decreció de manera importante; los firewalls tradicionales muestran una disminución del 22%, frente al año inmediatamente anterior. Este año fueron incluidos los firewalls de nueva generación y las herramientas anti-DDOS que han tomado fuerza y relevancia dentro de las organizaciones, teniendo en cuenta la panorámica mundial sobre ataques de esta naturaleza. La tecnología siempre será el eslabón de soporte en los procesos de seguridad y ratifica que, un buen diseño ayuda a disminuir la probabilidad de una incidencia.

 

Conclusiones generales

1.            Llas regulaciones nacionales e internacionales son mecanismos que apoyan el fortalecimiento de los sistemas de gestión de seguridad de la información. Hoy en Colombia existen normativas como la regulación en los sectores financieros y la ley de protección de datos personales. Las regulaciones Internacionales inclinan la balanza hacia la seguridad de la información y nos enfrentan a un panorama todavía denso, en materia de ataques informáticos.

2.            Este año hay cambios significativos frente al año anterior, pasamos de una seguridad informática a una conciencia en materia de seguridad de la información. De una seguridad enfocada a comprar tecnologías, a entender la seguridad como un proceso de las organizaciones. Así mismo, muchos reconocen en el ejercicio de la gestión de riesgos corporativos una herramienta importante para gobernar de una manera adecuada la tecnología que motive a los directivos de las empresas en la seguridad de la información.

3.            La industria en Colombia exige más de dos años de experiencia en seguridad informática, como requisito para optar por una posición en esta área. Aunque el mercado de especialistas en seguridad de la información toma fuerza, la oferta de programas académicos formales es limitada y hace que las  organizaciones contraten profesionales con poca experiencia en seguridad, para formarlos localmente. Por otro lado, los encuestados enfatizan en cómo se han venido cerrando las brechas de las alianzas entre los proveedores de tecnología de seguridad y/o agremiaciones relacionadas, para capacitar y entrenar el recurso humano que las organizaciones requieren. Informes como el estado global de seguridad de PwC señalan que más de 78% de las organizaciones están requiriendo oficiales o responsables de seguridad. El Phonemon Institute  indica que las organizaciones con responsables de seguridad de la información han reducido el costo total por registro, frente a aquellas que no lo tienen. La industria colombiana está preocupada por capacitarlos en el marco de la tendencia mundial, para contrarrestar los ataques informáticos.

4.            Las certificaciones CISM, CRISC, CISA, CISSP son las más valoradas por el mercado y a la hora de considerar un proyecto de seguridad de la información, marcan la diferencia para su desarrollo y contratación. El estudio mundial de las 15 certificaciones mejor pagadas de la empresa GlobalKnowledge, ratifica a CRISC como la certificación más popular con mayores beneficios financieros para las personas; ubica a CISM y CISSP en el segundo y tercer puestos, respectivamente; y, a CISA en cuarto lugar.

5.            Frente a las amenazas electrónicas, se nota una focalización de los ataques informáticos. De los virus genéricos pasamos a ataques dirigidos y con objetivo, los cuales disminuyen la capacidad de réplica y aumentan su efecto en las organizaciones. Los encuestados han encontrado ataques a la privacidad en sus empresas, que coinciden con las tendencias internacionales, en el sentido de que buscan penetrar el recurso valioso de la información. Casos como el de Ebay muestran una realidad retadora que obliga a centrar las estrategias de seguridad en la protección de la información, como lo indican las tendencias mundiales: “El trabajo del responsable de Seguridad de la Información no es proteger las plataformas de TI, es proteger al negocio de la infraestructura de TI”, Rick Doten, CISO, Digital Management Inc.

 

6.            La realidad nacional refleja un avance alrededor de la gestión de incidentes; aunque no está bien, se nota el esfuerzo por entender este escenario como parte fundamental del modelo de seguridad de la información en la organización. Así mismo, se han venido fortaleciendo las relaciones con los entes judiciales, acciones emprendidas por los diferentes tipos de industrias, en pro del mejoramiento. Por un lado, las organizaciones están identificando los incidentes en una mejor forma; este año manifiestan identificar más de 7 incidentes durante el último período, -15%-, con un crecimiento superior al 5%, frente al año inmediatamente anterior. Además, el 16% de los encuestados señala el uso de herramientas como el SIEM, con un crecimiento del 6% en comparación con 2013. Lo definen como el mecanismo más usado como soporte en los procesos de gestión de incidentes, en materia de seguridad de la información.

 

7.            Los estándares internacionales de la industria se ven reflejados en Colombia en las buenas prácticas en seguridad de la información, De ahí que ISO 27000, ITIL y Cobit se consolidan como marcos para construir arquitecturas de seguridad de la información. Este año ITIL refleja la mayor variación con un incremento de 4.68%, frente a 2013.  Los encuestados manifiestan no usar estándares de la industria y se observa un decrecimiento -8.55%-, porcentaje que refleja la importancia de los estándares de la industria en la construcción de modelos para las organizaciones.

 

8.            Los presupuestos son uno de los grandes desafíos de los responsables de seguridad de la información en la actualidad; conseguir estos limitados recursos para diseñar programas encaminados a proteger al negocio, es uno de los retos importantes.

 

9.             Este año también resulta muy interesante ver cómo las inversiones en todas las categorías de la seguridad de la información aumentaron. Se registra incremento de un 11.71% en los valores de USD$20.001 y USD$50.000 frente al año anterior. Es decir, que más encuestados vieron sus presupuestos crecer en esta categoría y cómo las organizaciones implementaron proyectos cortos y de enfoque tecnológico para proteger la información. Por otro lado, el rubro de más de USD$130.000, ubicado en 16%, creció un 8.34%. Esto se ve reflejado en la inversión de proyectos de gran envergadura en los que la consultoría de servicios y la inclusión de tecnologías de alto nivel, son acciones importantes a la hora de construir la infraestructura de protección de la seguridad y privacidad de la información. En esa misma proporción crecieron los aumentos de presupuestos para el año 2014. En todas las categorías, los encuestados señalan  aumentos importantes en los rubros asignados; más del 53% de ellos advierte incremento, aspecto que denota la importancia de la unidad de seguridad de la información dentro de las organizaciones, en la medida en que aporta valor al negocio. Así mismo, el panorama de las anomalías, las regulaciones y legislación,  además de la dinámica de la información mejora la conciencia de las organizaciones por proteger su activo vital. Eso crea ambientes más sólidos para que las organizaciones puedan prestar servicios más confiables en beneficio de sus clientes.

 

Referencias

[1] PRICEWATERHOUSECOOPERS (2014). The Global State of Information Security Study.http://www.pwc.com/gx/en/information-security-survey

[2] INTERNET SECURITY THREAT REPORT. Symantec.  http://www.symantec.com/threatreport/

[3] CYBERSOURCE - EINSTITUTO .REPORTE FRAUDE ONLINE (2013) AMERICA LATINA. www.cybersource.com.

[4] BIT9 ISMG. 2013 Cyber Security Study. What is the Impact of Today’s Advanced Cyber Attacks? www.ismcorp.com

[5] Ponemon Institute LLC .2014 Cost of Data Breach Study. May 2014. www.ibm.com/services/costofbreach.

[6] FireEye.  Advanced Threat Report: 2013. Feb 2014. www.fireEye.com

[7] IBM.  X-Force Threat Intelligence Quarterly 1Q 2014. www. Feb 2014.  www.ibm.com

[8] VERIZON. 2014 DATA BREACH INVESTIGATIONS REPORT.  May 2014. http://www.verizonenterprise.com/DBIR/

[9] Cisco.  2014 Annual Security Report. Feb 2014. www.cisco.com

[10] Filling the CISO role: Is there any reason enterprises shouldn't?. http://searchsecurity.techtarget.com/feature/Filling-the-CISO-role-Is-there-any-reason-enterprises-shouldnt. Visitado 15/5/2014. Brandan Blevins.

[11] GlobalKnowledge. 15 Top-Paying Certifications for 2014. http://www.globalknowledge.com/training/generic.asp?pageid=3632

 

Andrés Ricardo Almanza Junco, M.Sc. CISM, ITIL, ISO 27001, LPIC1.Ingeniero de Sistemas, universidad Católica de Colombia. Especialista en Seguridad de Redes de la Universidad Católica de Colombia. Máster en Seguridad Informática de la Universidad Oberta de Cataluña, España. Codirector de las Jornadas Internacionales de Seguridad Informática. Coordinador en Colombia de la Encuesta Nacional de Seguridad Informática. Coordinador del grupo CISO’s-COL en linkedin.

 

 

Califique este elemento
(1 Vote)
Leido 9803 veces Modificado por ultima vez Domingo, 15 Junio 2014 21:13

Ingrese su comentario

Por favor confirme que ingreso la informacion requerida. Codigo HTML no esta permitido

EDICIÓN EN CIRCULACIÓN (131)

Patrocinadores Edición 131

        

Actividades Académicas

 

Sobre ACIS

La Asociación Colombiana de Ingenieros de Sistemas es una organización sin ánimo de lucro que agrupa a más de 1500 profesionales en el área de sistemas. ACIS nació en 1975 agrupando entonces a un número pequeño de profesionales en sistemas. Más información