Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción.
Del total de encuestados encontramos una alta población que respondió, perteneciente al sector de las tecnologías de
información con un incremento del 3.46%, frente al año anterior. Se trata de directores de las áreas de seguridad de la
información, hecho que muestra la importancia del cargo para las organizaciones y el interés por mantener un panorama
nacional identificado como escenario frente a la seguridad de la información.
En esta ocasión y como en el año anterior, se han vinculado otros países, entre ellos, Uruguay, Argentina, Paraguay,
Venezuela, México, España, Bolivia, Cuba, entre otros de habla hispana, con el propósito de adelantar este mismo
ejercicio en sus respectivos lugares, cuyos resultados estarán disponibles en el sitio web de la Asociación Colombiana
de Ingenieros de Sistemas, ACIS (www.acis.org.co).
El análisis presentado a continuación se desarrolló con base en una muestra aleatoria y de manera interactiva, a través
de una página web dispuesta por ACIS para tal fin. Dadas las limitaciones de tiempo y recursos disponibles en la
Asociación, se ha realizado un conjunto de análisis básicos, los cuales pretenden ofrecer los elementos más
sobresalientes de los resultados obtenidos, para orientar al lector sobre las tendencias identificadas en el estudio.
RESUMEN
La seguridad de la información toma más fuerza dentro de las organizaciones, y vemos cómo cada vez más, las agendas
organizacionales contemplan de alguna manera los escenarios de protección de la información, como parte de las
preocupaciones internas.
Un creciente escenario de anomalías electrónicas, unas regulaciones vigentes, unas tecnologías de protección cada vez
más limitadas, y una mayor dependencia de la tecnología dentro de la forma de hacer negocios, muestra cómo la
necesidad de proteger la información es más relevante. Bajo esa misma óptica vemos unos ejecutivos de la seguridad
más preocupados por utilizar lenguajes más cercanos a la organización e interesados en tratar de entregar soluciones
que armonicen las relaciones de funcionalidad y protección dentro del marco del negocio. Encontramos responsables de
seguridad más preocupados en ver cómo la seguridad de la información debe aportar valor a la empresa y de esta forma
se diseñan planes para tener una sensación adecuada de confianza frente a los negocios, sumado al valor ofrecido a sus
diferentes clientes.
También se observa a los encargados de seguridad involucrados en crear unos procesos de cultura alrededor de la
organización –es una tendencia mundial-, y muchos coinciden en que el factor clave de la seguridad no es la cantidad de
tecnologías alrededor del tema, sino una adopción clara de dicha cultura, encaminada a proteger el activo estratégico de
la organización, denominado información. Los ejecutivos de la seguridad están convencidos de que la alineación de la
seguridad y los objetivos del negocio es clave en los procesos de construcción de la cultura de seguridad. Así mismo,
quienes administran la seguridad y operan el día a día están preocupados por las regulaciones y su cumplimiento, como
parte de sus actividades en la construcción de la cultura de seguridad de la información.
TOP DE HALLAZGOS
A continuación se describen los 10 principales hallazgos de la encuesta que contempla 39 preguntas diseñadas para
obtener una visión de lo que, año tras año, representa la seguridad de la información en las organizaciones nacionales.
1. DEMOGRAFÍA
Con base en las respuestas obtenidas, los tres sectores más representativos de la industria para este año están
distribuidos entre educación, con un 19.75%, seguida de los servicios financieros que mantienen la tendencia de
participación en la encuesta, representada en 18.52%. Y, en tercer lugar, figura el sector Gobierno, con una participación
del 12.96%.
Estos tres sectores de gran importancia muestran la forma en cómo la seguridad de la información penetra en los
sectores empresariales. A nivel mundial vemos cómo los Gobiernos se preocupan más por el ciberespacio, al que
algunos denominan la nueva frontera de las guerras venideras. De otro lado, el sector educativo ve con preocupación la
seguridad, teniendo en cuenta los repetidos ataques a sus infraestructuras, originados por los débiles diseños que exigen
mejorar los esquemas. Por su parte, los sectores financieros se ven enfrentados a cumplir con una serie de controles
para cumplir con ese competido negocio, considerando la globalización de las economías y la normatividad nacional e
internacional.
Los resultados de este año muestran cómo las empresas de gran tamaño marcan la tendencia mundial, en la forma
como se preocupan por los temas de protección y seguridad de la información. Vemos en este 2013, empresas con más
de 1000 empleados y corresponden a la participación más importante en la encuesta de Colombia, con un 42,59%. De
igual manera, las medianas y pequeñas empresas tienen una participación importante, en todos los sectores de las
industrias del país. Comparativamente con el año anterior, vemos que las empresas desde 100 empleados a 200
tuvieron un incremento del 4.49% de participación; y, las de 501 a 1000 empleados incrementaron su participación en un
3.84%.
En la evolución natural de la seguridad de la información vemos cómo este tema penetra en distintas áreas de la
organización. Para este año, el área de seguridad continúa bajo el comando del área de tecnología de la información,
con un 37,65%, lo que nos muestra que sigue siendo la seguridad para las empresas un asunto tecnológico y no global,
como lo refleja la tendencia mundial. Esto significa que las organizaciones tienen que madurar en su visión de la
seguridad de la información como apoyo del negocio.
No obstante, al comparar el año inmediatamente anterior vemos que el cargo de director de seguridad, presenta el
mayor incremento, alineado con la tendencia mundial de tener un responsable directo y definido para tratar y trabajar los
temas de seguridad de la información. De igual manera, vemos que las organizaciones de los sectores participantes,
aún no tienen definido el rol ni identificados los responsables, lo que hace que las responsabilidades en materia de
seguridad estén diluidas por completo
2. PRESUPUESTOS
En las organizaciones, la información continúa siendo reconocida como fuente inagotable para hacer negocios. Las
industrias de los distintos sectores consideran que frente a los constantes ataques, es necesario protegerla. Mas del 80%
de los encuestados identifican esta situación; así las cosas, es necesario pensar en que los procesos, la tecnología y los
recursos humanos que las organizaciones poseen deben estar volcados en poder proteger la información. Frente al año
anterior, se registra una disminución de dicha tendencia, es decir, de reconocer a la información como un activo de vital
importancia para la empresa.
Ahora bien, considerando esa tendencia de reconocer la información como un activo de vital importancia, es necesario
definir presupuestos suficientes para diseñar e implementar controles en las organizaciones. Para este año encontramos
que cerca del 60% de los encuestados cuentan con un presupuesto asignado para atender las necesidades de la
entidad, aunque frente al año anterior hay una disminución importante en la presencia de este rubro dentro de las
organizaciones.
Es necesario revisar la forma en cómo este presupuesto es asignado porque para este año, permanece el
desconocimiento en estos temas entre los encuestados –un 47,42%-, pero las demás personas sí manifiestan conocer
los porcentajes del presupuesto general. Es por ello que encontramos que entre el 0 y 2% (23,71) del presupuesto global
de la organización es asignado para los temas de seguridad, como segundo valor importante en esta categoría.
Seguido de un 3 a 5% (15,46%). Lo que muestra esta situación y se revalida con la tendencia internacional es que las
inversiones en seguridad son cada vez más necesarias, toda vez que es necesario definir procesos, poseer recursos y
contar con controles tecnológicos y no tecnológicos para ayudar en la protección de la información, permitiendo con ello
construir un proceso de cultura dentro de la organización para ser más competitivos en el mercado actual.
Ahora bien, al revisar en qué se gastan los presupuestos las organizaciones encontramos cosas muy interesantes.
Vemos cómo la protección de la red sigue siendo el componente más fuerte en los diferentes sectores de la industria,
(80,86%). Sin embargo, al revisar el año pasado, lo que más crece en este 2013 está relacionado con las evaluaciones
de seguridad, 11.33% de incremento frente a 2012. Proteger los datos críticos de la organización ocupa el segundo lugar
con un 61,73%), lo que nos muestra que la organización sí reconoce la información como activo vital. De la misma forma
refleja la realización de los ejercicios para identificar la información, clasificarla y con ello implementar los controles
necesarios, además de mostrar cómo se enfocan los presupuestos en temas puntuales alrededor de controles a la
información crítica de las organizaciones. En tercer lugar figura proteger las aplicaciones. El 53,29% de los encuestados
considera que es necesario invertir en esta acción, que coincide con que cada vez más tenemos un conjunto de
aplicaciones expuestas a Internet sometidas a los peligros que este medio de comunicación ofrece.
3. FALLAS DE SEGURIDAD
Los incidentes de seguridad son una realidad a nivel mundial, de ahí que muchas organizaciones con las mejores
infraestructuras de seguridad son vulneradas con ataques efectivos y mucho más especializados. Por tal razón, vemos
cómo los grupos de atención a incidentes están llegando a niveles importantes.
En la realidad nacional se observa la misma tendencia. Por un lado un gran porcentaje de los encuestados contesta que
no conocen si se han presentado incidentes en sus organizaciones (38,27%), pero también encontramos que más del
55% indica haber tenido incidentes de seguridad en sus organizaciones. Frente al año anterior, las incidencias entre 4 y
7 incrementan en un 16%, lo que muestra que nuestros panoramas de anomalías son reales, y lo positivo es que se está
pensando en poder enfrentarlas con procesos claros y apoyados en la tecnología.
Es necesario saber qué sucede para poder informar a todas las comunidades y sobre todo apoyar a otros en la definición
de sus estrategias de defensa. Es por eso que se preguntan los tipos de incidentes a los que se han visto expuestos,
para informar y alertar a la comunidad sobre las tendencias de los ataques identificados.
Este año los encuestados manifiestan que el software no autorizado (55,56%) es lo que más se ha presentado.
En segundo lugar, figuran Virus/Caballos de Troya (46,3%), tendencia mundial que se mantiene en Colombia. Como
tercer tipo de incidente aparecen los accesos no autorizados a la web (32,1%), resulta que refleja la debilidad de
nuestros portales web y la necesidad de fortalecer los esquemas de protección alrededor de las aplicaciones en la red.
La fuga de información sigue en la escala de lo identificado (19,14%), lo que muestra el panorama actual de los peligros
existentes.
4. HERRAMIENTAS Y PRÁCTICAS DE SEGURIDAD
Más del 50% de los encuestados dice al menos haber realizado una evaluación de seguridad en su organización,
tendencia que se mantiene como una práctica adecuada para velar por el estado de salud de los ambientes sobre los
cuales se prestan los servicios de las empresas. Llama la atención este 2013, que el porcentaje más alto 39,51%
manifiesta haber realizado una prueba de seguridad en el año, hecho positivo que muestra la preocupación por tales
asuntos dentro de las organizaciones.
Los mecanismos más usados en la realidad nacional son los antivirus con un 94,44%, como primer mecanismo de
protección en las organizaciones. En segundo lugar los firewall, con el 90%; y, en tercer lugar, las contraseñas, con un
82%. Es importante ver cómo estos mecanismos estándar en la protección, siguen siendo validos, pese a las situaciones
a las que se ven enfrentados, que nos muestran un panorama retador, en donde es necesario entender que no son
suficientes para proteger la información.
5. POLÍTICAS DE SEGURIDAD
Este año vemos cómo la política de seguridad y la madurez de las organizaciones frente al tema han aumentado, al
punto de que el porcentaje más alto, 45,06%, cuenta con una política formalmente establecida, lo que muestra una
madurez de las organizaciones por tener un marco institucional alrededor de la seguridad, además de definir una
intención clara y una directriz sobre cómo debe considerarse la seguridad de la información dentro de las empresas.
Como consecuencia de poseer una política de seguridad es necesario saber si las organizaciones tienen un marco para
manejar y gestionar sus riesgos. Este año se incluyó una pregunta a los encuestados para determinar la práctica de
evaluar sus riesgos dentro de la organización. Encontramos que un 54% de los encuestados la realiza; un 29,6% lo
practica una vez al año; un 12,96% dos veces al año; y, 11,73% más de dos veces al año. Tales resultados indican que
a las organizaciones sí les interesa el tema y que poseen una serie de procesos claros para poderlo hacer. Así
mismo, que disponen de una serie de recursos humanos especializados para realizar dicha labor.
Por otro lado y consecuentemente con la intención de la organización, están las buenas prácticas en materia de
seguridad, para determinar cómo guiar sus esfuerzos para la construcción de un modelo sostenible en materia de
seguridad, adaptado a cada una de las organizaciones de la industria.
Las buenas prácticas son modelos seguidos por cientos de organizaciones a nivel mundial, y como tendencia
internacional son parámetros ampliamente aceptados que permiten a las organizaciones mejorar y direccionar los
esfuerzos frente a la forma de abordar los temas de seguridad. Pero como la misma tendencia internacional sugiere, son
modelos que deben ser adaptados y no copiados al pie de la letra, porque no necesariamente garantizan la seguridad en
las organizaciones que los implementan. Para la realidad nacional vemos cómo ISO 27001 es el estándar más usado,
con un 62.35% de participación; ITIL con un 37% de participación; y, Cobit en tercer lugar, con el 31% de selección, por
parte de los encuestados. No obstante, aún existe una población bastante alta que no contempla el uso de ningún
estándar para organizar de manera interna los procesos de seguridad, lo que deja entrever un poco de descontrol a la
hora de gobernar la seguridad; simplemente ven la seguridad como un problema tecnológico, que por sí solo, ha
demostrado no resolver nada en lo absoluto.
6. CAPITAL INTELECTUAL
Contar con los recursos necesarios y las habilidades suficientes es factor clave, a la hora de
ge
stionar la seguridad de la información. En la realidad nacional, al indagar por cuántas personas están dedicadas en las
empresas, tenemos resultados interesantes. Lo mas seleccionado por los encuestados con un 53,09%, apunta entre 1 a
5 personas en las áreas de seguridad. Lo que confirma lo planteado en este informe en el sentido de que la seguridad ha
calado en las organizaciones y se requiere un responsable, además de un equipo de trabajo. Un 25% de los
encuestados manifiesta no disponer de personas dedicadas a atender los asuntos de seguridad, lo que demuestra que
dicha responsabilidad está diluida en otras áreas y se trata de un tema secundario. Comparando los resultados del año
anterior, se refleja que las áreas de seguridad han empezado a crecer y vemos un incremento cercano al 6%, con
respecto a 2012. Los grupos de 6 a 10 personas dedicadas a la seguridad tienen cabida dentro de las organizaciones, lo
que muestra una madurez en la seguridad y una mayor cantidad de responsabilidades que requieren de personal para
ser atendidas. En otras palabras, los aspectos de seguridad si existen en nuestro país y están siendo demandados.
Sobre la experiencia profesional, encontramos que en Colombia, más del 80% de los encuestados considera que el
personal de seguridad debe tener, por lo menos, un año de experiencia en los temas de seguridad de la información. El
número más significativo está en las personas solicitadas con más de dos años de experiencia; el 47.53% de los
encuestados considera que es el tiempo adecuado de experiencia para trabajar en sus distintas organizaciones. Es
decir, tales resultados muestran que se buscan personas con capacidades adquiridas que puedan empezar procesos
que sean los más adecuados para las organizaciones.
Sobre las calificaciones más adecuadas como valor agregado, a la hora de trabajar en los temas de seguridad de la
información, el 51% de los encuestados manifiesta que la gente que trabaja en seguridad de la información no posee
ninguna certificación o valor adicional a su formación profesional universitaria o de postgrado. Pero, continúan siendo
CISSP con un 21.6%; CISM con un 14.2%; y, otras certificaciones con un 19.14%, como ISO 27001, CEH entre las más
obtenidas en la industria nacional. Pero, dentro de sus preferencias los encuestados muestran que quien trabaje en
seguridad de la información debe tener CISSP (87%), CISM (68%), CISA (58%), como las certificaciones más
adecuadas. Así las cosas, dentro de las empresas necesitamos personas con experiencia, que dispongan de un plus
adicional para trabajar en los temas de protección de la información.
Conclusiones generales
Los resultados generales que sugiere la encuesta podríamos resumirlos en algunas breves reflexiones:
1. Las regulaciones nacionales e internacionales llevarán a las organizaciones en Colombia a fortalecer los
sistemas de gestión de la seguridad de la información. En la actualidad, la norma de la Superfinanciera
comienza a cambiar el panorama de la seguridad de la información en la banca y en el país.
2. La industria en Colombia exige más de dos años de experiencia en seguridad informática, como requisito
para optar por una posición en esta área. De igual forma, se nota que, poco a poco, el mercado de
especialistas en seguridad de la información toma fuerza, pero que todavía la oferta de programas académicos
formales es limitada, lo que hace que las organizaciones opten por contratar a profesionales con poca
experiencia en seguridad y prefieran formarlos localmente.
3. Las certificaciones CISM, CRISC, CISA, CISSP son la más valoradas por el mercado y las que marcan la
diferencia para su desarrollo y contratación, a la hora de considerar un proyecto de seguridad de la
información.
4. Las cifras siguen mostrando a los antivirus como mecanismos tradicionales de protección; a las
contraseñas, los firewalls de software y hardware como los más utilizados, seguidos por los sistemas VPN y
proxies, así como un aumento creciente en el uso de certificados digitales. Existe un marcado interés por las
herramientas de cifrado de datos y los firewalls de bases de datos, que establecen dos tendencias emergentes
ante las frecuentes fugas de información y migración de las aplicaciones web, en el contexto de servicios o
web services; y la biometría como mecanismo alterno de protección de la información.
5. Frente a las amenazas electrónicas, se nota una focalización o centralización de los ataques informáticos;
pasamos de virus genéricos a ataques dirigidos y con objetivo, que disminuyen en su capacidad de replicación,
pero aumentan en su efecto organizacional.
6. En la realidad nacional se nota un esfuerzo alrededor de la gestión de los incidentes. Sin señalar que
estamos bien, el esfuerzo por entender este escenario como parte fundamental del modelo de seguridad de la
información de la organización, muestra una mejoría significativa en dicha gestión. Así mismo, las relaciones
que se han venido fortaleciendo con los entes judiciales son esfuerzos logrados en los diferentes tipos de
industrias, en pro del mejoramiento.
7. Este año se observa cómo los procesos y la gestión de seguridad de la información continúan
afianzándose en el Gobierno y los diferentes sectores de la industria. Se observa una evolución interesante, en
el sentido de pasar de una inseguridad informática, a un proceso elaborado de inseguridad de la información,
donde el riesgo ayuda a introducir en la agenda de los ejecutivos de las organizaciones, la seguridad de la
información, como una herramienta para poder ofrecer servicios, y productos de una manera más confiable. No
obstante, es necesario continuar cerrando de manera sistemática las brechas, toda vez que los enemigos
virtuales nunca se detienen, y todo el tiempo redefinen el panorama de las amenazas, así como los vectores
de las mismas.
8. Los estándares internacionales de la industria se ven reflejados en Colombia en las buenas prácticas en
seguridad de la información. Es por eso, que ISO 27000, ITIL y Cobit 4.1 se consolidan como marcos para
construir arquitecturas de seguridad de la información y muestran en forma sistemática su importancia, en la
construcción de modelos para ayudar a gobernar la seguridad de la información.
9. La inversión en seguridad de la información todavía está concentrada en tecnología como las redes y sus
componentes, así como en la protección de datos de los clientes y un ligero interés en el tema de control de la
propiedad intelectual y derechos de autor. Sin embargo, las inversiones han ganado terreno en los temas de
procesos, políticas y procedimiento; es decir, los temas no técnicos de la seguridad, los cuales muestran la
evolución de la misma, con énfasis en la construcción de modelos sostenibles, sin importar las tecnologías de
protección utilizadas.
REFERENCIAS
[3] CISO Pulse Survey Analysis – Segmented Prepared for Tripwire, Inc.