Escolar Documentos
Profissional Documentos
Cultura Documentos
Latinoamericana de
Seguridad de la Informacin
Tendencias 2012
Jeimy J. Cano M.
Gabriela M. Saucedo M.
Junio 2012
INTRODUCCIN
Continuando con el esfuerzo que se ha venido realizando desde 2009 en conjunto con
importantes entidades latinoamericanas para conocer los avances y tendencias en
seguridad de la informacin, este ao se presentan los resultados de una nueva encuesta
para seguir de cerca los movimientos de las prcticas de seguridad en nuestro continente.
En esta ocasin la Asociacin Colombiana de Ingenieros en Sistemas (ACIS), el Centro de
Atencin de Incidentes de Seguridad Informtica y Telecomunicaciones ANTEL de
Uruguay, el Captulo Buenos Aires de ISACA y la organizacin ISACA de Per unieron
esfuerzos para identificar y analizar las tendencias en el tema de Seguridad de la
informacin en Amrica Latina.
El anlisis presentado a continuacin se desarroll basado en una muestra aleatoria de
profesionales de tecnologas de informacin y comunicaciones de Argentina, Colombia,
Mxico, Per, Uruguay, Paraguay entre otros, la cual respondi una encuesta de manera
interactiva a travs de una pgina web dispuesta por la Asociacin Colombiana de
Ingenieros de Sistemas ACIS para tal fin. Dadas las limitaciones de tiempo y recursos
disponibles en la Asociacin, se ha realizado un conjunto de anlisis bsicos, los cuales
pretenden ofrecer los elementos ms sobresalientes de los resultados obtenidos que
orienten al lector sobre las tendencias identificadas en el estudio.
Con esto en mente y considerando otros estudios internacionales como el Global State of
Information Security Survey 2012 adelantada por PriceWaterhouseCoopers, el Quarterly
Report 2012 efectuado por Panda Labs y el reporte TMT Global Security Study 2012 de
Deloitte & Touch se proceder a analizar los resultados de la Encuesta Latinoamericana de
Seguridad de la Informacin 2012.
ESTRUCTURA DE LA ENCUESTA
El estudio se integra con un cuestionario compuesto por 35 preguntas considerando los
siguientes temas y enfoques:
Demografa
Esta seccin identifica los siguientes
elementos
Zona Geogrfica
Sector de la organizacin
Tamao de la organizacin
Responsabilidad y responsables de
la seguridad
Ubicacin de la responsabilidad en la
organizacin
Presupuestos
Esta seccin muestra si las organizaciones
han destinado un rubro para la seguridad de
la informacin de su presupuesto anual. As
mismo, permite revisar el tipo de tecnologa
en el que invierten y un estimado del monto
de la inversin en seguridad de la
informacin.
Fallas de seguridad
Esta seccin revisa los tipos de fallas de
seguridad ms frecuentes; cmo se enteran
sobre ellas y a quin se notifican. Por otra
parte, identifican las causas por las cuales
no se denuncian la fallas y si existe la
conciencia sobre la evidencia digital en la
atencin de incidentes de seguridad
informtica.
Polticas de seguridad
Esta seccin busca indagar sobre la
formalidad de las polticas de seguridad en
la organizacin; los principales obstculos
para lograr una adecuada seguridad; la
buenas prcticas o estndares que utilizan;
los contactos nacionales e internacionales
para seguir posibles intrusos.
Capital Intelectual
Finalmente esta seccin se analiza la
situacin de desarrollo profesional en torno
a
conocimientos
relacionados
con
tecnologas de la informacin: personal
dedicado a esta tarea, personal certificado,
importancia de las certificaciones y aos de
experiencia en el tema de seguridad
informtica
Los resultados de este estudio se presentarn incluyendo un anlisis comparativo con los
resultados obtenidos desde el 2009 con el fin de mostrar un panorama ms completo de las
tendencias.
Tabla 1
PAISES
PARTICIPANTES
Argentina
2009
Chile
2010
2011
2012
6.50%
12.76%
17%
23.33%
8.80%
0%
2%
2.50%
65.40% 58.90%
Colombia
Costa Rica
60% 42.22%
0%
0%
0%
7.50%
Mxico
12.20%
10.30%
5%
5.00%
Uruguay
7.10%
6.07%
3%
1.39%
Paraguay
0%
6.38%
0%
2.80%
Per
Otros pases:
Cuba, Ecuador,
Panam, Portugal,
Puerto Rico,
Venezuela
0%
0.00%
0%
15.00%
0%
5.50%
13%
2.78%
42,22%
2009
2010
2011
15,00%
2,78%
2,80%
Per
1,39%
Paraguay
5,00%
Uruguay
Costa Rica
Colombia
7,50%
Mxico
2,50%
Chile
Argentina
23,33%
2012
2010
2011
2012
11.70%
16.71%
15.56%
19.17%
Construccin / Ingeniera
4.34%
3.64%
2.22%
1.94%
Telecomunicaciones
13.60%
6.07%
13.61%
7.22%
Sector de Energa
2.40%
4%
1.67%
4.17%
Salud
3.20%
3.34%
3.33%
3.89%
Alimentos
1.20%
0.91%
1.67%
0.28%
Educacin
13.60%
12.76%
16.11%
10.00%
12.30%
14.58%
13.61%
15.00%
Manufactura
3.80%
5.16%
1.94%
3.06%
Consultora Especializada
12.30%
14.58%
13.33%
17.78%
18.25%
16.95%
17.49%
Tabla 2
SECTORES PARTICIPANTES
Anlisis:
Como puede apreciarse, este ao hubo una mayor participacin del sector financiero y la
banca, seguido por el grupo de profesionales pertenecientes a la Consultora especializada
y otros sectores mayoritariamente del rea informtica. Esto obedece a que,
especficamente el sector financiero y de la banca, ha sido fuertemente motivado mediante
regulaciones gubernamentales, al cumplimiento de normativas y adicionalmente, se han
visto en la necesidad de capacitarse para lograr implementar mayores y mejores prcticas
que les permitan hacer frente a los desafos que se presentan dadas las tendencias en
inseguridad de la informacin motivos por los cuales muchos de los participantes que
atendieron la invitacin son los que pertenecen a las listas de seguridad y grupos de estudio
desde donde se hizo llegar la misma.
50,00%
40,00%
30,00%
20,00%
10,00%
0,00%
35,56%
31,40%
2009
2010
2011
2012
1 a 50
501 a
1000
Mas de
1000
Anlisis:
En este cuarto estudio, se observa una nutrida participacin de grandes organizaciones, que
con un 8% adicional al ejercicio del 2011, sigue mantenindose en el primer lugar; sin
embargo, es tambin notoria la participacin de pequeas y medianas empresas que
representan en su conjunto el 52% restante de participaciones. Una interpretacin de este
alto porcentaje de participacin es sin duda el inters que tienen dichas organizaciones en
asegurar sus activos de informacin hecho que se refleja en la preparacin y participacin
de los colaboradores del rea de Tecnologa de Informacin en grupos de estudio a travs
de los cuales se ha invitado a responder esta encuesta.
Anlisis:
Tabla 3 DEPENDENCIA DE LA
RESPONSABILIDAD DE LA
SEGURIDAD INFORMTICA EN LA
ORGANIZACIN
2009
2010
2011
2012
5.00%
2.20%
26.13% 28.00%
23.61%
41.03% 38.00%
36.67%
2.43%
2.43%
3.00%
-
3.00%
3.61%
0.28%
3.00%
3.89%
13.37% 15.00%
14.72%
1.00%
14.31%
7.00%
15.00%
Anlisis:
En contraste con aos anteriores, la participacin de responsables de la Seguridad de la
Informacin en las organizaciones fue menor. En esta oportunidad, la participacin en las
respuestas se concentra en un grupo genrico de profesionales del rea de TI, hecho que
resulta de inters dado que el tema de seguridad ya no es privativo de un rea, esto es, el
conocimiento, actividades y responsabilidades del cuidado y tratamiento de la informacin,
as como la implementacin de prcticas, es inherente a los procesos de la empresa.
Las organizaciones debern cuidar el diseo del perfil del ejecutivo de seguridad de la
informacin, pues si bien las prcticas deben de uso general en la empresa, resulta valioso
e interesante, contar con una vista focal, especializada y de reporte centralizado que genere
y asegure la vista estratgica de la seguridad de la informacin.
2009
2010
2011
6.50% 4.86% 3.06%
3.00% 2.43% 2.79%
2.80% 1.82% 1.67%
6.90% 15.19% 9.19%
11.90% 13.37% 11.70%
Profesional de Departamento de
Sistemas/Tecnologa
Asesor externo
Auditor Interno
Jefe de Seguridad de la Informacin
Jefe de Sistemas y Tecnologa
CISO Chief Information Security Officer
ISO Information Security Officer
2012
5.28%
2.50%
1.39%
5.83%
8.61%
PRESUPUESTO
En qu temas se concentra la inversin en seguridad de la informacin?
Tabla 5
ASIGNACIN DEL GASTO DE SEGURIDAD
2009
2010
2011
2012
Proteccin de la red
74.40%
17.46%
17.63%
78.33%
57.90%
14.34%
13.85%
64.44%
Anlisis:
Latinoamrica ha sido
un continente que ao
Proteger la propiedad intelectual
23.10%
4.46%
4.56%
25.00% con
ao
va
Proteger el almacenamiento de datos de
potencializando
sus
clientes
44.90%
10.19%
0.00%
41.94%
capacidades
de
Concientizacin/formacin del usuario final
26.70%
6.94%
6.74%
16.39%
negociacin tanto a
Comercio/negocios electrnicos
16.20%
3.37%
2.89%
52.78% nivel
local
como
Desarrollo y afinamiento de seguridad de las
internacional. Firmas
aplicaciones
25.10%
5.54%
12.54% 22.50%
de tratados que se
Seguridad de la Informacin
53.10%
13.12% 16.48% 32.50%
ponen en marcha,
Contratacin de personal ms calificado
15.10%
2.61%
4.82%
5.56%
estrategias
de
Evaluaciones de seguridad internas y
externas
29.20%
6.24%
7.19%
27.22% gobierno en el mbito
tecnolgico y la cada
Plizas contra cibercrimen
6.00%
1.14%
0.78%
52.22%
vez ms difundida y
Cursos especializados en seguridad
aplicada
cultura
informtica(cursos cortos, diplomados,
especializaciones, maestras)
21.30%
5.35%
5.96%
33.33% informtica en todos
Cursos de formacin de usuarios en
los sectores de la
seguridad informtica
12.60%
3.12%
6.75%
13.06%
poblacin.
Estos
Monitoreo de Seguridad Informtica 7 x 24
27.70%
5.28%
6.49%
18.61%
hechos, van marcando
la pauta de inversin que este ao podemos apreciar con incrementos marcados en tres
asignaciones de presupuesto:
a) Comercio y negocios electrnicos: Esta inversin es consistente con los resultados
de estudios sobre el crecimiento del comercio electrnico, por ejemplo, el informe
Matomy seala que a partir del 2012, Latinoamrica crecera un 16%. Ante este
evidente crecimiento se explica el considerable incremento de asignacin de
presupuesto de SI para la proteccin de procesos de comercio electrnico.
b) Cibercrimen: Dmitry Bestuzhev, Director para Amrica Latina del Equipo Global de
Investigacin y Anlisis de Kaspersky LabAmrica ha sealado que de acuerdo a sus
investigaciones, hacia finales del 2011 Amrica Latina haba sufrido un incremento
en ataques informticos del 490%; este hecho pudiera explicar la reaccin de las
organizaciones y su decisin de incrementar del 16.20% en 2009 al 52.78% de
presupuesto en 2012.
c) Proteccin de la red y de datos crticos: consecuente con los puntos anteriores, y las
cifras manifestadas por el informe 2012 Data Breach de Verizon, donde el 98% de
las brechas de seguridad se adelantaron por agentes externos, las organizaciones
han decidido tambin incrementar el porcentaje de inversin para estos aspectos.
80,00%
70,00%
60,00%
50,00%
40,00%
30,00%
20,00%
10,00%
0,00%
2009
2010
2011
2012
2011
2012
Entre
USD$110.001
y
USD$130.000
37,77%
28,88%
4,40%
4,55%
5,00%
Entre
USD$90.001 y
USD$110.000
14,90%
16,71%
16,00%
29,72%
6,20%
4,55%
4,00%
Entre
USD$70.001 y
USD$90.000
6,90%
10,03%
7,00%
Entre
USD$50.001 y
USD$70.000
17,40%
16,41%
12,00%
31,11%
38,33%
Entre
USD$20.001 y
USD$50.000
32,77%
Menos de
USD$20.000
24,00%
32,00%
50,30%
47,72%
52,22%
2009
Ms de
USD$130.000
Anlisis:
An cuando la economa en algunos pases de Latinoamrica tiende a ser conservadora, las
organizaciones mantuvieron en 2011 la asignacin de presupuestos para atender acciones
que fortalezcan la tarea de seguridad informtica. En la grfica anterior pueden advertirse
significativos incrementos en todos los grupos, hecho que refleja que sin importar el tamao
de empresa, se asign el presupuesto base para mantener en ptimo estado el
aseguramiento de los activos de informacin, rubro que forma parte de los criterios
financieros de las organizaciones.
Anlisis:
Tabla 6
GOBIERNO
13.88%
MANUFACTURA
2.77%
ENERGA E HIDROCARBUROS
8.33%
FINANCIERO Y BANCA
TELECOMUNICACIONES
OTRAS
2.77%
36.11%
8.33%
27.77%
FALLAS DE SEGURIDAD
Respecto al aspecto de fallas de seguridad, son varios los puntos que podemos analizar.
Se ha mencionado el auge que desde 2011 se ha generado en la utilizacin de medios
electrnicos para comunicarse y comercializar, tambin se habl del ndice de crecimiento
en delitos informticos, sin embargo, pese a que estos datos son una realidad y de fcil
acceso a la investigacin, el estudio de este 2012, seala que apenas el 35.83% de los
participantes coinciden en que los colaboradores de sus organizaciones son muy
conscientes del valor de la informacin; se tiene el gran reto de lograr que el 65% restante,
cambie de percepcin.
En otro punto se obtuvo la cantidad de incidentes al que
las organizaciones se enfrentaron, de los 360
Entre 1-3
106 participantes, slo 41 manifestaron no haber tenido
Entre 4-7
40 incidentes en tanto que 101 desconocen este dato bien
Ms de 7
68 porque generalmente el rea de TI decide no hacer
Ninguna
41 pblica la informacin o definitivamente no saben si han
No cuento con esa informacin
101 sido o no atacados. Sealar que 214 organizaciones
tuvieron entre 1 y 7 incidentes de seguridad, es ya una
cifra que advierte una condicin de alerta e invita al trabajo inmediato en la revisin de los
modelos de aseguramiento tecnolgico y la profundizacin en el desarrollo de una cultura de
seguridad de la informacin.
Tabla 8
CATEGORA INCIDENTES
CANTIDAD
Tabla 9
TIPOS DE FALLAS DE SEGURIDAD
Ninguno
Manipulacin de aplicaciones de software
Instalacin de software no autorizado
Accesos no autorizados al web
Fraude
Virus/Caballos de troya
Robo de datos
Caballos de troya
Monitoreo no autorizado del trfico
Negacin del servicio
Prdida de integridad
Prdida/fuga de informacin crtica
Suplantacin de identidad
Phishing
Pharming
Robo de elementos crticos de hardware
Acciones de ingeniera social
Otras (Espionaje)
Ataque de aplicaciones web
2009
2010
8.10%
22.20%
60.70%
30.90%
10.80%
70.90%
9.90%
33.00%
11.40%
15.00%
25.80%
19.50%
13.50%
16.80%
3.00%
-
4.44% 4.40%
18.65%
9.43%
2.49%
20.70%
2.06%
7.04% 2.60%
4.33%
8.77%
5.47% 1.84%
4.55%
0.54%
1.30%
2011
5.48%
17.28%
9.87%
4.93%
16.87%
3.15%
3.42%
5.48%
6.57%
3.15%
9.32%
1.37%
7.54%
4.52%
0.96%
2012
11.66%
15.55%
50.55%
24.16%
12.77%
43.88%
7.50%
8.88%
11.94%
12.77%
10.55%
9.72%
22.77%
4.16%
20.00%
11.94%
3.05%
18.05%
10
Anlisis:
La variable fallas de seguridad se ha mostrado inestable a lo largo de este ejercicio que se
realiza desde el 2009, en algunos tipos de fallas (ver Tabla 9) los porcentajes disminuyen,
en otros, como acciones de ingeniera social, robo de elementos crticos (datos y
hardware), y ataque a las aplicaciones web han aumentado; lo que se mantienen
consistente entre los primeros sitios de fallas, son la presencia de virus, dato que coincide
con el primer informe trimestral del equipo de investigacin de Panda Security quienes
refieren haber detectado durante los primeros 3 meses del ao ms de 6 millones de
malware. Refiere adicionalmente que al menos 4 pases de Amrica Latina (Per, Ecuador,
Argentina y Chile) estn considerados entre los ms afectados. El resultado que sobre este
tipo de falla se detecta en este estudio va asociado con el otro tipo que es la ausencia de
implementacin de escenarios de cumplimiento en las organizaciones referente a los
lineamientos para instalacin de software (Landwell Pricewaterhousecoopers 2009); esto es:
una dbil gestin de aseguramiento de controles, aumentar la probabilidad de mayores
incidentes informticos en la empresa.
66,66%
43,33%
76,11%
56,66%
47,22% 46,38%
33,61%
2012
2011
1
2010
3
Anlisis
Derivado de las exigencias
de
normativas,
regulaciones, cumplimiento
de
estndares
y
aseguramiento
de
la
continuidad del negocio,
las organizaciones han
establecido
mayores
controles de supervisin
contando
entre
otros
aspectos, con una mayor
capacitacin por parte de
JCM/GSM-12 All rights reserved
2009
6
2009
2010
2011
2012
43.33%
66.66%
56.66%
47.22%
46.38%
33.61%
76.11%
2.70%
2.35%
11
los responsables del cuidado de los activos informticos. Resulta alentador revisar los
avances que del 2009 al 2011 se han dado en esta variable siendo notoria la participacin
de los colaboradores quienes han asumido su responsabilidad en los procesos de
notificacin de incidentes pasando de un 37.80% a un 76.11% de participacin entre el 2009
y el 2011.
Anlisis:
2009
2010
19.50% 17.23%
2011
44.76%
10.46%
4.45%
9.13%
18.04%
13.14%
2012
61.66%
11.94%
6.39%
9.16%
30.27%
11.94%
8.88%
2009
2010
2011
11,94%
2012
Si decide no denunciar
Tabla 12 MOTIVOS DE NO DENUNCIA
Prdida de valor de accionistas
Publicacin de noticias desfavorables
en los medios/prdida de imagen
Responsabilidad legal
Motivaciones personales
Vulnerabilidad ante la competencia
Prdida de clientes
actuales/potenciales
Otro: Posibles prdidas no
significativas, reputacin,
desconocimiento, falta de relevancia
2009
9.60%
2010
2011
2012
9.17% 13.46% 32.77%
18.04%
21.00%
21.59%
-
10.54% 25.27%
11.42% 25.27%
17.71% 32.22%
16.39%
28.61%
7.61% 12.77%
Anlisis:
La imagen empresarial juega un
papel
fundamental
en
el
crecimiento y estabilidad de las
organizaciones, por ello el
11.94% de participantes seal
no
hacer
notificacin
de
incidentes informticos pues
consideran que ello implicara
12
una prdida de buena imagen ante la sociedad, los accionistas para quienes se perdera el
valor y la competencia quienes podran aprovecharse del hecho.
Esta situacin debe ser revisada en el contexto del gobierno corporativo de las entidades
que cada vez ms estn sometidas a las exigencias de sus grupos de inters, en los temas
de transparencia y visibilidad de resultados tanto positivos como negativos.
Anlisis:
En consecuencia con los resultados anteriormente analizados, las organizaciones tienen
entre sus prcticas de aseguramiento y cuidado de sus activos informticos, la realizacin
de pruebas de seguridad. Con porcentajes variados entre una y ms de 4 pruebas anuales,
destacan aquellas empresas que al menos realizan una, sin embargo, an un 24.16% de la
poblacin participante, sigue dejando al
Tabla 13
azar la valoracin del riesgo inherente EVALUACIONES AL
2009
2010
2011
2012
AO
propio del entorno corporativo.
Una al ao
Entre 2 y 4 al ao
Ms de 4 al ao
Ninguna
En blanco
30.30%
29.10%
14.70%
25.90%
-
30.30% 40.00%
26.74% 23.00%
9.11%
7.00%
20.36% 30.00%
13.37% -
33.33%
24.44%
11.38%
24.16%
6.66%
13
Mecanismos de Seguridad
Tabla 14 MECANISMOS DE PROTECCIN
Smart Cards
Biomtricos (huella digital, iris, etc)
Antivirus
Contraseas
Cifrado de datos
Filtro de paquetes
Firewalls Hardware
Firewalls Software
Firmas digitales/certificados digitales
VPN/IPSec
Proxies
Sistemas de deteccin de intrusos - IDS
Monitoreo 7x24
Sistemas de prevencin de intrusos - IPS
Administracin de logs
Web Application Firewalls
ADS (Anomaly detection systems)
Herramientas de validacin de cumplimiento con
regulaciones internacionales
Firewalls de Bases de Datos (DAF)
SIEM (Security Information Event Management)
Tercerizacin de la seguridad informtica
Otros: Herramientas de scanning
2009
14.40%
25.60%
86.30%
81.90%
48.80%
31.60%
57.20%
62.50%
32.50%
50.00%
49.10%
36.30%
29.70%
25.90%
35.60%
25.90%
6.30%
2010
2.25%
2.63%
11.04%
10.92%
6.45%
4.75%
8.32%
7.43%
5.31%
8.33%
6.50%
4.08%
3.27%
4.16%
4.37%
3.23%
0.97%
8.80%
1.18%
4.20% -
2011
2012
1.99% 3.64% 31.11%
11.07% 84.16%
10.57% 78.33%
6.09% 48.33%
4.52% 8.47% 85.27%
7.62% 4.98% 40.83%
7.58% 64.72%
6.89% 56.94%
4.82% 36.66%
3.79% 27.50%
4.33% 33.05%
5.02% 38.61%
2.68% 27.77%
0.68%
5.83%
1.14%
10.27%
4.02%
21.66%
11.66%
11.66%
0.28%
Anlisis:
Durante el 2011, los antivirus y contraseas figuraron como algunos de los principales
mecanismos de proteccin de activos informticos, sin embargo, fue la suma de firewalls
tanto de software como de hardware el mecanismo que goz de mayor preferencia entre los
responsables para implementar estrategias de proteccin. Es importante sealar que de
manera general, se incrementaron el uso de mecanismos, hecho que coincide con el
aumento y aplicacin de presupuesto para este tipo de acciones.
16.66%
7.33%
12.45%
7.52%
27.77%
18.61%
14
15
POLTICAS DE SEGURIDAD
Estado actual de las polticas de seguridad
2009
2010
2011
2012
24.40%
41.60%
14.85%
43.84%
24.00%
33.00%
17.50%
28.88%
34.10%
41.30%
43.00%
45.00%
Anlisis:
La situacin respecto al desarrollo de
polticas de seguridad ha avanzado
progresivamente, comparado con el ao
anterior (57%) de falta de documentacin
formal y socializacin disminuy a
46.38% porcentaje que refleja el esfuerzo
de las organizaciones, la preparacin de
los responsables de esta buena prctica y
la concientizacin que hasta el momento
se ha logrado.
45,00%
40,00%
35,00%
30,00%
25,00%
20,00%
15,00%
10,00%
5,00%
0,00%
41,30%
43,00%
de seguridad
definidas
34,10%
Actualmente se
encuentran en
desarrollo
Poltica formal,
escrita documentada
e informada a todo el
personal
Anlisis:
Tabla 17 OBSTCULOS DE
El
desarrollo
e
IMPLEMENTACIN DE LA SEGURIDAD
implementacin exitosa de
INFORMTICA
polticas de seguridad es una Inexistencia de poltica de seguridad
actividad transversal dentro Falta de tiempo
Falta de formacin tcnica
de las organizaciones, pues Falta de apoyo directivo
si bien, un rea (SI) es Falta de colaboracin entre
responsable de desarrollarla, reas/departamentos
no podr llevarse a la Complejidad tecnolgica
Poco entendimiento de la seguridad
prctica sin el aval de informtica
directivos, sin la colaboracin Poco entendimiento de los flujos de la
de usuarios y sin la debida informacin en la organizacin
Otras respuestas: Inadecuada actitud, falta
inversin para los procesos de recursos, falta de concientizacin
de capacitacin y formacin
requeridos. Entre los motivos sealados por los participantes
2009
2010
2011
2012
9.78%
7.14%
16.38%
5.79%
9.32%
23.05%
8.74%
8.33%
16
Anlisis:
14,72%
2012
15,38%
2011
34,44%
50,16%
14,13%
2010
9,40%
2009
Si, Cules?
34,72%
41,94%
An cuando va disminuyendo, el
41.94% de participantes refieren no contar
con este tipo de contacto, dato que coincide
con el 46% de participantes que manifiestan
no contar an con polticas debidamente
35,50%
50,36%
37,70%
52,90%
No Sabe
No
establecidas y socializadas.
Si bien hubo una variacin entre 2011 y
2012, puede hablarse de un incremento
en este proceso de vinculacin que en
buena
medida
obedece
a
la
consolidacin de los organismos
pblicos y privados que se han creado
para
brindar
apoyo
a
las
organizaciones en esta materia.
17
2009
45.80%
5.20%
23.40%
5.20%
2.30%
2010
27.37%
1.21%
14.88%
3.23%
1.29%
2011
28.88%
3.65%
14.62%
2.74%
2.19%
2012
55.83%
3.33%
31.11%
7.22%
2.22%
12.30%
8.09%
7.49%
12.50%
2.30%
9.70%
1.46%
1.94%
7.50%
3.23%
4.38%
6.38%
3.90%
9.70%
1.46%
3.01%
26.90%
37.70%
17.47%
10.19%
18.28%
14.80%
40.27%
21.38%
7.10%
2009
2010
2.91% -
2011
6.94%
2012
17.05% 18.61%
33.80% 39.42%
40.00% 42.50%
5.27%
Respecto a las regulaciones se destaca que stas son seguidas de acuerdo a lo que se
dicta en cada pas; en este ao, al menos 42.50% siguen esta lnea de aplicacin, en tanto
que el 23.88% toman como referente regulaciones internacionales.
18
CAPITAL INTELECTUAL
Cantidad de personas dedicadas a la seguridad de la informacin
Anlisis:
El profesional dedicado a la seguridad informtica se est posicionando dentro
estructura organizacional de las
Tabla 21
empresas, en este ao, slo el 20.83%
PROFESIONALES
DEDICADOS A LA
2009
2010
2011
sealan no tener contratado este
SEGURIDAD
perfil, este dato contrasta con el 70%
INFORMTICA
restante en el que si se considera Ninguna
34.30%
18.84%
29.00%
1
a
5
44.10%
45.59%
49.00%
necesaria su presencia. El promedio
6 a 10
11.80%
5.47%
9.00%
son 5 personas contratadas.
11 a 15
Ms de 15
En blanco
3.70%
6.10%
-
3.95%
7.59%
18.54%
3.00%
10.00%
-
de la
2012
20.83%
48.61%
7.77%
3.61%
9.16%
10.00%
60,00%
50,00%
40,00%
30,00%
20,00%
10,00%
0,00%
2009
2012
2011
2010
Ninguno Menos de
Uno a dos Ms de dos
En blanco
un ao de
aos
aos de
experiencia
experiencia
2010
2011
2012
2009
Anlisis:
Otro factor importante a considerar referente a los profesionales de Seguridad de la
informacin es su experiencia. Mientras que en el 2009 casi un 30% de los participantes
sealaban que no era necesaria experiencia, este porcentaje apenas alcanza en el 2012 un
5%; contrasta este dato con el hecho de que de manera ascendente las organizaciones
estn solicitando preferentemente ms de dos aos de experiencia, lo que confirma, que las
empresas estn incrementando sus exigencias en la contratacin debido al nivel formacin
JCM/GSM-12 All rights reserved
19
2009
2010
57.90%
20.50%
13.80%
37.23%
16.40%
14.30%
11.80%
4.00%
4.00%
8.40%
8.40%
-
13.50%
2.34%
3.10%
4.68%
4.68%
2.86%
7.80%
2011
2012
34.86% 40.55%
15.23% 17.50%
14.42% 22.20%
3.80% 10.00%
12.02% 22.50%
1.80%
3.06%
2.60%
1.66%
5.61%
5.55%
5.61%
7.22%
3.40%
2.50%
6.00%
0.55%
16.66%
Anlisis:
Las exigencias de implementacin de estrategias y seguimiento de regulaciones y
estndares, han motivado a los profesionales a adquirir certificaciones, hecho que se refleja
en un aumento en el nmero de personas certificadas en las organizaciones. Las lneas de
especializacin de mayor consideracin son las referentes a administracin de la seguridad
(CISM-22.50%; CISSP-17.50%), Auditor de Sistemas (CISA-22.50%) y control de riesgos
(CRISC-10%).
Certificaciones en seguridad de la informacin requeridas para ejercer la funcin de
seguridad
2010
2011
2012
23,36%
14,67%
17,39%
20.77%
12.32%
16.37%
9.82%
4.74%
7.75%
5.34%
4.13%
7.02%
4.05%
5.77%
1.81%
67.50%
50.83%
63.05%
44.44%
20.55%
24.72%
23.33%
15.83%
18.88%
13.33%
29.44%
7.77%
4,78 %
8,04%
6,86%
5,65%
5,65%
7,28%
2.06%
20
Anlisis:
El exigir profesionales con certificacin promueve a la organizacin para que pueda
apoyarse en un ejercicio adecuado de prcticas metodolgicas estndares, las cuales
refrendan la experiencia de los profesionales que las obtienen.
En este estudio, se seala que las organizaciones adems de conocimientos y experiencia,
sus profesionales en seguridad de la informacin deben cuentar preferentemente con las
siguientes certificaciones: CISSP - Certified Information System Security Professional
(67.50%), CISM - Certified Information Security Manager (63.05%), CISA - Certified
Information System Auditor (50.83%), y CRISC - Certified Risk and Information Systems
Control (44.44%).
Papel de la educacin superior en la formacin de profesionales de la seguridad de la
informacin
2010
2011
2012
22.38%
14.15%
34.16%
3.73%
9.88%
26.94%
5.59%
4.85%
11.23%
12.69%
29.72%
24.72%
1.11%
5.39%
14.72%
2.61%
10.77%
27.50%
15.67%
4.10%
12.24%
9.32%
36.11%
25.00%
3.35%
10.56%
7.46%
10.67%
23.61%
29.09%
3.70%
3.61%
Anlisis:
Las Instituciones de Educacin Superior son consideradas como el medio a travs del cual
los profesionales pueden adquirir conocimientos respaldados por una adecuada seleccin
de docentes, infraestructura apropiada y procesos que certifican los conocimientos
adquiridos. Con esta visin, las respuestas de los participantes refieren que la formacin es
escasa, costosa y slo a nivel de cursos cortos; adicionalmente sealan la falta de
infraestructura adecuada (laboratorios), alianzas con proveedores, formacin acadmica
especializada de los profesores.
21
COMENTARIOS GENERALES
La seguridad de la informacin est en un momento de transicin; estamos pasando de un
mundo medianamente conocido de manejo de informacin y aseguramiento de controles, a
uno donde los grandes datos, las redes sociales y la computacin en la nube se convierten
en el nuevo estndar de interaccin y comunicacin. (ERNST & YOUNG 2011, DELOITTE
2011)
En este contexto, los resultados que se presentan en esta encuesta muestran claramente
una nueva realidad de la seguridad de la informacin que marca la pauta para los prximos
aos en Latinoamrica. Dentro de los resultados ms relevantes tenemos:
22
con el rgimen sancionatorio para que cuente no slo con el estatus de apoyo y
asesora, sino de cumplimiento y aseguramiento de controles en los diferentes
sistemas de informacin de la empresa.
23
REFERENCIAS
MATOMY LATAM (2012) Estado de Internet y Comercio Electrnico 2012. Disponible en
http://www.matomylatam.com/informe-internet-y-comercio-electronico-2012/ (Consultado 0606-2012)
SERGIO MANAUT, Artculo Los virus atacan Amrica Latina en http://www.mediatics.com/noticia/1020/e-Latam/virus-atacan-am%C3%A9rica-latina.html (Consultado 06-062012)
PANDA
LABS
(2012)
Quarterly
Report
2012.
Disponible
en
http://press.pandasecurity.com/wp-content/uploads/2012/05/Quarterly-Report-PandaLabsJanuary-March-2012.pdf (Consultado 06-06-2012)
LANDWELL Price Waterhouse Coopers (2009), Gua de buenas prcticas en el uso
corporativo del software en http://pwcspain.typepad.com/files/gu%C3%ADa-v01.pdf
(Consultado 06-06-2012)
PRICEWATERHOUSECOOPERS (2012) Global State of Information Security Survey 2012.
Disponible en: http://www.pwc.com/cl/es/publicaciones/eye-of-the-storm-2012-global-stateof-information-security-survey.jhtml
DELOITTE (2011) TMT Global Security Study 2012 Key Findings,
http://www.deloitte.com/us/pr/2011tmtglobalsecuritysurvey (Consultado 06-06-2012)
en
ERNST & YOUNG (2011) Insights on IT risk Business briefing, Into the cloud, out of the fog,
2011,
en
http://www.ey.com/CO/es/SearchResults?query=Insights+on+IT+risk+Business+briefing%2C
+Into+the+cloud%2C+out+of+the+fog%2C+2011&search_options=country_name.
(Consultado 06-06-2012)
VERIZON (2012) Data breach investigations report 2012. Disponible en:
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report2012_en_xg.pdf (Consultado: 10-06-2012)
Autores:
Gabriela M. Saucedo M. Licenciada de Sistemas Computacionales y Maestra en Desarrollo Organizacional y
Humano ambos ttulos conferidos por la Universidad del Valle de Atemajac UNIVA, Guadalajara. Mxico.
Profesional Certificado en Consultora General por el Consejo Nacional de Certificaciones, Mxico. Docente de la
UNIVA en las ctedras de Auditora de Sistemas, Desarrollo de Software y Gestin de Proyectos.
Jeimy J. Cano M. Ingeniero de Sistemas y Computacin y Magster en Ing. de Sistemas y Computacin ambos
ttulos conferidos por la Universidad de los Andes, Bogot. Colombia. Ph.D in Business Administration por
Newport University, California. USA. Executive Certificate in Leadership and Management de la MIT Sloan
School of Management. Profesor distinguido de la Facultad de Derecho. Universidad de los Andes e investigador
del GECTI Grupo de Estudios en Comercio Electrnico, Telecomunicaciones e Informtica de la misma
facultad.
24