Conferencistas:J i J C Ph DJeimy J. Cano, Ph.Djcano@uniandes.edu.co

Lista de Seguridad InformáticaSEGURINFO-SEGURINFO-

Andrés R. Almanza, Mscandres_almanza@hotmail.com

AgendaAgendaAgendaAgendaPresentación de Resultados

Componentes de la Encuesta

Datos

Conclusiones

Estructura de la EncuestaEstructura de la EncuestaCuestionario compuesto por 34 preguntas sobre lossiguientes temas:

Demografía

PresupuestosPresupuestos

Fallas de seguridad

Herramientas y prácticas de seguridad

Políticas de seguridad

Consideraciones MuestralesConsideraciones MuestralesEl número de participantes este año es de 222 personas (encomparación con las 202 del 2008).

Considerando una población limitada (alrededor de 1800personas que participan activamente en la lista deseguridad SEGURINFO) se ha estimado un error muestral de 7%(confianza del N) lo cual nos permite manejar una muestra(confianza del N), lo cual nos permite manejar una muestraadecuada cercana a los 813 participantes. Al contar con 222participantes en la muestra, los resultados presentados sonestadísticamente representativos

P i P ti i tPaises Participantes

65.40%

80.00%

6.50% 8.80% 12.20%7.10%

40.00%

60.00%

0.00%

20.00%

Argentina Chile Colombia México Uruguay

Ciudades Participantes 1%

1% 1%1%2% 2%1%

9%7% 5%

1%

1%1%

1%

1%1%1%2%

2%2%

1%

65%

Bogotá Medellín Bucaramanga cali Barranquilla POpayan

Cartagena Tunja PEREIRA Manizales Santiago cucuta

Riohacha Pasto NEIVA Armenia Ibaguég

Sectores Participantes

14% Otra (Por favor especif ique)

16% 14% Educación

Telecomunicaciones

Consultoría Especializada

Gobierno / Sector público

19%12%

10%

Servicios Financieros y Banca

Manufactura

Construcción / Ingeniería

Salud

4%4% 4%2%

1%

Salud

Sector de Energía

Alimentos

Cantidad de Empleados

75

70

80

57

40

50

60

20

1119

25

1520

30

40

11

0

10

1 a 50 101 a 200 201 a 300 301 a 500 501 a 1000 51 a 100 Más de 1000

Dependencia del area de Seguridad

Auditoria interna

12

14

16

18Gerente de Operaciones

Gerente Ejecutivo

Otra

AlimentosConstrucción / IngenieríaConsultoría Especializada

Educación 4

6

8

10Otra

No se tiene especif icado formalmente

Director de Seguridad InformáticaEducación

Gobierno / Sector públicoManufactura

Otra (Por favor especif ique)Salud

Sector de EnergíaServicios Financieros y Banca

Telecomunicaciones

0

2

4Director Departamento deSistemas/Tecnología

160

180

Gastos en Seguridad80

100

120

140

20

40

60

0

ección d

e la r

edorga

n izació

dad in

telectu

aos d

e clien

tl us

uario f

ins ele

ctrón ico

sde

las ap

lla In

fo rmació

nmás

calific

ads y e

xterna

tra cib

ercrim

enn for

mátic.

egurid

ad

rmáti

ca 7 x 2 Otra

4

Protec

os dato

s críti

cos d

e la or

Proteg

er la pr

opieda

macenamien to

de dato

s

ntiza

ción/f

ormació

n del u

Comerci

o/negoci

os

amien

to de se

gurida

d d

Seguri

dad de la

tratació

n de pers

onal má

s de se

gurida

d inter

nas

Pólizas c

ontra

lizados e

n seguri

dad in

f

ación d

e usua

rios e

n seg

reo de

Segurid

ad Infor

m

Protege

r los

Protege

r el a

lmCon

cienti

Desarr

ollo y af

inam

Contra

Evaluaci

ones

Cursos e

specia

liz

Cursos de

form

acMonit

ore

Centro de Gastos en SeguridadOtra4

Comercio/negocios electrónicos

30

Comercio/negocios electrónicos

Contratación de personal más calificado

Pólizas contra cibercrimen

15

20

25Cursos especializados en seguridad informática(cursoscortos, diplomados, especializaciones, maestrías)Cursos de formación de usuarios en seguridadinformáticaProteger la propiedad intelectual

0

5

10

15 g p p

M onitoreo de Seguridad Informática 7 x 24

Desarro llo y afinamiento de seguridad de las aplicaciones

0 Concientización/formación del usuario final

Evaluaciones de seguridad internas y externas

Proteger el almacenamiento de datos de clientes

Seguridad de la Información

Proteger los datos críticos de la organización

Gastos/Proyecciones Seguridad2008 Entre USD$110.001 yUSD$130.0002009 Entre USD$110 001 y

253035

2009 Entre USD$110.001 yUSD$130.0002008 Entre USD$50.001 yUSD$70.0002009 Entre USD$50.001 yUSD$70 000

5101520

USD$70.0002008 Entre USD$70.001 yUSD$90.0002009 Entre USD$70.001 yUSD$90.0002008 Entre USD$90.001 y

05

Alimentos

ngenie ría

cia lizada

Educac

iónr públic

onu factu

raeci

fique) Saludde Ene

rg íay Bancaica

ciones

USD$110.0002009 Entre USD$90.001 yUSD$110.0002008 Más de USD$130.000

2009 Más de USD$130 000ACons

trucción / I

ng

Consultoría

Especi Ed

Gobierno /

Sector p

Manu

Otra (P

or favor e

spec

Sector d

e

ervic ios Finan

cieros y BTelecom

un ica 2009 Más de USD$130.000

2008 Menos de USD$50.000

2009 Menos de USD$50.000

O

Ser

25Conciencia de Seguridad

Alimentos

Construcción / Ingeniería

15

20Construcción / Ingeniería

Salud

Sector de Energía

Manufactura

5

10Consultoría Especializada

Educación

Gobierno / Sector público

Otra (Por favor especif ique)

0

Otra (Por favor especif ique)

Servicios Financieros y Banca

Telecomunicaciones

Algunas son conscientes

Muy conscientes

Nadie es conscienteNo sabe

Incidencias Identificadas2009

2008

8090

100

2008

50607080

20304050

010

Entre 1-3 Entre 4-7 Más de 7 Ninguna

Identificacion de Incidencias x Sectores

Ninguna

Más de 7

15

20Entre 4-7

Entre 1-3

AlimentosConstrucción / Ingeniería10

15

Construcción / IngenieríaConsultoría EspecializadaEducaciónGobierno / Sector público

ManufacturaOtra (Por favor especif ique)

Salud 0

5

Sector de EnergíaServicios Financieros y Banca

Telecomunicaciones

0

Evolucion de Fallas de Seguridad

100120140160

2002

2003

20406080

100 2003

2004

2005

2006

-200

20

Ninguno

apl. d

e sw

utoriz

ado

utoriz

ado

fraud

evir

usob

o dato

sba

llo tro

yauto

rizado

n servi

cioint

egrida

dform

acion

ntacio

n id.

phish

ingph

arming

formac

ion otro

2006

2007

2008

2009

Manipu

lacion

de ap

sw no

aut

web no

aut rob caba

monito

reo no

aune

gacio

n pe

rdida

inpe

rdida

info

supla

nta

p pFug

a de I

nfo

M

25

30 Intrusiones comunes x sector

10

15

20

0

5

AlimCoCE

VirusInstalación de softw are no autorizadoAccesos no autorizados al w eb mentos

Construcción / Ingeniería

Consultoría Especializad

Educación

Gobierno / Sector públi

Manufactura

Salud

Sector de Energía

Servicios Financi

Telecomunicaci

(Otra (Por fav

Accesos no autorizados al w ebCaballos de troyaManipulación de aplicaciones de softw areFraudeRobo de datosMonitoreo no autorizado del tráf icoNegación del servicioPérdida de integridadPérdida de información adablico

íacieros y Banca

ciones

vor especifique

Pérdida de informaciónSuplantación de identidadPhishingFuga de InformaciónPharmingNingunoOtros

Identificación de las Fallas

80

90Material o datos alterados

Analisis de registros

i t d t i

50

60

70 sistema deteccionintrusosalertado cliente

alertado colega

20

30

40alertado colega

seminarios

otro

10

0

10

20

2002 2003 2004 2005 2006 2007 2008 2009

otro

Notif icación de unempleado

-102002 2003 2004 2005 2006 2007 2008 2009

Notificacion de Fallas x Sector

Analisis de registros

otro

sistema deteccion intrusos

12

14

16alertado cliente

Material o datos alterados

alertado colega

N tif i ió d l d

8

10

12Notif icación de un empleado

seminarios

Sector de EnergíaServicios Financieros y Banca

TelecomunicacionesOtra (Por favor especifique)

4

6

AlimentosConstrucción / Ingeniería

Consultoría EspecializadaEducación

Gobierno / Sector públicoManufactura

SaludSector de Energía

0

2

Notificacion de Fallas Asesor legal

Autoridadeslocales/regionales Autoridades nacionales

Equipo de atención deincidentes Ninguno: No se denuncian

2002 2003 2004 2005 2006 2007 2008 2009

Notificacion x Sector

16

Ninguno: No se denuncian

Equipo de atención de incidentes

Asesor legal

10

12

14g

Autoridades nacionales

Autoridades locales/regionales

Aliment os

6

8

Aliment osConst rucción / Ingenierí a

Consult orí a EspecializadaEducación

Gobierno / Sect or públicoManuf act ura

Ot ra (Por f avor especif ique)Salud

Sect or de Energí a0

2

4

Servicios Financieros y BancaTelecomunicaciones

Motivos para no Denunciar

60

70 Pérdida de valor deaccionistas

40

50Publicación de noticiasdesfavorables

Responsabilidad legal

20

30Motivaciones personales

Vulnerabilidad ante la

-10

0

10

2002 2003 2004 2005 2006 2007 2008 2009

Vulnerabilidad ante lacompetencia

Otro, especif ique:

10

Conciencia de Evidencia DigitalConciencia de Evidencia Digital

23%

107

18%59%

5214 41

N N b SiNo No sabe Si

No No Sabe Si

Pruebas de Intrusión X Año

27 2947

43 46 51 54

1629 30 48 37

6

54 57 46

1815 19 20 3 15 20 26

46 45

54

5140

60

331 28

46 4517

32 51

0

20

2002 2003 2004 2005 2006 2007 2008 2009

Entre 2 y 4 al año Más de 4 al año Ninguna Una al año

Pruebas de Seguridad x Sector

14

6

8

10

12ento

s

niería

zadaiónlicorae)da

0

2

4

Alimen

Constr

ucción

/ Ing

enie

onsu

ltoría

Esp

ecializa

Educa

ció

bierno

/ Sec

tor púb

lic

Manufac

tura

Por favo

r esp

ecifiq

ue)

Salud

Sector

de E

nergía

Finan

cieros

y Ban

ca

eleco

munica

cione

s

Co

Con

Gob

Otra (P

o

Servicio

s FinTele

Una al año Entre 2 y 4 al año Ninguna Más de 4 al año

Mecanismos de Protección

180

140

160

180

80

100

120

40

60

80

20

0

20

ards

trico

s

viru

s

eñas

atos

etes

s H

w

s Sw ados

PSec

oxie

s

IDS

7x24

IPS

OG

S

wal

ls

ADS

ta d

ede o co

n

Otro

-20

Smar

t C

Biom

ét

Antiv

Con

trase

Cifr

ado

de d

a

Filtr

o de

paq

u

Fire

wal

ls

Fire

wal

ls

Firm

asdi

gita

les/

certi

fica

digi

tale

s

VPN

/I P Pro

Mon

itore

o 7 L

Web

fire

w

Her

ram

ient

Valid

acio

n cu

mpl

imie

nto

2002 2003 2004 2005 2006 2007 2008 2009

Notificacion x IndustriaLectura de artículos en

i t i li d

20

revistas ializadas

Lectura y análisis de listasde seguridad (BUGTRAQ,SEGURINFO, NTBUGTRAQ,

14

16

18, ,

etc)Notif icaciones de colegas

Notif icacion de

8

10

12Notif icacion deProveedores

No se tiene este hábito.

G bi / S t úbliManufactura

OtraSalud

Sector de EnergíaServicios Financieros

Telecomunicaciones

2

4

6

AlimentosConstrucción / Ingeniería

Consultoría EspecializadaEducación

Gobierno / Sector público 0

16

Politicas de Seguridad

10

12

14

16

4

6

8

10

dergíancieros

icacio

nes0

2

4

mentos/ Ingeniería

a Especializada

Educación

ierno / Secto

r público

ManufacturaOtraSalud

Sector de Energ

Servicios Financ

Telecomunica

Actualmente se encuentran endesarrollo

No se tienen políticas deseguridad definidas

Alime

Construcción / In

Consultoría EGobiern seguridad definidas

Política formal, escritadocumentada e informada a todoel personal

Obstaculos en SeguridadPoco entendimiento de

7

8

los f lujos de lainformación en laorganizaciónOtros (Por favorespecif ique)

5

6

7

Complejidadtecnológica

3

4Falta de colaboraciónentreáreas/departamentos

Falta de tiempo

AlimentosConstrucción / Ingeniería

Consultoría EspecializadaEducación 0

1

2p

Inexistencia de políticade seguridad

EducaciónGobierno / Sector público

ManufacturaOtra

SaludSector de EnergíaServicios Financieros

Telecomunicaciones

16

18No

N b

12

14

16No sabe

Si

6

8

10

udergíaBancaicaciones

2

4

Alimentos

nstrucción / Ingeniería

Consultoría EspecializadaEducación

Gobierno / Sector públicoManufactura

Otra (Por favor especif ique)Salud

Sector de Energí

Servicios Financieros y Ban

Telecomunicac0

ConstrCon

Contactos para seguir intrusos

Estandares usadosISM3

SANS

18

SANS

Common Criteria

Octave

Magerit

12

14

16ISO27005, BS25999

OSSTM

NIST

Cobit 4.1

6

8

10

Cobit 4.1

ITIL

No se consideran

ISO 27001

Aliment osConst rucción / Ingenierí aConsult orí a Especializada

EducaciónG bi / S t úbli

2

4

6

Gobierno / Sect or públicoManuf act ura

Ot raSalud

Sect or de Energí aServicios Financieros

Telecomunicaciones

0

Regulaciones

20

Otras

Regulaciones internacionales

Regulaciones nacionales

Ninguna

14

16

18

Alimentos8

10

12

Construcción / IngenieríaConsultoría Especializada

EducaciónGobierno / Sector público

M anufacturaOtra

SaludS t d E í 0

2

4

6

Sector de EnergíaServicios Financieros

Telecomunicaciones

0

Dedicacion de Tiempo del Personal a Seguridadg

120

140

60

80

100

20

40

60

0Ninguna 1 a 5 6 a 10 11 a 15 Más de 15

2009 2008 20072009 2008 2007

Experiencia de Expertos

M d ñ d i i

12

Menos de un año de experiencia

Ninguno

Uno a dos años

Más de dos años de experiencia

10

p

6

8

Aliment osConst rucción / Ingenierí a

Consult or í a EspecializadaEducación

Gobierno / Sect or públicoManuf act ura

Ot ra (Por f avor especif ique)S l d

2

4

SaludSect or de Energí a

Servicios Financieros y Banca

Telecomunicaciones

0

80

No Importante

No sabe

Importante

60Muy Importante

CISSPCISA

20

40

CISACISM

CFECIFI

CIAMCSE

LPISecurity+

0

Importancia de las CertificacionesImportancia de las Certificaciones

Las regulaciones nacionales e internacionales llevarán a las organizaciones en

Retos y Conclusionesg g

Colombia fortalecer los sistemas de gestión de la seguridad de la información.

LasLas certificacionescertificaciones CISSP,CISSP, CISMCISM yy CISA,CISA, sonson laslas masmas valoradasvaloradas porpor elelmercadomercado yy sonson laslas cartascartas dede presentaciónpresentación profesionalprofesional aa tenertener enen cuentacuenta enen lalamercado,mercado, yy sonson laslas cartascartas dede presentaciónpresentación profesionalprofesional aa tenertener enen cuentacuenta enen lalaejecuciónejecución dede proyectosproyectos dede seguridadseguridad..

EstándaresEstándares comocomo ISOISO 2700027000,, ITILITIL COBITCOBIT yy NISTNIST sonson loslos estándaresestándares masmasusadosusados parapara lala gestióngestión dede lala seguridadseguridadusadosusados parapara lala gestióngestión dede lala seguridadseguridad..

LaLa inversióninversión enen seguridadseguridad dede lala informacióninformación sese encuentraencuentra concentradaconcentrada enen elelperímetroperímetro dede laslas organizacionesorganizaciones:: redesredes yy sistemassistemas dede comunicaciones,comunicaciones, asíasí comocomoll t iót ió dd ll d td t d ld l li tli t ii lllala protecciónprotección dede loslos datosdatos deldel cliente,cliente, apareceaparece unun nuevonuevo escenarioescenario queque sonson laslaspólizaspólizas dede cibercrimencibercrimen

EsEs necesarionecesario mencionarmencionar queque sese debedebe reforzarreforzar elel tematema dede concienciaconciencia enen loslostemastemas dede seguridad,seguridad, adicionaladicional aa temastemas dede manejomanejo dede evidenciasevidencias digitalesdigitales yy susuformalizacionformalizacion dentrodentro dede laslas organizacionesorganizaciones..

Retos y Conclusiones

SeSe debedebe continuarcontinuar loslos esfuerzosesfuerzos desdedesde elel gobiernogobierno lala academiaacademia lala empresaempresa yySeSe debedebe continuarcontinuar loslos esfuerzosesfuerzos desdedesde elel gobierno,gobierno, lala academia,academia, lala empresaempresa yylala industria,industria, parapara afrontarafrontar loslos posiblesposibles ataquesataques dede loslos intrusosintrusos..

SeSe debedebe decidirdecidir sisi sese deseadesea queque sese materialicematerialice lala inseguridad,inseguridad, porpor lolo tantotanto esesnecesarionecesario desarrollardesarrollar fortalecerfortalecer loslos temastemas dede políticaspolíticas dentrodentro dede lala organi aciónorgani aciónnecesarionecesario desarrollardesarrollar yy fortalecerfortalecer loslos temastemas dede políticaspolíticas dentrodentro dede lala organizaciónorganización

SeSe veve queque laslas organziacionesorganziaciones realizanrealizan cadacada vezvez masmas masmas cantidadescantidades dedepruebaspruebas dede seguridad,seguridad, eses importanteimportante porpor queque muestramuestra queque sese preocupanpreocupan porpor lalaseguridadseguridad dede laslas plataformasplataformas tecnologicastecnologicas

AumentaAumenta dede maneramanera importanteimportante queque lala responsabilidadresponsabilidad dede seguridadseguridad frentefrente aaotrosotros anosanos crececrece concon respectorespecto aa laslas areasareas dede seguridadseguridad dede lala informacioninformacion oopp gginformatica,informatica, asiasi comocomo sese notanota queque hayhay mayoresmayores aumentosaumentos frentefrente aa laslas inversionesinversionesdede seguridadseguridad..

SeSe debedebe insistirinsistir enen queque eses necesarionecesario denunciardenunciar laslas intrusionesintrusiones dadodado queque eses ununSeSe debedebe insistirinsistir enen queque eses necesarionecesario denunciardenunciar laslas intrusiones,intrusiones, dadodado queque eses ununmecanismomecanismo dede controlcontrol queque ayudaayuda enen elel mejoramientomejoramiento dede lala seguridadseguridad..

Bibliografía

COMPUTERCOMPUTER SECURITYSECURITY INSTITUTEINSTITUTE ((20082008)) CSI/FBICSI/FBI ComputerComputer CrimeCrime andandCOMPUTERCOMPUTER SECURITYSECURITY INSTITUTEINSTITUTE ((20082008)) CSI/FBICSI/FBI.. ComputerComputer CrimeCrime andandSecuritySecurity SurveySurvey 20072007

PRICEWATERHOUSECOOPERSPRICEWATERHOUSECOOPERS--UKUK ((20082008)) InformationInformation SecuritySecurity BreachesBreachesSS 20082008SurveySurvey 20082008

PRICEWATERHOUSECOOPERSPRICEWATERHOUSECOOPERS ((20082008)) GlobalGlobal StateState ofof InformationInformation SecuritySecurityStudyStudy

DELOITTEDELOITTE && TOUCHETOUCHE ((20072007)) 20082008 PrivacyPrivacy andand datadata protectionprotection surveysurvey..