Encuesta. Seguridad Informática en Colombia Tendencias 2012-2013

Escrito por  Jueves, 20 Junio 2013 15:57

La encuesta nacional de seguridad informática conducida por ACIS para el año 2013, a través de Internet, contó con la participación de 162 encuestados de nuestro país, quienes han decidido responder a este llamado para observar la realidad de nuestro país que, año tras año, lo que nos muestra es un instrumento claro con el cual podemos conocer cómo las organizaciones perciben la seguridad de la información, además de servir como instrumento referente en Colombia y Latinoamérica frente a un panorama que vela por llamar la atención de todos los sectores interesados en estos asuntos.

Escrito por: Andrés Ricardo Almanza

Intrducción.

Del total de encuestados encontramos una alta población que respondió, perteneciente al sector de las tecnologías de información con un incremento del 3.46%, frente al año anterior. Se trata de directores de las áreas de seguridad de la información, hecho que muestra la importancia del cargo para las organizaciones y el interés por mantener un panorama nacional identificado como escenario frente a la seguridad de la información.

 

En esta ocasión y como en el año anterior, se han vinculado otros países, entre ellos, Uruguay, Argentina, Paraguay, Venezuela, México, España, Bolivia, Cuba, entre otros de habla hispana, con el propósito de adelantar este mismo ejercicio en sus respectivos lugares, cuyos resultados estarán disponibles en el sitio web de la Asociación Colombiana de Ingenieros de Sistemas, ACIS (www.acis.org.co).

 

El análisis presentado a continuación se desarrolló con base en una muestra aleatoria y de manera interactiva, a través de una página web dispuesta por ACIS para tal fin. Dadas las limitaciones de tiempo y recursos disponibles en la Asociación, se ha realizado un conjunto de análisis básicos, los cuales pretenden ofrecer los elementos más sobresalientes de los resultados obtenidos, para  orientar al lector sobre las tendencias identificadas en el estudio.

Resumen

La seguridad de la información toma más fuerza dentro de las organizaciones, y vemos cómo cada vez más, las agendas organizacionales contemplan de alguna manera los escenarios de protección de la información, como parte de las preocupaciones internas.

 

Un creciente escenario de anomalías electrónicas, unas regulaciones vigentes, unas tecnologías de protección cada vez más limitadas, y una mayor dependencia de la tecnología dentro de la forma de hacer negocios, muestra cómo la necesidad de proteger la información es más relevante. Bajo esa misma óptica vemos unos ejecutivos de la seguridad más preocupados por utilizar lenguajes más cercanos a la organización e interesados en tratar de entregar soluciones que armonicen las relaciones de funcionalidad y protección dentro del marco del negocio.  Encontramos responsables de seguridad más preocupados en ver cómo la seguridad de la información debe aportar valor a la empresa y de esta forma se diseñan planes para tener una sensación adecuada de confianza frente a los negocios, sumado al valor ofrecido a sus diferentes clientes.

 

También se observa a los encargados de seguridad involucrados en crear unos procesos de cultura alrededor de la organización –es una tendencia mundial-, y muchos coinciden en que el factor clave de la seguridad no es la cantidad de tecnologías alrededor del tema, sino una adopción clara de dicha cultura, encaminada a proteger el activo estratégico de la organización, denominado información. Los ejecutivos de la seguridad están convencidos de que la alineación de la seguridad y los objetivos del negocio es clave en los procesos de construcción de la cultura de seguridad. Así mismo, quienes administran la seguridad y operan el día a día están preocupados por las regulaciones y su  cumplimiento, como parte de sus actividades


en la construcción de la cultura de seguridad de la información.

Top de hallazgos

A continuación se describen los 10 principales hallazgos de la encuesta que contempla 39 preguntas diseñadas para obtener una visión de lo que, año tras año,  representa la seguridad de la información en las organizaciones nacionales.

 

1. Cada vez, las organizaciones están más preocupadas por las anomalías electrónicas que acechan en Internet; de ahí que para este año el hecho más relevante es el significativo incremento -27-87%- de las organizaciones que buscan mantener contactos con autoridades nacionales o internacionales para atender ciberataques o incidentes que afectan las infraestructuras de las organizaciones. En esa misma medida, los CERT (Centros de Atención de Incidentes), se convierten en instrumentos vitales para el apoyo en la atención de problemas de esta naturaleza. Para el año 2012 sólo el 8% contaba con este tipo de asistencia; este año, el 36,4% de los encuestados dicen tener un contacto para apoyar los procesos de atención de incidentes. Tendencia que en el mundo mantiene su constancia y creciente fortalecimiento.

    

 

            

2.  Las certificaciones como plus de acompañamiento para los profesionales de seguridad de la información continúan siendo una tendencia a nivel nacional y se ratifica a nivel internacional. Nuevamente, en la realidad nacional vemos que la certificación más usada como parte de los trabajos en seguridad de la información para este año, es CISS con un incremento del 23,18%. Quienes responden la encuesta señalan que sus profesionales de seguridad de la información la poseen, mientras que un 19,82% de los que contestan, siguen considerando la certificación CISSP como una de las más reconocidas para tener en cuenta por los profesionales de seguridad de la información, interesados en mejorar sus perfiles profesionales y dar un mayor valor a sus carreras en el mundo de la seguridad.

3. Sorprendentemente, vemos la creciente preocupación por los temas de seguridad de la información en las organizaciones, y su interés en la creación de programas para mitigar los riesgos; y, por otro lado, encontramos que no existe presupuesto para diseñar dichos programas. Este año encontramos un incremento del 17,09% entre las personas encuestadas, quienes dicen no tener una partida definida para atender los temas de seguridad dentro de sus organizaciones, comparativamente con el año anterior, en que solo el 23% de los encuestados manifestó no tener un presupuesto. Este año el 40% indica no tener presupuestos asignados para la seguridad, hecho que muestra la dualidad que se observa dentro de las empresas: seguridad como un gasto y la penetración de estos temas.


4.  Es interesante la nota de observación de todos los encuestados, en el sentido de que las instituciones educativas no hacen suficiente difusión sobre sus programas de profesionalización en los temas de seguridad, lo que lleva a pensar que la oferta en el país es escasa y, por lo tanto, no existe formación especializada. Este año se observa un 16.15% de incremento en tales opiniones, frente al año inmediatamente anterior.

5. La seguridad de la información para las organizaciones es un tema que desde sus inicios se ha visto con una perspectiva compleja y difícil de adoptar, pero la causa principal de esta situación, los encuestados la ubican en la complejidad de los flujos de información, y la definen como el obstáculo más importante, para que la seguridad de la información penetre en las empresas. Este año, un 16.05% más de los encuestados  la señala como tal.

6. Ahora bien, entre los encuestados que sí poseen un presupuesto en seguridad de la información, es interesante ver un incremento del 16,02%. Ellos manifiestan haber gastado en 2012 más de US$130.000, valor que representa un fortalecimiento en las arquitecturas e infraestructuras de seguridad, acorde con las tendencias internacionales, las cuales muestran que las empresas están gastando mucho más en estos temas, debido a lo que está sucediendo en el entorno. Para nuestras empresas en el país también es positivo que se realicen tales inversiones que proporcionan valor adicional a la información, como activo estratégico.

7. Continúa la tendencia mundial en depositar la confianza en mecanismos de protección al antivirus, como la herramienta más usada. Un 14,83% de incremento para este año frente al año anterior, deposita la confianza en el antivirus como mecanismo de defensa en las infraestructuras de seguridad. En 2012, el 76% de los encuestados lo consideró como una herramienta, mientras este año, el 94% de los mismos, lo considera como uno de los mecanismos utilizados. Hecho que demuestra preocupación por las anomalías y el deseo de invertir para controlar las infecciones a que pueden verse sometidas.

       

8. Los gastos de seguridad en las organizaciones colombianas se centran como primera medida, en las evaluaciones de seguridad de las plataformas. Este año representan un incremento del 11.33%, frente al año inmediatamente anterior, como mecanismo para evaluar la forma cómo sus plataformas se encuentran expuestas a los peligros de Internet. Se consideran ambos mundos, pruebas internas y externas como mecanismos válidos de uso común. Situación asociada a las tendencias mundiales sobre gestión de vulnerabilidades y pruebas de intrusión, como mecanismos adecuados para validar los controles de las organizaciones.

9. Los incidentes de seguridad son una tendencia mundial, y se presentan en las organizaciones sin importar el tamaño de las mismas; lo inquietante es que en la realidad colombiana aunque también se presentan, un 8,66% más de los encuestados, comparado con el año anterior, manifiesta que no conoce si en su organización se han visto afectados por incidentes de seguridad. Hecho que resulta inquietante, toda vez que puede obedecer a que no todas las partes estén involucradas y que se asuma como un tema secreto dentro de las empresas, lo que cuestiona el modelo adoptado para la atención de incidentes puesto que lo recomendado por la industria es que ante un incidente, las partes interesadas estén debidamente informadas, para no generar falsas versiones al respecto.

10. Para la industria de seguridad de la información es clave utilizar buenas prácticas encaminadas a la construcción de modelos más adecuados que se amolden a las organizaciones, en los que la personalización es la variable importante para obtener un modelo exitoso. Llama la atención este año, que aunque la tendencia mundial es esa, en la realidad colombiana no se considera y es el rubro de mayor incremento en 2013, con un 7.46%, frente a 2012. De acuerdo con tales resultados se puede inferir que las organizaciones se preocupan por los temas de seguridad, pero sin un conjunto de buenas prácticas, lo  que pone de manifiesto el nivel de madurez en que se encuentran las empresas.


1.    Demografía

Con base en las respuestas obtenidas, los tres sectores más representativos de la industria para este año están distribuidos entre educación, con un 19.75%, seguida de los servicios financieros que mantienen la tendencia de participación en la encuesta, representada en 18.52%. Y, en tercer lugar, figura el sector Gobierno, con una participación del 12.96%.

 

Estos tres sectores de gran importancia muestran la forma en cómo la seguridad de la información penetra en los sectores empresariales. A nivel mundial vemos cómo los Gobiernos se preocupan más por el ciberespacio, al que algunos denominan la nueva frontera de las guerras venideras. De otro lado, el sector educativo ve con preocupación la seguridad, teniendo en cuenta los repetidos ataques a sus infraestructuras, originados por los débiles diseños que exigen mejorar los esquemas. Por su parte, los sectores financieros se ven enfrentados a cumplir con una serie de controles para cumplir con ese competido negocio, considerando la globalización de las economías y la normatividad nacional e internacional.

 

Los resultados de este año muestran cómo las empresas de gran tamaño marcan la tendencia mundial, en la forma como se preocupan por los temas de protección y seguridad de la información. Vemos en este 2013, empresas con más de 1000 empleados y corresponden a la participación más importante en la encuesta de Colombia, con un 42,59%. De igual manera, las medianas y pequeñas empresas tienen una participación importante, en todos los sectores de las industrias del país. Comparativamente con el año anterior, vemos que las empresas desde 100 empleados a 200 tuvieron un incremento del 4.49% de participación; y, las de 501 a 1000 empleados incrementaron su participación en un 3.84%.

 

En la evolución natural de la seguridad de la información vemos cómo este tema   penetra en distintas áreas de la organización. Para este año, el área de seguridad continúa bajo el comando del área de tecnología de la información, con un  37,65%, lo que nos muestra que sigue siendo la seguridad para las empresas un asunto tecnológico y no global, como lo refleja la tendencia mundial. Esto significa que las organizaciones tienen que madurar en su visión de la seguridad de la información como apoyo del negocio.

No obstante, al comparar el año inmediatamente anterior vemos que el cargo de director de seguridad, presenta el mayor incremento, alineado con la tendencia mundial de tener un responsable directo y definido para tratar y trabajar los temas de seguridad de la información. De igual manera, vemos que  las organizaciones de los sectores participantes, aún no tienen definido el rol ni identificados los responsables, lo que hace que las responsabilidades en materia de seguridad estén diluidas por complet

 

2.    Presupuestos

En las organizaciones, la información continúa siendo reconocida como fuente inagotable para hacer negocios. Las industrias de los distintos sectores consideran que frente a los constantes ataques, es necesario protegerla. Mas del 80% de los encuestados identifican esta situación; así las cosas, es necesario pensar en que los procesos, la tecnología y los recursos humanos que las organizaciones poseen deben estar volcados en poder proteger la información. Frente al año anterior, se registra una disminución de dicha tendencia, es decir, de reconocer a la información como un activo de vital importancia para la empresa.

Ahora bien, considerando esa tendencia de reconocer la información como un activo de vital importancia, es necesario definir presupuestos suficientes para diseñar e implementar controles en las organizaciones. Para este año  encontramos que cerca del 60% de los encuestados cuentan con un presupuesto asignado para atender las necesidades de la entidad, aunque frente al año  anterior hay una disminución importante en la presencia de este rubro dentro de las organizaciones.

 

Es necesario revisar la forma en cómo este presupuesto es asignado porque para este año, permanece el desconocimiento en estos temas entre los encuestados –un 47,42%-, pero las demás personas sí  manifiestan conocer los porcentajes del presupuesto general. Es por ello que encontramos que entre el 0 y 2% (23,71) del presupuesto global de la organización es asignado para los temas de seguridad, como segundo valor importante en esta categoría.

Seguido de un 3 a 5% (15,46%). Lo que muestra esta situación y se revalida con la tendencia internacional es que las inversiones en seguridad son cada vez más necesarias, toda vez que es necesario definir procesos, poseer recursos y contar con controles tecnológicos y no tecnológicos para ayudar en la protección de la información, permitiendo con ello construir un proceso de cultura dentro de la organización para ser más competitivos en el mercado actual.

Ahora bien, al revisar en qué se gastan los presupuestos las organizaciones encontramos cosas muy interesantes. Vemos cómo la protección de la red sigue siendo el componente más fuerte en los diferentes sectores de la industria, (80,86%). Sin embargo, al revisar el año pasado, lo que más crece en este 2013 está relacionado con las evaluaciones de seguridad, 11.33% de incremento frente a 2012. Proteger los datos críticos de la organización ocupa el segundo lugar con un 61,73%), lo que nos muestra que la organización sí reconoce la información como activo vital. De la misma forma refleja la realización de los ejercicios para identificar la información, clasificarla y con ello implementar los controles necesarios, además de mostrar cómo se enfocan los presupuestos en temas puntuales alrededor de controles a la información crítica de las organizaciones. En tercer lugar figura proteger las aplicaciones. El 53,29% de los encuestados considera que es necesario invertir en esta acción, que coincide con que cada vez más tenemos un conjunto de aplicaciones expuestas a Internet sometidas a los peligros que este medio de comunicación ofrece.

 


3.    Fallas de seguridad

Los incidentes de seguridad son una realidad a nivel mundial, de ahí que muchas organizaciones con las mejores infraestructuras de seguridad son  vulneradas con ataques efectivos y mucho más especializados. Por tal razón,  vemos cómo los grupos de atención a incidentes están llegando a niveles importantes.  

En la realidad nacional se observa la misma tendencia. Por un lado un gran porcentaje de los encuestados contesta que no conocen si se han presentado incidentes en sus organizaciones (38,27%), pero también encontramos que más del 55% indica haber tenido incidentes de seguridad en sus organizaciones.  Frente al año anterior,  las incidencias entre 4 y 7 incrementan en un 16%, lo que muestra que nuestros panoramas de anomalías son reales, y lo positivo es que se está pensando en poder enfrentarlas con procesos claros y apoyados en la tecnología. 

Es necesario saber qué sucede para poder informar a todas las comunidades y sobre todo apoyar a otros en la definición de sus estrategias de defensa. Es por eso que se preguntan los tipos de incidentes a los que se han visto expuestos, para informar y alertar a la comunidad sobre las tendencias de los ataques identificados.

Este año los encuestados manifiestan que el software no autorizado (55,56%) es lo que más se ha presentado. En  segundo lugar, figuran  Virus/Caballos de Troya (46,3%), tendencia mundial que se mantiene en Colombia.  Como tercer tipo de incidente aparecen los accesos no autorizados a la web (32,1%), resulta que refleja la debilidad de nuestros portales web y la necesidad de fortalecer los esquemas de protección alrededor de las aplicaciones en la red. La fuga de información sigue en la escala de lo identificado (19,14%), lo que muestra el panorama actual de los peligros existentes.


4.    Herramientas y prácticas de seguridad

Más del 50% de los encuestados dice al menos haber realizado una evaluación  de seguridad en su organización, tendencia que se mantiene  como una práctica adecuada para velar por el estado de salud de los ambientes sobre los cuales se prestan los servicios de las empresas. Llama la atención este 2013, que el porcentaje más alto 39,51% manifiesta haber realizado una prueba de seguridad en el año, hecho positivo que muestra la preocupación por tales asuntos dentro de las organizaciones.

Los mecanismos más usados en la realidad nacional son los antivirus con un 94,44%, como primer mecanismo de protección en las organizaciones. En segundo lugar los firewall, con el 90%;  y, en tercer lugar, las contraseñas, con un 82%. Es importante ver cómo estos mecanismos estándar en la protección, siguen siendo validos, pese a las situaciones a las que se ven enfrentados, que nos muestran un panorama retador, en donde es necesario entender que no son suficientes para proteger la información.

 

5.    Políticas de Seguridad

Este año vemos cómo la política de seguridad y la madurez de las organizaciones frente al tema han aumentado, al punto de que el porcentaje más alto, 45,06%,  cuenta con una política formalmente establecida, lo que muestra una madurez de las organizaciones por tener un marco institucional alrededor de la seguridad, además de definir una intención clara y una directriz sobre cómo debe considerarse la seguridad de la información dentro de las empresas.

 

Como consecuencia de poseer una política de seguridad es necesario saber si las organizaciones tienen un marco para manejar y gestionar sus riesgos. Este año se incluyó una pregunta a los encuestados para determinar la práctica de evaluar sus riesgos dentro de la organización. Encontramos que un 54% de los encuestados la  realiza; un 29,6% lo practica una vez al año; un 12,96% dos veces al año; y,  11,73% más de dos veces al año.  Tales resultados indican que a las organizaciones sí les interesa el tema y que poseen una serie de procesos claros para poderlo hacer. Así mismo,  que disponen de una serie de recursos humanos especializados para realizar dicha labor.

 

Por  otro lado y consecuentemente con la intención de la organización, están las buenas prácticas en materia de seguridad, para determinar cómo guiar sus esfuerzos para la construcción de un modelo sostenible en materia de seguridad,  adaptado a cada una de las organizaciones de la industria.

Las buenas prácticas son modelos seguidos por cientos de organizaciones a nivel mundial, y como tendencia internacional son parámetros ampliamente aceptados  que permiten a las organizaciones mejorar y direccionar los esfuerzos frente a la forma de abordar los temas de seguridad. Pero como la misma tendencia internacional sugiere, son modelos que deben ser adaptados y no copiados al pie de la letra, porque no necesariamente garantizan la seguridad en las organizaciones que los implementan. Para la realidad nacional vemos cómo ISO 27001 es el estándar más usado, con un 62.35% de participación; ITIL con un 37% de participación; y,  Cobit en tercer lugar, con el 31% de selección, por parte de los encuestados.  No obstante, aún existe una población bastante alta que no contempla el uso de ningún estándar para organizar de manera interna los procesos de seguridad, lo que deja entrever un poco de descontrol a la hora de gobernar la seguridad; simplemente ven la seguridad como un problema tecnológico, que por sí solo, ha demostrado no resolver nada en lo absoluto.

6.    Capital Intelectual

Contar con los recursos necesarios y las habilidades suficientes es factor clave, a la hora de gestionar la seguridad de la información. En  la realidad nacional, al indagar por cuántas personas están dedicadas en las empresas, tenemos resultados interesantes. Lo mas seleccionado por los encuestados con un 53,09%,  apunta entre 1 a 5 personas en las áreas de seguridad. Lo que confirma lo planteado en este informe en el sentido de que la seguridad ha calado en las organizaciones y se requiere un responsable, además de un equipo de trabajo. Un 25% de los encuestados manifiesta no disponer de personas dedicadas a atender los asuntos de seguridad, lo que demuestra que dicha responsabilidad está diluida  en otras áreas y se trata de un tema secundario. Comparando los resultados del año anterior, se refleja que las áreas de seguridad han empezado a crecer y vemos un incremento cercano al 6%, con respecto a 2012. Los grupos de 6 a 10 personas dedicadas a la seguridad tienen cabida dentro de las organizaciones, lo que muestra una madurez en la seguridad y una mayor cantidad de responsabilidades que requieren de personal para ser atendidas. En otras palabras, los aspectos de seguridad si existen en nuestro país y están siendo demandados.

Sobre la experiencia profesional, encontramos que en Colombia,  más del 80% de los encuestados considera que el personal de seguridad debe tener, por lo menos,  un año de experiencia en los temas de seguridad de la información. El número más significativo está en las personas solicitadas con más de dos años de experiencia; el 47.53% de los encuestados considera que es el tiempo adecuado de experiencia para trabajar en sus distintas organizaciones. Es decir, tales resultados muestran que se buscan personas con capacidades adquiridas que puedan  empezar procesos que sean los más adecuados para las organizaciones.

Sobre las calificaciones más adecuadas como valor agregado, a la hora de trabajar en los temas de seguridad de la información, el 51% de los encuestados manifiesta que la gente que trabaja en seguridad de la información no posee ninguna certificación o valor adicional a su formación profesional universitaria o de postgrado. Pero, continúan siendo CISSP con un 21.6%; CISM con un 14.2%; y, otras certificaciones con un 19.14%, como ISO 27001, CEH entre las más obtenidas en la industria nacional. Pero, dentro de sus preferencias los encuestados muestran que quien trabaje en seguridad de la información debe tener CISSP (87%), CISM (68%), CISA (58%), como las certificaciones más adecuadas. Así las cosas, dentro de las empresas necesitamos personas con experiencia, que dispongan de un plus adicional para trabajar en los temas de protección de la información.


Conclusiones generales

 

Los resultados generales que sugiere la encuesta podríamos resumirlos en algunas breves reflexiones:

 

1.    Las regulaciones nacionales e internacionales llevarán a las organizaciones en Colombia a fortalecer los sistemas de gestión de la seguridad de la información. En la actualidad, la norma de la Superfinanciera comienza a cambiar el panorama de la seguridad de la información en la banca y en el país.

2.    La industria en Colombia exige más de dos años de experiencia en seguridad informática, como requisito para optar por una posición en esta área. De igual forma, se nota que, poco a poco, el mercado de especialistas en seguridad de la información toma fuerza, pero que todavía la oferta de programas académicos formales es limitada, lo que hace que las organizaciones opten por contratar a profesionales con poca experiencia en seguridad y prefieran formarlos localmente.

3.    Las certificaciones CISM, CRISC, CISA, CISSP son la más valoradas por el mercado y las que marcan la diferencia para su desarrollo y contratación, a la hora de considerar un proyecto de seguridad de la información.

4.    Las cifras siguen mostrando a los antivirus como mecanismos tradicionales de protección; a las contraseñas, los firewalls de software y hardware como los más utilizados, seguidos por los sistemas VPN y proxies, así como un aumento creciente en el uso de certificados digitales. Existe un marcado interés por las herramientas de cifrado de datos y los firewalls de bases de datos, que establecen dos tendencias emergentes ante las frecuentes fugas de información y migración de las aplicaciones web, en el contexto de servicios o web services;  y la biometría como mecanismo alterno de protección de la información.

5.    Frente a las amenazas electrónicas, se nota una focalización o centralización de los ataques informáticos; pasamos de virus genéricos a ataques dirigidos y con objetivo, que disminuyen en su capacidad de replicación, pero aumentan en su efecto organizacional.

6.    En la realidad nacional se nota un esfuerzo alrededor de la gestión de los incidentes. Sin  señalar que estamos bien, el esfuerzo por entender este escenario como parte fundamental del modelo de seguridad de la información de la organización, muestra una mejoría significativa en dicha gestión. Así mismo, las relaciones que se han venido fortaleciendo con los entes judiciales son esfuerzos logrados en los diferentes tipos de industrias, en pro del mejoramiento.

7.    Este año se observa cómo los procesos y la gestión de seguridad de la información continúan afianzándose en el Gobierno y los diferentes sectores de la industria. Se observa una evolución interesante, en el sentido de pasar de una inseguridad informática, a un proceso elaborado de inseguridad de la información, donde el riesgo ayuda a introducir en la agenda de los ejecutivos de las organizaciones, la seguridad de la información, como una herramienta para poder ofrecer servicios, y productos de una manera más confiable. No obstante, es necesario continuar cerrando de manera sistemática las brechas, toda vez que los enemigos virtuales nunca se detienen, y todo el tiempo redefinen el panorama de las amenazas, así como los vectores de las mismas.

8.    Los estándares internacionales de la industria se ven reflejados en Colombia en las buenas prácticas en seguridad de la información. Es por eso, que ISO 27000, ITIL y Cobit 4.1 se consolidan como marcos para construir arquitecturas de seguridad de la información y muestran en forma sistemática su importancia, en la construcción de modelos para ayudar a gobernar la seguridad de la información.

9.    La inversión en seguridad de la información todavía está concentrada en tecnología como las  redes y sus componentes, así como en la protección de datos de los clientes y un ligero interés en el tema de control de la propiedad intelectual y derechos de autor. Sin embargo, las inversiones han ganado terreno en los temas de procesos, políticas y procedimiento; es decir, los temas no técnicos de la seguridad, los cuales muestran la evolución de la misma, con énfasis en la construcción de modelos sostenibles, sin importar las tecnologías de protección utilizadas.

 

Referencias

 

[1] PRICEWATERHOUSECOOPERS (2013). The Global State of Information Security Study.http://www.pwc.com/gx/en/information-security-survey

 [2] INTERNET SECURITY THREAT REPORT. Symantec.  http://www.symantec.com/threatreport/

 [3] CISO Pulse Survey Analysis – Segmented  Prepared for Tripwire, Inc.

 

 

Andrés Ricardo Almanza Junco, M.Sc.Ingeniero de Sistemas, universidad Católica de Colombia. Especialista en Seguridad de Redes de la Universidad Católica de Colombia. Máster de Seguridad Informática de la Universidad Oberta de Cataluña, España. Certificación LPIC1, Linux Professional Institute. ITILv3, Auditor Interno ISO 27001:2005. Codirector de las Jornada Nacional de Seguridad Informática. Coordinador en Colombia de la Encuesta Nacional de Seguridad Informática. Coordinador de Seguridad de la Información de la Cámara de Comercio de Bogotá.

Califique este elemento
(3 votes)
Leido 25747 veces Modificado por ultima vez Lunes, 24 Junio 2013 14:42

Ingrese su comentario

Por favor confirme que ingreso la informacion requerida. Codigo HTML no esta permitido

Actividades Académicas

 

Sobre ACIS

La Asociación Colombiana de Ingenieros de Sistemas es una organización sin ánimo de lucro que agrupa a más de 1500 profesionales en el área de sistemas. ACIS nació en 1975 agrupando entonces a un número pequeño de profesionales en sistemas. Más información