IV Encuesta

Latinoamericana de
Seguridad de la Informacin
Tendencias 2012

Jeimy J. Cano M.
Gabriela M. Saucedo M.
Junio 2012

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

IV Encuesta Latinoamericana de Seguridad de la

Informacin
Tendencias 2012

INTRODUCCIN
Continuando con el esfuerzo que se ha venido realizando desde 2009 en conjunto con
importantes entidades latinoamericanas para conocer los avances y tendencias en
seguridad de la informacin, este ao se presentan los resultados de una nueva encuesta
para seguir de cerca los movimientos de las prcticas de seguridad en nuestro continente.
En esta ocasin la Asociacin Colombiana de Ingenieros en Sistemas (ACIS), el Centro de
Atencin de Incidentes de Seguridad Informtica y Telecomunicaciones ANTEL de
Uruguay, el Captulo Buenos Aires de ISACA y la organizacin ISACA de Per unieron
esfuerzos para identificar y analizar las tendencias en el tema de Seguridad de la
informacin en Amrica Latina.
El anlisis presentado a continuacin se desarroll basado en una muestra aleatoria de
profesionales de tecnologas de informacin y comunicaciones de Argentina, Colombia,
Mxico, Per, Uruguay, Paraguay entre otros, la cual respondi una encuesta de manera
interactiva a travs de una pgina web dispuesta por la Asociacin Colombiana de
Ingenieros de Sistemas ACIS para tal fin. Dadas las limitaciones de tiempo y recursos
disponibles en la Asociacin, se ha realizado un conjunto de anlisis bsicos, los cuales
pretenden ofrecer los elementos ms sobresalientes de los resultados obtenidos que
orienten al lector sobre las tendencias identificadas en el estudio.
Con esto en mente y considerando otros estudios internacionales como el Global State of
Information Security Survey 2012 adelantada por PriceWaterhouseCoopers, el Quarterly
Report 2012 efectuado por Panda Labs y el reporte TMT Global Security Study 2012 de
Deloitte & Touch se proceder a analizar los resultados de la Encuesta Latinoamericana de
Seguridad de la Informacin 2012.

JCM/GSM-12 All rights reserved

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

ESTRUCTURA DE LA ENCUESTA
El estudio se integra con un cuestionario compuesto por 35 preguntas considerando los
siguientes temas y enfoques:
Demografa
Esta seccin identifica los siguientes
elementos
Zona Geogrfica
Sector de la organizacin
Tamao de la organizacin
Responsabilidad y responsables de
la seguridad
Ubicacin de la responsabilidad en la
organizacin
Presupuestos
Esta seccin muestra si las organizaciones
han destinado un rubro para la seguridad de
la informacin de su presupuesto anual. As
mismo, permite revisar el tipo de tecnologa
en el que invierten y un estimado del monto
de la inversin en seguridad de la
informacin.
Fallas de seguridad
Esta seccin revisa los tipos de fallas de
seguridad ms frecuentes; cmo se enteran
sobre ellas y a quin se notifican. Por otra
parte, identifican las causas por las cuales
no se denuncian la fallas y si existe la
conciencia sobre la evidencia digital en la
atencin de incidentes de seguridad
informtica.

Herramientas y prcticas de seguridad

informtica
En este segmento de la encuesta, el objetivo
es identificar las prcticas de las empresas
sobre la seguridad, los dispositivos o
herramientas que con ms frecuencia
utilizan
para
el
desarrollo
de
la
infraestructura tecnolgica y las estrategias
que utilizan las organizaciones para conocer
sus fallas de seguridad.

Polticas de seguridad
Esta seccin busca indagar sobre la
formalidad de las polticas de seguridad en
la organizacin; los principales obstculos
para lograr una adecuada seguridad; la
buenas prcticas o estndares que utilizan;
los contactos nacionales e internacionales
para seguir posibles intrusos.

Capital Intelectual
Finalmente esta seccin se analiza la
situacin de desarrollo profesional en torno
a
conocimientos
relacionados
con
tecnologas de la informacin: personal
dedicado a esta tarea, personal certificado,
importancia de las certificaciones y aos de
experiencia en el tema de seguridad
informtica

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

Los resultados de este estudio se presentarn incluyendo un anlisis comparativo con los
resultados obtenidos desde el 2009 con el fin de mostrar un panorama ms completo de las
tendencias.
Tabla 1
PAISES
PARTICIPANTES
Argentina

2009

Chile

2010

2011

2012

6.50%

12.76%

17%

23.33%

8.80%

0%

2%

2.50%

65.40% 58.90%

Colombia

Costa Rica

60% 42.22%

0%

0%

0%

7.50%

Mxico

12.20%

10.30%

5%

5.00%

Uruguay

7.10%

6.07%

3%

1.39%

Paraguay

0%

6.38%

0%

2.80%

Per
Otros pases:
Cuba, Ecuador,
Panam, Portugal,
Puerto Rico,
Venezuela

0%

0.00%

0%

15.00%

0%

5.50%

13%

2.78%

La metodologa para el desarrollo de esta

encuesta fue mediante invitacin abierta a
profesionales
en
tecnologas
de
informacin y reas afines, de diversos
pases de Amrica Latina, quienes
tuvieron la oportunidad de responder en
lnea la encuesta diseada para este
estudio. En este 2012 se logr la
participacin de 512 profesionales pero se
consideran solamente 360 participaciones
que corresponden a las encuestas que
fueron diligenciadas en su totalidad.
Colombia an cuando el porcentaje de
participacin disminuy, presenta el

porcentaje ms alto (42.22%).

42,22%

2009

JCM/GSM-12 All rights reserved

2010

2011

15,00%

2,78%

Otros pases: Cuba,

Ecuador, Panam,
Portugal, Puerto Rico,

2,80%

Per

1,39%

Paraguay

5,00%

Uruguay

Costa Rica

Colombia

7,50%

Mxico

2,50%

Chile

Argentina

23,33%

2012

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

DEMOGRAFA-PERFIL ORGANIZACIONAL DE PARTICIPANTES

Sectores participantes:
2009

2010

2011

2012

11.70%

16.71%

15.56%

19.17%

Construccin / Ingeniera

4.34%

3.64%

2.22%

1.94%

Telecomunicaciones

13.60%

6.07%

13.61%

7.22%

Sector de Energa

2.40%

4%

1.67%

4.17%

Salud

3.20%

3.34%

3.33%

3.89%

Alimentos

1.20%

0.91%

1.67%

0.28%

Educacin

13.60%

12.76%

16.11%

10.00%

Gobierno / Sector pblico

12.30%

14.58%

13.61%

15.00%

Manufactura

3.80%

5.16%

1.94%

3.06%

Consultora Especializada

12.30%

14.58%

13.33%

17.78%

18.25%

16.95%

17.49%

Tabla 2

SECTORES PARTICIPANTES

Servicios Financieros y Banca

Otros sectores: Asegurador, Logstica, Caja C., Farmacutico,

Informtica, Desarrollo de software, Transporte

Anlisis:
Como puede apreciarse, este ao hubo una mayor participacin del sector financiero y la
banca, seguido por el grupo de profesionales pertenecientes a la Consultora especializada
y otros sectores mayoritariamente del rea informtica. Esto obedece a que,
especficamente el sector financiero y de la banca, ha sido fuertemente motivado mediante
regulaciones gubernamentales, al cumplimiento de normativas y adicionalmente, se han
visto en la necesidad de capacitarse para lograr implementar mayores y mejores prcticas
que les permitan hacer frente a los desafos que se presentan dadas las tendencias en
inseguridad de la informacin motivos por los cuales muchos de los participantes que
atendieron la invitacin son los que pertenecen a las listas de seguridad y grupos de estudio
desde donde se hizo llegar la misma.

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

Cantidad de empleados de la organizacin:

48,61%
40,00%

50,00%
40,00%
30,00%
20,00%
10,00%
0,00%

35,56%
31,40%

2009
2010
2011
2012

1 a 50

51 a 100 101 a 200 201 a 300

301 a 500

501 a
1000

Mas de
1000

Anlisis:
En este cuarto estudio, se observa una nutrida participacin de grandes organizaciones, que
con un 8% adicional al ejercicio del 2011, sigue mantenindose en el primer lugar; sin
embargo, es tambin notoria la participacin de pequeas y medianas empresas que
representan en su conjunto el 52% restante de participaciones. Una interpretacin de este
alto porcentaje de participacin es sin duda el inters que tienen dichas organizaciones en
asegurar sus activos de informacin hecho que se refleja en la preparacin y participacin
de los colaboradores del rea de Tecnologa de Informacin en grupos de estudio a travs
de los cuales se ha invitado a responder esta encuesta.

Dependencia organizacional del rea de seguridad de la informacin

Anlisis:

Tabla 3 DEPENDENCIA DE LA
RESPONSABILIDAD DE LA
SEGURIDAD INFORMTICA EN LA
ORGANIZACIN

2009

De acuerdo con la experiencia

internacional el rea de
5.10%
seguridad de la informacin Auditora interna
21.90%
nace de manera natural en el Director de Seguridad Informtica
rea
de
tecnologas
de Director Departamento de
36.80%
informacin y en este contexto Sistemas/Tecnologa
1.40%
latinoamrica
no
es
la Gerente Ejecutivo
4.00% excepcin. Este ao se Gerente de Finanzas
2.20%
mantiene la tendencia y poco a Gerente de Operaciones
20.90%
poco
se
confirma
la No se tiene especificado
formalmente
consolidacin de reas de
Tercerizado
seguridad de la informacin,
con una ligera tendencia de Otros cargos: Superintendente de
Comunicaciones y Servicios Tcnicos,
ubicacin de stas fuera del Gerente de riesgos, Gerente General,
rea
de
tecnologa
de Vicepresidencia de Planeacin
informacin. As las cosas, Estratgica del Negocio, Coordinador
de Comunicaciones, Lder de
este resultado nos reta a Seguridad de la Informacin
repensar el modelo de negocio
de seguridad la seguridad de la informacin desde la perspectiva de
parte activa de las agendas de las juntas directiva.
JCM/GSM-12 All rights reserved

2010

2011

2012

5.00%

2.20%

26.13% 28.00%

23.61%

41.03% 38.00%

36.67%

2.43%

2.43%

3.00%
-

3.00%

3.61%
0.28%

3.00%

3.89%

13.37% 15.00%

14.72%

1.00%

14.31%

7.00%

15.00%

corporativa para ser

5

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

Cargos que respondieron la encuesta

Anlisis:
En contraste con aos anteriores, la participacin de responsables de la Seguridad de la
Informacin en las organizaciones fue menor. En esta oportunidad, la participacin en las
respuestas se concentra en un grupo genrico de profesionales del rea de TI, hecho que
resulta de inters dado que el tema de seguridad ya no es privativo de un rea, esto es, el
conocimiento, actividades y responsabilidades del cuidado y tratamiento de la informacin,
as como la implementacin de prcticas, es inherente a los procesos de la empresa.
Las organizaciones debern cuidar el diseo del perfil del ejecutivo de seguridad de la
informacin, pues si bien las prcticas deben de uso general en la empresa, resulta valioso
e interesante, contar con una vista focal, especializada y de reporte centralizado que genere
y asegure la vista estratgica de la seguridad de la informacin.

Tabla 4 CARGO DE LOS PARTICIPANTES

Presidente/Gerente General
Director Ejecutivo
Director/Vicepresidente
Director/Jefe de Seguridad Informtica
Profesional del Departamento de Seguridad
Informtica

2009
2010
2011
6.50% 4.86% 3.06%
3.00% 2.43% 2.79%
2.80% 1.82% 1.67%
6.90% 15.19% 9.19%
11.90% 13.37% 11.70%

Profesional de Departamento de
Sistemas/Tecnologa
Asesor externo
Auditor Interno
Jefe de Seguridad de la Informacin
Jefe de Sistemas y Tecnologa
CISO Chief Information Security Officer
ISO Information Security Officer

33.20% 25.83% 20.89% 22.50%

Otros: Profesores, operadores, lder de

infraestructura, Ingeniero de Proyectos,
Analista de sistemas, Consultor, Gerente de
seguridad

2012
5.28%
2.50%
1.39%
5.83%
8.61%

4.70% 5.16% 5.01% 6.39%

8.70% 10.33% 9.75% 11.39%
9.19% 5.83%
9.47% 10.83%
4.46% 4.17%
3.06% 4.72%
18.94% 10.56%

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

PRESUPUESTO
En qu temas se concentra la inversin en seguridad de la informacin?
Tabla 5
ASIGNACIN DEL GASTO DE SEGURIDAD

2009

2010

2011

2012

Proteccin de la red

74.40%

17.46%

17.63%

78.33%

Proteger los datos crticos de la organizacin

57.90%

14.34%

13.85%

64.44%

Anlisis:

Latinoamrica ha sido
un continente que ao
Proteger la propiedad intelectual
23.10%
4.46%
4.56%
25.00% con
ao
va
Proteger el almacenamiento de datos de
potencializando
sus
clientes
44.90%
10.19%
0.00%
41.94%
capacidades
de
Concientizacin/formacin del usuario final
26.70%
6.94%
6.74%
16.39%
negociacin tanto a
Comercio/negocios electrnicos
16.20%
3.37%
2.89%
52.78% nivel
local
como
Desarrollo y afinamiento de seguridad de las
internacional. Firmas
aplicaciones
25.10%
5.54%
12.54% 22.50%
de tratados que se
Seguridad de la Informacin
53.10%
13.12% 16.48% 32.50%
ponen en marcha,
Contratacin de personal ms calificado
15.10%
2.61%
4.82%
5.56%
estrategias
de
Evaluaciones de seguridad internas y
externas
29.20%
6.24%
7.19%
27.22% gobierno en el mbito
tecnolgico y la cada
Plizas contra cibercrimen
6.00%
1.14%
0.78%
52.22%
vez ms difundida y
Cursos especializados en seguridad
aplicada
cultura
informtica(cursos cortos, diplomados,
especializaciones, maestras)
21.30%
5.35%
5.96%
33.33% informtica en todos
Cursos de formacin de usuarios en
los sectores de la
seguridad informtica
12.60%
3.12%
6.75%
13.06%
poblacin.
Estos
Monitoreo de Seguridad Informtica 7 x 24
27.70%
5.28%
6.49%
18.61%
hechos, van marcando
la pauta de inversin que este ao podemos apreciar con incrementos marcados en tres
asignaciones de presupuesto:
a) Comercio y negocios electrnicos: Esta inversin es consistente con los resultados
de estudios sobre el crecimiento del comercio electrnico, por ejemplo, el informe
Matomy seala que a partir del 2012, Latinoamrica crecera un 16%. Ante este
evidente crecimiento se explica el considerable incremento de asignacin de
presupuesto de SI para la proteccin de procesos de comercio electrnico.
b) Cibercrimen: Dmitry Bestuzhev, Director para Amrica Latina del Equipo Global de
Investigacin y Anlisis de Kaspersky LabAmrica ha sealado que de acuerdo a sus
investigaciones, hacia finales del 2011 Amrica Latina haba sufrido un incremento
en ataques informticos del 490%; este hecho pudiera explicar la reaccin de las
organizaciones y su decisin de incrementar del 16.20% en 2009 al 52.78% de
presupuesto en 2012.
c) Proteccin de la red y de datos crticos: consecuente con los puntos anteriores, y las
cifras manifestadas por el informe 2012 Data Breach de Verizon, donde el 98% de
las brechas de seguridad se adelantaron por agentes externos, las organizaciones
han decidido tambin incrementar el porcentaje de inversin para estos aspectos.

JCM/GSM-12 All rights reserved

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

80,00%
70,00%
60,00%
50,00%
40,00%
30,00%
20,00%
10,00%
0,00%

2009
2010
2011
2012

Presupuesto asignado para Seguridad de la Informacin 2011

2010

2011

2012

Entre
USD$110.001
y
USD$130.000

37,77%

28,88%
4,40%
4,55%
5,00%

Entre
USD$90.001 y
USD$110.000

14,90%
16,71%
16,00%

29,72%
6,20%
4,55%
4,00%

Entre
USD$70.001 y
USD$90.000

6,90%
10,03%
7,00%

Entre
USD$50.001 y
USD$70.000

17,40%
16,41%
12,00%

31,11%

38,33%
Entre
USD$20.001 y
USD$50.000

32,77%

Menos de
USD$20.000

24,00%

32,00%

50,30%
47,72%

52,22%

2009

Ms de
USD$130.000

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

Anlisis:
An cuando la economa en algunos pases de Latinoamrica tiende a ser conservadora, las
organizaciones mantuvieron en 2011 la asignacin de presupuestos para atender acciones
que fortalezcan la tarea de seguridad informtica. En la grfica anterior pueden advertirse
significativos incrementos en todos los grupos, hecho que refleja que sin importar el tamao
de empresa, se asign el presupuesto base para mantener en ptimo estado el
aseguramiento de los activos de informacin, rubro que forma parte de los criterios
financieros de las organizaciones.

Presupuesto proyectado para Seguridad de la informacin 2012

Anlisis:

Tabla 6

Consistente con la inversin realizada

PROYECCIN PRESUPUESTO
2011
2012
ANUAL
PARA
S.I.
en el 2011, el 2012 marca
32.00%
1.94%
precisamente
el
incremento
de Entre USD$110.001 y USD$130.000
24.00%
10.27%
inversin proyectada, si bien, no en Entre USD$20.001 y USD$50.000
todos los rangos que se indican en la Entre USD$50.001 y USD$70.000
12.00%
4.44%
tabla 6, si lo es en las inversiones Entre USD$70.001 y USD$90.000
7.00%
3.88%
proyectadas sobre ms de 130,001 Entre USD$90.001 y USD$110.000
4.00%
2.77%
USD y en las inversiones de menos de Ms de USD$130.001
5.00%
10.00%
20,000 USD. El sector que ms Menor de USD$20.000
16.00%
18.33%
inversin realiza es el financiero y la
banca, seguido de otro grupo de sectores como el Educativo y el gobierno, quien en durante
estos ltimos aos ha venido siendo blanco de grupos
hacktivistas (como Anonymous), los cuales han hecho
Tabla 7 DISTRIBUCIN POR SECTORINVERSIN MAYOR A 130,001 USD
manifiestas las vulnerabilidades de sus infrasestructuras.
2012
El informe de Verizon confirma igualmente esta tendencia. SECTOR
CONSULTORIA

Asegurar este tipo de presupuesto, representa un gran

acierto para los responsables de temas de Seguridad, no
slo por obtener la aprobacin de la alta gerencia sino
adems por lograr que los directivos tomen consciencia del
valor que representa asegurar la continuidad de las
operaciones de la organizacin.

GOBIERNO

13.88%

MANUFACTURA

2.77%

ENERGA E HIDROCARBUROS

8.33%

FINANCIERO Y BANCA
TELECOMUNICACIONES
OTRAS

JCM/GSM-12 All rights reserved

2.77%

36.11%
8.33%
27.77%

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

FALLAS DE SEGURIDAD
Respecto al aspecto de fallas de seguridad, son varios los puntos que podemos analizar.
Se ha mencionado el auge que desde 2011 se ha generado en la utilizacin de medios
electrnicos para comunicarse y comercializar, tambin se habl del ndice de crecimiento
en delitos informticos, sin embargo, pese a que estos datos son una realidad y de fcil
acceso a la investigacin, el estudio de este 2012, seala que apenas el 35.83% de los
participantes coinciden en que los colaboradores de sus organizaciones son muy
conscientes del valor de la informacin; se tiene el gran reto de lograr que el 65% restante,
cambie de percepcin.
En otro punto se obtuvo la cantidad de incidentes al que
las organizaciones se enfrentaron, de los 360
Entre 1-3
106 participantes, slo 41 manifestaron no haber tenido
Entre 4-7
40 incidentes en tanto que 101 desconocen este dato bien
Ms de 7
68 porque generalmente el rea de TI decide no hacer
Ninguna
41 pblica la informacin o definitivamente no saben si han
No cuento con esa informacin
101 sido o no atacados. Sealar que 214 organizaciones
tuvieron entre 1 y 7 incidentes de seguridad, es ya una
cifra que advierte una condicin de alerta e invita al trabajo inmediato en la revisin de los
modelos de aseguramiento tecnolgico y la profundizacin en el desarrollo de una cultura de
seguridad de la informacin.
Tabla 8
CATEGORA INCIDENTES

CANTIDAD

Tipos de fallas de seguridad

Tabla 9
TIPOS DE FALLAS DE SEGURIDAD
Ninguno
Manipulacin de aplicaciones de software
Instalacin de software no autorizado
Accesos no autorizados al web
Fraude
Virus/Caballos de troya
Robo de datos
Caballos de troya
Monitoreo no autorizado del trfico
Negacin del servicio
Prdida de integridad
Prdida/fuga de informacin crtica
Suplantacin de identidad
Phishing
Pharming
Robo de elementos crticos de hardware
Acciones de ingeniera social
Otras (Espionaje)
Ataque de aplicaciones web

2009

2010

8.10%
22.20%
60.70%
30.90%
10.80%
70.90%
9.90%
33.00%
11.40%
15.00%
25.80%
19.50%
13.50%
16.80%
3.00%
-

4.44% 4.40%
18.65%
9.43%
2.49%
20.70%
2.06%
7.04% 2.60%
4.33%
8.77%
5.47% 1.84%
4.55%
0.54%
1.30%

2011

5.48%
17.28%
9.87%
4.93%
16.87%
3.15%
3.42%
5.48%
6.57%
3.15%
9.32%
1.37%
7.54%
4.52%
0.96%

2012
11.66%
15.55%
50.55%
24.16%
12.77%
43.88%
7.50%
8.88%
11.94%
12.77%
10.55%
9.72%
22.77%
4.16%
20.00%
11.94%
3.05%
18.05%

10

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

Anlisis:
La variable fallas de seguridad se ha mostrado inestable a lo largo de este ejercicio que se
realiza desde el 2009, en algunos tipos de fallas (ver Tabla 9) los porcentajes disminuyen,
en otros, como acciones de ingeniera social, robo de elementos crticos (datos y
hardware), y ataque a las aplicaciones web han aumentado; lo que se mantienen
consistente entre los primeros sitios de fallas, son la presencia de virus, dato que coincide
con el primer informe trimestral del equipo de investigacin de Panda Security quienes
refieren haber detectado durante los primeros 3 meses del ao ms de 6 millones de
malware. Refiere adicionalmente que al menos 4 pases de Amrica Latina (Per, Ecuador,
Argentina y Chile) estn considerados entre los ms afectados. El resultado que sobre este
tipo de falla se detecta en este estudio va asociado con el otro tipo que es la ausencia de
implementacin de escenarios de cumplimiento en las organizaciones referente a los
lineamientos para instalacin de software (Landwell Pricewaterhousecoopers 2009); esto es:
una dbil gestin de aseguramiento de controles, aumentar la probabilidad de mayores
incidentes informticos en la empresa.

Identificacin de las fallas de seguridad informtica

66,66%
43,33%

76,11%

56,66%
47,22% 46,38%
33,61%

2012
2011
1

2010
3

Anlisis
Derivado de las exigencias
de
normativas,
regulaciones, cumplimiento
de
estndares
y
aseguramiento
de
la
continuidad del negocio,
las organizaciones han
establecido
mayores
controles de supervisin
contando
entre
otros
aspectos, con una mayor
capacitacin por parte de
JCM/GSM-12 All rights reserved

2009
6

Tabla 10 NOTIFICACIN DE INCIDENTES

2009

2010

2011

2012

24.60% 11.93% 13.09%

43.33%

47.70% 23.86% 26.66%

66.66%

3 Sistema de deteccin de intrusos

36.00% 17.95% 20.95%

56.66%

4 Alertado por un cliente/proveedor

Otras: Inspeccin, Alertado por un
5 colega, indagaciones, no hubo casos
Seminarios o conferencias Nacionales e
6 internacionales
Notificacin de un
7 empleado/Colaborador

23.70% 10.12% 12.38%

47.22%

1 Material o datos alterados

Anlisis de registros de
auditora/sistema de archivos/registros
2 Firewall

19.20% 10.84% 2.85%

46.38%
33.61%

37.80% 23.68% 24.04%

76.11%

2.70%

2.35%

11

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

los responsables del cuidado de los activos informticos. Resulta alentador revisar los
avances que del 2009 al 2011 se han dado en esta variable siendo notoria la participacin
de los colaboradores quienes han asumido su responsabilidad en los procesos de
notificacin de incidentes pasando de un 37.80% a un 76.11% de participacin entre el 2009
y el 2011.

Notificacin de un incidente de seguridad de la informacin

Tabla 11 NOTIFICACIN DE INCIDENTES
Directivos de la organizacin
Asesor legal
Autoridades locales/regionales
Autoridades nacionales(Dijin, Fiscala)
Equipo de atencin de incidentes
Ninguno: No se denuncian
Otro organismo: Sist. Informacin,
Arquitectura, Oficial/Jefe seguridad

Anlisis:

2009

2010

19.50% 17.23%

2011
44.76%
10.46%
4.45%
9.13%
18.04%
13.14%

2012
61.66%
11.94%
6.39%
9.16%
30.27%
11.94%
8.88%

Dos aspectos importantes

10.80% 8.30%
se
reflejan
en
estos
10.20% 5.53%
35.70% 41.23%
resultados: los organismos
39.30% 27.90%
de apoyo juegan, cada vez
ms,
un
importante
reconocimiento por parte de
las organizaciones, aunado a esto, es clara la participacin e inters que se denota por parte
de los directivos (61.66%) quienes se
involucran en los sucesos e
Ninguno: No se denuncian
implicaciones de los incidentes
informticos.
39,30%
27,90%
13,14%

2009

2010

2011

11,94%

Resulta interesante tambin observar

que la tendencia a no denunciar va a
la baja pasando ya de un 39.30% que
se present en 2009 a un 11.94%
referido durante el 2011.

2012

Si decide no denunciar
Tabla 12 MOTIVOS DE NO DENUNCIA
Prdida de valor de accionistas
Publicacin de noticias desfavorables
en los medios/prdida de imagen
Responsabilidad legal
Motivaciones personales
Vulnerabilidad ante la competencia
Prdida de clientes
actuales/potenciales
Otro: Posibles prdidas no
significativas, reputacin,
desconocimiento, falta de relevancia

2009
9.60%

2010
2011
2012
9.17% 13.46% 32.77%

28.50% 30.17% 22.84% 45.00%

22.50%
25.80%
23.40%
-

18.04%
21.00%
21.59%
-

10.54% 25.27%
11.42% 25.27%
17.71% 32.22%
16.39%
28.61%
7.61% 12.77%

Anlisis:
La imagen empresarial juega un
papel
fundamental
en
el
crecimiento y estabilidad de las
organizaciones, por ello el
11.94% de participantes seal
no
hacer
notificacin
de
incidentes informticos pues
consideran que ello implicara

12

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

una prdida de buena imagen ante la sociedad, los accionistas para quienes se perdera el
valor y la competencia quienes podran aprovecharse del hecho.
Esta situacin debe ser revisada en el contexto del gobierno corporativo de las entidades
que cada vez ms estn sometidas a las exigencias de sus grupos de inters, en los temas
de transparencia y visibilidad de resultados tanto positivos como negativos.

HERRAMIENTAS Y PRCTICAS DE SEGURIDAD

Las prcticas de seguridad tienen implicaciones trascendentales para garantizar adems de
la permanencia y continuidad del negocio, el seguimiento favorable de un posible litigio ante
la denuncias de hechos.
El primer paso para implementar buenas prcticas de seguridad es tener conciencia de la
importancia de ello y en consecuencia, de la importancia de identificacin, preservacin y
anlisis de evidencia digital, en este estudio el 55.27% de participaciones sealan que esta
realidad est apenas sobrepasando el 50%, sin embargo apenas el 16.11% manifiestan que
en su organizacin hay estrategias para almacenarlas y el 40.27% cuenta o est en proceso
de procedimientos para la administracin de dichas evidencias (Si-16.11%, Algunos
informales-24.16%).
Cantidad de pruebas de seguridad realizadas

Anlisis:
En consecuencia con los resultados anteriormente analizados, las organizaciones tienen
entre sus prcticas de aseguramiento y cuidado de sus activos informticos, la realizacin
de pruebas de seguridad. Con porcentajes variados entre una y ms de 4 pruebas anuales,
destacan aquellas empresas que al menos realizan una, sin embargo, an un 24.16% de la
poblacin participante, sigue dejando al
Tabla 13
azar la valoracin del riesgo inherente EVALUACIONES AL
2009
2010
2011
2012
AO
propio del entorno corporativo.
Una al ao
Entre 2 y 4 al ao
Ms de 4 al ao
Ninguna
En blanco

JCM/GSM-12 All rights reserved

30.30%
29.10%
14.70%
25.90%
-

30.30% 40.00%
26.74% 23.00%
9.11%
7.00%
20.36% 30.00%
13.37% -

33.33%
24.44%
11.38%
24.16%
6.66%

13

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

Mecanismos de Seguridad
Tabla 14 MECANISMOS DE PROTECCIN
Smart Cards
Biomtricos (huella digital, iris, etc)
Antivirus
Contraseas
Cifrado de datos
Filtro de paquetes
Firewalls Hardware
Firewalls Software
Firmas digitales/certificados digitales
VPN/IPSec
Proxies
Sistemas de deteccin de intrusos - IDS
Monitoreo 7x24
Sistemas de prevencin de intrusos - IPS
Administracin de logs
Web Application Firewalls
ADS (Anomaly detection systems)
Herramientas de validacin de cumplimiento con
regulaciones internacionales
Firewalls de Bases de Datos (DAF)
SIEM (Security Information Event Management)
Tercerizacin de la seguridad informtica
Otros: Herramientas de scanning

2009
14.40%
25.60%
86.30%
81.90%
48.80%
31.60%
57.20%
62.50%
32.50%
50.00%
49.10%
36.30%
29.70%
25.90%
35.60%
25.90%
6.30%

2010
2.25%
2.63%
11.04%
10.92%
6.45%
4.75%
8.32%
7.43%
5.31%
8.33%
6.50%
4.08%
3.27%
4.16%
4.37%
3.23%
0.97%

8.80%

1.18%

4.20% -

2011
2012
1.99% 3.64% 31.11%
11.07% 84.16%
10.57% 78.33%
6.09% 48.33%
4.52% 8.47% 85.27%
7.62% 4.98% 40.83%
7.58% 64.72%
6.89% 56.94%
4.82% 36.66%
3.79% 27.50%
4.33% 33.05%
5.02% 38.61%
2.68% 27.77%
0.68%
5.83%
1.14%

10.27%

4.02%

21.66%
11.66%
11.66%
0.28%

Anlisis:
Durante el 2011, los antivirus y contraseas figuraron como algunos de los principales
mecanismos de proteccin de activos informticos, sin embargo, fue la suma de firewalls
tanto de software como de hardware el mecanismo que goz de mayor preferencia entre los
responsables para implementar estrategias de proteccin. Es importante sealar que de
manera general, se incrementaron el uso de mecanismos, hecho que coincide con el
aumento y aplicacin de presupuesto para este tipo de acciones.

Cmo se entera de las fallas de seguridad?

Anlisis:
Los resultados del 2012 reflejan el inters que tienen los responsables de la SI en las
Tabla 15 MEDIO DE INFORMACIN DE
organizaciones
de
2009
2010
2011
2012
FALLAS DE SEGURIDAD
mantenerse informado y el
Notificaciones de proveedores
36.30% 21.05% 17.38% 36.94%
importante que
Notificaciones de colegas
43.10% 20.25% 18.28% 43.33% papel
juegan
las
revistas
Lectura de artculos en revistas
58.40% 28.70% 23.86% 49.44%
especializadas
especializadas
(49.44%
Lectura y anlisis de listas de seguridad
49.10% 22.64% 20.49% 36.11% de lectura) y las alertas de
(BUGTRAQ, SEGURINFO, NTBUGTRAQ, etc)
Alerta de CSIRT
No se tiene este hbito.

16.66%

7.33%

12.45%
7.52%

27.77%
18.61%

14

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

las listas de seguridad y organismos establecidos para la proteccin de delitos informticos

que en conjunto representan el ms alto porcentaje de medio de consulta (63.88%).

JCM/GSM-12 All rights reserved

15

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

POLTICAS DE SEGURIDAD
Estado actual de las polticas de seguridad

Tabla 16 SITUACIN ACTUAL DE LAS

POLTICAS DE SEGURIDAD
No se tienen polticas de seguridad definidas
Actualmente se encuentran en desarrollo
Poltica formal, escrita documentada e
informada a todo el personal

2009

2010

2011

2012

24.40%
41.60%

14.85%
43.84%

24.00%
33.00%

17.50%
28.88%

34.10%

41.30%

43.00%

45.00%

Anlisis:
La situacin respecto al desarrollo de
polticas de seguridad ha avanzado
progresivamente, comparado con el ao
anterior (57%) de falta de documentacin
formal y socializacin disminuy a
46.38% porcentaje que refleja el esfuerzo
de las organizaciones, la preparacin de
los responsables de esta buena prctica y
la concientizacin que hasta el momento
se ha logrado.

45,00%
40,00%
35,00%
30,00%
25,00%
20,00%
15,00%
10,00%
5,00%
0,00%

41,30%

43,00%

45,00% No se tienen polticas

de seguridad
definidas

34,10%

Actualmente se
encuentran en
desarrollo

2009 2010 2011 2012

Poltica formal,
escrita documentada
e informada a todo el
personal

Principal obstculo para desarrollar una adecuada seguridad de la informacin

Anlisis:
Tabla 17 OBSTCULOS DE
El
desarrollo
e
IMPLEMENTACIN DE LA SEGURIDAD
implementacin exitosa de
INFORMTICA
polticas de seguridad es una Inexistencia de poltica de seguridad
actividad transversal dentro Falta de tiempo
Falta de formacin tcnica
de las organizaciones, pues Falta de apoyo directivo
si bien, un rea (SI) es Falta de colaboracin entre
responsable de desarrollarla, reas/departamentos
no podr llevarse a la Complejidad tecnolgica
Poco entendimiento de la seguridad
prctica sin el aval de informtica
directivos, sin la colaboracin Poco entendimiento de los flujos de la
de usuarios y sin la debida informacin en la organizacin
Otras respuestas: Inadecuada actitud, falta
inversin para los procesos de recursos, falta de concientizacin
de capacitacin y formacin
requeridos. Entre los motivos sealados por los participantes

2009

2010

2011

2012

10.40% 13.04% 10.78% 23.88%

12.70% 13.04% 11.71% 25.00%
10.10% 4.71% 9.18% 20.83%
18.50% 15.21% 16.37% 35.27%
14.00% 10.86% 19.04% 41.66%
7.50%

9.78%

7.14%

16.38%

14.00% 18.47% 16.37% 33.05%

4.20%

5.79%

9.32%

23.05%

8.74%

8.33%

como principales barreras

16

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

para la implementacin de buenas prcticas se cuentan: la falta de colaboracin entre reas

(41.66%), falta de apoyo directivo (35.27%) y poco entendimiento de la seguridad
informtica (33.05%).

Contactos para seguir intrusos

Anlisis:

14,72%
2012
15,38%
2011

34,44%
50,16%

14,13%
2010
9,40%
2009
Si, Cules?

Dos panoramas se visualizan en relacin a la

vinculacin con organismos de apoyo para
seguir intrusos:

34,72%
41,94%

An cuando va disminuyendo, el
41.94% de participantes refieren no contar
con este tipo de contacto, dato que coincide
con el 46% de participantes que manifiestan
no contar an con polticas debidamente

35,50%
50,36%
37,70%
52,90%
No Sabe

No

establecidas y socializadas.
Si bien hubo una variacin entre 2011 y
2012, puede hablarse de un incremento
en este proceso de vinculacin que en
buena
medida
obedece
a
la
consolidacin de los organismos
pblicos y privados que se han creado
para
brindar
apoyo
a
las
organizaciones en esta materia.

La Tabla 18 seala la lista de organismos que,

en cada pas de Latinoamrica presta apoyos
para seguimiento en caso de delitos
informticos.

JCM/GSM-12 All rights reserved

Tabla 18 ORGANISMOS DE APOYO POR PAS

(Informacin proprocionada por participantes)
ARCERT, CERT`S Nacionales, FIRST, OEA,
Argentina
INTERPOL, MERIDIAN, BANELCO, CSIRT
Chile
Superintendencia de bancos
Dijin, Polica Nacional, SIJIN, CTI, COLCERT,
Colombia CTI, CICTE, OEA, PONAL, ATA, Fiscala, NAP
Colombia Proyectos Noneynet Europeos
Poder judicial, OIJ, CESIRT Nacional (en
Costa Rica
creacin)
Polica ciberntica, agencias de seguridad
Mxico
gubernamentales, CNBV, CERT UNAM
Panam
Asociacin Bancaria de Panam
Paraguay ADEFI
Polica Nacional, ASBANC, Oficina
Per
Internacional, Gerencia Regional, SBS,
Telefnica de Per
Puerto
Rico
FBI
Uruguay
Certuy
Venezuela Suscerte, Seguinfo, Phishtank

17

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

Estndares, buenas prcticas y regulaciones en seguridad de la informacin

Anlisis:
En Latinoamrica, los estndares que se consideran como medio para la implementacin de
buenas prcticas, son ISO27001, ITIL, COBIT. La aplicacin de dichos estndares ha
aumentado situacin que es consecuente con los escenarios comentados con anterioridad.
Cabe resaltar que tambin las guas del NIST son una herramienta apreciada pues su
utilizacin se ha mantenido de manera constante desde el 2009 por las organizaciones.
Tabla 19 ESTNDARES Y BUENAS PRCTICAS
ISO 27001
Common Criteria
Cobit 4.1
Magerit
Octave
Guas del NIST (National Institute of Standards and
Technology) USA
Guas de la ENISA (European Network of
Information Security Agency)
OSSTM - Open Standard Security Testing Model
ISM3 - Information Security Management Maturity
Model
ITIL
No se consideran
Otra;Top 20 de fallas de seguridad del SANS, ISO
17799. BS 259999, Cobit 5.0, NTC 5254, OWASP,
ISSAF, PCI-DSS, MCIIEF, SOX, N24360, SARO,
Comunicacin A4609, Propias, Circular 052

Tabla 20 NORMAS Y REGULACIONES

IMPLEMENTADAS
Ninguna
Regulaciones internacionales (SOX,
BASILEA II)
Normativas aprobadas por entes de
supervisin (Superintendencias,
Ministerios o Institutos gubernamentales)
Otra: NTP ISO 17799, Contralora General
de Costa Rica, PCAOB, BASC, COMA 4609,
PCI-DSS IOSA, SIGEN 48

2009
45.80%
5.20%
23.40%
5.20%
2.30%

2010
27.37%
1.21%
14.88%
3.23%
1.29%

2011
28.88%
3.65%
14.62%
2.74%
2.19%

2012
55.83%
3.33%
31.11%
7.22%
2.22%

12.30%

8.09%

7.49%

12.50%

2.30%

9.70%

1.46%

1.94%

7.50%

3.23%

4.38%

6.38%

3.90%

9.70%

1.46%

3.01%

26.90%
37.70%

17.47%
10.19%

18.28%
14.80%

40.27%
21.38%

7.10%

2009

2010

2.91% -

2011

6.94%

2012

52.30% 46.95% 42.94% 38.05%

15.60% 13.62%

17.05% 18.61%

33.80% 39.42%

40.00% 42.50%

5.27%

Respecto a las regulaciones se destaca que stas son seguidas de acuerdo a lo que se
dicta en cada pas; en este ao, al menos 42.50% siguen esta lnea de aplicacin, en tanto
que el 23.88% toman como referente regulaciones internacionales.

18

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

CAPITAL INTELECTUAL
Cantidad de personas dedicadas a la seguridad de la informacin

Anlisis:
El profesional dedicado a la seguridad informtica se est posicionando dentro
estructura organizacional de las
Tabla 21
empresas, en este ao, slo el 20.83%
PROFESIONALES
DEDICADOS A LA
2009
2010
2011
sealan no tener contratado este
SEGURIDAD
perfil, este dato contrasta con el 70%
INFORMTICA
restante en el que si se considera Ninguna
34.30%
18.84%
29.00%
1
a
5
44.10%
45.59%
49.00%
necesaria su presencia. El promedio
6 a 10
11.80%
5.47%
9.00%
son 5 personas contratadas.
11 a 15
Ms de 15
En blanco

3.70%
6.10%
-

3.95%
7.59%
18.54%

3.00%
10.00%
-

de la

2012

20.83%
48.61%
7.77%
3.61%
9.16%
10.00%

El sector de Servicios Financieros y Banca (ubicada en el segmento de Ms de 15) es el

que ms contrata personal para el rea de seguridad.

Aos de experiencia requeridos para trabajar en seguridad informtica

60,00%
50,00%
40,00%
30,00%
20,00%
10,00%
0,00%

2009
2012
2011
2010
Ninguno Menos de
Uno a dos Ms de dos
En blanco
un ao de
aos
aos de
experiencia
experiencia

2010
2011
2012

2009

Anlisis:
Otro factor importante a considerar referente a los profesionales de Seguridad de la
informacin es su experiencia. Mientras que en el 2009 casi un 30% de los participantes
sealaban que no era necesaria experiencia, este porcentaje apenas alcanza en el 2012 un
5%; contrasta este dato con el hecho de que de manera ascendente las organizaciones
estn solicitando preferentemente ms de dos aos de experiencia, lo que confirma, que las
empresas estn incrementando sus exigencias en la contratacin debido al nivel formacin
JCM/GSM-12 All rights reserved

19

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

requerido para enfrentar las implicaciones que la inexperiencia o falta de conocimientos

podran ocasionar en la continuidad de las operaciones.

Certificaciones en seguridad de la informacin

Tabla 22 CERTIFICACIONES EN SEGURIDAD DE LA
INFORMACIN
Ninguna
CISSP - Certified Information System Security Professional
CISA - Certified Information System Auditor
CRISC Certified Risk and Information Systems Control
CISM - Certified Information Security Manager
CFE - Certified Fraud Examiner
CIFI - Certified Information Forensics Investigator
CIA - Certified Internal Auditor
SECURITY+
GIAC-SANS
NSA IAM/IEM
Otra: BSI, BCLS, 27001, CEH Ec-Cuncil, ECSA Ec-Cuncil, IRCA ISMS
Auditor, COBIT, BASIC, CEH, OSCP, CPTE, CCIE, CBCP

2009

2010

57.90%
20.50%
13.80%

37.23%
16.40%
14.30%

11.80%
4.00%
4.00%
8.40%
8.40%
-

13.50%
2.34%
3.10%
4.68%
4.68%
2.86%
7.80%

2011

2012

34.86% 40.55%
15.23% 17.50%
14.42% 22.20%
3.80% 10.00%
12.02% 22.50%
1.80%
3.06%
2.60%
1.66%
5.61%
5.55%
5.61%
7.22%
3.40%
2.50%
6.00%
0.55%
16.66%

Anlisis:
Las exigencias de implementacin de estrategias y seguimiento de regulaciones y
estndares, han motivado a los profesionales a adquirir certificaciones, hecho que se refleja
en un aumento en el nmero de personas certificadas en las organizaciones. Las lneas de
especializacin de mayor consideracin son las referentes a administracin de la seguridad
(CISM-22.50%; CISSP-17.50%), Auditor de Sistemas (CISA-22.50%) y control de riesgos
(CRISC-10%).
Certificaciones en seguridad de la informacin requeridas para ejercer la funcin de
seguridad

Tabla 23 CERTIFICACIONES REQUERIDAS POR LAS

ORGANIZACIONES
CISSP - Certified Information System Security Professional
CISA - Certified Information System Auditor
CISM - Certified Information Security Manager
CRISC - Certified Risk and Information Systems Control
CFE - Certified Fraud Examiner
CIFI - Certified Information Forensics Investigator
CIA - Certified Internal Auditor
MCSE/ISA-MCP (Microsoft)
Unix/Linux LP1
GIAC Sans Institute
Security+
NSA IAM/IEM

2010

2011

2012

23,36%
14,67%
17,39%

20.77%
12.32%
16.37%
9.82%
4.74%
7.75%
5.34%
4.13%
7.02%
4.05%
5.77%
1.81%

67.50%
50.83%
63.05%
44.44%
20.55%
24.72%
23.33%
15.83%
18.88%
13.33%
29.44%
7.77%

4,78 %
8,04%
6,86%
5,65%
5,65%
7,28%
2.06%

20

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

Anlisis:
El exigir profesionales con certificacin promueve a la organizacin para que pueda
apoyarse en un ejercicio adecuado de prcticas metodolgicas estndares, las cuales
refrendan la experiencia de los profesionales que las obtienen.
En este estudio, se seala que las organizaciones adems de conocimientos y experiencia,
sus profesionales en seguridad de la informacin deben cuentar preferentemente con las
siguientes certificaciones: CISSP - Certified Information System Security Professional
(67.50%), CISM - Certified Information Security Manager (63.05%), CISA - Certified
Information System Auditor (50.83%), y CRISC - Certified Risk and Information Systems
Control (44.44%).
Papel de la educacin superior en la formacin de profesionales de la seguridad de la
informacin

Tabla 24 PERCEPCIN DEL PAPEL DE LAS INSTITUCIONES

DE EDUCACIN SUPERIOR
Estn ofreciendo programas acadmicos formales en esta
rea
Existen limitados laboratorios e infraestructura para
soportar los cursos especializados
Hacen poca difusin sobre stos temas
Hay poca investigacin cientfica en el rea
Hay poca motivacin de los estudiantes para estudiar el
tema
Hay pocas (o nulas) alianzas con proveedores de tecnologa
de seguridad y/o agremiaciones relacionadas con el tema
La formacin es escasa y slo a nivel de cursos cortos
Los profesores tienen poca formacin acadmica en el tema
No han pensado adelantar programas acadmicos o cursos
cortos en esta rea
Se han dejado desplazar por certificaciones generales y de
producto
Otra: Cursos cortos y costosos, Falta de motivacin de las
instituciones y de los estudiantes, poca difusin, poca oferta
o nula, desconocimiento de oportunidades laborales

2010

2011

2012

22.38%

14.15%

34.16%

3.73%

9.88%

26.94%

5.59%
4.85%

11.23%
12.69%

29.72%
24.72%

1.11%

5.39%

14.72%

2.61%

10.77%

27.50%

15.67%
4.10%

12.24%
9.32%

36.11%
25.00%

3.35%

10.56%

7.46%

10.67%

23.61%

29.09%

3.70%

3.61%

Anlisis:
Las Instituciones de Educacin Superior son consideradas como el medio a travs del cual
los profesionales pueden adquirir conocimientos respaldados por una adecuada seleccin
de docentes, infraestructura apropiada y procesos que certifican los conocimientos
adquiridos. Con esta visin, las respuestas de los participantes refieren que la formacin es
escasa, costosa y slo a nivel de cursos cortos; adicionalmente sealan la falta de
infraestructura adecuada (laboratorios), alianzas con proveedores, formacin acadmica
especializada de los profesores.

JCM/GSM-12 All rights reserved

21

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

COMENTARIOS GENERALES
La seguridad de la informacin est en un momento de transicin; estamos pasando de un
mundo medianamente conocido de manejo de informacin y aseguramiento de controles, a
uno donde los grandes datos, las redes sociales y la computacin en la nube se convierten
en el nuevo estndar de interaccin y comunicacin. (ERNST & YOUNG 2011, DELOITTE
2011)
En este contexto, los resultados que se presentan en esta encuesta muestran claramente
una nueva realidad de la seguridad de la informacin que marca la pauta para los prximos
aos en Latinoamrica. Dentro de los resultados ms relevantes tenemos:

El sector financiero y las empresas de consultora especializada se estn

movilizando con mayor fuerza en los temas de seguridad de la informacin,
consecuencia de una necesidad evidente de sus usuarios hacia nuevos paradigmas
de servicios y tendencias que exigen nuevas formas para entender y asegurar su
informacin.
Continua la dependencia del rea de seguridad de la informacin de la Direccin de
Tecnologa de Informacin, aspecto que denota su asociacin con aspectos tcnicos
y de servicio, que le limita consolidar su esencia asesora en temas de riesgos y
cumplimiento, comprometiendo la necesaria segregacin funcional para mantener
una valoracin independiente requerida por la alta gerencia.
Los presupuestos en seguridad de la informacin vienen consolidndose y
asegurando lo bsico en las organizaciones. Se advierte un ligero aumento en los
mismos, frente a los riesgos emergentes relacionados con las actividades de los
hacktivistas, las infraestructuras crticas y los servicios mviles.
Cuando aumenta o se consolida una cultura de seguridad de la informacin, los
colaboradores tienden a reportar con mayor frecuencia los incidentes. Los datos de
la encuesta revelan que se han presentado entre 1 y 7 incidentes de seguridad de la
informacin los cuales han demandado un anlisis detallado de sus impactos y la
incorporacin de lecciones aprendidas en sus organizaciones.
Considerando el nuevo escenario de operacin de las empresas, se adquiere mayor
visibilidad de las acciones y fallas de seguridad en el contexto nacional e
internacional. En este sentido, la notificacin de incidentes se viene haciendo no slo
a nivel tcnico, sino ejecutivo, reconociendo que ellos son la primera lnea de
responsabilidad frente a los impactos de los mismos en sus grupos de inters.
Los temas de cumplimiento vienen adquiriendo mayor importancia para las
organizaciones, lo que implica contar con herramientas que le permitan a las
empresas movilizarse frente a los estndares internacionales. Llama la atencin que
existe un movimiento importante hacia los Web Application Firewall como estrategia
para los nuevos desarrollos orientados a servicios.
Las polticas de seguridad de la informacin cada vez ms son formales,
documentadas e informadas a todo el personal de la empresa. Sin embargo, an
debemos insistir en este ejercicio normativo y de prcticas, el cual debe sintonizarse

22

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

con el rgimen sancionatorio para que cuente no slo con el estatus de apoyo y
asesora, sino de cumplimiento y aseguramiento de controles en los diferentes
sistemas de informacin de la empresa.

JCM/GSM-12 All rights reserved

23

IV Encuesta Latinoamericana en Seguridad de la Informacin 2012

REFERENCIAS
MATOMY LATAM (2012) Estado de Internet y Comercio Electrnico 2012. Disponible en
http://www.matomylatam.com/informe-internet-y-comercio-electronico-2012/ (Consultado 0606-2012)
SERGIO MANAUT, Artculo Los virus atacan Amrica Latina en http://www.mediatics.com/noticia/1020/e-Latam/virus-atacan-am%C3%A9rica-latina.html (Consultado 06-062012)
PANDA
LABS
(2012)
Quarterly
Report
2012.
Disponible
en
http://press.pandasecurity.com/wp-content/uploads/2012/05/Quarterly-Report-PandaLabsJanuary-March-2012.pdf (Consultado 06-06-2012)
LANDWELL Price Waterhouse Coopers (2009), Gua de buenas prcticas en el uso
corporativo del software en http://pwcspain.typepad.com/files/gu%C3%ADa-v01.pdf
(Consultado 06-06-2012)
PRICEWATERHOUSECOOPERS (2012) Global State of Information Security Survey 2012.
Disponible en: http://www.pwc.com/cl/es/publicaciones/eye-of-the-storm-2012-global-stateof-information-security-survey.jhtml
DELOITTE (2011) TMT Global Security Study 2012 Key Findings,
http://www.deloitte.com/us/pr/2011tmtglobalsecuritysurvey (Consultado 06-06-2012)

en

ERNST & YOUNG (2011) Insights on IT risk Business briefing, Into the cloud, out of the fog,
2011,
en
http://www.ey.com/CO/es/SearchResults?query=Insights+on+IT+risk+Business+briefing%2C
+Into+the+cloud%2C+out+of+the+fog%2C+2011&search_options=country_name.
(Consultado 06-06-2012)
VERIZON (2012) Data breach investigations report 2012. Disponible en:
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report2012_en_xg.pdf (Consultado: 10-06-2012)
Autores:
Gabriela M. Saucedo M. Licenciada de Sistemas Computacionales y Maestra en Desarrollo Organizacional y
Humano ambos ttulos conferidos por la Universidad del Valle de Atemajac UNIVA, Guadalajara. Mxico.
Profesional Certificado en Consultora General por el Consejo Nacional de Certificaciones, Mxico. Docente de la
UNIVA en las ctedras de Auditora de Sistemas, Desarrollo de Software y Gestin de Proyectos.
Jeimy J. Cano M. Ingeniero de Sistemas y Computacin y Magster en Ing. de Sistemas y Computacin ambos
ttulos conferidos por la Universidad de los Andes, Bogot. Colombia. Ph.D in Business Administration por
Newport University, California. USA. Executive Certificate in Leadership and Management de la MIT Sloan
School of Management. Profesor distinguido de la Facultad de Derecho. Universidad de los Andes e investigador
del GECTI Grupo de Estudios en Comercio Electrnico, Telecomunicaciones e Informtica de la misma
facultad.

24