Encuesta Nacional de Seguridad 2018
Aprendiendo a crecer y construir posturas de seguridad digital
Andres Ricardo Almanza Junco
@andresr_Almanza
Capital Intelectual
Certificaciones deseadas
Certificaciones poseídas
Dedicación de personas a seguridad
Experiencia de las personas en seguridad
Papel de Educación
Demografía
Cargo
Dependencia de la Seguridad
Responsabilidades profesional seguridad
Roles Seguridad
Sector
Tamaño
Herramientas y practicas de Seguridad
Como es informado de fallas de seguridad
Evaluaciones de Seguridad
Soluciones de Seguridad
Incidentes de Seguridad
A quien notifica incidente
Cantidad Incidentes
Como denunciaría incidentesConsciencia de EvidenciaContactos Autoridades
e-discoveryMotivos no denuncia Incidentes
Procedimiento de evidencia
Tipo de Incidentes
Políticas de Seguridad
Cuantas Evaluaciones de RiesgosEstado Política de Seguridad
Estándares de Seguridad
Evaluación de riesgosMetodología de Riesgos
Obstáculos a la Seguridad
Razones de no riesgos
Regulación aplicable
Tipo de Metodología de Riesgos
Tipos de Riesgos asociados
Presupuestos
% Presupuesto(Total)
Concentracion de la Inversión
Presupuesto Asignado
Rubro Financiero Seguridad
Temas EmergentesBrechas de un CISOCISO entrega de Información
Consciencia Directivos SeguridadTipo de CISO
Generalidades21%
15%
13%12%
11%
10%
5%
4%
3%2% 2%
1% 1%
Sectores
Servicios Financieros y Banca
Consultoría Especializada
Gobierno / Sector público
Educación
Otros (especifique)
Telecomunicaciones
Salud
Sector de Energía e Hidrocarburos
Manufactura
Construcción / Ingeniería
Retail / Consumo masivo
Alimentos
Fuerzas Armadas
1001 - 5000 empleados, 36%
Mayor de 5001 empleados, 17%
501 - 1000 empleados, 13%
201 - 500 empleados, 12%
51 - 200 empleados, 12%
1 - 50 empleados, 10%
Tamaños
1001 - 5000 empleados
Mayor de 5001 empleados
501 - 1000 empleados
201 - 500 empleados
51 - 200 empleados
1 - 50 empleados
Servicios Financieros y Banca
Consultoría Especializada
Gobierno / Sector público
Educación
Otros (especifique)
Telecomunicaciones
Salud
Sector de Energía e Hidrocarburos
Manufactura
Retail / Consumo masivo
Construcción / Ingeniería
Fuerzas Armadas
Generalidades
17%
16%
14%
12%
10%
9%
8%
6%
5%
2%
0%
0%
0%
Auditor Interno/Externo
Otro (especifique)
Profesional de Departamento de Sistemas/Tecnología
Oficial de Seguridad de la Información (CISO)
Director/Jefe de Sistemas/Tecnología
Profesional del Departamento de SeguridadInformática
Asesor/Consultor externo
Director/Jefe de Seguridad de la información
Oficial de Seguridad Informática (ISO)
Director Ejecutivo
Director/Vicepresidente
Oficial de Riesgos Corporativos (CRO)
Presidente/Gerente General
Cargo
Otros. Son cargos relacionados con la seguridad.Docentes/Investigadores/ Otros gerentes
Servicio
s Finan
cieros y B
anca
Co
nsu
ltoría Esp
ecializada
Go
bie
rno
/ Sector p
úb
lico
Edu
cación
Otro
s (especifiq
ue)
Teleco
mu
nicacio
ne
s
Salud
Secto
r de En
ergía e H
idro
carbu
ros
Man
ufactu
ra
Re
tail / Co
nsu
mo
masivo
Co
nstru
cción
/ Ingen
iería
Fue
rzas Arm
adas
Alim
en
tos
Auditor Interno/Externo
Otro (especifique)
Profesional de Departamento deSistemas/Tecnología
Oficial de Seguridad de laInformación (CISO)
Director/Jefe deSistemas/Tecnología
Profesional del Departamento deSeguridad Informática
Asesor/Consultor externo
Director/Jefe de Seguridad de lainformación
Oficial de Seguridad Informática(ISO)
Director Ejecutivo
Presidente/Gerente General
Director/Vicepresidente
Oficial de Riesgos Corporativos(CRO)
Generalidades
Se
rvic
ios F
inancie
ros y
Ba
nca
Consultorí
a E
specia
lizada
Gobie
rno / S
ecto
r públic
o
Ed
ucació
n
Otr
os (
especifiq
ue)
Te
lecom
unic
acio
nes
Sa
lud
Se
cto
r de E
nerg
ía e
Hid
rocarb
uro
s
Ma
nufa
ctu
ra
Reta
il / C
onsum
o m
asiv
o
Constr
ucció
n / Inge
nie
ría
Fu
erz
as A
rma
das
Alim
ento
s
Director/Jefe de Seguridad de lainformación
Vicepresidente/DirectorDepartamento deSistemas/Tecnología
Otro (especifique)
Director/Jefe de SeguridadInformática
No se tiene especificadoformalmente
Vicepresidente/Gerente deRiesgos
Auditoría interna
Vicepresidente/Gerente Ejecutivo
Vicepresidente/Gerente dePlaneación
Vicepresidente/Gerente deCumplimiento
Se encuentra tercerizada en otraorganización
Vicepresidente/Gerente deOperaciones
Vicepresidente/Gerente deFinanzas
28%
18%
12%
11%
11%
10%
4%
3%
2%
1%
1%
1%
0%
0% 10% 20% 30%
Director/Jefe de Seguridad de la información
Vicepresidente/Director Departamento deSistemas/Tecnología
Otro (especifique)
Director/Jefe de Seguridad Informática
No se tiene especificado formalmente
Vicepresidente/Gerente de Riesgos
Auditoría interna
Vicepresidente/Gerente Ejecutivo
Vicepresidente/Gerente de Planeación
Vicepresidente/Gerente de Cumplimiento
Se encuentra tercerizada en otra organización
Vicepresidente/Gerente de Operaciones
Vicepresidente/Gerente de Finanzas
De
pe
nd
en
cia
de
la S
eg
urid
ad
Generalidades
Actividades del Responsible de Seguridad
Analista de Seguridad de la Información
Otros Roles
Oficial de Riesgos Corporativos (CRO)
Experto forense digital / Investigador Forense Digital
Primer respondiente / gestionador de incidentes de seguridad
Oficial de Cumplimiento Corporativo ( CCO)
No cuenta con ningún rol dedicado a la seguridad de la información
Oficial de Seguridad Informática (ISO)
Consultor de Seguridad de la Información
Arquitectos de Seguridad
Especialista en ciberseguridad y ciberdefensa
Ingeniero especialista en pruebas de seguridad informática (Penetración tester, Vulnerability tester, etc.)
Oficial de Seguridad de la Información (CISO)
Analista de Seguridad Informática (Redes, Información, Aplicaciones)
Analista de Seguridad de la Información
Servicios Financieros y Banca
Consultoría Especializada
Telecomunicaciones
Otros (especifique)
Gobierno / Sector público
Educación
Sector de Energía eHidrocarburos
Manufactura
Retail / Consumo masivo
Alimentos
Fuerzas Armadas
Salud
Construcción / Ingeniería
Cuenta de Analista de Seguridad de laInformación
Cuenta de Primer respondiente / gestionadorde incidentes de seguridad
Cuenta de Oficial de Seguridad Informática(ISO)
Cuenta de Oficial de Seguridad de laInformación (CISO)
Cuenta de Oficial de Riesgos Corporativos(CRO)
Cuenta de Oficial de Cumplimiento Corporativo( CCO)
Cuenta de Ingeniero especialista en pruebas deseguridad informática (Penetración tester,Vulnerability tester, etc.)
Cuenta de Experto forense digital /Investigador Forense Digital
Cuenta de Especialista en ciberseguridad yciberdefensa
Cuenta de Consultor de Seguridad de laInformación
Cuenta de Analista de Seguridad Informática(Redes, Información, Aplicaciones)
Cuenta de Auditor de seguridad de lainformación
Cuenta de Arquitectos de Seguridad
Cuenta de No cuenta con ningún rol dedicado ala seguridad de la información
Cuenta de Otros (especifique)
Roles encontrados
Presupuestos
54%
21%
14%
2% 4%6%
No cuento conesa información
Entre el 0 y el2%
Entre el 3 y el5%
Entre el 6 y el8%
Entre el 9 y el11%
Más del 11%
% Global del presupuesto
62%
10%
7%
6%
6%
5%
4%
1%
No cuento con esa información
Menor de USD$20.000
Entre USD$110.001 y USD$130.000
Más de USD$130.001
Entre USD$90.001 y USD$110.000
Entre USD$20.001 y USD$50.000
Entre USD$50.001 y USD$70.000
Entre USD$70.001 y USD$90.000
Presupuesto de Seguridad
52%
40%
35%34%
33%
4%
Inversiones de Seguridad Adquisición e implementación detecnología de seguridad informática
Renovación de licenciamiento ymantenimiento de hardware y software
Contratación de servicios deasesoría/consultoría
Servicios de monitoreo y gestión deseguridad con terceros
Capacitación/Actualización del personalde seguridad de la información
Otro (especifique):
76%
24%
Si No
Rubro Financiero
Presupuestos
Má
s d
e U
SD
$130.0
01
En
tre U
SD
$110.0
01 y
US
D$130.0
00
En
tre U
SD
$90.0
01 y
US
D$110.0
00
En
tre U
SD
$50.0
01 y
US
D$70.0
00
Me
nor d
e U
SD
$20.0
00
En
tre U
SD
$90.0
01 y
US
D$110.0
00
En
tre U
SD
$20.0
01 y
US
D$50.0
00
Me
nor d
e U
SD
$20.0
00
En
tre U
SD
$110.0
01 y
US
D$130.0
00
En
tre U
SD
$70.0
01 y
US
D$90.0
00
En
tre U
SD
$20.0
01 y
US
D$50.0
00
Me
nor d
e U
SD
$20.0
00
Má
s d
e U
SD
$130.0
01
En
tre U
SD
$110.0
01 y
US
D$130.0
00
En
tre U
SD
$50.0
01 y
US
D$70.0
00
Me
nor d
e U
SD
$20.0
00
En
tre U
SD
$110.0
01 y
US
D$130.0
00
En
tre U
SD
$50.0
01 y
US
D$70.0
00
Me
nor d
e U
SD
$20.0
00
En
tre U
SD
$110.0
01 y
US
D$130.0
00
En
tre U
SD
$50.0
01 y
US
D$70.0
00
En
tre U
SD
$20.0
01 y
US
D$50.0
00
Me
nor d
e U
SD
$20.0
00
Má
s d
e U
SD
$130.0
01
En
tre U
SD
$50.0
01 y
US
D$70.0
00
En
tre U
SD
$110.0
01 y
US
D$130.0
00
En
tre U
SD
$90.0
01 y
US
D$110.0
00
Me
nor d
e U
SD
$20.0
00
En
tre U
SD
$20.0
01 y
US
D$50.0
00
Me
nor d
e U
SD
$20.0
00
En
tre U
SD
$50.0
01 y
US
D$70.0
00
Servicios Financieros y Banca
EducaciónConsultoría Especializada
Telecomunicaciones
Otros (especifique)Gobierno / Sector público
Sector de Energía e HidrocarburosRetail / Consumo masivo
Construcción / IngenieríaManufactura
Entre el 0 y el 2% Entre el 3 y el 5% Entre el 6 y el 8% Entre el 9 y el 11% Más del 11%
Serv
icio
s F
inan
cie
ros
y B
anca
Gob
iern
o / S
ecto
rpú
blic
o
Co
nsulto
ríaE
sp
ecia
lizad
a
Otro
s (e
specifiq
ue)
Educació
n
Tele
com
unic
acio
nes
Secto
r de
En
erg
ía e
Hid
rocarb
uro
s
Salu
d
Co
nstru
cció
n /
Ingen
iería
Re
tail / C
onsum
om
asiv
o
Alim
en
tos
Ma
nufa
ctu
ra
Count of Adquisición e implementación de tecnología de seguridad informática
Count of Capacitación/Actualización del personal de seguridad de la información
Count of Contratación de servicios de asesoría/consultoría
Count of Servicios de monitoreo y gestión de seguridad con terceros
Count of Renovación de licenciamiento y mantenimiento de hardware y software
Entre
US
D$1
10.0
01 y
US
D$1
30.0
00
Me
nor d
eU
SD
$2
0.0
00
Má
s d
eU
SD
$1
30.0
01
Entre
US
D$9
0.0
01 y
US
D$1
10.0
00
Entre
US
D$2
0.0
01 y
US
D$5
0.0
00
Entre
US
D$5
0.0
01 y
US
D$7
0.0
00
Entre
US
D$7
0.0
01 y
US
D$9
0.0
00
23.53%21.57%17.65%15.69%13.73%7.84%
18.75%21.88%15.63%
6.25%
15.63%18.75%
3.13%
24.32%27.03%
13.51%
18.92%
13.51%2.70%
22.86%11.43%20.00%
22.86%
11.43%
8.57%
2.86%
21.21%24.24%15.15%21.21%
6.06%
12.12% Renovación de Licenciamiento y
mantenimiento de hardware y software
Servicios de monitoreo y gestión de
seguridad con terceros
Contratación de servicios de
asesoría/consultoría
Capacitación/Actualización del personal de
seguridad de la información
Adquisición e implementación de tecnología
de seguridad informática
9.80%
7.84%
1.96%
7.84%
1.96%
1.96%
3.92%
1.96%
3.92%
7.84%
3.92%
1.96%
1.96%
3.92%
1.96%
5.88%
1.96%
1.96%
1.96%
5.88%
1.96%
1.96%
3.92%
1.96%
1.96%
1.96%
3.92%
1.96%
6.25%
9.38%
6.25%
3.13%
9.38%
3.13%
3.13%
12.50%
3.13%
3.13%
3.13%
6.25%
3.13%
3.13%
3.13%
3.13%
6.25%
3.13%
3.13%
3.13%
3.13%
2.70%
5.41%
10.81%
10.81%
2.70%
2.70%
2.70%
2.70%
2.70%
5.41%
5.41%
2.70%
2.70%
5.41%
2.70%
2.70%
2.70%
5.41%
2.70%
2.70%
8.11%
2.70%
2.70%
2.70%
11.43%
11.43%
2.86%
8.57%
2.86%
2.86%
2.86%
2.86%
5.71%
2.86%
5.71%
2.86%
5.71%
2.86%
2.86%
2.86%
2.86%
2.86%
2.86%
2.86%
2.86%
2.86%
2.86%
2.86%
9.09%
12.12%
3.03%
9.09%
3.03%
3.03%
3.03%
3.03%
3.03%
3.03%
6.06%
3.03%
3.03%
3.03%
6.06%
3.03%
3.03%
3.03%
3.03%
3.03%
3.03%
3.03%
3.03%
3.03%
Menor de USD$20.000
Más de USD$130.001
Entre USD$90.001 y USD$110.000
Entre USD$50.001 y USD$70.000
Entre USD$110.001 y USD$130.000
Menor de USD$20.000
Más de USD$130.001
Entre USD$50.001 y USD$70.000
Entre USD$20.001 y USD$50.000
Entre USD$110.001 y USD$130.000
Menor de USD$20.000
Entre USD$90.001 y USD$110.000
Entre USD$20.001 y USD$50.000
Más de USD$130.001
Entre USD$90.001 y USD$110.000
Entre USD$50.001 y USD$70.000
Menor de USD$20.000
Entre USD$50.001 y USD$70.000
Entre USD$110.001 y USD$130.000
Menor de USD$20.000
Entre USD$90.001 y USD$110.000
Entre USD$110.001 y USD$130.000
Menor de USD$20.000
Entre USD$70.001 y USD$90.000
Entre USD$50.001 y USD$70.000
Entre USD$20.001 y USD$50.000
Entre USD$110.001 y USD$130.000
Menor de USD$20.000
Más de USD$130.001
Entre USD$50.001 y USD$70.000
Entre USD$110.001 y USD$130.000
Menor de USD$20.000
Entre USD$20.001 y USD$50.000
Menor de USD$20.000
Entre USD$50.001 y USD$70.000
Se
rvic
ios
Fin
an
cie
ros y
Ba
nca
Go
bie
rno
/ S
ecto
rp
úb
lico
Ed
uca
ció
n
Se
cto
r de
En
erg
ía e
Hid
rocarb
uro
s
Otr
os
(esp
ecifiq
ue)
Reta
il /
Con
su
mo
ma
siv
oC
on
su
lto
ría
Espe
cia
lizad
aT
ele
co
mun
ica
cio
nes
Con
str
ucció
n/
Inge
ni
erí
aS
al
ud
Ma
nuf
act
ura
Renovación de licenciamiento y
mantenimiento de hardware y software
Contratación de servicios de
asesoría/consultoría
Servicios de monitoreo y gestión de
seguridad con terceros
Capacitación/Actualización del personal
de seguridad de la información
Adquisición e implementación de
tecnología de seguridad informática
35%
28%
16% 15%
6%
No cuentocon esa
información
Entre 1-3 Entre 4-7 Más de 7 Ninguno
Incidentes
Incidentes
39%
28%
26%
23%
22%
19%
18%
16%
12%
9%
9%
9%
8%
7%
6%
6%
6%
4%
3%
3%
2%
1%
1%
Errores humanos
Instalación de software no autorizado
Acciones de ingeniería social
Phishing
Virus/Caballos de Troya
Accesos no autorizados al web
Ransomware
Ataque de aplicaciones Web (XSS, SQL Injection,…
Ciberataques (APT o ataques dirigidos, denegación…
Fraude electrónico
Pérdida/Fuga de información crítica
Ninguno
Robo de elementos críticos de hardware…
Negación del servicio (DOS/DDoS)
Suplantación de identidad
Manipulación de aplicaciones de software
Pérdida de integridad de la información
Robo de datos
Brecha de seguridad provocada por terceras partes…
Incidentes relacionados con la privacidad de los…
Pharming
Monitoreo no autorizado del tráfico
Espionaje
Tipos de incidentes
52%
31%
19%
13%
9%
7%6%
Denuncias
Directivos de la propiaorganización
Equipo de atención deincidentes (CSIRT)
Autoridades nacionales(Policía, Entidadesregulatorias, Fiscalía, etc.)Asesor legal
Otra (especifique)
Incidentes
38.64%
30.00%
31.58%
25.00%
34.48%
31.52%
50.00%
31.82%
37.50%
27.69%
28.57%
100.00%
29.41%
21.43%
30.00%
25.00%
29.63%
24.39%
11.11%
16.67%
26.67%
23.08%
55.00%
1.09%
1.54%
3.85%
45.00%
15.91%
25.00%
23.68%
25.00%
24.14%
21.74%
27.27%
37.50%
21.54%
42.86%
29.41%
14.29%
30.00%
50.00%
35.19%
26.83%
33.33%
33.33%
53.33%
28.85%
20.45%
18.33%
18.42%
50.00%
17.24%
14.13%
18.18%
25.00%
23.08%
7.14%
23.53%
14.29%
10.00%
14.81%
24.39%
11.11%
27.78%
6.67%
17.31%
25.00%
26.67%
26.32%
24.14%
31.52%
50.00%
22.73%
26.15%
21.43%
17.65%
50.00%
30.00%
25.00%
20.37%
24.39%
44.44%
22.22%
13.33%
26.92%
of Accesos no autorizados al web
of Acciones de ingeniería social
of Ataque de aplicaciones Web (XSS, SQL Injection,Directory Transversal, etc.)
of Brecha de seguridad provocada por terceras partes (p.eCloud Access Security Broker)
of Ciberataques (APT o ataques dirigidos, denegación deservicios masiva)
of Errores humanos
of Espionaje
of Fraude electrónico
of Incidentes relacionados con la privacidad de los datospersonales (publicación de información personal,…
of Instalación de software no autorizado
of Manipulación de aplicaciones de software
of Monitoreo no autorizado del tráfico
of Negación del servicio (DOS/DDoS)
of Pérdida de integridad de la información
of Pérdida/Fuga de información crítica
of Pharming
of Phishing
of Ransomware
of Robo de datos
of Robo de elementos críticos de hardware (notebooks,discos, etc.)
of Suplantación de identidad
of Virus/Caballos de Troya
Count of Ninguno
No cuento con esa información Ninguno Más de 7 Entre 4-7 Entre 1-3
Incidentes vs SectoresNo cuento con esa información
Entre 1-3
Entre 4-7
Más de 7
Ninguno
Incidentes
Se
rvic
ios F
inancie
ros y
Ba
nca
Consultorí
a E
specia
lizada
Ed
ucació
n
Gobie
rno / S
ecto
r públic
o
Te
lecom
unic
acio
nes
Otr
os (
especifiq
ue)
Ma
nufa
ctu
ra
Sa
lud
Se
cto
r de E
nerg
ía e
Hid
rocarb
uro
s
Constr
ucció
n / Inge
nie
ría
Alim
ento
s
Reta
il / C
onsum
o m
asiv
o
Fu
erz
as A
rma
das
Count of Acciones de ingeniería social
Count of Suplantación de identidad
Count of Ataque de aplicaciones Web (XSS, SQL Injection, Directory Transversal, etc.)
Count of Ninguno
Count of Robo de elementos críticos de hardware (notebooks, discos, etc.)
Count of Virus/Caballos de Troya
Count of Robo de datos
Count of Fraude electrónico
Count of Espionaje
Count of Pharming
Count of Errores humanos
Count of Ransomware
Count of Phishing
Count of Pérdida/Fuga de información crítica
Count of Manipulación de aplicaciones de software
Count of Pérdida de integridad de la información
Count of Incidentes relacionados con la privacidad de los datos personales (publicación de información personal,solicitudes de eliminación de datos personales, etc.)
Count of Negación del servicio (DOS/DDoS)
Count of Monitoreo no autorizado del tráfico
Count of Brecha de seguridad provocada por terceras partes (p.e Cloud Access Security Broker)
Count of Instalación de software no autorizado
Count of Ciberataques (APT o ataques dirigidos, denegación de servicios masiva)
IncidentesTe
lecom
un
icacion
es
Servicios Fin
anciero
s yB
anca
Sector d
e Energía e
Hid
rocarb
uro
s
Salud
Retail / C
on
sum
o m
asivo
Otro
s (especifiq
ue)
Man
ufactu
ra
Go
biern
o / Secto
r pú
blico
Edu
cación
Co
nsu
ltoría Esp
ecializada
Co
nstru
cción
/ Ingen
iería
Alim
ento
s
Fuerzas A
rmad
as
A quien reportan
Directivos
Asesor Legal
Servicios Financieros yBanca
Gobierno / Sector público
Consultoría Especializada
Otros (especifique)
Telecomunicaciones
Sector de Energía eHidrocarburos
Salud
Retail / Consumo masivo
Manufactura
Educación
Construcción / Ingeniería
Alimentos
Por qué no reportanCount of Publicación denoticias desfavorables en losmedios/pérdida de imagen
Count of Pérdida dereputación ante accionistas
Count of Vulnerabilidad antela competencia
Count of Pérdida de clientesactuales o potenciales
Count of Motivacionespersonales
Count of Responsabilidadlegal
39%
34%
18%
9%
Evaluaciones de Seguridad
Una al año
Entre 2 y 4 al año
Ninguna
Más de 4 al año
53%
44%
44%
43%
37%
37%
36%
36%
35%
32%
26%
24%
24%
22%
21%
20%
15%
14%
13%
10%
9%
7%
6%
5%
5%
5%
VPN/IPSec
Firewalls tradicionales (Hardware/Software)
Soluciones Anti-Malware
Cifrado de datos
Firmas digitales/certificados digitales
Biométricos (huella digital, iris, etc.)
Firewalls de nueva generación
Sistemas de Contraseñas
IDS/IPS de nueva generación
Web Application Firewalls (WAF)
Proxies/Proxies inversos
Servicio de SOC
Firewalls de Bases de Datos (DAF)
SIEM (Security Information Event Management)
Entrenamiento/Actualización del personal de…
Sistemas de detección y/o prevención de intrusos IDS/IPS…
Herramientas Anti–DDoD
Cooperación/Intercambio de información con otros (estado,…
Soluciones de monitoreo de redes sociales
ADS (Anomaly detection systems)
Tercerización de la seguridad informática
Ciberseguros
Smart Cards
Herramientas de validación de cumplimiento con…
Servicios de inteligencia de amenazas
Otro (especifique)
Mecanismos de Seguridad
Mecanismo de Seguridad
Mecanismo de Seguridad
Servicios Financieros y Banca
Consultoría Especializada
Gobierno / Sector público
Educación
Otros (especifique)
Telecomunicaciones
Salud
Sector de Energía e Hidrocarburos
Manufactura
Construcción / Ingeniería
Retail / Consumo masivo
Alimentos
Evaluaciones de Seguridad
Una al año
Entre 2 y 4 al año
Más de 4 al año
Ninguna
Count of ADS (Anomaly detection…
Count of Biométricos (huella digital,…
Count of VPN/IPSec
Count of Herramientas de validación…
Count of Sistemas de Contraseñas
Count of Web Application Firewalls…
Count of Tercerización de la seguridad…
Count of Soluciones de monitoreo de…
Count of Ciberseguros
Count of Firewalls de Bases de Datos…
Count of Cooperación/Intercambio de…
Count of Soluciones Anti-Malware
Count of Herramientas Anti–DDoD
Count of Proxies/Proxies inversos
Count of Smart Cards
Count of Entrenamiento/Actualización…
Count of IDS/IPS de nueva generación
Count of Firmas digitales/certificados…
Count of Sistemas de detección y/o…
Count of Firewalls de nueva generación
Count of Servicio de SOC
Count of Firewalls tradicionales…
Count of Servicios de inteligencia de…
Count of SIEM (Security Information…
Count of Cifrado de datos
Us
o d
e la
s te
cn
olo
gía
s d
e s
eg
urid
ad
Servicios Financieros y Banca
Gobierno / Sector público
Consultoría Especializada
Otros (especifique)
Telecomunicaciones
Sector de Energía e Hidrocarburos
Salud
Retail / Consumo masivo
Manufactura
Educación
Construcción / Ingeniería
Alimentos
49%
31%
28%
27%
25%
23%
20%
17%
16%
15%
14%
12%
8%
Ausencia o falta de una cultura en seguridad de la información
Falta de apoyo directivo
Falta de colaboración entre áreas/departamentos
Poca visibilidad del tema a nivel ejecutivo
Escasa formación en gestión segura de la información
Poco entendimiento de la seguridad de la información
Poco entendimiento de los flujos de la información en la
organización
Falta de formación técnica
Limitadas habilidades gerenciales de los CISO’s
Falta de tiempo
Complejidad tecnológica
Inexistencia de política de seguridad
Otros (especifique)
Obstáculos de la seguridad digital
Co
unt
of A
usen
cia
o f
alta
de u
na c
ultura
en s
eg
urid
ad
de
la
…
Cou
nt
of C
om
ple
jida
d t
ecn
oló
gic
a
Cou
nt
of P
oca v
isib
ilid
ad d
el te
ma
a n
ive
l e
jecu
tivo
Cou
nt
of In
exis
ten
cia
de
po
lítica
de s
eg
urid
ad
Cou
nt o
f L
imita
da
s h
ab
ilid
ad
es g
ere
ncia
les d
e lo
s C
ISO
’s
Cou
nt
of F
alta
de f
orm
ació
n t
écn
ica
Cou
nt
of E
sca
sa f
orm
ació
n e
n g
estió
n s
eg
ura
de
la
in
form
ació
n
Co
unt
of P
oco e
nte
nd
imie
nto
de
la
se
gu
rid
ad
de
la in
form
ació
n
Cou
nt
of F
alta
de t
iem
po
Cou
nt
of P
oco e
nte
nd
imie
nto
de
lo
s f
lujo
s d
e la
in
form
ació
n…
Cou
nt
of F
alta
de c
ola
bo
ració
n e
ntr
e á
rea
s/d
ep
art
am
en
tos
Cou
nt
of F
alta
de a
poyo
dir
ectivo
Visión de los sectores de los obstáculos de seguridad
Servicios Financieros y Banca Gobierno / Sector público Consultoría Especializada
Otros (especifique) Telecomunicaciones Sector de Energía e Hidrocarburos
Salud Retail / Consumo masivo Manufactura
Educación Construcción / Ingeniería Alimentos
Políticas de Seguridad
Riesgos
50% 22% 24% 3%
Cuantas veces
Una Dos Más de dos Ninguna61%
34%
33%
33%
24%
5%
Tipos de Riesgos
Riesgos operacionales
Riesgos legales
Riesgos reputacionales
Riesgos económicos
Riesgos transversales
Otros (especifique)
ISO 31000, 27%
ISO 27005, 24%
SARO, 14%
GRC ( Governance,
Risk & Compliance),
10%
Magerit, 8%
Otra (especifique),
5%
ERM(Enterprise Risk
Management), 3%
AS/NZ 4360, 3%
Octave, 1%
Tipo de Metodologias
38%
16%
15%
12%
9%
9%
Por que no se hace
Se realiza dentro del proceso de gestión de riesgo
empresarial de la organización
No se tiene un proceso formal de gestión de
riesgos ni corporativo, ni de información
Desconocimiento del tema
Falta de presupuesto
No se tiene asociados riesgos con el
tratamiento de la información
Otros (especifique)
Si, 94%
No, 6%
Meotodologia de Riesgos
Si, 68%
No, 32%
Gestion de Riesgos
Co
un
t of SA
RO
Co
un
t of ISO
31
00
0
Co
un
t of ISO
27
00
5
Co
un
t of G
RC
( Go
vernan
ce, Risk &
…
Co
un
t of M
agerit
Co
un
t of A
S/NZ 43
60
Co
un
t of O
ctave
Co
un
t of ER
M(En
terprise R
isk…
Uso de Estándares de SeguridadServicios Financieros yBanca
Consultoría Especializada
Gobierno / Sector público
Otros (especifique)
Telecomunicaciones
Sector de Energía eHidrocarburos
Salud
Retail / Consumo masivo
Manufactura
Educación
Construcción / Ingeniería
Alimentos
52%
29%
11%
8%
Normativas aprobadas por entes desupervisión (Poder legislativo,
Superintendencias, Ministerios o Institutosgubernamentales)
Ninguna
Regulaciones internacionales (SOX,BASILEA II, COSO)
Otra (especifique)
Regulaciones
Estándares y Regulaciones
57%
19%
11%
11%3%
Personal de Seguridad
1 a 5
Ninguna
6 a 10
Más de 15
11 a 15
Áreas de Seguridad
Servicios Financieros y Banca
Consultoría Especializada
Gobierno / Sector público
Educación
Otros (especifique)
Telecomunicaciones
Salud
Sector de Energía e Hidrocarburos
Manufactura
Construcción / Ingeniería
Retail / Consumo masivo
Alimentos
Áreas de Seguridad x Sectores
1 a 5 Ninguna Más de 15 6 a 10 11 a 15
63%
31%
4%2%
Experiencia
Más de dos años de experiencia
De uno a dos años
Menos de un año de experienciaNinguno
19%
29%
15%
1% 3% 3%
48%
2%
9%
21%
2%8%
11%6%
54% 52%
31%
16%10%
0%3% 3%
48%
2%
9%
21%
2%8%
11%
3%
CIS
SP –
Cer
tifi
ed
Info
rmat
ion
…
CIS
M –
Cer
tifi
ed
Info
rmat
ion
…
CIS
A –
Cer
tifi
ed
Info
rmat
ion
…
CIF
I –C
erti
fied
In
form
atio
n …
MC
SE/I
SA-M
CP
(Mic
roso
ft)
NSA
IAM
/IEM
CIA
- C
erti
fied
Inte
rnal
Au
dit
or
SEC
UR
ITY+
Au
dit
or
ISO
27
00
1 (
Líd
er…
CFE
- C
erti
fied
Frau
d E
xam
iner
Nin
gun
a
CEH
(C
erti
fied
Eth
ical
Hac
ker)
GIA
C –
SAN
S In
stit
ute
CSX
–C
ybe
rsec
uri
ty …
CR
ISC
- C
erti
fied
in R
isk
and
…
Otr
a(e
spec
ifiq
ue)
Certificaciones
Certificaciones Poseidas Certificaciones deseadas
16%
15%
10%
35%
23%
Cuenta de CISM – Certified Information Security …
Cuenta de CISSP –Certified Information …
Cuenta de Auditor ISO27001 (Líder y/o Interno)2
Cuenta de CRISC- Certifiedin Risk and Information…
Cuenta de CEH (CertifiedEthical Hacker)2
Cuenta de CSX –Cybersecurity Nexus2
Cuenta de CISA – Certified Information System Auditor
Cuenta de CIFI – Certified Information Forensics …
Cuenta de CIA - CertifiedInternal Auditor2
Cuenta de SECURITY+2
Cuenta de CFE - CertifiedFraud Examiner2
Cuenta de GIAC – SANS Institute2
Cuenta de MCSE/ISA-MCP(Microsoft)
Cuenta de NSA IAM/IEM2
Servicios Financieros yBanca
Consultoría Especializada
Gobierno / Sector público
Otros (especifique)
Telecomunicaciones
Sector de Energía eHidrocarburos
Salud
Retail / Consumo masivo
Manufactura
Educación
Construcción / Ingeniería
Alimentos
Perfil del Profesional de Seguridad
EL CISO
30%
26%
22%
22%
Tipo de CISO
CISO como Implementador (Vela por laimplementación de las tecnologías deprotección y su correcto funcionamiento,está pendiente de los detalles de toda lainfraestructura de seguridad)
CISO como Supervisor ( Vela por la eficaciay eficiencia del programa de seguridad, suvisión del control es la que rige comoprincipio, Vela por los riesgos, y elcumplimiento)
CISO como un Asesor (Integrado al negocio,educa, influencia, teniendo clara lasimplicaciones de todo con los ciber riesgos,relaciona nuevas visiones con riesgosemergentes, vela por el desarrollo decapacidades para manejar y enfrentar riesgos entoda
CISO como un Estratega (Integra operación,riesgos y negocio, entiende la relación denegocio, activo y operación y vela por ella)
37%
31%
29%
28%
11%
3%
Comunicaciones del CISO Información Técnica relacionada con(vulnerabilidades, amenazas, e incidentes)
Información relacionada con los riesgos enSeguridad de la Información y Ciberseguridad parala toma de decisionesInformación relacionada con la gestión de laseguridad para la toma de acciones
Información relacionada con las brechas deseguridad existentes en la organización
No está entregando información
Otras (especifique)
48%
34%
33%
31%
28%
26%
23%
2%
Habilidades gerenciales (liderazgo, comunicación,rendición de cuentas, proyecciones financieras,…
Capacidades técnicas y/o experiencia
Habilidades para entender el negocio
Habilidades para comunicar e interconectar negocios ynecesidades en materia de seguridad de la información
Visión práctica de estrategias livianas, sencillas yefectivas para el aseguramiento de la información
Formación académica y técnica
Capacidades prospectivas y de pronóstico
Otras (especifique)
Oportunidades de Crecimiento del profesional de seguridad
EL CISO
Servicios Financieros yBanca
ConsultoríaEspecializada
Gobierno / Sectorpúblico
Educación
Otros (especifique)
Telecomunicaciones
Sector de Energía eHidrocarburos
Salud
Manufactura
Construcción /Ingeniería
Retail / Consumomasivo
Alimentos
Como se percibe a un CISO
CISO comoImplementador
CISO como Supervisor
CISO como un Asesor
CISO como unEstratega
Auditoría interna
Director/Jefe de Seguridadde la información
Director/Jefe de SeguridadInformática
Se encuentra tercerizadaen otra organización
Vicepresidente/DirectorDepartamento de
Sistemas/Tecnología
Vicepresidente/Gerente deCumplimiento
Vicepresidente/Gerente deFinanzas
Vicepresidente/Gerente deOperaciones
Vicepresidente/Gerente dePlaneación
Vicepresidente/Gerente deRiesgos
Vicepresidente/GerenteEjecutivo
Dependencia vs Entrega de Información
Cuenta de Informaciónrelacionada con lagestión de la seguridadpara la toma de acciones
Cuenta de No estáentregando información
Cuenta de Informaciónrelacionada con lasbrechas de seguridadexistentes en laorganización
Cuenta de Informaciónrelacionada con losriesgos en Seguridad dela Información yCiberseguridad para latoma de decisionesCuenta de InformaciónTécnica relacionada con(vulnerabilidades,amenazas, e incidentes)
Reflexiones✓ Posición del área de seguridad. Independiente vs Dependiente
✓ Los Roles mas usados dependen en gran medida del sector en el que se encuentre. No existe un consenso del rol
en materia de seguridad de la información.
✓ El sector Financiero y el Sector de Hidrocarburos invierte más sus recursos en los servicios de monitoreo, el sector
de la consultoría especializada y Telecomunicaciones invierte en mayor medida en la capacitación de sus
profesionales de seguridad, otros sectores y el sector de la Educación invierten más en las tecnologías de
seguridad, el sector del Gobierno invierte en renovar el licenciamiento de sus tecnologías en materia de seguridad.
✓ Todos los sectores sin excepción muestran presencia de incidentes en sus ambientes organizacionales. La
tendencia de todos los sectores están entre 1 y 3 incidentes, como la media que se manifiesta en las
organizaciones Colombianas.
✓ Posición del área de seguridad. Independiente vs Dependiente
✓ Los Roles mas usados dependen en gran medida del sector en el que se encuentre. No existe un consenso del rol
en materia de seguridad de la información.
✓ El sector Financiero y el Sector de Hidrocarburos invierte más sus recursos en los servicios de monitoreo, el sector
de la consultoría especializada y Telecomunicaciones invierte en mayor medida en la capacitación de sus
profesionales de seguridad, otros sectores y el sector de la Educación invierten más en las tecnologías de
seguridad, el sector del Gobierno invierte en renovar el licenciamiento de sus tecnologías en materia de seguridad.
✓ Todos los sectores sin excepción muestran presencia de incidentes en sus ambientes organizacionales. La
tendencia de todos los sectores están entre 1 y 3 incidentes, como la media que se manifiesta en las
organizaciones Colombianas.
✓ El CISO sigue ganando posición, existe un profesional de seguridad que tiene mucho espacio para seguir
creciendo y dando oportunidad a las organizaciones Colombianas por encontrar posturas de seguridad adecuadas
“Recorrer el camino no es lo mismo que conocer el camino. Ambos requieren poder decidir, en búsqueda del aprendizaje y resultados deseados.” Almanza
• Andrés Ricardo Almanza• Coach Ejecutivo & Chief
Growth Officer at CISOs.CLUB
• Email: [email protected]• Twitter: @cisos_club• Linkedin: cisos_club