La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

III Encuesta Nacional de Seguridad Informática ACIS 2003

Publicada porAsdrubal Verano Modificado hace 10 años

Presentaciones similares

Presentación del tema: "III Encuesta Nacional de Seguridad Informática ACIS 2003"— Transcripción de la presentación:

1 III Encuesta Nacional de Seguridad Informática ACIS 2003
III ENSI III Encuesta Nacional de Seguridad Informática ACIS 2003 Jeimy J. Cano, Ph.D Lista de Seguridad Informática -SEGURINFO- ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

2 ACIS III ENSI Estructura Cuestionario compuesto por 20 preguntas sobre los siguientes temas: Demografía Presupuestos Fallas de seguridad Herramientas y prácticas de seguridad Políticas de seguridad ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

3 Consideraciones Muestrales
ACIS III ENSI Consideraciones Muestrales Considerando una población limitada (alrededor de 600 personas que participan activamente en la lista de seguridad SEGURINFO) se ha estimado un error muestral de 6% (confianza del 94%), lo cual nos permite manejar una muestra adecuada cercana a los 100 participantes. Al contar con 105 participantes en la muestra, los resultados presentados son estadísticamente representativos. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

4 ACIS III ENSI SECTOR Los resultados en esta variable muestran un importante incremento de participantes del sector de los seguros, la banca, el gobierno y las telecomunicaciones para el año Lo cual sugiere un efecto motivador de los sectores mencionados, que poco a poco se han sensibilizando sobre el tema de la seguridad informática. Esta tendencia se verifica en los resultados de la encuesta de Deloitte & Touche, la cual en concordancia con los resultados de incidentes de seguridad realizados por el CERT, sugieren importante cambios y orientaciones de los ataques de seguridad en los sectores mencionados, generalmente asociados con fraudes en transacciones electrónicas y usos inadecuados de los canales de comunicación. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

5 No. Empleados en la compañía
ACIS III ENSI No. Empleados en la compañía Los datos registrados para esta variable muestran una alta participación de la mediana empresa en la encuesta y menor medida aquellas de más de 2500 empleados. Estos datos sugieren que la emergente mediana empresa, toma la seguridad informática como uno de sus temas importantes para avanzar en su desarrollo estratégico y corporativo. Generalmente estas empresas, se orientan a generar altos niveles de servicio y productos diferenciados al cliente, lo cual sugiere importantes elementos de tecnología en el desarrollo de su estrategia de negocio. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

6 No. Personas dedicadas a Seguridad Informática
ACIS III ENSI No. Personas dedicadas a Seguridad Informática De acuerdo con los resultado de la encuesta de Deloitte & Touche, existe una regla de oro en el establecimiento del número de personas que trabajan en seguridad informática (generalmente configurada por la experiencia revisada en paises europeos, en norteamérica y asia) que comenta que por cada 1000 personas debe existir un profesional en seguridad informática. Si tomamos la experiencia en latinoamérica, podríamos establecer que por cada 100 personas debe existir un profesional en seguridad informática. Revisando los resultados de la encuesta, la regla para latinoamérica se manifiesta y es coherente con la variable de número total de personas de la organización. Sin embargo, es importante llamar la atención que esta regla debe revaluarse, pues ahora el área de seguridad no sólo atiende el cliente interno, sino que presta servicios a terceros, los cuales no son contabilizados en los cálculos de la regla. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

7 Dependencia del Área de Seguridad Informática
ACIS III ENSI Dependencia del Área de Seguridad Informática Los resultados de esta sección nos cuestiona sobre un importante incremento de la atención sobre el tema de seguridad informática (mediana empresa), el cual aún no tiene asignado un responsable directo, lo cual hace que los esfuerzos en esta materia muestren baja alineación estratégica en las organizaciones y se concentre en las cuestiones técnicas. De otra parte, es importante anotar un mínimo incremento de respuestas donde se identifica un Director o encargado de la seguridad que sugiere un proceso que se ha venido adelantando en la formalización de la función de seguridad en las empresas, particularmente medianas. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

8 Cargos que Respondieron la encuesta
ACIS III ENSI Cargos que Respondieron la encuesta Es muy satisfactorio y agradecemos a los directivos del área de seguridad informática y profesionales del área de tecnología por su masiva respuesta a esta encuesta, lo cual nos permite observar con importante detalle la realidad de la seguridad en el contexto de las organizaciones y las funciones que actualmente adelantan. La visión de los profesionales del área de tecnología, quienes enfrentan a diario el reto de la seguridad, aporta un componente del escenario que deben ser revisado en el contexto de las estrategias de negocio, no como elemento externo a la estrategia sino como parte del valor agregado de la misma. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

9 Presupuesto Global Incluye Seg. Inf.
ACIS III ENSI Presupuesto Global Incluye Seg. Inf. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

10 Inversión en Seguridad Informática
ACIS Inversión en Seguridad Informática III ENSI Las tendencias expuestas en esta sección muestran que las organizaciones continúan preocupadas por mejorar la protección de las infraestructuras de redes y comunicaciones, apoyado por un leve incremento en la inversión en los temas de almacenamiento de datos de clientes y afinamiento de seguridad de las aplicaciones. Estos dos últimos incrementos son coherentes con lo expuesto por los resultados del Information Security Management, donde estrategias de servicios de seguridad 7x24, pruebas de penetración no se considerarán prioritarios para las organizaciones para el Sin embargo, es importante anotar que existe un importante incremento de ataques a las aplicaciones orientadas al web, lo que sugiere que el aseguramiento de dichas aplicaciones web puede ser un nuevo campo de acción de las actividades del área de seguridad donde el negocio y la tecnología se unen a favor del cliente, para generar confianza, seguridad y servicio. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

11 Presupuesto en Seguridad Informática
ACIS III ENSI Presupuesto en Seguridad Informática En este ítem es preciso aclarar que los datos que se presentan sólo son los del año 2003, dado que en el año inmediatamente anterior los valores que se obtuvieron fueron en pesos colombianos y las conversiones no son equiparables. En este sentido podemos observar que en promedio las organizaciones el país mantienen una inversión en seguridad informática de aproximadamente US$ dólares. Este monto muestra que existen asignaciones presupuestales importantes en las organizaciones (mediana empresa), los que sugiere y confirma un avance significativo del tema en los estrados directivos. Si bien, esta realidad en la mediana empresa se presenta, las altas inversiones en seguridad (mas de US$ ) se concentran en el fortalecimiento de su estructura actual de seguridad y posibilitar nuevas formas incrementar su nivel de seguridad. La encuesta de Deloitte & Touche, revela que las organizaciones planean incorporar nuevas tecnologías de seguridad particularmente orientadas hacia dispositivos biométricos, tarjetas inteligentes e infraestructuras de llaves públicas y privadas (PKI). Dichas tendencias implican importantes recursos financieros, que en la actualidad ya se observan particularmente en el sector bancario colombiano. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

12 Violaciones de Seguridad
ACIS III ENSI Violaciones de Seguridad Los resultados de esta variable muestran una constante tendencia sobre los ataques relacionados con virus. Grimes (2001) verifica esta tendencias anotando que las pérdidas por este tipo de vulnerabilidades ascendien en promedio al año entre US$ 1 y US$ 3 billones para las organizaciones norteamericanas. Los daños asociados generalmente terminan en negación del servicio, pérdida de información, alteración de archivos o compromiso de las redes y servicios, lo que necesariamente provoca un incremento del monitoreo y tráfico no autorizado, fallas que aparecen con incrementos significativos en los resultados de la encuesta. Finalmente, el incremento de la afirmación de no presentar fallas de seguridad, infunde un falso sentimiento de seguridad que tarde o temprano se volverá a la organización impactando el “buen nombre” de la misma. Recuerde que la seguridad es un proceso, en el cuál todos sumamos. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

13 Cómo se entera de las Violaciones de Seg.
ACIS III ENSI Cómo se entera de las Violaciones de Seg. Es interesante ver como las organizaciones están adelantando estrategias proactivas para identificar potenciales fallas o ataques de seguridad a través de las utilización de técnicas de detección de intrusos, tendencia que se verifica en el estudio del Information Security Magazine, donde se establece que los sistemas de detección de intrusos serán una de las tecnologías necesarias y estándares en las organizaciones en el Así mismo, se observa que las relaciones y contactos entre profesionales, continúa siendo un medio útil para advertir situaciones adversas, con las limitaciones que esto sugiere como: la oportunidad del reporte, la certeza del ataque y la confianza sobre la información. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

14 A quien se notifica de una Violación de Seg.
ACIS III ENSI A quien se notifica de una Violación de Seg. Los incidentes de seguridad informática comienzan a causar efectos interesantes en las organizaciones. En primer lugar, advierte el desafío que implica establecer las acciones de reacción y control del mismo y luego, la documentación del mismo para posterior análisis. En este momento los equipos de atención de incidentes (generalmente formados de manera informal) establecen una serie de acciones, que de no hacerse con cuidado es probable puedan vulnerar los derechos y libertades de los individuos, pues generalmente no se conoce el alcance y autoridad de dichos equipos. De igual forma, con gran interés es de observar el incremento del nivel de participación de autoridades nacionales en este tipo de eventos, lo que sugiere una sensibilización del tema en el ámbito del sistema de administración de justicia del país, pese a que actualmente no se encuentre dentro de sus prioridades inmediatas. Finalmente, se detalla una importante disminución de la no denuncia de estos hechos adversos, que muestra un leve avance en la cultura del silencio digital. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

15 Motivos de No denuncia - Violación de Seg.
ACIS III ENSI Motivos de No denuncia - Violación de Seg. Los resultados en este aparte formulan una serie de reflexiones. La sensibilidad de las empresas sobre las vulneraciones de seguridad en su patriomonio económico tanto a nivel de competencia como en el valor de sus acciones son claramente las motivaciones más fuertes de la no denuncia de las fallas de seguridad. En este contexto, se puede sugerir que en la valoración del “buen nombre” de la firma la seguridad es un variable que impacta y marca diferencia entre las organizaciones del sector. Sin embargo, es de anotar que se muestra un leve descenso en sobre el tema de las responsabilidades legales, que nos debe alertar para adelantar acciones para fortalecer la seguridad jurídica de las organizaciones siguiendo estándares e iniciativas internacionales relacionadas con privacidad, debido cuidado, diligencia y repercusiones civiles o penales que de éstos ataques se deriven para la empresa. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

16 Pruebas de Seguridad Realizadas
ACIS III ENSI Pruebas de Seguridad Realizadas Dos resultados antagonistas nos presentan una polarización del tema sobre pruebas de seguridad realizadas por las empresas. Esto podría sugerir dos reflexiones: una, que existen organizaciones que han confrontado su limitación y necesidad de aumentar la capacidad de valoración de sus propias fallas respondiendo ninguna ó que tenemos una fuerte tendencia que muestra una concientización de las organizaciones por tener información de primera mano sobre su seguridad. Cualquiera que ésta sea, cada vez más el mensaje detrás de estos resultados, es sino adelanto las pruebas, otros lo harán y me dejarán un anuncio de que lo hicieron. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

17 Mecanismos de Seguridad Informática
ACIS III ENSI Mecanismos de Seguridad Informática De acuerdo con los resultados del estudio de Deloitte & Touche, las tecnologías que se proyectan para los próximos años en seguridad informática son las PKI, las tarjetas inteligentes y los biométricos (respectivamente). Así mismo, de manera paralela los resultados de la encuesta de productos del Information Security Magazine, reporta que las organizaciones establecen como productos de seguridad de uso estándar en las organizaciones los antivirus, los firewalls y las VPN (Virtual Private Network). Estas dos tendencias se verifican en los resultados de la encuesta, manifestados en los incrementos del uso de los productos antivirus (computadores personales como de perímetro) al igual que las firmas y certificados digitales. De manera semejante el uso de firewalls software se hace notorio frente a una leve disminución de los productos de detección de intrusos. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

18 Cómo se entera de fallas de Seguridad?
ACIS III ENSI Cómo se entera de fallas de Seguridad? Los resultados sugieren un leve avance en el hábito de leer y analizar la información registrada en las listas de seguridad informática como parte de estrategia proactiva de mantener un adecuado nivel de seguridad informática. Sin embargo, aún se debe fortalecer esta iniciativa, que si bien es generalmente asistida por los anuncios de los proveedores, la oportunidad de los mismos margina a la organización de acciones proactivas que mantenga una ventana de exposición lo suficientemente reducida para disminuir la posibilidad de un evento no deseado. Recuerde que no podemos predecir cuándo se llevará a cabo el ataque, pero si podemos preparar nuestra respuesta. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

19 Políticas de Seguridad Informática
ACIS III ENSI Políticas de Seguridad Informática Los resultados en esta variable continúan sin variación importante. Si sumamos el porcentaje que se encuentra en desarrollo y los que afirmaron no tener políticas definidas para el año 2003, el porcentaje alcanza el 76,5%. Esto nos sugiere que la seguridad si bien esta penetrando con fuerza las organizaciones (mediana industria), el proceso su formalización y administración aún está por desarrollarse. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

20 Obstáculos para contar con una adecuada Seguridad Informática
ACIS III ENSI Obstáculos para contar con una adecuada Seguridad Informática Los comentarios en esta sección se podrían compendiar en algunas recomendaciones concretas para los directores de área de seguridad, coherentes con las directrices planteadas por el estudio de seguridad informática de PriceWaterHouseCoopers en UK: Es necesario identificar el perfil del profesional de seguridad informática requerido para la organización. En este sentido, revisar los alcances y cuerpos de conocimiento de las certificaciones en seguridad informática pueden ser una fuente útil para iniciar este análisis. Desarrollar con urgencia una cultura de seguridad informática, donde se ilustre a la organización de los riesgos a los cuales esta sometida y cómo la colaboración de cada uno de ellos se vuelve factor clave para disminuir tales riesgos. Establecer un sistema de métrica del estado de la seguridad informática que defina el retorno de la inversión en este tema, orientado al ahorro (de recursos) de la organización al limitar la ocurrencia de fallas e incidentes de seguridad, en términos monetarios e impacto en las políticas de racionalidad del gasto. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

21 Se reconoce la información como activo a proteger?
ACIS III ENSI Se reconoce la información como activo a proteger? ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

22 Contactos para Seguimiento de Intrusos
ACIS III ENSI Contactos para Seguimiento de Intrusos Los datos registrados en esta variables nos advierten y confirman lo revisado en los resultados de al encuesta anterior, relacionado con la necesidad de crear le CENRIS – Centro de Reporte de Incidentes de Seguridad Informática. Una entidad concebida con participación mixta: gobierno e industria, con el fin de configurar un canal oficial y expedito para adelantar acciones coherente y esfuerzos coordinados, que le envíen un mensaje claro a los “potenciales” intrusos, de que la sociedad los conoce y está decida a confrontarlos. Es preocupante el incremento que se manifiesta sobre el desconocimiento de los contactos o entes autorizados para soportar investigaciones de intrusiones a nivel nacional e internacional. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

23 Conclusiones Generales
ACIS III ENSI Conclusiones Generales La mediana empresa en Colombia continúa vinculando el tema de seguridad a sus procesos de negocio, generalmente motivado por la necesidad de servicios de valor agregado soportados en tecnología informática Las áreas de seguridad informática deben repensar las reglas de oro planteadas con relación al número de profesionales con que deben contar dicha área, pues no solamente esta destinada a atender su cliente interno sino un número cambiante y dispar de usuarios externos. Es una necesidad notable el desarrollar el concepto de gestión de la seguridad informática con el fin de identificar las variables y recursos invertidos que sugieran la definición del retorno de la inversión, así como el reporte el estado de la seguridad informática organizacional. En los próximos años tecnologías como los antivirus, los sistemas de detección de intrusos, los firewalls y los biométricos serán requerimientos mínimos exigibles en una arquitectura de seguridad informática en Colombia. Se requiere establecer un canal oficial de reporte, analisis y orientación de las tendencias de la seguridad informática, así como para atender y canalizar investigaciones sobre intrusos en los sistemas informáticos en Colombia, que genere un espacio coherente y formal para fortalecer la cultura de seguridad informática en el país. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

24 Conclusiones Generales
ACIS III ENSI Conclusiones Generales La academia y la industria deben vincularse para adelantar programas de formación de profesionales de seguridad informática con bases teóricas sólidas, apalancados con un extenso conocimiento aplicado en las tecnologías de seguridad informática requeridas. Finalmente y no menos importante, es preciso avanzar en el desarrollo de una cultura de seguridad organizacional, que sustentado en una gestión de seguridad informática formal, forme los individuos en los conceptos y prácticas requeridas para hacer éstos la primera línea de defensa en el modelo de seguridad informática de la organización. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

25 ACIS III ENSI Referencias PRICEWATERHOUSECOOPERS y DEPARTMENT OF TRADE AND INDUSTRY – UK (2002) Information Security Breaches Survey DELOITTE & TOUCHE (2003) 2003 Global Security Survey. BRINEY, A. y PRINCE, F. (2003) Buying Spree Product Survey. Information Security Magazine. Mayo. GRIMES, R. (2001) Malicious Mobile Code. Virus protection for windows. O’Really. CANO, J. (2002) Estado de la Seguridad Informática en Colombia. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas – ACIS. No.82. Julio- Septiembre. ACIS - JCM-03 All rights reserved. JCM-03 All rights reserved

Descargar ppt "III Encuesta Nacional de Seguridad Informática ACIS 2003"

Presentaciones similares

Estudio sobre la aplicación del comercio electrónico B2B en las PYMES españolas 2003 Resumen.

Estudio sobre la aplicación del comercio electrónico B2B en las PYMES españolas 2003 Resumen.
Estudio de seguridad TI en Escuelas de Primaria

Estudio de seguridad TI en Escuelas de Primaria
ESTADISTICA A ESTADISTICA A UNMSM - FQIQ

ESTADISTICA A ESTADISTICA A UNMSM - FQIQ
DIAGNÓSTICO ¿Cuál es el propósito de realizar un diagnóstico?

DIAGNÓSTICO ¿Cuál es el propósito de realizar un diagnóstico?
SATISFACCIÓN DE CLIENTES Comparativa Convocatorias 2011 y anteriores.

SATISFACCIÓN DE CLIENTES Comparativa Convocatorias 2011 y anteriores.
MOVIMIENTO JOVENES DE LA CALLE CIUDAD DE GUATEMALA la storia la historia lhistoire the history strada calle rue street.

MOVIMIENTO JOVENES DE LA CALLE CIUDAD DE GUATEMALA la storia la historia lhistoire the history strada calle rue street.
Paso 1 Portada YO SOY EUROPEO Comisión Europea.

Paso 1 Portada YO SOY EUROPEO Comisión Europea.
Plataformas y revistas científicas de acceso abierto en Chile

Plataformas y revistas científicas de acceso abierto en Chile
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
“Planificación de Aplicaciones Web”

“Planificación de Aplicaciones Web”
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN EL COMERCIO GALLEGO (Resumen COMERCIO AL DETALLE) Noviembre de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN EL COMERCIO GALLEGO (Resumen COMERCIO AL DETALLE) Noviembre de 2004.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO 2005. Resumen. 24 de Junio de 2005.

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO Resumen. 24 de Junio de 2005.
1Proyecto xy. 2 Antecedentes COSUDE se entiende como organización que continuamente aprende. Según el Programa Anual de la AH de COSUDE para el 2008,

1Proyecto xy. 2 Antecedentes COSUDE se entiende como organización que continuamente aprende. Según el Programa Anual de la AH de COSUDE para el 2008,
03- PREINSCRIPCIÓN v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

03- PREINSCRIPCIÓN v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.

CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Cuestiones y problemas

Cuestiones y problemas
Principio #4 – Comportamiento Ético del personal Esta presentación es hecha posible por The Smart Campaign www.smartcampaign.org/portada Principio #4-

Principio #4 – Comportamiento Ético del personal Esta presentación es hecha posible por The Smart Campaign Principio #4-
Principio #5 – Mechanismos para Recibir y Resolver Quejas Esta presentación es hecha posible por The Smart Campaign www.smartcampaign.org Principle.

Principio #5 – Mechanismos para Recibir y Resolver Quejas Esta presentación es hecha posible por The Smart Campaign Principle.
TALLER DE COMPETENCIAS VITRO

TALLER DE COMPETENCIAS VITRO

Presentaciones similares

Anuncios Google