iv encuesta nacional sobre seguridad informÁtica en … · gabriela maría saucedo meza...
TRANSCRIPT
IV ENCUESTA NACIONAL SOBRE IV ENCUESTA NACIONAL SOBRE SEGURIDAD INFORMÁTICA EN MÉXICO SEGURIDAD INFORMÁTICA EN MÉXICO 20102010
Análisis de resultadosAnálisis de resultados-- Análisis de resultados Análisis de resultados --
MDOH. Gabriela MarMDOH. Gabriela Maríía Saucedo Mezaa Saucedo MezaUniversidad del Valle de Atemajac Campus Guadalajara
MAED. Celso Retama GuzmMAED. Celso Retama GuzmáánnColegio de Profesionales de Computación Hidalgo Universidad del Valle de Atemajac, Campus Guadalajara
[email protected] de Profesionales de Computación, [email protected]
Aguascalientes Jalisco
NN
AguascalientesCoahuilaDistrito FederalEstado de MéxicoHidalgo
JaliscoMorelosMonterreyPuebla Sinaloa
UC
CIÓ
UC
CIÓ 34
participaciones
Demografía
NTR
OD
NTR
OD Demografía
PresupuestoFallas de seguridadHerramientas y buenas prácticasININ y pPolíticasCapital intelectual
ÉÉIV IV ENSI MÉXICO 2010ENSI MÉXICO 2010‐‐ Análisis de resultados Análisis de resultados ‐‐
RECONOCIMIENTO DE LA
OS
OS toto
La ENSI 2010 México, refleja uninteresante cambio a nivel deocupación del tema de seguridad enlas organizaciones pues se observa que
RECONOCIMIENTO DE LA INFORMACIÓN COMO ACTIVO A PROTEGER
2009 2010
Si 47.1% 61.8%
ESU
LTA
DO
ESU
LTA
DO
pres
upue
stpr
esup
uest ha crecido la necesidad de cuidar el
valioso activo “información”No 17.6% 8.8%
Sólo algunas personas 35.3% 29.4%
LISI
S D
E LI
SIS
DE
RE
RE
ogra
fía y
pog
rafía
y p RESPONSABILIDAD DE
LA S.I. 2007 2008 2009 2010
Director Departamento de Sistemas/Tecnología 38.9% 29.0% 31.3% 32.4%
No se tiene especificado formalmente 14.8% 25 8% 25 0% 14 7%
La figura de un responsable de la seguridad informática tanto a nivel
AN
ÁL
AN
ÁL
Dem
oD
emo formalmente 25.8% 25.0% 14.7%
Director de Seguridad Informática 11.1% 3.2% 20.8% 35.3%Auditoria interna 1.9% 6.5% 10.4% 0.0%Otra: redes, telecomunicaciones 14.8% 3.2% 8.3% 14.7%Gerente de Operaciones 0.0% 3.2% 4.2% 2.9%
seguridad informática tanto a nivel directivo como en tareas específicas, comienza a tener mayor presencia en las organizaciones.p
Gerente Ejecutivo 1.9% 29.0% 0.0% 0.0%Gerente de Finanzas 0.0% 0.0% 0.0% 0.0%
óPRESUPUESTO:
la asignación de presupuesto en TI vaincorporando mayor porcentaje y monto paraadquirir instrumentos que promuevan laseguridad…..
inclusión de concepto de seguridad informática
2007 2008 2009 2010
Si 76.6% 77.8% 45.8% 82.4%OS
OS toto Si 76.6% 77.8% 45.8% 82.4%
No 23.4% 22.2% 25.0% 17.6%
40,0%
45,0%
50,0%
ESU
LTA
DO
ESU
LTA
DO
pres
upue
stpr
esup
uest
20,0%
25,0%
30,0%
35,0%
Aplicado en 2009
Proyectado a 2010LISI
S D
E LI
SIS
DE
RE
RE
ogra
fía y
pog
rafía
y p
0,0%
5,0%
10,0%
15,0%
Menos de Entre Entre Entre Entre Más de
Proyectado a 2010
AN
ÁL
AN
ÁL
Dem
oD
emo
Menos de USD$50.000
Entre USD$50.001 y USD$70.000
Entre USD$70.001 y USD$90.000
Entre USD$90.001 y USD$110.000
Entre USD$110.001 y USD$130.000
Más de USD$130.000
……y cada vez son más y en mayor porcentaje las medidas organizacionales aplicadas.y y y p j g p
Monitoreo de Seguridad Informática 7x24
Otro, especifique: adquisiciòn bibliografía
Asesores de seguridad informática
38,2%
2,9%
OS
OS toto
Contratación de personal más calificado
Evaluaciones de seguridad internas y externas
Pólizas de cibercrimen
Cursos especializados
Cursos de formación usuarios en seguridad informática
17 6%
20,6%
8,8%23,5%
17,6%
ESU
LTA
DO
ESU
LTA
DO
pres
upue
stpr
esup
uest
Concientización/formación del usuario final
Comercio/negocios electrónicos
Desarrollo y afinamiento de seguridad de las aplicaciones
Seguridad de la Información
Contratación de personal más calificado
29,4%
11,8%32,4%
70,6%
17,6%
LISI
S D
E LI
SIS
DE
RE
RE
ogra
fía y
pog
rafía
y p
Protección de la red
Proteger los datos críticos de la organización
Proteger la propiedad intelectual
Proteger el almacenamiento de datos de clientes
88,2%
58,8%
23,5%47,1%
AN
ÁL
AN
ÁL
Dem
oD
emo
MEDIDAS APLICADAS PARA LA PROTECCIÓN DE LA INFORMACIÓN
Se observa que la inseguridad va en aumento; lasCASOS DE VIOLACIONES AÑO ANTERIOR 2007 2008 2009 2010
OS
OS
q g ;organizaciones cada vez son más vulnerables,prueba de ello es el alza en el porcentaje dedetección de intrusiones,
AÑO ANTERIORNinguno 5.6% 4.2% 11.8%Manipulación de aplicaciones de software 11.1% 18.8% 11.8%
Instalación de software no autorizado 50.0% 31.3% 50.0%
ESU
LTA
DO
ESU
LTA
DO
egur
idad
egur
idad
Ninguna 19%
Entre 1‐3Entre 4‐7 13%
Más de 7 26%
Accesos no autorizados al web 44.4% 27.1% 29.4%Fraude 5.6% 2.1% 8.8%Virus 88.9% 50.0% 58.8%Robo de datos 11.1% 8.3% 8.8%Caballos de troya 44.4% 6.3% 26.5%
LISI
S D
E LI
SIS
DE
RE
RE
Falla
s de
se
Falla
s de
se Entre 1 3
42%13%y
Monitoreo no autorizado del tráfico 5.6% 8.3% 8.8%
Negación del servicio 11.1% 10.4% 11.8%Pérdida de integridad 5.6% 4.2% 2.9%Pérdida de información 22.2% 12.5% 17.6%
AN
ÁL
AN
ÁL FF Suplantación de identidad 16.7% 4.2% 5.9%
Phishing 22.2% 10.4% 14.7%Pharming 5.6% 4.2% 5.9%
Espionaje 11.8%Fuga de información 8.8%
y las fallas informáticas encontradas, desdeel permanente problema de virus como el
Otra: Intento ataque Firewall, SPAM
5.6% 10.4% 5.9%el permanente problema de virus, como elde robo de información.
MEDIO DE COMUNICACIÓN 2007 2008 2009 2010
ENTIDAD DE NOTIFICACIÓN 2007 2008 2009 2010
OS
OS
COMUNICACIÓN DE VIOLACIONES
2007 2008 2009 2010 NOTIFICACIÓN DE DENUNCIA
2007 2008 2009 2010
Sistema de detección de intrusos
25.0% 44.4% 33.3% 32.4%Equipo de atención de incidentes
48.0% 44.4% 22.9% 44.1%
Alertado por un
ESU
LTA
DO
ESU
LTA
DO
egur
idad
egur
idad
Alertado por un empleado/colaborador
22.9% 35.3% Ninguno: No se denuncian 40.0% 38.9% 22.9% 20.6%
MOTIVOS
LISI
S D
E LI
SIS
DE
RE
RE
Falla
s de
se
Falla
s de
se MOTIVOS
PRINCIPALES DE NO DENUNCIA
2007 2008 2009 2010
Motivaciones personales 12.5% 50.0% 14.5% 26.5%
Vulnerabilidad ante
Ante esta realidad, las empresas si bien están considerando que conservar evidencias y denunciar es importante aún permanece el paradigma de que al hacer esto último el
AN
ÁL
AN
ÁL FF Vulnerabilidad ante la competencia 20.8% 22.2% 16.6% 23.5%
denunciar es importante, aún permanece el paradigma de que al hacer esto último el riesgo es mayor sea personal u organizacional.
El cuidado de la evidencia digital es un área de oportunidad para las organizaciones que siEl cuidado de la evidencia digital, es un área de oportunidad para las organizaciones que si bien son conscientes de su importancia, falta la aplicación adecuada de procedimientos
para su preservación.
OS
OS
ESU
LTA
DO
ESU
LTA
DO
egur
idad
egur
idad No sabe Procedimientos
aprobados y verificados
LISI
S D
E LI
SIS
DE
RE
RE
Falla
s de
se
Falla
s de
se
No Consciencia evidencia digital
AN
ÁL
AN
ÁL FF
Si
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%
Frecuencia de pruebas f d b h d
S S egur
idad
egur
idad Una al año
, 20,4%Ninguna , 23,5%
Frecuencia de pruebas La frecuencia de pruebas ha ido en aumento, con un total global de 55.7%, quedando esta buena práctica entre una tarea pendiente de
l h
ESU
LTA
DO
SES
ULT
AD
OS
ntro
l de
la s
ent
rol d
e la
se
Entre 2 y 4 al año , 17,6%
Más de 4 al año , 17,6%
Lectura de artículos
completar por muchas organizaciones.
ÁLI
SIS
DE
ÁLI
SIS
DE
RE
RE
s pa
ra e
l con
s pa
ra e
l con
Notificaciones de
Notificaciones de colegas, 44.1%
Lectura de artículosen revistas
especializadas, 58.8%
Lectura y análisis de listas de seguridad
(BUGTRAQ, SEGURINFO,
NTBUGTRAQ, etc),
La revisión de artículos en revistas especializadas
ti ú t l
AN
ÁA
NÁ
Her
ram
ient
asH
erra
mie
ntas proveedores, 32.4% 29.4%
No se tiene este hábito, 11.8%
continúa entre las preferencias de los profesionales como medio para mantenerse i f d dHH informado acerca de vulnerabilidades.
Obstáculos para la implementación de El involucramiento de los directivos y
S S
p puna adecuada Seguridad Informática
en la empresa
El involucramiento de los directivos y áreas sustantivas de la organización será un punto vital para lograr la implementación de adecuados SGSI, situación que hasta este momento
ESU
LTA
DO
SES
ULT
AD
OS
cas
cas
Complejidad tecnológica
Poco entendimiento de la seguridad informática
Poco entendimiento de los flujos de la información en la …
3,3%
13,3%
6,7%
REGULACIÓN O NORMATIVA APLICADA EN
situación que hasta este momento no ha avanzado.
ÁLI
SIS
DE
ÁLI
SIS
DE
RE
RE
Polít
icPo
lític
Falta de apoyo directivo
Falta de colaboración entre áreas/departamentos
p j g
20,0%
16,7%
NORMATIVA APLICADA EN GESTIÓN DE SEGURIDAD DE INFORMACIÓN
2008 2009 2010
Ninguna 78.3% 60.7% 64.7%Regulaciones internacionales (SOX, 13 0% 14 3% 11 8%
AN
ÁA
NÁ
Inexistencia de política de id d
Falta de tiempo
Falta de formación técnica
13,3%
10,0%
6,7%internacionales (SOX, BASILEA II, Sarbanes Oxley)
13.0% 14.3% 11.8%
Normativas aprobadas por entes de supervisión (Superintendencias, 0.0% 17.9% 11.8%
seguridad Ministerios o Institutos gubernamentales)Otra: Norm. Interna, SAB101 8.7% 7.1% 5.9%
S S
53,3%
33 3%
Contactos y Relaciones con autoridades
ESU
LTA
DO
SES
ULT
AD
OS
cas
cas
33,3%
13,3%
ÁLI
SIS
DE
ÁLI
SIS
DE
RE
RE
Polít
icPo
lític No
No SabeSi, ¿Cuáles?: Red Seg ANUIES,
Verisign, Policía ib é i
AN
ÁA
NÁ Cibernética
México cuenta con organismos públicos y alianzas formadas por grupos privados, aún así la i l ió é ivinculación con éstos sigue siendo de muy bajo porcentaje.
l d di d S
TAD
OS
TAD
OS Personal dedicado a SI
VS Personal no certificado
CERTIFICACIONES SEGURIDAD INFORMÁTICA: nivel de importancia para que sean recibidas por los empleados
2010
RES
ULT
RES
ULT
27,6%41,4%
10 3%17,2%
52,9% CISSP – Certified Information System Security Professional
61.8%
CISA – Certified InformationSystem Auditor 41.2%
CISM Certified
S D
E R
S D
E R 10,3%
3,4%CISM – Certified Information Security Manager
50.0%
CFE - Certified FraudExaminer 2.9%
CIFI – Certified Information 11 8%
NÁ
LISI
NÁ
LISI
Es importante hacer énfasis en el papel que juega el capitalintelectual, cuyos resultados en este estudio se ven favorecidos enel nivel de importancia que ahora tienen los especialistas en
C Ce t ed o at oForensics Investigator 11.8%
CIA - Certified Internal Auditor 11.8%GIAC – SANS Institute 8.8%MCSE/ISA-MCP (Microsoft) 14.7%Unix/Linux LP1 20.6%
AA
p q pmateria de seguridad, más no en la inversión para que éstosexistan.
Security+ 26.5%NSA IAM/IEM 2.9%
Opinión sobre el papel de las Instituciones de Educación Superior en cuanto a la
9 3,4%Existen limitados laboratorios e infraestructura parasoportar los cursos especializados
p p p pformación de profesionales en Seguridad de la Información.
7
8
3,4%
3,4%
soportar los cursos especializados
Hay poca investigación científica en el área
Se han dejado desplazar por certificaciones generalesy de producto
4
5
6
13,8%
10,3%
6,9%No han pensado adelantar programas académicos ocursos cortos en esta área
Están ofreciendo programas académicos formales enesta área
Los profesores tienen poca formación académica en elt
2
3
20,7%
17,2%
,tema
Hacen poca difusión sobre estos temas
La formación es escasa y sólo a nivel de cursoscortos
Hay poca oferta (o nula) de programas académicos1 20,7%
y p ( ) p gen esta área
AA LASLAS ORGANIZACIONESORGANIZACIONESEs importante asegurar la cultura de la seguridad
informática para garantizar la continuidad deoperaciones del negocio, apoyados en la vinculación
Gobierno
Empresas
AD
OS
AD
OS
operaciones del negocio, apoyados en la vinculacióncomo un trabajo conjunto con el que se obtenganresultados contundentes
Empresas
Academia
LLA
MA
LLA
MA
A LAS INSTITUCIONES A LAS INSTITUCIONES EDUCATIVASEDUCATIVASEs urgente incluir en sus planes de estudios y capacitación
Potencializar aLL asignaturas relacionadas con el tema de seguridadinformática en las áreas financiera, administrativa eingenieril, así como la inclusión de programas especializadosque permitan al personal de TI ampliar su visión.
Potencializar a la
organización
A LOS PROVEEDORES A LOS PROVEEDORES DE DE SERVICIOS INFORMSERVICIOS INFORMÁÁTICOSTICOSGenerar una alianza de apoyo
basada en una permanenteNuevos proyectos
AD
OS
AD
OS
basada en una permanentecomunicación acerca de los riesgos,amenazas y estrategias de mitigación
proyectos
LLA
MA
LLA
MA
GOBIERNOGOBIERNOReforzar los grupos de apoyo yF l i iLL Reforzar los grupos de apoyo yadicionalmente contar con un plan dedifusión nacional/estatal
FortalecimientoCredibilidad
AA LOSLOS PROFESIONALESPROFESIONALES DEDE TITIAA LOSLOS PROFESIONALESPROFESIONALES DEDE TITI
Incluir entre las metas de desarrollo personal y profesional, hábitos de lectura, deinvestigación, de evaluación de metodologías y de informes estadísticos, departicipación en listas especializadas; conocer los conceptos empaparse de las
AD
OS
AD
OS
participación en listas especializadas; conocer los conceptos, empaparse de lastendencias.
LLA
MA
LLA
MA
Propuestas Gestión Crecimiento Desarrollo localLL Propuestas claras para la
dirección
Gestión adecuada de
recursos financieros
Crecimiento organizacional y
profesional
Desarrollo local, regional y nacional
Castillo Héctor Soluciones para el desarrollo una perspectiva organizacional;
POYO
POYO
Castillo Héctor, Soluciones para el desarrollo, una perspectiva organizacional; Ediciones Castillo, México, 1994
Geer, Daniel E. Jr. ScD, Economics and Strategies of Data Security, Ed. Verdasys, USA, 2008
S D
E A
PS
DE
AP
I ENSI México 2007
II ENSI México 2008
UR
SOS
UR
SOS III ENSI México 2009
http://www.securecorner.net/2009/12/informes-y-estadisticas-de-seguridad.html,
http://policiacibernetica.jalisco.gob.mx/index.html
REC
UR
ECU p p j g
http://www.eseguridad.gob.mx/wb2/eMex/eMex_Seguridad_Informatica
http://asi-mexico.org/sitio/
http://www.ssp.gob.mx
IV ENCUESTA NACIONAL SOBRE IV ENCUESTA NACIONAL SOBRE SEGURIDAD INFORMÁTICA EN MÉXICO SEGURIDAD INFORMÁTICA EN MÉXICO 20102010
Análisis de resultadosAnálisis de resultados-- Análisis de resultados Análisis de resultados --
MDOH. Gabriela MarMDOH. Gabriela Maríía Saucedo Mezaa Saucedo MezaUniversidad del Valle de Atemajac Campus Guadalajara
MAED. Celso Retama GuzmMAED. Celso Retama GuzmáánnColegio de Profesionales de Computación Hidalgo Universidad del Valle de Atemajac, Campus Guadalajara
[email protected] de Profesionales de Computación, [email protected]