Conferencistas:Jeimy J. Cano, [email protected]
Lista de Seguridad Informática-SEGURINFO-
Andrés R. Almanza, Ms(c)[email protected]
VII Encuesta Nacional de Seguridad Informática
2
AgendaAgenda
✔ Presentación de Resultados
✔ Componentes de la Encuesta
✔ Datos
✔ Conclusiones
3
Estructura de la EncuestaEstructura de la Encuesta
✔ Cuestionario compuesto por 20 preguntas sobre los
siguientes temas:
✔ Demografía
✔ Presupuestos
✔ Fallas de seguridad
✔ Herramientas y prácticas de seguridad
✔ Políticas de seguridad
4
Consideraciones MuestralesConsideraciones Muestrales
✔ El número de participantes este año es de 223 personas (en comparación con las 182 del 2005).
✔ Mayor población población de los diferentes sectores productivos sobre el tema de seguridad informática en el país.
✔ Considerando una población limitada (alrededor de 1400 personas que participan activamente en la lista de seguridad SEGURINFO) se ha estimado un error muestral de 7% (confianza del 93%), lo cual nos permite manejar una muestra adecuada cercana a los 178 participantes. Al contar con 223 participantes en la muestra, los resultados presentados son estadísticamente representativos
5
Paises ParticipantesPaises ParticipantesPaises Participantes
85%
0%
0%
0%
0%
0%
0% 3%
1%
11%
Colombia México Venezuela Bolivia
Chile Costa Rica Ecuador España
US No Contestaron
6
Ciudades de ColombiaCiudades de Colombia
57%
3%
1%
1%
1%
7%
0%0%
0%
0%
0%0%
0%
1%
0%
12%
3%
5%6%
Bogota DC Medellín Cali Bucaram anga BarranquillaCartagena Manizales Montería Popayán Valledupar - CesarARMENIA Córdoba Envigado Fusagasuga IbaguéTunja Villavicencio Yopal No Contes taron
7
Sectores ParticipantesSectores Participantes
16,1%
7,3%
17,6%
0,0%
35,8%
2,6%4,7%
0,0%
0,0% 0,0%0,0%
0,0%
0,0%
0,0%16,1%
[ ] Banca [ ] Ingeniería [ ] Industria Informática [ ] Educación [ ] Servicios Públicos/Energía [ ] Gobierno [ ] Seguros [ ] Petróleo
[ ] Transporte [ ] Telecomunicaciones [ ] Farmacéutico [ ] Sin ánimo de lucro [ ] Otro, especifique: [ ]Salud [ ]Manofactura
8
Número de Empleados en la compañíaNúmero de Empleados en la compañía
27%
13%
8%
7% 11%
9%
25%
1 a 50 51 a 100 101 a 200 201 a 300 301 a 500 501 a 1000 más de 1000
9
0
20
40
60
80
100
120
140
2004 2005 2007
2004 59 128 24 2 7
2005 45 100 8 8 10
2007 55 106 21 1 10
Ninguna 1 a 5 6 a 10 11 a 15 más de 15
Personal de Seguridad de la Personal de Seguridad de la InformaciónInformación
10
0
20
40
60
80
100
120
140[ ]
Pro
tecc
ión
de la
red
[ ] P
rote
ger l
os d
atos
críti
cos
de la
org
aniz
ació
n
[ ] P
rote
ger l
a pr
opie
dad
inte
lect
ual
[ ] P
rote
ger e
lal
mac
enam
ient
o de
dat
osde
clie
ntes
[ ]C
onci
entiz
ació
n/fo
rmac
ión
del u
suar
io fi
nal
[ ] C
omer
cio/
nego
cios
elec
tróni
cos
[ ] D
esar
rollo
y a
finam
ient
ode
seg
urid
ad d
e la
sap
licac
ione
s
[ ] A
seso
res
de s
egur
idad
info
rmát
ica
[ ] C
ontra
taci
ón d
epe
rson
al m
ás c
alific
ado
[ ] E
valu
acio
nes
dese
gurid
ad in
tern
as y
exte
rnas
[ ] M
onito
reo
de S
egur
idad
Info
rmát
ica
7x24
[ ] O
tro, e
spec
ifique
:
AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2006 AÑO 2007
Invesión en Seguridad Invesión en Seguridad InformáticaInformática
11
Inclusión de Tópicos en presupuestos en Inclusión de Tópicos en presupuestos en Seguridad por Tamaño de EmpresasSeguridad por Tamaño de Empresas
18,2%
12,4%
6,6%
7,4%
15,7%
12,4%
27,3%
1 a 50 51 a 100 101 a 200 201 a 300 301 a 500 501 a 1000 Más de 1000
12
Pro
tecció
n de l
a red
Pro
teger
los d
atos c
rítico
s de l
a orga
nizació
n
Pro
teger
la pr
opied
ad in
telec
tual
Pro
teger
el alm
acena
miento de
dato
s de
clien
tes
Con
cient
izació
n/for
mación
del u
suar
io fin
al
Com
ercio
/nego
cios e
lectró
nicos
Des
arroll
o y af
inamiento
de se
gurid
ad de
las a
pli...
Ase
sores
de se
gurid
ad info
rmátic
a
Con
tratac
ión de
perso
nal más c
alific
ado
Eva
luacion
es de
segu
ridad
inter
nas y
exter
nas
Mon
itore
o de S
egur
idad i
nform
ática
7 x 2
4
Otro
s
0
5
10
15
20
25
30
35
40
45
50
Servicios FinancierosConstrucción / IngenieríaEducaciónGobierno / Sector públicoSaludManofacturaOtra (Por favor especifique)
Centro de Gastos en Seguridad por sector Centro de Gastos en Seguridad por sector
13
0
5
10
15
20
25
30
35
40
45
ServiciosFinancieros
Construcción /Ingeniería
Educación Gobierno /Sector público
Salud Manofactura Otros
2006 Menos de USD$50.000
2007 Menos de USD$50.000
2006 Entre USD$50.001 y USD$70.000
2007 Entre USD$50.001 y USD$70.000
2006 Entre USD$70.001 y USD$90.000
2007 Entre USD$70.001 y USD$90.000
2006 Entre USD$90.001 y USD$110.000
2007 Entre USD$90.001 y USD$110.000
2006 Entre USD$110.001 y USD$130.000
2007 Entre USD$110.001 y USD$130.000
2006 Más de USD$130.000
2007 Más de USD$130.000
Presupuestos/Proyección en Seguridad Presupuestos/Proyección en Seguridad Informática por SectorInformática por Sector
14
Servicio
s Financ
ieros
Constru
cción /
Ingenie
ría
Educació
n
Gob
ierno / S
ector
público
Salud
Manofa
ctura
Otra
0
5
10
15
20
25
30
35
40
Muy conscientes
Algunas personas son conscientes
Nadie es consciente
Conciencia en Seguridad InformáticaConciencia en Seguridad Informática
15
Servicios Financieros
Cons trucción / Ingeniería
Educación
Gobierno / Sector público
Salud
Manofactura
Otros
13
4
11
8
01
14
5
2 6
4
01
8
9
24 7
01
9
2
1 56
01
6
4
3
24
1
02
2
2 5
5
01
6
4
1 4
4
01 5
4
1 45
01
2
CFE CIFI CIA MCSE/ISA-MCP (Microsoft) Unix/Linux LP1 CISM CISA CISSP
Importancia de las Certificaciones por Importancia de las Certificaciones por SectorSector
16
0
20
40
60
80
100
120
140
[ ] Ning
uno
[ ] Manip
ulació
n de a
plicac
iones d
e soft
ware
[ ] Acce
sos no
autor
izados
al web
[ ] Frau
de
[ ] Viru
s
[ ] Rob
o de da
tos
[ ] Cab
allos de t
roya
[ ] Monito
reo no
autor
izado
del tr
áfico
[ ] Neg
ación d
el ser
vicio
[ ] Pérd
ida de
integ
ridad
[ ] Pérd
ida de
inform
ación
[ ] Phis
hing
[ ] Pha
rming
[ ] Otro
s, esp
ecifiq
ue:
AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2007
Violaciones de Seguridad Más ComunesViolaciones de Seguridad Más Comunes
17
Ninguno
Manipulación de aplicaciones de software
Accesos no autorizados al web
Fraude
Virus
Robo de datos
Caballos de troya
Monitoreo no autorizado del tráfico
Negación del servicio
Pérdida de integridad
Pérdida de información
Phishing
Pharming
Otra
1
1115
3
26
4
13
29
9
17
5
13
01
1
02
02
12
00
01
0
1 5 8
2
19
2 6
1 5
2 7
13
00
1
02
00
00
00
00
0
2 55 8
7
4
2
0 3
1 6
3
01
1 4 8
2
11
2 6
44
4
33
00
12
2
4
4
01
00
2
1
0
Construcción / Ingeniería
Gobierno / Sector público
Servicios Financieros
Manofactura
Educación
Salud
Otra (Por favor especifique)
Violaciones de Seguridad Más Comunes por Violaciones de Seguridad Más Comunes por SectoresSectores
18
Servicios Financieros
Construcción / Ingeniería
Educación
Gobierno / Sector público
Salud
Manofactura
Otra
11
7 12
8
11
28
9
2 5 8
2 5
17
6
1 55
11 6
2
0 6
4
01
110
5
10
15
20
25
30
Entre 4-7
Más de 7
Ninguna
Entre 1-3
Intrusiones o Incidentes Identificados Intrusiones o Incidentes Identificados el año anteriorel año anterior
19
Como se entera de las violaciones de Como se entera de las violaciones de seguridadseguridad
0
10
20
30
40
50
60
70
80
90
[ ] M
ater
ial o
dato
s alte
rados
[ ] A
nális
is de
regis
tros
de a
udito
ría/s
i...
[ ] S
istem
a de
dete
cción
de
intru
sos
[ ] A
lerta
do p
or u
n clien
te/p
rove
edor
[ ] A
lerta
do p
or u
n coleg
a
[ ] S
emina
rios o
con
fere
ncias
Nac
ional.
.
[ ] O
tro, e
spec
ifique:
AÑO 2002
AÑO 2003
AÑO 2004
AÑO 2005
AÑO 2007
20
Servicios Financieros
Construcción / Ingeniería
Educación
Gobierno / Sector público
Salud
Manofactura
Otra
10
5 9
9
1
1
265
34
6
01
14
2
01
2
1
02
1
13
2
1
0
0
3
06
3
2
1
12
5
18
6
2
0
9
3
1 6
5
1
0
10
Material o datos alterados
Alertado por un cliente/proveedor
Alertado por un colega
Seminarios o conferenciasNacionales e internacionales
Otra (Por favor especifique)7
Sistema de detección de intrusos
Análisis de registros deauditoría/sistema dearchivos/registros Firew all
Como se entera de intrusionesComo se entera de intrusiones
21
Notificación de las violaciones de Notificación de las violaciones de seguridadseguridad
0
10
20
30
40
50
60
70
80
90
100
[ ]Asesor legal [ ] Autoridadeslocales/regionales
[ ] Autoridadesnacionales
[ ] Equipo deatención deincidentes
[ ] Ninguno: No sedenuncian
AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2007
22
Notificación de IncidenciasNotificación de Incidencias
Servicios Financieros
Construcción / Ingeniería
Educación
Gobierno / Sector público
Salud
Manofactura
Otra
6
4
13
10
2
0
19
01
13
0
0
0
2
13 6
0
01
2
02
2
00
5
11
3 6
2
12
20
Equipo de atención de incidentes
Asesor legal
Autoridades locales/regionales
Autoridades nacionales
Ninguno: No se denuncian
23
Motivos de No denunciar las violaciones Motivos de No denunciar las violaciones de seguridadde seguridad
0
10
20
30
40
50
60
70
[ ] Pérdida devalor de
accionistas
[ ] Publicación denoticias
desfavorables
[ ]Responsabilidad
legal
[ ] Motivacionespersonales
[ ] Vulnerabilidadante la
competencia
[ ] Otro,especifique:
AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2007
24
Pérdida de valor de accionistas
Publicación de noticias desfavorables en losmedios/pérdida de imagen
Responsabilidad legal
Motivaciones personales
Vulnerabilidad ante la competencia
Otro (Por favor especifique)
4
12
11
1115
10
3 6
27
57
0
0
0
1
1
0
02
1
0
1
1
16
5
0 35
1
1
1
1
0 4
38
5
5
3
3
Servicios FinancierosConstrucción / IngenieríaGobierno / Sector públicoSaludManofacturaEducaciónOtra (Por favor especifique)
Motivos de No denunciar las violaciones Motivos de No denunciar las violaciones de seguridadde seguridad
25
Pruebas de Seguridad RealizadasPruebas de Seguridad Realizadas
31
18
2929 28
15
30
47 4648
4345
37
46
32
27
1920
15
54
[ ] Una al año [ ] Entre 2 y 4 al año [ ] Más de 4 al año [ ] Ninguna
AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2007
26
Servicios Financieros
Construcción / Ingeniería
Educación
Gobierno / Sector público
Salud
Manofactura
Otra
18
32 7
13
56
7
00 3
11 3
12
11 4
4
28
17
3
1
10
5
19
Una al año Entre 2 y 4 al año Más de 4 al año Ninguna
Utilización de las pruebas de seguridad Utilización de las pruebas de seguridad por sectorpor sector
27
Top (10) Herramientas de SeguridadTop (10) Herramientas de Seguridad
Ant
iviru
s
Con
trase
ñas
Fire
wal
ls S
oftw
are
Fire
wal
ls H
ardw
are
Pro
xies
VPN
/IPSe
c
Enc
ripci
ón d
e da
tos
Filtr
o de
paq
uete
s
Firm
as d
igita
les/
certi
ficad
osdi
gita
les
IDS
IPS
Mon
itore
o 7x
24
Bio
mét
ricos
Sm
art C
ards
Otro
AD
S
127 125
97
8173
6558
51 49 44 41 3727 22
7 5
28
Herramientas de seguridad por sectoresHerramientas de seguridad por sectores
Antivirus
Contraseñas
Firew alls Softw are
Firew alls Hardw are
Proxies
VPN/IPSec
Encripción de datos
49
47
38
28
2628
29
2223
15
1518
88
19
19
15
13
12
55
20
19
1317
1117
10
78
7
4
3
34
4
3
3
12
2
1
66
6
3
12
1
Manofactura
Salud
Construcción / Ingeniería
Servicios Financieros
Educación
Gobierno / Sector público
Otra
29
Investigación de la fallas de SeguridadInvestigación de la fallas de Seguridad
0
20
40
60
80
100
120
[ ] Notificaciones deproveedores
[ ] Notif icaciones decolegas
[ ] Lectura de artículos enrevistas especializadas
[ ] Lectura y análisis delistas de seguridad
(BUGTRAQ, SEGURINFO,NTBUGTRAQ, etc)
[ ] No se tiene este hábito.
AÑO 2002 AÑO 2003 AÑO 2004 AÑO 2005 AÑO 2007
30
Notificaciones de proveedores Notificaciones de colegas Lectura de artículos en revistas especializadas Lectura y análisis de listas de seguridad ...
No se tiene este hábito.
22
20
29
28
14
14
14
14
12
4
10
7 12
8
8
79 12
10
5
1 4 7
2
0
2
2
2
2
1
23
5
5
1
Construcción / Ingeniería
Salud
Manofactura
Educación
Gobierno / Sector público
Servicios Financieros
Otra
Investigacion sectorizada de las fallas Investigacion sectorizada de las fallas de seguridadde seguridad
31
Políticas de Seguridad InformáticaPolíticas de Seguridad Informática
2628
45
32
41
50 50
73
63 64
2824
38
4742
[ ] No se tienen políticas deseguridad definidas
[ ] Actualmente seencuentran en desarrollo
[ ] Política formal, escritadocumentada e informada
a todo el personal
2002 2003 2004 2005 2007
32
Sectorización Políticas de Seguridad Sectorización Políticas de Seguridad InformáticaInformática
Servicios Financieros
Construcción / Ingeniería
Educación
Gobierno / Sector público
Salud
Manofactura
Otra
22
33
1115
46
16
2 7
2
2
13
16
2
16
6
3 7
No se tienen políticas deseguridad definidas
Política formal, escritadocumentada e informadaa todo el personal
Actualmente seencuentran en desarrollo
33
Obstaculos para una adecuada seguridad Obstaculos para una adecuada seguridad informáticainformática
39
2826
23
53
24
36
25
48
28
17
1310
39
26
19
2831
50
25
1715
19
42
11
18
1213
24
1917
23
20
44
13
[ ] In
exis
tenc
ia d
epo
lític
a de
seg
urid
ad
[ ] F
alta
de
tiem
po
[ ] F
alta
de
form
ació
nté
cnic
a
[ ] F
alta
de
apoy
odi
rect
ivo
[ ] F
alta
de
cola
bora
ción
ent
reár
eas/
depa
rtam
ento
s
[ ] C
ompl
ejid
adte
cnol
ógic
a
[ ] P
oco
ente
ndim
ient
ode
la s
egur
idad
info
rmát
ica
[ ] O
tro, e
spec
ifique
:
2003 20022004 20052007
34
Sectorización de los obstáculosSectorización de los obstáculos
Inexistencia de política de seguridad
Falta de tiempo
Falta de formación técnica
Falta de apoyo directivo
Falta de colaboración entre áreas/departamentos
Complejidad tecnológica
Poco entendimiento de la seguridad informática
Cuenta de Otros (Por favor especif ique)
1821
1212
11
7
15
5
10
79 12
11
8
6
3
8
6 811
8
2
12
1
10
56
7
5
4 6
2
1
0
0 22
12
2
22
2
12
0
00
4 7
2 5
3
23
Construcción / Ingeniería
Salud
Manofactura
Servicios Financieros
Educación
Gobierno / Sector público
Otra
35
Contactos para seguir intrusosContactos para seguir intrusos
14
75
1512
68
23
11
99
39
86
42
12
91
44
12
0
20
40
60
80
100
120
[ ] No [ ] No sabe [ ] Si, especifique cuáles:
2002 2003 2004 2005 2007
36
Servicios Financieros
Construcción / Ingeniería
Educación
Gobierno / Sector público
Salud
Manofactura
Otra
14
5
16
14
3 5
34
7
4 77
12
16
5
3
4
Si,
No sabe
No
Contactos para seguir intrusosContactos para seguir intrusos
37
ConclusionesConclusiones
➔Las regulaciones nacionales e internacionales llevarán a las
organizaciones en Colombia fortalecer los sistemas de gestión de la
seguridad de la información, no solamente para cumplir con lo
establecido en la norma ISO 27001, sino en el diseño de sistemas más
resistentes y confiables para los usuarios.
➔El mercado de los profesionales de seguridad de la información
demanda una formación que conjugue la práctica y experiencia
verificable.
➔La formación académica (en programas de educación formal como
especializaciones o maestrías) y la posesión de certificaciones generales
como factores claves y atractivos para los empleadores.
38
ConclusionesConclusiones
➔La inversión en seguridad de la información se encuentra concentrada
en el perímetro de las organizaciones: redes y sistemas de
comunicaciones, mientras los aspectos relacionados con la clasificación
de la información y los dispositivos de almacenamiento móviles aún no
son prioridad dentro de las organizaciones.
➔Mientras que las VPN, los proxies y firewalls son elementos
fundamentales de los mecanismos de seguridad en las organizaciones
colombianas, las herramientas forenses aún no encuentran su lugar y ni
su justificación para incorporarse al discurso de la seguridad informática
en Colombia.
39
ConclusionesConclusiones➔Si bien están tomando fuerza las unidades especializadas en delito
informático en Colombia, es necesario desarrollar esfuerzos conjuntos
entre la academia, el gobierno, las organizaciones y la industria, para
mostrarles a los intrusos que estamos preparados para enfrentarlos.
➔La inexistencia de políticas de seguridad y la falta de tiempo, no
pueden ser excusas para no avanzar en el desarrollo de un sistema de
gestión de seguridad. La inversión en seguridad es costosa, pero la
materialización de la inseguridad puede serlo mucho más. Ud. Decide!
➔Es hora de empezar a medir cuánto nos cuestan los incidentes de
seguridad de la información para avanzar en la construcción del
indicador de retorno de la inversión, como una manera de saber qué
debemos fortalecer, qué debemos desaprender y a qué nos podemos
comprometer en el combate de la inseguridad de la información.
40
ReferenciasReferencias➔AUSCERT (2006) 2006 Australian Computer Crime and Security
Survey. Disponible en: . (Consultado: 6/05/2007)
➔COMPUTER SECURITY INSTITUTE (2006) CSI/FBI Computer Crime
and Security Survey. Disponible en: . (Consultado: 6/05/2007)
➔PRICEWATERHOUSECOOPERS – UK- DTI (2006) Information
Security Breaches Survey 2006. Disponible en: . (Consultado: 6/05/2007)
➔IBM XFORCE (2006) X-Force 2006 Trend Statistics. Disponible en: .
(Consultado: 6/05/2007)
➔ACIS (2007) Seguridad Informática en Colombia Tendencias 2007.
Jeimy J. Cano, Ph.D, CFE