VII Encuesta Latinoamericana de Seguridad de la Información

Junio/2015

VII Encuesta Latinoamericana de Seguridad de la Información Nuevos retos, nuevas realidades

Jeimy J. Cano M., Ph.D, CFE Gabriela Saucedo Mesa, MDOH @itinsecure

JCM*GSM-15 All rights reserved

1

Agenda • • • • •

Introducción Documentos referentes revisados Análisis consolidados Tendencias identificadas Conclusiones

JCM*GSM-15 All rights reserved

ACIS 2015

2

1

VII Encuesta Latinoamericana de Seguridad de la Información

Junio/2015

Documentos referentes revisados

JCM*GSM-15 All rights reserved

3

Demografía Fuerzas Armadas 0%

Manufactura 3%

270 encuestas

Consultoría Especializada 16%

Gobierno / Sector público 18%

Servicios Financieros y Banca 22%

Telecomunicacio nes 12%

Educación 14%

JCM*GSM-15 All rights reserved

ACIS 2015

Alimentos 1%

Salud 5%

Construcción / Ingeniería 3%

Sector de Energía e Hidrocarburos 6% 4

2

VII Encuesta Latinoamericana de Seguridad de la Información

Junio/2015

Demografía 1-50 empleados 51-200 empleados 201-500 empleados 501-1000 empleados 1001-5000 empleados Mayor de 5001 empleados

18,6% 15,2% 11,8% 13,7% 25,1% 15,6%

DEPENDENCIA DE LA RESPONSABILIDAD DE LA SEGURIDAD INFORMÁTICA EN LA ORGANIZACIÓN Auditoría interna Director de Seguridad Informática Director Departamento de Sistemas/Tecnología Gerente Ejecutivo Gerente de Finanzas Gerente de Operaciones No se tiene especificado formalmente Tercerizado -

Profesional de Departamento de Sistemas/Tecnología

23.8% 2009

2010

2012

2013

2014

2015

5,10% 21,90%

2,43% 26,13%

5,00% 28,00%

2,20% 23,61%

4,58% 25,83%

1,85% 26,94%

1.5% 34.7%

36,80%

41,03%

38,00%

36,67%

33,75%

35,42%

13.7%

1,40% 4,00% 2,20% 20,90% -

2,43%

3,00%

3,61% 0,28% 3,89% 14,72%

2,50% 0,42% 0,83% 17,50% 0,83% 13,75%

2,21%

3.4% 0.4% 3.4% 14.9% 0.8% 14.9%

3,00% 13,37% 14,31%

Otros cargos

2011

3,00% 15,00% 1,00% 7,00%

15,00%

3,69% 15,87% 1,11% 12,92%

JCM*GSM-15 All rights reserved

5

Tareas realizadas Aseguramiento de procesos de la organización

42,5%

Velar por la protección de la información empresarial

72,4%

Velar por la protección de la información personal Seguimiento de prácticas en materia de seguridad de la información Seguimiento de prácticas en materia de protección de la privacidad de la información personal Creación de programas de gobierno y gestión en materia de seguridad de la información Interacción con las diferentes áreas de negocio Creación de programas de entrenamiento en materia de seguridad de la información Definición de controles de TI en materia de seguridad de la información Implementación de controles de TI en materia de seguridad de la información Dirigir y supervisar los programas de riesgos de seguridad de la información de la org. Gestionar el programa de gestión de incidentes de seguridad de la información Evaluar la eficiencia y efectividad del modelo de seguridad de la información Establecer e implementar un modelo de políticas en materia de seguridad de la información Supervisar procesos de cumplimiento regulatorio en tecnología de información Establecer y revisar la arquitectura de seguridad de la información Supervisar y gestionar los procesos de investigaciones forenses digitales JCM*GSM-15 All rights reserved Definir, implementar y asegurar la estrategia de ciber seguridad de la empresa

38,7% 64,4%

ACIS 2015

2014 45%

41,0% 39,5% 54,4% 44,4% 66,3% 52,5% 43,3% 48,3% 42,5% 53,3% 41,8% 42,5% 31,4% 41,4%

Ingeniero de Seguridad 53%

CISO 45.3% Auditor de SI 30.1%

6

3

VII Encuesta Latinoamericana de Seguridad de la Información

Junio/2015

Presupuesto La alta dirección poco se involucra en el tema de seguridad de información y no lo tiene en su agenda estratégica. 22%

2014 - $20,000 USD 24.3%

2015 - $20,000 USD 24.2%

La alta dirección solo delega y espera informes de avance 24%

La alta dirección entiende participa y toma decisiones relacionadas con la seguridad de la información 29%

La alta dirección entiende y atiende recomendaciones en materia de seguridad de la información 25%

JCM*GSM-15 All rights reserved

7

Implicaciones de los incidentes de InfoSec Ataques más prevalentes efectuados

Tomado de: NYSE (2015) Cybersecurity in the boardroom. Veracode. JCM*GSM-15 All rights reserved

ACIS 2015

Tomado de: Ponemon- Raytheon (2015) 2015 Global Megatrends in Cybersecurity.

8

4

VII Encuesta Latinoamericana de Seguridad de la Información

Junio/2015

Incidentes Directivos: 57.1% Equipo at´n. inc.: 35.9% Autoridades: 13.9%

70,0%

Empleados: Análisis registros: Monitoreo: Terceros:

59,6%

60,0%

15.6% (2015) VS 13.28% (2014)

44,6%

50,0% 40,0%

32,4%

29,1%

30,0% 20,0%

57.1% 46.2% 37.6% 20.0%

19,7%

16,4%

10,3%

10,0%

9,9%

8,0%

12,7%

15,5%

12,7%

16,9%

11,7% 0,9%

0,0% Instalaci Manipul Accesos ón de Virus/C ación de no Fraude software aballos Robo de aplicaci autoriza electróni no de datos ones de dos al co autoriza Troya software web do

Series1 16,4%

59,6%

29,1%

10,3%

44,6%

9,9%

1,4%

22,5% 7,0%

6,6%

7,0%

Ataque Robo de Incident Ciberde element es Ataques Pérdida aplicaci os relacion ( APT o Monitor Negació Pérdida/ de Suplant Accione ones críticos ados ataques eo no n del Fuga de integrid ación de s de Phishin Pharmin Espiona Web ( de con la dirigidos autoriza servicio informa Ninguno ad de la identida ingenierí g g je XSS, hardwar privacid , do del (DOS/D ción informa d a social SQL e ad de denega tráfico DOS) crítica ción Injection (notebo los ción de , oks, datos servicio Directo… discos,… person… s… 8,0% 19,7% 12,7% 15,5% 12,7% 11,7% 32,4% 0,9% 1,4% 16,9% 22,5% 7,0% 6,6% 7,0%

JCM*GSM-15 All rights reserved

9

Evidencia digital

MECANISMOS DE PROTECCIÓN Sistemas de detección y/o prevención de intrusos IDS/IPS tradicionales Firewalls de nueva generación Biométricos (huella digital, iris, etc.) Proxies/Proxies inversos Firmas digitales/certificados digitales Cifrado de datos Firewalls tradicionales (Hardware/Software) VPN/IPSec Soluciones Anti-Malware Sistemas de Contraseñas JCM*GSM-15 All rights reserved

ACIS 2015

2015 36,9% 39,1% 39,6% 43,1% 45,3% 49,8% 64,4% 67,6% 69,8% 71,6%

21.9% (2015) VS 18.0% (2014)

Se mantienen actualizados Lectura revistas: 57.3% Listas de seguridad: 48.4% 10

5

VII Encuesta Latinoamericana de Seguridad de la Información

Junio/2015

Certificaciones más relevantes para el desarrollo de la práctica de seguridad de la información 74,4%

80,0%

69,7%

70,0% 60,0%

49,8%

50,0%

47,4%

40,0%

29,9%

30,0%

21,8%

28,4%

26,5% 19,4%

20,0%

18,0%

19,4% 8,5%

10,0% 0,0%

CISSP – CRISCCISA – CISM – Certified Certified in Certified Informatio Certified Risk and n System Informatio Informatio Informatio n System n Security Security n System Auditor Manager Profession Control al Series1 74,4% 49,8% 69,7% 47,4%

CFE Certified Fraud Examiner

CIFI – Certified Informatio n Forensics Investigato r

CIA Certified Internal Auditor

GIAC – SANS Institute

21,8%

29,9%

26,5%

19,4%

MCSE/ISAUnix/Linux MCP LP1 (Microsoft)

18,0%

19,4%

Security+

NSA IAM/IEM

28,4%

8,5%

JCM*GSM-15 All rights reserved

11

Temas en la agenda de los profesionales de seguridad de la información para 2015 80,0% 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0%

54,5%

47,4%

43,7%

35,7%

34,3%

33,3%

18,8%

72,3%

JCM*GSM-15 All rights reserved

ACIS 2015

69,0%

56,3%

Amenazas Malware en persistente dispositivos s avanzadas móviles Series1

74,6%

73,7%

72,3%

56,3%

Ciber guerra

Ciber espionaje

35,7%

47,4%

Seguridad y control en Fuga de Inteligencia Internet de Ciber la Ciber armas informació de la la cosas – seguridad computació n sensible Seguridad IoT n en la nube 73,7%

18,8%

74,6%

69,0%

43,7%

34,3%

Grandes datos y analítica

Ataques a infraestruct uras críticas

33,3%

54,5%

12

6

VII Encuesta Latinoamericana de Seguridad de la Información

Junio/2015

Estándares para la gestión de riesgos Lo que conoce el entorno

45,0% 40,0% 35,0% 30,0% 25,0% 20,0% 15,0% 10,0% 5,0% 0,0%

COSO GRC ( ERM(Enter Governanc prise Risk e, Risk & ISO 31000 Managment Compliance ) ) Series1 17,3% 19,5% 39,1%

Lo que desconoce el entorno AS/NZ 4360

Magerit

Octave

Ninguna

10,5%

15,8%

8,3%

21,1%

Lo que conoce la organización

Lo que desconoce la organización

Amenazas y riesgos conocidos

Amenazas y riesgos latentes

Amenazas y riesgos focalizados

Amenazas y riesgos emergentes

Instrumento diseñado y desarrollado por: Jeimy J. Cano M., Ph.D

JCM*GSM-15 All rights reserved

13

Aumento del riesgo en seguridad de la información para 2015

JCM*GSM-15 All rights reserved

ACIS 2015

Tomado: de Ponemon-Raytheon (2015) 2015 Global megatrends in cybersecurity

14

7

VII Encuesta Latinoamericana de Seguridad de la Información

Junio/2015

Obstáculos de la seguridad de la información para 2015 50,0% 45,0% 40,0% 35,0% 30,0% 25,0% 20,0% 15,0% 10,0% 5,0% 0,0%

Series1

41,6%

45,7% 35,7%

33,5%

31,2% 24,9%

24,9%

24,0%

22,6% 15,8%

Inexistencia de política de seguridad

24,9%

Falta de tiempo

Falta de formación técnica

Falta de apoyo directivo

31,2%

24,9%

41,6%

Poco Poco Falta de entendimien entendimien colaboración to de los Complejidad to de la entre flujos de la tecnológica seguridad de áreas/depart información la amentos en la información organización 45,7%

24,0%

33,5%

Poca visibilidad del tema a nivel ejecutivo

Habilidades gerenciales de los CISO’s

35,7%

15,8%

22,6%

JCM*GSM-15 All rights reserved

15

Formación en seguridad de la información Brechas en los profesionales de seguridad de la información

70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0%

58,7%

55,4%

52,1%

56,3%

49,3%

46,5% 28,2%

Habilidades Habilidades Visión para gerenciales práctica de Habilidades comunicar e (liderazgo, Capacidades estrategias Formación Capacidades para interconectar comunicació prospectivas livianas, académica y técnicas entender el negocios y n, carisma, y de sencillas y técnica negocio necesidades rendición de pronóstico efectivas en materia cuentas, para el de… proyeccion… aseguramie… Series1 58,7% 55,4% 52,1% 46,5% 56,3% 28,2% 49,3%

NYSE (2015) Cybersecurity in the boardroom. Veracode. JCM*GSM-15 All rights reserved

ACIS 2015

16

8

VII Encuesta Latinoamericana de Seguridad de la Información

Junio/2015

Cantidad de personas en el área de seguridad de la información 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00%

Ninguna 22,92% 17,30%

2014 2015

1a5 52,50% 62,60%

6 a 10 8,75% 8,40% 2014

11 a 15 6,25% 5,10%

Más de 15 9,58% 6,50%

2015

JCM*GSM-15 All rights reserved

17

Están ofreciendo programas académicos de grado y/o posgrado formales en esta área Series1

44,6%

JCM*GSM-15 All rights reserved

ACIS 2015

Existen Los Hay poca limitados No ofrecen Se han dejado El nivel de profesores motivación de laboratorios e La formación programas desplazar por investigación Hacen poca tienen poca los infraestructur se limita a académicos o certificaciones en el área es difusión sobre formación estudiantes a para cursos cortos cursos cortos generales y de escasa o éstos temas académica en para estudiar soportar los en esta área producto insuficiente el tema el tema cursos especializados 31,9%

10,3%

31,9%

41,8%

33,8%

27,7%

34,7%

36,6% 18,3%

27,7%

33,8%

41,8%

31,9% 10,3%

31,9%

44,6%

Papel de la academia en la formación de profesionales en seguridad de la información

18,3%

36,6%

Hay pocas (o nulas) alianzas con proveedores de tecnología de seguridad y/o asociaciones o entidades relacionadas… 34,7% 18

9

VII Encuesta Latinoamericana de Seguridad de la Información

Junio/2015

Conclusiones • Se consolida el área de seguridad de la información. Si bien su dependencia en el área de tecnología aún se mantiene, cada vez más lo es menos. • La visibilidad de los incidentes de seguridad de la información a nivel global, ha aumentado la sensibilidad de las organizaciones sobre un adecuado tratamiento de la información. • La academia comienza a recuperar terreno frente a la oferta de programas en seguridad de la información. Sin embargo, no avanza con tanta celeridad en los temas de investigación, desarrollo e innovación en esta temática. JCM*GSM-15 All rights reserved

19

Conclusiones • Se advierten una series de brechas en los profesionales de la seguridad de la información, que deben ser revisadas y analizadas por la academia para formar tanto especialistas como ejecutivos en esta área. Conocimiento técnico y capacidad para comunicar las dos de mayor relevancia. • Tres temas emergentes en la práctica de seguridad de la información: ciber seguridad, seguridad y control en la nube y fuga de información sensible. Todos ellos relacionados con una mayor exposición de las organizaciones con el contexto de un ecosistema digital. • Monedas digitales e internet de las cosas, temas que generan mayor incertidumbre para las organizaciones y la función de seguridad de la información. JCM*GSM-15 All rights reserved

ACIS 2015

20

10

VII Encuesta Latinoamericana de Seguridad de la Información

Junio/2015

VII Encuesta Latinoamericana de Seguridad de la Información Nuevos retos, nuevas realidades

Jeimy J. Cano M., Ph.D, CFE Gabriela Saucedo Mesa, MDOH @itinsecure

JCM*GSM-15 All rights reserved

ACIS 2015

21

11