ENCUESTA.

SEGURIDAD INFORMÁTICA EN COLOMBIA TENDENCIAS 2012-2013

Escrito por Andres R. Almanza Jueves, 20 Junio 2013 15:57
La encuesta nacional de seguridad informática conducida por ACIS para el año 2013, a través de Internet, contó con la
participación de 162 encuestados de nuestro país, quienes han decidido responder a este llamado para observar la
realidad de nuestro país que, año tras año, lo que nos muestra es un instrumento claro con el cual podemos conocer
cómo las organizaciones perciben la seguridad de la información, además de servir como instrumento referente en
Colombia y Latinoamérica frente a un panorama que vela por llamar la atención de todos los sectores interesados en
estos asuntos.

Escrito por: Andrés Ricardo Almanza

Introducción.

Del total de encuestados encontramos una alta población que respondió, perteneciente al sector de las tecnologías de
información con un incremento del 3.46%, frente al año anterior. Se trata de directores de las áreas de seguridad de la
información, hecho que muestra la importancia del cargo para las organizaciones y el interés por mantener un panorama
nacional identificado como escenario frente a la seguridad de la información.

En esta ocasión y como en el año anterior, se han vinculado otros países, entre ellos, Uruguay, Argentina, Paraguay,
Venezuela, México, España, Bolivia, Cuba, entre otros de habla hispana, con el propósito de adelantar este mismo
ejercicio en sus respectivos lugares, cuyos resultados estarán disponibles en el sitio web de la Asociación Colombiana
de Ingenieros de Sistemas, ACIS (www.acis.org.co).

El análisis presentado a continuación se desarrolló con base en una muestra aleatoria y de manera interactiva, a través
de una página web dispuesta por ACIS para tal fin. Dadas las limitaciones de tiempo y recursos disponibles en la
Asociación, se ha realizado un conjunto de análisis básicos, los cuales pretenden ofrecer los elementos más
sobresalientes de los resultados obtenidos, para orientar al lector sobre las tendencias identificadas en el estudio.

RESUMEN

La seguridad de la información toma más fuerza dentro de las organizaciones, y vemos cómo cada vez más, las agendas
organizacionales contemplan de alguna manera los escenarios de protección de la información, como parte de las
preocupaciones internas.

Un creciente escenario de anomalías electrónicas, unas regulaciones vigentes, unas tecnologías de protección cada vez
más limitadas, y una mayor dependencia de la tecnología dentro de la forma de hacer negocios, muestra cómo la
necesidad de proteger la información es más relevante. Bajo esa misma óptica vemos unos ejecutivos de la seguridad
más preocupados por utilizar lenguajes más cercanos a la organización e interesados en tratar de entregar soluciones
que armonicen las relaciones de funcionalidad y protección dentro del marco del negocio. Encontramos responsables de
seguridad más preocupados en ver cómo la seguridad de la información debe aportar valor a la empresa y de esta forma
se diseñan planes para tener una sensación adecuada de confianza frente a los negocios, sumado al valor ofrecido a sus
diferentes clientes.

También se observa a los encargados de seguridad involucrados en crear unos procesos de cultura alrededor de la
organización –es una tendencia mundial-, y muchos coinciden en que el factor clave de la seguridad no es la cantidad de
tecnologías alrededor del tema, sino una adopción clara de dicha cultura, encaminada a proteger el activo estratégico de
la organización, denominado información. Los ejecutivos de la seguridad están convencidos de que la alineación de la
seguridad y los objetivos del negocio es clave en los procesos de construcción de la cultura de seguridad. Así mismo,
quienes administran la seguridad y operan el día a día están preocupados por las regulaciones y su cumplimiento, como
parte de sus actividades en la construcción de la cultura de seguridad de la información.

TOP DE HALLAZGOS

A continuación se describen los 10 principales hallazgos de la encuesta que contempla 39 preguntas diseñadas para
obtener una visión de lo que, año tras año, representa la seguridad de la información en las organizaciones nacionales.

1. Cada vez, las organizaciones están más preocupadas por

las anomalías electrónicas que acechan en Internet; de ahí
que para este año el hecho más relevante es el significativo
incremento -27-87%- de las organizaciones que buscan
mantener contactos con autoridades nacionales o
internacionales para atender ciberataques o incidentes que
afectan las infraestructuras de las organizaciones. En esa
misma medida, los CERT (Centros de Atención de
Incidentes), se convierten en instrumentos vitales para el
apoyo en la atención de problemas de esta naturaleza. Para
el año 2012 sólo el 8% contaba con este tipo de asistencia;
este año, el 36,4% de los encuestados dicen tener un
contacto para apoyar los procesos de atención de incidentes.
Tendencia que en el mundo mantiene su constancia y
creciente fortalecimiento.
2. Las certificaciones como plus de acompañamiento para
los profesionales de seguridad de la información continúan
siendo una tendencia a nivel nacional y se ratifica a nivel
internacional. Nuevamente, en la realidad nacional vemos
que la certificación más usada como parte de los trabajos
en seguridad de la información para este año, es CISS con
un incremento del 23,18%. Quienes responden la encuesta
señalan que sus profesionales de seguridad de la
información la poseen, mientras que un 19,82% de los que
contestan, siguen considerando la certificación CISSP
 como una de las más reconocidas para tener en cuenta por
los profesionales de seguridad de la información,
interesados en mejorar sus perfiles profesionales y dar un
mayor valor a sus carreras en el mundo de la seguridad.
3. Sorprendentemente, vemos la creciente preocupación por
los temas de seguridad de la información en las
organizaciones, y su interés en la creación de programas
para mitigar los riesgos; y, por otro lado, encontramos que no
existe presupuesto para diseñar dichos programas. Este año
encontramos un incremento del 17,09% entre las personas
encuestadas, quienes dicen no tener una partida definida
para atender los temas de seguridad dentro de sus
organizaciones, comparativamente con el año anterior, en
que solo el 23% de los encuestados manifestó no tener un
presupuesto. Este año el 40% indica no tener presupuestos
asignados para la seguridad, hecho que muestra la dualidad
que se observa dentro de las empresas: seguridad como un
gasto y la penetración de estos temas.
4. Es interesante la nota de observación de todos los
encuestados, en el sentido de que las instituciones
educativas no hacen suficiente difusión sobre sus
programas de profesionalización en los temas de
seguridad, lo que lleva a pensar que la oferta en el país es
escasa y, por lo tanto, no existe formación especializada.
Este año se observa un 16.15% de incremento en tales
opiniones, frente al año inmediatamente anterior.

5. La seguridad de la información para las organizaciones es

un tema que desde sus inicios se ha visto con una
perspectiva compleja y difícil de adoptar, pero la causa
principal de esta situación, los encuestados la ubican en la
complejidad de los flujos de información, y la definen como el
obstáculo más importante, para que la seguridad de la
información penetre en las empresas. Este año, un 16.05%
más de los encuestados la señala como tal.
6. Ahora bien, entre los encuestados que sí poseen un
presupuesto en seguridad de la información, es interesante
ver un incremento del 16,02%. Ellos manifiestan haber
gastado en 2012 más de US$130.000, valor que
representa un fortalecimiento en las arquitecturas e
infraestructuras de seguridad, acorde con las tendencias
internacionales, las cuales muestran que las empresas
están gastando mucho más en estos temas, debido a lo
que está sucediendo en el entorno. Para nuestras
empresas en el país también es positivo que se realicen
tales inversiones que proporcionan valor adicional a la
información, como activo estratégico.
7. Continúa la tendencia mundial en depositar la confianza
en mecanismos de protección al antivirus, como la
herramienta más usada. Un 14,83% de incremento para este
año frente al año anterior, deposita la confianza en el
antivirus como mecanismo de defensa en las infraestructuras
de seguridad. En 2012, el 76% de los encuestados lo
consideró como una herramienta, mientras este año, el 94%
de los mismos, lo considera como uno de los mecanismos
utilizados. Hecho que demuestra preocupación por las
anomalías y el deseo de invertir para controlar las
infecciones a que pueden verse sometidas.
8. Los gastos de seguridad en las organizaciones
colombianas se centran como primera medida, en las
evaluaciones de seguridad de las plataformas. Este año
representan un incremento del 11.33%, frente al año
inmediatamente anterior, como mecanismo para evaluar la
forma cómo sus plataformas se encuentran expuestas a
los peligros de Internet. Se consideran ambos mundos,
pruebas internas y externas como mecanismos válidos de
uso común. Situación asociada a las tendencias mundiales
sobre gestión de vulnerabilidades y pruebas de intrusión,
como mecanismos adecuados para validar los controles de
las organizaciones.
9. Los incidentes de seguridad son una tendencia mundial, y
se presentan en las organizaciones sin importar el tamaño
de las mismas; lo inquietante es que en la realidad
colombiana aunque también se presentan, un 8,66% más de
los encuestados, comparado con el año anterior, manifiesta
que no conoce si en su organización se han visto afectados
por incidentes de seguridad. Hecho que resulta inquietante,
toda vez que puede obedecer a que no todas las partes
estén involucradas y que se asuma como un tema secreto
dentro de las empresas, lo que cuestiona el modelo
adoptado para la atención de incidentes puesto que lo
recomendado por la industria es que ante un incidente, las
partes interesadas estén debidamente informadas, para no
generar falsas versiones al respecto.
10. Para la industria de seguridad de la información es
clave utilizar buenas prácticas encaminadas a la
construcción de modelos más adecuados que se amolden
a las organizaciones, en los que la personalización es la
variable importante para obtener un modelo exitoso. Llama
la atención este año, que aunque la tendencia mundial es
esa, en la realidad colombiana no se considera y es el
rubro de mayor incremento en 2013, con un 7.46%, frente
a 2012. De acuerdo con tales resultados se puede inferir
que las organizaciones se preocupan por los temas de
 seguridad, pero sin un conjunto de buenas prácticas,
lo que pone de manifiesto el nivel de madurez en que se
encuentran las empresas.

1. DEMOGRAFÍA

Con base en las respuestas obtenidas, los tres sectores más representativos de la industria para este año están
distribuidos entre educación, con un 19.75%, seguida de los servicios financieros que mantienen la tendencia de
participación en la encuesta, representada en 18.52%. Y, en tercer lugar, figura el sector Gobierno, con una participación
del 12.96%.

Estos tres sectores de gran importancia muestran la forma en cómo la seguridad de la información penetra en los
sectores empresariales. A nivel mundial vemos cómo los Gobiernos se preocupan más por el ciberespacio, al que
algunos denominan la nueva frontera de las guerras venideras. De otro lado, el sector educativo ve con preocupación la
seguridad, teniendo en cuenta los repetidos ataques a sus infraestructuras, originados por los débiles diseños que exigen
mejorar los esquemas. Por su parte, los sectores financieros se ven enfrentados a cumplir con una serie de controles
para cumplir con ese competido negocio, considerando la globalización de las economías y la normatividad nacional e
internacional.
Los resultados de este año muestran cómo las empresas de gran tamaño marcan la tendencia mundial, en la forma
como se preocupan por los temas de protección y seguridad de la información. Vemos en este 2013, empresas con más
de 1000 empleados y corresponden a la participación más importante en la encuesta de Colombia, con un 42,59%. De
igual manera, las medianas y pequeñas empresas tienen una participación importante, en todos los sectores de las
industrias del país. Comparativamente con el año anterior, vemos que las empresas desde 100 empleados a 200
tuvieron un incremento del 4.49% de participación; y, las de 501 a 1000 empleados incrementaron su participación en un
3.84%.

En la evolución natural de la seguridad de la información vemos cómo este tema penetra en distintas áreas de la
organización. Para este año, el área de seguridad continúa bajo el comando del área de tecnología de la información,
con un 37,65%, lo que nos muestra que sigue siendo la seguridad para las empresas un asunto tecnológico y no global,
como lo refleja la tendencia mundial. Esto significa que las organizaciones tienen que madurar en su visión de la
seguridad de la información como apoyo del negocio.

No obstante, al comparar el año inmediatamente anterior vemos que el cargo de director de seguridad, presenta el
mayor incremento, alineado con la tendencia mundial de tener un responsable directo y definido para tratar y trabajar los
temas de seguridad de la información. De igual manera, vemos que las organizaciones de los sectores participantes,
aún no tienen definido el rol ni identificados los responsables, lo que hace que las responsabilidades en materia de
seguridad estén diluidas por completo
2. PRESUPUESTOS

En las organizaciones, la información continúa siendo reconocida como fuente inagotable para hacer negocios. Las
industrias de los distintos sectores consideran que frente a los constantes ataques, es necesario protegerla. Mas del 80%
de los encuestados identifican esta situación; así las cosas, es necesario pensar en que los procesos, la tecnología y los
recursos humanos que las organizaciones poseen deben estar volcados en poder proteger la información. Frente al año
anterior, se registra una disminución de dicha tendencia, es decir, de reconocer a la información como un activo de vital
importancia para la empresa.

Ahora bien, considerando esa tendencia de reconocer la información como un activo de vital importancia, es necesario
definir presupuestos suficientes para diseñar e implementar controles en las organizaciones. Para este año encontramos
que cerca del 60% de los encuestados cuentan con un presupuesto asignado para atender las necesidades de la
entidad, aunque frente al año anterior hay una disminución importante en la presencia de este rubro dentro de las
organizaciones.

Es necesario revisar la forma en cómo este presupuesto es asignado porque para este año, permanece el
desconocimiento en estos temas entre los encuestados –un 47,42%-, pero las demás personas sí manifiestan conocer
los porcentajes del presupuesto general. Es por ello que encontramos que entre el 0 y 2% (23,71) del presupuesto global
de la organización es asignado para los temas de seguridad, como segundo valor importante en esta categoría.

Seguido de un 3 a 5% (15,46%). Lo que muestra esta situación y se revalida con la tendencia internacional es que las
inversiones en seguridad son cada vez más necesarias, toda vez que es necesario definir procesos, poseer recursos y
contar con controles tecnológicos y no tecnológicos para ayudar en la protección de la información, permitiendo con ello
construir un proceso de cultura dentro de la organización para ser más competitivos en el mercado actual.

Ahora bien, al revisar en qué se gastan los presupuestos las organizaciones encontramos cosas muy interesantes.
Vemos cómo la protección de la red sigue siendo el componente más fuerte en los diferentes sectores de la industria,
(80,86%). Sin embargo, al revisar el año pasado, lo que más crece en este 2013 está relacionado con las evaluaciones
de seguridad, 11.33% de incremento frente a 2012. Proteger los datos críticos de la organización ocupa el segundo lugar
con un 61,73%), lo que nos muestra que la organización sí reconoce la información como activo vital. De la misma forma
refleja la realización de los ejercicios para identificar la información, clasificarla y con ello implementar los controles
necesarios, además de mostrar cómo se enfocan los presupuestos en temas puntuales alrededor de controles a la
información crítica de las organizaciones. En tercer lugar figura proteger las aplicaciones. El 53,29% de los encuestados
considera que es necesario invertir en esta acción, que coincide con que cada vez más tenemos un conjunto de
aplicaciones expuestas a Internet sometidas a los peligros que este medio de comunicación ofrece.

3. FALLAS DE SEGURIDAD

Los incidentes de seguridad son una realidad a nivel mundial, de ahí que muchas organizaciones con las mejores
infraestructuras de seguridad son vulneradas con ataques efectivos y mucho más especializados. Por tal razón, vemos
cómo los grupos de atención a incidentes están llegando a niveles importantes.

En la realidad nacional se observa la misma tendencia. Por un lado un gran porcentaje de los encuestados contesta que
no conocen si se han presentado incidentes en sus organizaciones (38,27%), pero también encontramos que más del
55% indica haber tenido incidentes de seguridad en sus organizaciones. Frente al año anterior, las incidencias entre 4 y
7 incrementan en un 16%, lo que muestra que nuestros panoramas de anomalías son reales, y lo positivo es que se está
pensando en poder enfrentarlas con procesos claros y apoyados en la tecnología.
Es necesario saber qué sucede para poder informar a todas las comunidades y sobre todo apoyar a otros en la definición
de sus estrategias de defensa. Es por eso que se preguntan los tipos de incidentes a los que se han visto expuestos,
para informar y alertar a la comunidad sobre las tendencias de los ataques identificados.

Este año los encuestados manifiestan que el software no autorizado (55,56%) es lo que más se ha presentado.
En segundo lugar, figuran Virus/Caballos de Troya (46,3%), tendencia mundial que se mantiene en Colombia. Como
tercer tipo de incidente aparecen los accesos no autorizados a la web (32,1%), resulta que refleja la debilidad de
nuestros portales web y la necesidad de fortalecer los esquemas de protección alrededor de las aplicaciones en la red.
La fuga de información sigue en la escala de lo identificado (19,14%), lo que muestra el panorama actual de los peligros
existentes.
4. HERRAMIENTAS Y PRÁCTICAS DE SEGURIDAD
Más del 50% de los encuestados dice al menos haber realizado una evaluación de seguridad en su organización,
tendencia que se mantiene como una práctica adecuada para velar por el estado de salud de los ambientes sobre los
cuales se prestan los servicios de las empresas. Llama la atención este 2013, que el porcentaje más alto 39,51%
manifiesta haber realizado una prueba de seguridad en el año, hecho positivo que muestra la preocupación por tales
asuntos dentro de las organizaciones.

Los mecanismos más usados en la realidad nacional son los antivirus con un 94,44%, como primer mecanismo de
protección en las organizaciones. En segundo lugar los firewall, con el 90%; y, en tercer lugar, las contraseñas, con un
82%. Es importante ver cómo estos mecanismos estándar en la protección, siguen siendo validos, pese a las situaciones
a las que se ven enfrentados, que nos muestran un panorama retador, en donde es necesario entender que no son
suficientes para proteger la información.
5. POLÍTICAS DE SEGURIDAD

Este año vemos cómo la política de seguridad y la madurez de las organizaciones frente al tema han aumentado, al
punto de que el porcentaje más alto, 45,06%, cuenta con una política formalmente establecida, lo que muestra una
madurez de las organizaciones por tener un marco institucional alrededor de la seguridad, además de definir una
intención clara y una directriz sobre cómo debe considerarse la seguridad de la información dentro de las empresas.

Como consecuencia de poseer una política de seguridad es necesario saber si las organizaciones tienen un marco para
manejar y gestionar sus riesgos. Este año se incluyó una pregunta a los encuestados para determinar la práctica de
evaluar sus riesgos dentro de la organización. Encontramos que un 54% de los encuestados la realiza; un 29,6% lo
practica una vez al año; un 12,96% dos veces al año; y, 11,73% más de dos veces al año. Tales resultados indican que
a las organizaciones sí les interesa el tema y que poseen una serie de procesos claros para poderlo hacer. Así
mismo, que disponen de una serie de recursos humanos especializados para realizar dicha labor.
Por otro lado y consecuentemente con la intención de la organización, están las buenas prácticas en materia de
seguridad, para determinar cómo guiar sus esfuerzos para la construcción de un modelo sostenible en materia de
seguridad, adaptado a cada una de las organizaciones de la industria.
Las buenas prácticas son modelos seguidos por cientos de organizaciones a nivel mundial, y como tendencia
internacional son parámetros ampliamente aceptados que permiten a las organizaciones mejorar y direccionar los
esfuerzos frente a la forma de abordar los temas de seguridad. Pero como la misma tendencia internacional sugiere, son
modelos que deben ser adaptados y no copiados al pie de la letra, porque no necesariamente garantizan la seguridad en
las organizaciones que los implementan. Para la realidad nacional vemos cómo ISO 27001 es el estándar más usado,
con un 62.35% de participación; ITIL con un 37% de participación; y, Cobit en tercer lugar, con el 31% de selección, por
parte de los encuestados. No obstante, aún existe una población bastante alta que no contempla el uso de ningún
estándar para organizar de manera interna los procesos de seguridad, lo que deja entrever un poco de descontrol a la
hora de gobernar la seguridad; simplemente ven la seguridad como un problema tecnológico, que por sí solo, ha
demostrado no resolver nada en lo absoluto.

6. CAPITAL INTELECTUAL

Contar con los recursos necesarios y las habilidades suficientes es factor clave, a la hora de

ge
stionar la seguridad de la información. En la realidad nacional, al indagar por cuántas personas están dedicadas en las
empresas, tenemos resultados interesantes. Lo mas seleccionado por los encuestados con un 53,09%, apunta entre 1 a
5 personas en las áreas de seguridad. Lo que confirma lo planteado en este informe en el sentido de que la seguridad ha
calado en las organizaciones y se requiere un responsable, además de un equipo de trabajo. Un 25% de los
encuestados manifiesta no disponer de personas dedicadas a atender los asuntos de seguridad, lo que demuestra que
dicha responsabilidad está diluida en otras áreas y se trata de un tema secundario. Comparando los resultados del año
anterior, se refleja que las áreas de seguridad han empezado a crecer y vemos un incremento cercano al 6%, con
respecto a 2012. Los grupos de 6 a 10 personas dedicadas a la seguridad tienen cabida dentro de las organizaciones, lo
que muestra una madurez en la seguridad y una mayor cantidad de responsabilidades que requieren de personal para
ser atendidas. En otras palabras, los aspectos de seguridad si existen en nuestro país y están siendo demandados.
Sobre la experiencia profesional, encontramos que en Colombia, más del 80% de los encuestados considera que el
personal de seguridad debe tener, por lo menos, un año de experiencia en los temas de seguridad de la información. El
número más significativo está en las personas solicitadas con más de dos años de experiencia; el 47.53% de los
encuestados considera que es el tiempo adecuado de experiencia para trabajar en sus distintas organizaciones. Es
decir, tales resultados muestran que se buscan personas con capacidades adquiridas que puedan empezar procesos
que sean los más adecuados para las organizaciones.

Sobre las calificaciones más adecuadas como valor agregado, a la hora de trabajar en los temas de seguridad de la
información, el 51% de los encuestados manifiesta que la gente que trabaja en seguridad de la información no posee
ninguna certificación o valor adicional a su formación profesional universitaria o de postgrado. Pero, continúan siendo
CISSP con un 21.6%; CISM con un 14.2%; y, otras certificaciones con un 19.14%, como ISO 27001, CEH entre las más
obtenidas en la industria nacional. Pero, dentro de sus preferencias los encuestados muestran que quien trabaje en
seguridad de la información debe tener CISSP (87%), CISM (68%), CISA (58%), como las certificaciones más
adecuadas. Así las cosas, dentro de las empresas necesitamos personas con experiencia, que dispongan de un plus
adicional para trabajar en los temas de protección de la información.

Conclusiones generales

Los resultados generales que sugiere la encuesta podríamos resumirlos en algunas breves reflexiones:

1. Las regulaciones nacionales e internacionales llevarán a las organizaciones en Colombia a fortalecer los
sistemas de gestión de la seguridad de la información. En la actualidad, la norma de la Superfinanciera
comienza a cambiar el panorama de la seguridad de la información en la banca y en el país.

2. La industria en Colombia exige más de dos años de experiencia en seguridad informática, como requisito
para optar por una posición en esta área. De igual forma, se nota que, poco a poco, el mercado de
especialistas en seguridad de la información toma fuerza, pero que todavía la oferta de programas académicos
formales es limitada, lo que hace que las organizaciones opten por contratar a profesionales con poca
experiencia en seguridad y prefieran formarlos localmente.

3. Las certificaciones CISM, CRISC, CISA, CISSP son la más valoradas por el mercado y las que marcan la
diferencia para su desarrollo y contratación, a la hora de considerar un proyecto de seguridad de la
información.

4. Las cifras siguen mostrando a los antivirus como mecanismos tradicionales de protección; a las
contraseñas, los firewalls de software y hardware como los más utilizados, seguidos por los sistemas VPN y
proxies, así como un aumento creciente en el uso de certificados digitales. Existe un marcado interés por las
herramientas de cifrado de datos y los firewalls de bases de datos, que establecen dos tendencias emergentes
ante las frecuentes fugas de información y migración de las aplicaciones web, en el contexto de servicios o
web services; y la biometría como mecanismo alterno de protección de la información.

5. Frente a las amenazas electrónicas, se nota una focalización o centralización de los ataques informáticos;
pasamos de virus genéricos a ataques dirigidos y con objetivo, que disminuyen en su capacidad de replicación,
pero aumentan en su efecto organizacional.

6. En la realidad nacional se nota un esfuerzo alrededor de la gestión de los incidentes. Sin señalar que
estamos bien, el esfuerzo por entender este escenario como parte fundamental del modelo de seguridad de la
información de la organización, muestra una mejoría significativa en dicha gestión. Así mismo, las relaciones
que se han venido fortaleciendo con los entes judiciales son esfuerzos logrados en los diferentes tipos de
industrias, en pro del mejoramiento.
 7. Este año se observa cómo los procesos y la gestión de seguridad de la información continúan
afianzándose en el Gobierno y los diferentes sectores de la industria. Se observa una evolución interesante, en
el sentido de pasar de una inseguridad informática, a un proceso elaborado de inseguridad de la información,
donde el riesgo ayuda a introducir en la agenda de los ejecutivos de las organizaciones, la seguridad de la
información, como una herramienta para poder ofrecer servicios, y productos de una manera más confiable. No
obstante, es necesario continuar cerrando de manera sistemática las brechas, toda vez que los enemigos
virtuales nunca se detienen, y todo el tiempo redefinen el panorama de las amenazas, así como los vectores
de las mismas.

8. Los estándares internacionales de la industria se ven reflejados en Colombia en las buenas prácticas en
seguridad de la información. Es por eso, que ISO 27000, ITIL y Cobit 4.1 se consolidan como marcos para
construir arquitecturas de seguridad de la información y muestran en forma sistemática su importancia, en la
construcción de modelos para ayudar a gobernar la seguridad de la información.

9. La inversión en seguridad de la información todavía está concentrada en tecnología como las redes y sus
componentes, así como en la protección de datos de los clientes y un ligero interés en el tema de control de la
propiedad intelectual y derechos de autor. Sin embargo, las inversiones han ganado terreno en los temas de
procesos, políticas y procedimiento; es decir, los temas no técnicos de la seguridad, los cuales muestran la
evolución de la misma, con énfasis en la construcción de modelos sostenibles, sin importar las tecnologías de
protección utilizadas.

REFERENCIAS

[1] PRICEWATERHOUSECOOPERS (2013). The Global State of Information Security

Study.http://www.pwc.com/gx/en/information-security-survey

[2] INTERNET SECURITY THREAT REPORT. Symantec. http://www.symantec.com/threatreport/

[3] CISO Pulse Survey Analysis – Segmented Prepared for Tripwire, Inc.