VII Encuesta Latinoamericana de Seguridad de la Información
Junio/2015
VII Encuesta Latinoamericana de Seguridad de la Información Nuevos retos, nuevas realidades
Jeimy J. Cano M., Ph.D, CFE Gabriela Saucedo Mesa, MDOH @itinsecure
JCM*GSM-15 All rights reserved
1
Agenda • • • • •
Introducción Documentos referentes revisados Análisis consolidados Tendencias identificadas Conclusiones
JCM*GSM-15 All rights reserved
ACIS 2015
2
1
VII Encuesta Latinoamericana de Seguridad de la Información
Junio/2015
Documentos referentes revisados
JCM*GSM-15 All rights reserved
3
Demografía Fuerzas Armadas 0%
Manufactura 3%
270 encuestas
Consultoría Especializada 16%
Gobierno / Sector público 18%
Servicios Financieros y Banca 22%
Telecomunicacio nes 12%
Educación 14%
JCM*GSM-15 All rights reserved
ACIS 2015
Alimentos 1%
Salud 5%
Construcción / Ingeniería 3%
Sector de Energía e Hidrocarburos 6% 4
2
VII Encuesta Latinoamericana de Seguridad de la Información
Junio/2015
Demografía 1-50 empleados 51-200 empleados 201-500 empleados 501-1000 empleados 1001-5000 empleados Mayor de 5001 empleados
18,6% 15,2% 11,8% 13,7% 25,1% 15,6%
DEPENDENCIA DE LA RESPONSABILIDAD DE LA SEGURIDAD INFORMÁTICA EN LA ORGANIZACIÓN Auditoría interna Director de Seguridad Informática Director Departamento de Sistemas/Tecnología Gerente Ejecutivo Gerente de Finanzas Gerente de Operaciones No se tiene especificado formalmente Tercerizado -
Profesional de Departamento de Sistemas/Tecnología
23.8% 2009
2010
2012
2013
2014
2015
5,10% 21,90%
2,43% 26,13%
5,00% 28,00%
2,20% 23,61%
4,58% 25,83%
1,85% 26,94%
1.5% 34.7%
36,80%
41,03%
38,00%
36,67%
33,75%
35,42%
13.7%
1,40% 4,00% 2,20% 20,90% -
2,43%
3,00%
3,61% 0,28% 3,89% 14,72%
2,50% 0,42% 0,83% 17,50% 0,83% 13,75%
2,21%
3.4% 0.4% 3.4% 14.9% 0.8% 14.9%
3,00% 13,37% 14,31%
Otros cargos
2011
3,00% 15,00% 1,00% 7,00%
15,00%
3,69% 15,87% 1,11% 12,92%
JCM*GSM-15 All rights reserved
5
Tareas realizadas Aseguramiento de procesos de la organización
42,5%
Velar por la protección de la información empresarial
72,4%
Velar por la protección de la información personal Seguimiento de prácticas en materia de seguridad de la información Seguimiento de prácticas en materia de protección de la privacidad de la información personal Creación de programas de gobierno y gestión en materia de seguridad de la información Interacción con las diferentes áreas de negocio Creación de programas de entrenamiento en materia de seguridad de la información Definición de controles de TI en materia de seguridad de la información Implementación de controles de TI en materia de seguridad de la información Dirigir y supervisar los programas de riesgos de seguridad de la información de la org. Gestionar el programa de gestión de incidentes de seguridad de la información Evaluar la eficiencia y efectividad del modelo de seguridad de la información Establecer e implementar un modelo de políticas en materia de seguridad de la información Supervisar procesos de cumplimiento regulatorio en tecnología de información Establecer y revisar la arquitectura de seguridad de la información Supervisar y gestionar los procesos de investigaciones forenses digitales JCM*GSM-15 All rights reserved Definir, implementar y asegurar la estrategia de ciber seguridad de la empresa
38,7% 64,4%
ACIS 2015
2014 45%
41,0% 39,5% 54,4% 44,4% 66,3% 52,5% 43,3% 48,3% 42,5% 53,3% 41,8% 42,5% 31,4% 41,4%
Ingeniero de Seguridad 53%
CISO 45.3% Auditor de SI 30.1%
6
3
VII Encuesta Latinoamericana de Seguridad de la Información
Junio/2015
Presupuesto La alta dirección poco se involucra en el tema de seguridad de información y no lo tiene en su agenda estratégica. 22%
2014 - $20,000 USD 24.3%
2015 - $20,000 USD 24.2%
La alta dirección solo delega y espera informes de avance 24%
La alta dirección entiende participa y toma decisiones relacionadas con la seguridad de la información 29%
La alta dirección entiende y atiende recomendaciones en materia de seguridad de la información 25%
JCM*GSM-15 All rights reserved
7
Implicaciones de los incidentes de InfoSec Ataques más prevalentes efectuados
Tomado de: NYSE (2015) Cybersecurity in the boardroom. Veracode. JCM*GSM-15 All rights reserved
ACIS 2015
Tomado de: Ponemon- Raytheon (2015) 2015 Global Megatrends in Cybersecurity.
8
4
VII Encuesta Latinoamericana de Seguridad de la Información
Junio/2015
Incidentes Directivos: 57.1% Equipo at´n. inc.: 35.9% Autoridades: 13.9%
70,0%
Empleados: Análisis registros: Monitoreo: Terceros:
59,6%
60,0%
15.6% (2015) VS 13.28% (2014)
44,6%
50,0% 40,0%
32,4%
29,1%
30,0% 20,0%
57.1% 46.2% 37.6% 20.0%
19,7%
16,4%
10,3%
10,0%
9,9%
8,0%
12,7%
15,5%
12,7%
16,9%
11,7% 0,9%
0,0% Instalaci Manipul Accesos ón de Virus/C ación de no Fraude software aballos Robo de aplicaci autoriza electróni no de datos ones de dos al co autoriza Troya software web do
Series1 16,4%
59,6%
29,1%
10,3%
44,6%
9,9%
1,4%
22,5% 7,0%
6,6%
7,0%
Ataque Robo de Incident Ciberde element es Ataques Pérdida aplicaci os relacion ( APT o Monitor Negació Pérdida/ de Suplant Accione ones críticos ados ataques eo no n del Fuga de integrid ación de s de Phishin Pharmin Espiona Web ( de con la dirigidos autoriza servicio informa Ninguno ad de la identida ingenierí g g je XSS, hardwar privacid , do del (DOS/D ción informa d a social SQL e ad de denega tráfico DOS) crítica ción Injection (notebo los ción de , oks, datos servicio Directo… discos,… person… s… 8,0% 19,7% 12,7% 15,5% 12,7% 11,7% 32,4% 0,9% 1,4% 16,9% 22,5% 7,0% 6,6% 7,0%
JCM*GSM-15 All rights reserved
9
Evidencia digital
MECANISMOS DE PROTECCIÓN Sistemas de detección y/o prevención de intrusos IDS/IPS tradicionales Firewalls de nueva generación Biométricos (huella digital, iris, etc.) Proxies/Proxies inversos Firmas digitales/certificados digitales Cifrado de datos Firewalls tradicionales (Hardware/Software) VPN/IPSec Soluciones Anti-Malware Sistemas de Contraseñas JCM*GSM-15 All rights reserved
ACIS 2015
2015 36,9% 39,1% 39,6% 43,1% 45,3% 49,8% 64,4% 67,6% 69,8% 71,6%
21.9% (2015) VS 18.0% (2014)
Se mantienen actualizados Lectura revistas: 57.3% Listas de seguridad: 48.4% 10
5
VII Encuesta Latinoamericana de Seguridad de la Información
Junio/2015
Certificaciones más relevantes para el desarrollo de la práctica de seguridad de la información 74,4%
80,0%
69,7%
70,0% 60,0%
49,8%
50,0%
47,4%
40,0%
29,9%
30,0%
21,8%
28,4%
26,5% 19,4%
20,0%
18,0%
19,4% 8,5%
10,0% 0,0%
CISSP – CRISCCISA – CISM – Certified Certified in Certified Informatio Certified Risk and n System Informatio Informatio Informatio n System n Security Security n System Auditor Manager Profession Control al Series1 74,4% 49,8% 69,7% 47,4%
CFE Certified Fraud Examiner
CIFI – Certified Informatio n Forensics Investigato r
CIA Certified Internal Auditor
GIAC – SANS Institute
21,8%
29,9%
26,5%
19,4%
MCSE/ISAUnix/Linux MCP LP1 (Microsoft)
18,0%
19,4%
Security+
NSA IAM/IEM
28,4%
8,5%
JCM*GSM-15 All rights reserved
11
Temas en la agenda de los profesionales de seguridad de la información para 2015 80,0% 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0%
54,5%
47,4%
43,7%
35,7%
34,3%
33,3%
18,8%
72,3%
JCM*GSM-15 All rights reserved
ACIS 2015
69,0%
56,3%
Amenazas Malware en persistente dispositivos s avanzadas móviles Series1
74,6%
73,7%
72,3%
56,3%
Ciber guerra
Ciber espionaje
35,7%
47,4%
Seguridad y control en Fuga de Inteligencia Internet de Ciber la Ciber armas informació de la la cosas – seguridad computació n sensible Seguridad IoT n en la nube 73,7%
18,8%
74,6%
69,0%
43,7%
34,3%
Grandes datos y analítica
Ataques a infraestruct uras críticas
33,3%
54,5%
12
6
VII Encuesta Latinoamericana de Seguridad de la Información
Junio/2015
Estándares para la gestión de riesgos Lo que conoce el entorno
45,0% 40,0% 35,0% 30,0% 25,0% 20,0% 15,0% 10,0% 5,0% 0,0%
COSO GRC ( ERM(Enter Governanc prise Risk e, Risk & ISO 31000 Managment Compliance ) ) Series1 17,3% 19,5% 39,1%
Lo que desconoce el entorno AS/NZ 4360
Magerit
Octave
Ninguna
10,5%
15,8%
8,3%
21,1%
Lo que conoce la organización
Lo que desconoce la organización
Amenazas y riesgos conocidos
Amenazas y riesgos latentes
Amenazas y riesgos focalizados
Amenazas y riesgos emergentes
Instrumento diseñado y desarrollado por: Jeimy J. Cano M., Ph.D
JCM*GSM-15 All rights reserved
13
Aumento del riesgo en seguridad de la información para 2015
JCM*GSM-15 All rights reserved
ACIS 2015
Tomado: de Ponemon-Raytheon (2015) 2015 Global megatrends in cybersecurity
14
7
VII Encuesta Latinoamericana de Seguridad de la Información
Junio/2015
Obstáculos de la seguridad de la información para 2015 50,0% 45,0% 40,0% 35,0% 30,0% 25,0% 20,0% 15,0% 10,0% 5,0% 0,0%
Series1
41,6%
45,7% 35,7%
33,5%
31,2% 24,9%
24,9%
24,0%
22,6% 15,8%
Inexistencia de política de seguridad
24,9%
Falta de tiempo
Falta de formación técnica
Falta de apoyo directivo
31,2%
24,9%
41,6%
Poco Poco Falta de entendimien entendimien colaboración to de los Complejidad to de la entre flujos de la tecnológica seguridad de áreas/depart información la amentos en la información organización 45,7%
24,0%
33,5%
Poca visibilidad del tema a nivel ejecutivo
Habilidades gerenciales de los CISO’s
35,7%
15,8%
22,6%
JCM*GSM-15 All rights reserved
15
Formación en seguridad de la información Brechas en los profesionales de seguridad de la información
70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0%
58,7%
55,4%
52,1%
56,3%
49,3%
46,5% 28,2%
Habilidades Habilidades Visión para gerenciales práctica de Habilidades comunicar e (liderazgo, Capacidades estrategias Formación Capacidades para interconectar comunicació prospectivas livianas, académica y técnicas entender el negocios y n, carisma, y de sencillas y técnica negocio necesidades rendición de pronóstico efectivas en materia cuentas, para el de… proyeccion… aseguramie… Series1 58,7% 55,4% 52,1% 46,5% 56,3% 28,2% 49,3%
NYSE (2015) Cybersecurity in the boardroom. Veracode. JCM*GSM-15 All rights reserved
ACIS 2015
16
8
VII Encuesta Latinoamericana de Seguridad de la Información
Junio/2015
Cantidad de personas en el área de seguridad de la información 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00%
Ninguna 22,92% 17,30%
2014 2015
1a5 52,50% 62,60%
6 a 10 8,75% 8,40% 2014
11 a 15 6,25% 5,10%
Más de 15 9,58% 6,50%
2015
JCM*GSM-15 All rights reserved
17
Están ofreciendo programas académicos de grado y/o posgrado formales en esta área Series1
44,6%
JCM*GSM-15 All rights reserved
ACIS 2015
Existen Los Hay poca limitados No ofrecen Se han dejado El nivel de profesores motivación de laboratorios e La formación programas desplazar por investigación Hacen poca tienen poca los infraestructur se limita a académicos o certificaciones en el área es difusión sobre formación estudiantes a para cursos cortos cursos cortos generales y de escasa o éstos temas académica en para estudiar soportar los en esta área producto insuficiente el tema el tema cursos especializados 31,9%
10,3%
31,9%
41,8%
33,8%
27,7%
34,7%
36,6% 18,3%
27,7%
33,8%
41,8%
31,9% 10,3%
31,9%
44,6%
Papel de la academia en la formación de profesionales en seguridad de la información
18,3%
36,6%
Hay pocas (o nulas) alianzas con proveedores de tecnología de seguridad y/o asociaciones o entidades relacionadas… 34,7% 18
9
VII Encuesta Latinoamericana de Seguridad de la Información
Junio/2015
Conclusiones • Se consolida el área de seguridad de la información. Si bien su dependencia en el área de tecnología aún se mantiene, cada vez más lo es menos. • La visibilidad de los incidentes de seguridad de la información a nivel global, ha aumentado la sensibilidad de las organizaciones sobre un adecuado tratamiento de la información. • La academia comienza a recuperar terreno frente a la oferta de programas en seguridad de la información. Sin embargo, no avanza con tanta celeridad en los temas de investigación, desarrollo e innovación en esta temática. JCM*GSM-15 All rights reserved
19
Conclusiones • Se advierten una series de brechas en los profesionales de la seguridad de la información, que deben ser revisadas y analizadas por la academia para formar tanto especialistas como ejecutivos en esta área. Conocimiento técnico y capacidad para comunicar las dos de mayor relevancia. • Tres temas emergentes en la práctica de seguridad de la información: ciber seguridad, seguridad y control en la nube y fuga de información sensible. Todos ellos relacionados con una mayor exposición de las organizaciones con el contexto de un ecosistema digital. • Monedas digitales e internet de las cosas, temas que generan mayor incertidumbre para las organizaciones y la función de seguridad de la información. JCM*GSM-15 All rights reserved
ACIS 2015
20
10
VII Encuesta Latinoamericana de Seguridad de la Información
Junio/2015
VII Encuesta Latinoamericana de Seguridad de la Información Nuevos retos, nuevas realidades
Jeimy J. Cano M., Ph.D, CFE Gabriela Saucedo Mesa, MDOH @itinsecure
JCM*GSM-15 All rights reserved
ACIS 2015
21
11