PDF de programación - V Encuesta Nacional de Seguridad Informática ACIS 2005

V Encuesta Nacional de Seguridad Informática

ACIS 2005

Jeimy J. Cano, Ph.D

Lista de Seguridad Informática

-SEGURINFO-

ACIS - JCM-05 All rights reserved.

1

Estructura

• Cuestionario compuesto por 20 preguntas

sobre los siguientes temas:
– Demografía
– Presupuestos
– Fallas de seguridad
– Herramientas y prácticas de seguridad
– Políticas de seguridad

ACIS - JCM-05 All rights reserved.

2

Consideraciones Muestrales

• Considerando una población limitada (alrededor
de 1000 personas que participan activamente en la
lista de seguridad SEGURINFO) se ha estimado
un error muestral de 8% (confianza del 92%), lo
cual nos permite manejar una muestra adecuada
cercana a los 130 participantes.

• Al contar con 182 participantes en la muestra, los
estadísticamente

son

resultados presentados
representativos.

ACIS - JCM-05 All rights reserved.

3

Ciudades

Distribución de Ciudades

1%

1%

1%

1%

1%

1%

2%

1%

1%

2%

1%

1%

2%

5%

7%

4%

9%

63%

Bogotá
Cartagena
Neiva

Otra…
Tunja
Popayán

Cali
Pasto
Sincelejo

Medellín
Pereira
Valledupar

Barranquilla
Manizales

Bucaramanga
Santa Marta

Arauca
Leticia

ACIS - JCM-05 All rights reserved.

4

SECTOR

20%

13%

4%

9%

3%

24%

15%

1%
2%

5%

2%

0%
2%

[ ] Banca
[ ] Servicios Públicos/Energía
[ ] Transporte
[ ] Otro, especifique:

[ ] Ingeniería
[ ] Gobierno
[ ] Telecomunicaciones

[ ] Industria Informática
[ ] Seguros
[ ] Farmacéutico

[ ] Educación
[ ] Petróleo
[ ] Sin ánimo de lucro

ACIS - JCM-05 All rights reserved.

5

No. Empleados en la compañía

24%

28%

13%

11%

12%

5%

7%

1 a 50

51 a 100

101 a 200

201 a 300

301 a 500

501 a 1000

más de 1000

ACIS - JCM-05 All rights reserved.

6

No. Personas dedicadas a Seguridad

Informática

140

120

100

80

60

40

20

2004
2005

0

2004
2005

Ninguna

59
45

1 a 5
128
100

6 a 10

24
8

11 a 15

más de 15

2
8

7
10

ACIS - JCM-05 All rights reserved.

7

Dependencia del Área de Seguridad

Informática

120

100

80

60

40

20

0

u

[ ] A

106

68

61

54

30

20

15

12

12

11

5

4

a

d it o rí a in t e r n

c t o r d

[ ] D ir e

a

á tic

d I n f o r m

n t o d

e

m

a rt a

p

e

a

u rid

g

e

e S

c t o r D

[ ] D ir e

g í a

o lo

n

c

e

s / T

a

m

e S is t e

4

3

2

6

o

u tiv

c

n t e E je

e r e

[ ] G

e r e

[ ] G

2003
2002
2004
2005

36

36

23

12

n t e

e

a l m

18

18

7

3

[ ] O tr o ,

2

0

0

s

a

1

z

n

a

e F in

n t e d

o f o r m

d

a

cific

e

p

s

e e

n

e ti e

o s

[ ] N

ACIS - JCM-05 All rights reserved.

8

Cargos que Respondieron la encuesta

100

90

80

70

60

50

40

30

20

10

0

87

61

49

38

2003
2002
2004
2005

40

37

19

17

9

7

8

9

10

10

23

16

16

12

19

17

12

4

17

15

8

6

3

3

[ ] Presidente/Gerente

[ ]

[ ] Director/Jefe de

General/Director

Director/Vicepresidente

Seguridad Informática

[ ] Profesional del
Departamento de

[ ] Profesional de
Departamento de

Ejecutivo

Seguridad Informática

Sistemas/Tecnología

[ ] Auditor Interno

[ ] Otro, especifique:

ACIS - JCM-05 All rights reserved.

9

Inversión en Seguridad Informática

92

86

86

84

83

74

76

74

100

90

80

70

60

50

40

30

20

10

54

52

52

49

51

39

36

36

41

38

30

28

29

24

18

15

34

27

26

14

30

28

22

21

14

9

7

7

0

[ ] Desarrollo y afina miento de seguridad de las aplicaciones
[ ] Evaluaciones de seguridad internas y externas
[ ] Proteger el alm acena miento de datos de clientes
[ ] Concientización/form ación del usuario final
[ ] Proteger los datos críticos de la organización
[ ] Contratación de personal m ás calificado
[ ] Proteger la propiedad intelectual
[ ] Asesores de seguridad inform ática
[ ] Co m ercio/negocios electrónicos
[ ] Protección de la red

49

43

38

37

2003
2002
2004
2005

5

5

1

1

[ ] Otro, especifique:

ACIS - JCM-05 All rights reserved.

10

Inversión en Seguridad Informática

63

61

56

70

60

50

40

30

20

10

0

2003
2004
2005

23

16

12

7

6

3

3

9

7

4

4

3

13

13

11

[ ] Menos de USD$50.000

[ ] Entre USD$50.001 y

[ ] Entre USD$70.001 y

[ ] Entre USD$90.001 y

[ ] Entre USD$110.001 y

[ ] Más de USD$130.000

USD$70.000

USD$90.000

USD$110.000

USD$130.000

ACIS - JCM-05 All rights reserved.

11

Violaciones de Seguridad

140

120

100

80

60

40

33

25

36

36

33

28

22

22

133

99

75

69

2003
2002
2004
2005

16

9

8

7

10

8

8

7

11

10

40

38

27

22

29

24

16

11

15

14

15

8

11

10

40

25

21

21

8

5

4

3

20

18

12

10

9

0

[ ] N i n
p lic

e a

o

e

n

n

u

cio

g

a

e s

s d

o

s

e

c

c

[ ] A

a r e

o ft w

u t o riz

o a

s n

n d

ció

u l a

n ip

a

[ ] M

b

e

s a l w

o

d

a

e

d

u

[ ] F r a

s

[ ] V ir u

[ ] R

o d

b

o

a

y

e tr o
u t o riz

o d

d

a

o

e l tr á fic

a

g

e

[ ] N

n d

ció

e r vicio
é r d i d

e l s

[ ] P

d

a

g rid

a d

é r d i d

e in f o r m

n

ció

a

[ ] O tr o

e

p

s

s , e

e :

u

cifiq

a d

e i n t e

[ ] P

s d

o a

o n

a ll o

b

a
n it o r e

s

a t o

e d

[ ] C

o

[ ] M

ACIS - JCM-05 All rights reserved.

12

Cómo se entera de las Violaciones de Seg.

78

74

58

44

37

36

37

31

90

80

70

60

50

40

30

20

10

0

52

42

14

14

41

2003
2002
2004
2005

30

27

25

23

23

17

17

21

19

6

4

29

20

11

10

[ ] M aterial o datos

alterado s

[ ] Análisis de registros
de auditoría/sistema de

archivo s/registro s

Firewall

[ ] Sistema de detección

de intruso s

[ ] Alertado po r un
cliente/pro veedo r

[ ] Alertado po r un

[ ] Seminario s o

[ ] Otro , especifique:

colega

co nferencias Nacio nales

e internacionales

ACIS - JCM-05 All rights reserved.

13

A quién se notifica de una Violación de

Seg.

95

82

41

41

40

36

34

24

2003
2002
2004
2005

25

15

14

13

26

20

14

10

18

13

6

4

4

6

3

3

100

90

80

70

60

50

40

30

20

10

0

[ ]Asesor legal

[ ] Autoridades

locales/regionales

[ ] Autoridades nacionales

[ ] Equipo de atención de

[ ] Ninguno: No se

[ ] Otro, especifique:

incidentes

denuncian

ACIS - JCM-05 All rights reserved.

14

Motivos de No denuncia - Violación de Seg.

70

60

50

40

30

20

10

0

alo r d

e v

a d

é r did

[ ] P

7

c cio

e a

2

s

nist a

ció

a

b lic

u

[ ] P

60

33

31

29

26

24

17

14

11

10

14

13

58

52

44

42

51

34

20

14

22

16

2003
2002
2004
2005

s

ble

o r a

v

sfa

al

g

d le

a

bilid

[ ] M

s p

e

n

cio

a

o tiv

a

s

n

o

p

s

e

[ ] R

e

s d

o ticia

e n

n d

s

ale

n

o

e r s

e r a

uln

[ ] V

d a

a

bilid

cia

n

e t e

p

m

o

n t e la c

e :

u

cifiq

e

p

s

[ ] O tr o , e

ACIS - JCM-05 All rights reserved.

15

Pruebas de Seguridad Realizadas

60

50

40

47

43

46

45

48

37

30

29

27

31

28

30

29

2003
2002
2004
2005

20

10

0

20

19

18

15

[ ] Una al año

[ ] E ntre 2 y 4 al año

[ ] M ás de 4 al año

[ ] N inguna

ACIS - JCM-05 All rights reserved.

16

Mecanismos de Seguridad Informática

160

140

120

100

80

60

40

20

0

139

129

136

122

100

93

92

15

14

11

9

105

99

76

73

66

65

64

54

44

44

32

32

48

38

63

37

98

95

70

64

62

47

47

30

31

31

25

14

2003
2002
2004
2005

64

51

30

26

30

27

16

16

6

3

3

3

23

21

17

10

[ ] Antivirus

[ ] S m art Cards

[ ] Bio m étricos (huella digital, iris, etc)

ACIS - JCM-05 All rights reserved.

[ ] Encripción de datos
[ ] Contraseñas

[ ] Filtro de paquetes

[ ] Firm as digitales/certificados digitales
[ ] Firewalls Hardware
[ ] Firewalls Softw ware

[ ] VP N/IP Sec

[ ] Proxies

[ ] Siste m as de detección de intrusos
[ ] M onitoreo 7x24

[ ] Otro, especifique:

17

¿Cómo se entera de fallas de Seguridad?

72

72

78

54

47

48

46

58

60

53

98

74

80

68

42

32

2003
2002
2004
2005

25

24

25

18

120

100

80

60

40

20

0

[ ] N o tificacio nes de pro veedo res

[ ] N o tificacio nes de co legas

[ ] Lectura de artículo s en revistas

[ ] Lectura y análisis de listas de

[ ] N o se tiene este hábito .

especializadas

seguridad (BUGTR AQ,

SEGUR INFO, N TBUGT RAQ, etc)

ACIS - JCM-05 All rights reserved.

18

Políticas de Seguridad Informática

73

6 3

50

50

45

32

28

26

47

38

2003
2002
2004
2005

28

2 4

80

70

60

50

40

30

20

10

0

[ ] N o se tiene n p o líticas de seg uridad de finida s

[ ] A ctua lm ente se encuentran en de sa rro llo

[ ] P o lítica fo rm al, e scrita do cum entad a e info rm ada a

to do el perso nal

ACIS - JCM-05 All rights reserved.

19

Obstáculos para contar con una adecuada

Seguridad Informática

45

40

39

36

28

26

23

28

24

24

25

31

28

25

26

19

17

13

10

23

20

2003
2002
2004
2005

19

18

19

17

17

15

13

12

11

35

30

25

20

15

10

5

0

[ ] Inexistencia de

po lítica de seguridad

[ ] Falta de tiempo

[ ] Falta de fo rm ación

[ ] Falta de apo yo

[ ] Falta de co labo ración

técnica

directivo

entre

áreas/departam ento s

[ ] C o m plejidad

tecno lógica

[ ] P o co entendimiento

de la seguridad

info rmática

ACIS - JCM-05 All rights reserved.

20

Contactos para Seguir Intrusos

86

99

75

68

120

100

80

60

40

20

0

14

12

11

2003
2002
2004
2005

42

39

23

15

12

[ ] Si, especifique cuáles:

[ ] No

[ ] No sabe

ACIS - JCM-05 All rights reserved.

21

Conclusiones Generales

1.

2.

3.

4.

5.

La mediana y pequeña empresa están empujando el desarrollo del tema de
seguridad informática en Colombia, frente a una gran empresa que fortalece sus
esquemas vigentes.
Se muestra un ligero cambio en la creación de áreas de seguridad informática en
el país que muestra avance en la formalización del tema en las empresas, pero
aún continúa dependiendo del área de tecnologías de información o dispersa sin
un dueño específico