Encuesta Nacional de Seguridad 2018

Aprendiendo a crecer y construir posturas de seguridad digital

Andres Ricardo Almanza Junco

@andresr_Almanza

conéctate@cisos.club

facilitador@andresalmanza.co

Capital Intelectual

Certificaciones deseadas

Certificaciones poseídas

Dedicación de personas a seguridad

Experiencia de las personas en seguridad

Papel de Educación

Demografía

Cargo

Dependencia de la Seguridad

Responsabilidades profesional seguridad

Roles Seguridad

Sector

Tamaño

Herramientas y practicas de Seguridad

Como es informado de fallas de seguridad

Evaluaciones de Seguridad

Soluciones de Seguridad

Incidentes de Seguridad

A quien notifica incidente

Cantidad Incidentes

Como denunciaría incidentesConsciencia de EvidenciaContactos Autoridades

e-discoveryMotivos no denuncia Incidentes

Procedimiento de evidencia

Tipo de Incidentes

Políticas de Seguridad

Cuantas Evaluaciones de RiesgosEstado Política de Seguridad

Estándares de Seguridad

Evaluación de riesgosMetodología de Riesgos

Obstáculos a la Seguridad

Razones de no riesgos

Regulación aplicable

Tipo de Metodología de Riesgos

Tipos de Riesgos asociados

Presupuestos

% Presupuesto(Total)

Concentracion de la Inversión

Presupuesto Asignado

Rubro Financiero Seguridad

Temas EmergentesBrechas de un CISOCISO entrega de Información

Consciencia Directivos SeguridadTipo de CISO

Generalidades21%

15%

13%12%

11%

10%

5%

4%

3%2% 2%

1% 1%

Sectores

Servicios Financieros y Banca

Consultoría Especializada

Gobierno / Sector público

Educación

Otros (especifique)

Telecomunicaciones

Salud

Sector de Energía e Hidrocarburos

Manufactura

Construcción / Ingeniería

Retail / Consumo masivo

Alimentos

Fuerzas Armadas

1001 - 5000 empleados, 36%

Mayor de 5001 empleados, 17%

501 - 1000 empleados, 13%

201 - 500 empleados, 12%

51 - 200 empleados, 12%

1 - 50 empleados, 10%

Tamaños

1001 - 5000 empleados

Mayor de 5001 empleados

501 - 1000 empleados

201 - 500 empleados

51 - 200 empleados

1 - 50 empleados

Servicios Financieros y Banca

Consultoría Especializada

Gobierno / Sector público

Educación

Otros (especifique)

Telecomunicaciones

Salud

Sector de Energía e Hidrocarburos

Manufactura

Retail / Consumo masivo

Construcción / Ingeniería

Fuerzas Armadas

Generalidades

17%

16%

14%

12%

10%

9%

8%

6%

5%

2%

0%

0%

0%

Auditor Interno/Externo

Otro (especifique)

Profesional de Departamento de Sistemas/Tecnología

Oficial de Seguridad de la Información (CISO)

Director/Jefe de Sistemas/Tecnología

Profesional del Departamento de SeguridadInformática

Asesor/Consultor externo

Director/Jefe de Seguridad de la información

Oficial de Seguridad Informática (ISO)

Director Ejecutivo

Director/Vicepresidente

Oficial de Riesgos Corporativos (CRO)

Presidente/Gerente General

Cargo

Otros. Son cargos relacionados con la seguridad.Docentes/Investigadores/ Otros gerentes

Servicio

s Finan

cieros y B

anca

Co

nsu

ltoría Esp

ecializada

Go

bie

rno

/ Sector p

úb

lico

Edu

cación

Otro

s (especifiq

ue)

Teleco

mu

nicacio

ne

s

Salud

Secto

r de En

ergía e H

idro

carbu

ros

Man

ufactu

ra

Re

tail / Co

nsu

mo

masivo

Co

nstru

cción

/ Ingen

iería

Fue

rzas Arm

adas

Alim

en

tos

Auditor Interno/Externo

Otro (especifique)

Profesional de Departamento deSistemas/Tecnología

Oficial de Seguridad de laInformación (CISO)

Director/Jefe deSistemas/Tecnología

Profesional del Departamento deSeguridad Informática

Asesor/Consultor externo

Director/Jefe de Seguridad de lainformación

Oficial de Seguridad Informática(ISO)

Director Ejecutivo

Presidente/Gerente General

Director/Vicepresidente

Oficial de Riesgos Corporativos(CRO)

Generalidades

Se

rvic

ios F

inancie

ros y

Ba

nca

Consultorí

a E

specia

lizada

Gobie

rno / S

ecto

r públic

o

Ed

ucació

n

Otr

os (

especifiq

ue)

Te

lecom

unic

acio

nes

Sa

lud

Se

cto

r de E

nerg

ía e

Hid

rocarb

uro

s

Ma

nufa

ctu

ra

Reta

il / C

onsum

o m

asiv

o

Constr

ucció

n / Inge

nie

ría

Fu

erz

as A

rma

das

Alim

ento

s

Director/Jefe de Seguridad de lainformación

Vicepresidente/DirectorDepartamento deSistemas/Tecnología

Otro (especifique)

Director/Jefe de SeguridadInformática

No se tiene especificadoformalmente

Vicepresidente/Gerente deRiesgos

Auditoría interna

Vicepresidente/Gerente Ejecutivo

Vicepresidente/Gerente dePlaneación

Vicepresidente/Gerente deCumplimiento

Se encuentra tercerizada en otraorganización

Vicepresidente/Gerente deOperaciones

Vicepresidente/Gerente deFinanzas

28%

18%

12%

11%

11%

10%

4%

3%

2%

1%

1%

1%

0%

0% 10% 20% 30%

Director/Jefe de Seguridad de la información

Vicepresidente/Director Departamento deSistemas/Tecnología

Otro (especifique)

Director/Jefe de Seguridad Informática

No se tiene especificado formalmente

Vicepresidente/Gerente de Riesgos

Auditoría interna

Vicepresidente/Gerente Ejecutivo

Vicepresidente/Gerente de Planeación

Vicepresidente/Gerente de Cumplimiento

Se encuentra tercerizada en otra organización

Vicepresidente/Gerente de Operaciones

Vicepresidente/Gerente de Finanzas

De

pe

nd

en

cia

de

la S

eg

urid

ad

Generalidades

Actividades del Responsible de Seguridad

Analista de Seguridad de la Información

Otros Roles

Oficial de Riesgos Corporativos (CRO)

Experto forense digital / Investigador Forense Digital

Primer respondiente / gestionador de incidentes de seguridad

Oficial de Cumplimiento Corporativo ( CCO)

No cuenta con ningún rol dedicado a la seguridad de la información

Oficial de Seguridad Informática (ISO)

Consultor de Seguridad de la Información

Arquitectos de Seguridad

Especialista en ciberseguridad y ciberdefensa

Ingeniero especialista en pruebas de seguridad informática (Penetración tester, Vulnerability tester, etc.)

Oficial de Seguridad de la Información (CISO)

Analista de Seguridad Informática (Redes, Información, Aplicaciones)

Analista de Seguridad de la Información

Servicios Financieros y Banca

Consultoría Especializada

Telecomunicaciones

Otros (especifique)

Gobierno / Sector público

Educación

Sector de Energía eHidrocarburos

Manufactura

Retail / Consumo masivo

Alimentos

Fuerzas Armadas

Salud

Construcción / Ingeniería

Cuenta de Analista de Seguridad de laInformación

Cuenta de Primer respondiente / gestionadorde incidentes de seguridad

Cuenta de Oficial de Seguridad Informática(ISO)

Cuenta de Oficial de Seguridad de laInformación (CISO)

Cuenta de Oficial de Riesgos Corporativos(CRO)

Cuenta de Oficial de Cumplimiento Corporativo( CCO)

Cuenta de Ingeniero especialista en pruebas deseguridad informática (Penetración tester,Vulnerability tester, etc.)

Cuenta de Experto forense digital /Investigador Forense Digital

Cuenta de Especialista en ciberseguridad yciberdefensa

Cuenta de Consultor de Seguridad de laInformación

Cuenta de Analista de Seguridad Informática(Redes, Información, Aplicaciones)

Cuenta de Auditor de seguridad de lainformación

Cuenta de Arquitectos de Seguridad

Cuenta de No cuenta con ningún rol dedicado ala seguridad de la información

Cuenta de Otros (especifique)

Roles encontrados

Presupuestos

54%

21%

14%

2% 4%6%

No cuento conesa información

Entre el 0 y el2%

Entre el 3 y el5%

Entre el 6 y el8%

Entre el 9 y el11%

Más del 11%

% Global del presupuesto

62%

10%

7%

6%

6%

5%

4%

1%

No cuento con esa información

Menor de USD$20.000

Entre USD$110.001 y USD$130.000

Más de USD$130.001

Entre USD$90.001 y USD$110.000

Entre USD$20.001 y USD$50.000

Entre USD$50.001 y USD$70.000

Entre USD$70.001 y USD$90.000

Presupuesto de Seguridad

52%

40%

35%34%

33%

4%

Inversiones de Seguridad Adquisición e implementación detecnología de seguridad informática

Renovación de licenciamiento ymantenimiento de hardware y software

Contratación de servicios deasesoría/consultoría

Servicios de monitoreo y gestión deseguridad con terceros

Capacitación/Actualización del personalde seguridad de la información

Otro (especifique):

76%

24%

Si No

Rubro Financiero

Presupuestos

Má

s d

e U

SD

$130.0

01

En

tre U

SD

$110.0

01 y

US

D$130.0

00

En

tre U

SD

$90.0

01 y

US

D$110.0

00

En

tre U

SD

$50.0

01 y

US

D$70.0

00

Me

nor d

e U

SD

$20.0

00

En

tre U

SD

$90.0

01 y

US

D$110.0

00

En

tre U

SD

$20.0

01 y

US

D$50.0

00

Me

nor d

e U

SD

$20.0

00

En

tre U

SD

$110.0

01 y

US

D$130.0

00

En

tre U

SD

$70.0

01 y

US

D$90.0

00

En

tre U

SD

$20.0

01 y

US

D$50.0

00

Me

nor d

e U

SD

$20.0

00

Má

s d

e U

SD

$130.0

01

En

tre U

SD

$110.0

01 y

US

D$130.0

00

En

tre U

SD

$50.0

01 y

US

D$70.0

00

Me

nor d

e U

SD

$20.0

00

En

tre U

SD

$110.0

01 y

US

D$130.0

00

En

tre U

SD

$50.0

01 y

US

D$70.0

00

Me

nor d

e U

SD

$20.0

00

En

tre U

SD

$110.0

01 y

US

D$130.0

00

En

tre U

SD

$50.0

01 y

US

D$70.0

00

En

tre U

SD

$20.0

01 y

US

D$50.0

00

Me

nor d

e U

SD

$20.0

00

Má

s d

e U

SD

$130.0

01

En

tre U

SD

$50.0

01 y

US

D$70.0

00

En

tre U

SD

$110.0

01 y

US

D$130.0

00

En

tre U

SD

$90.0

01 y

US

D$110.0

00

Me

nor d

e U

SD

$20.0

00

En

tre U

SD

$20.0

01 y

US

D$50.0

00

Me

nor d

e U

SD

$20.0

00

En

tre U

SD

$50.0

01 y

US

D$70.0

00

Servicios Financieros y Banca

EducaciónConsultoría Especializada

Telecomunicaciones

Otros (especifique)Gobierno / Sector público

Sector de Energía e HidrocarburosRetail / Consumo masivo

Construcción / IngenieríaManufactura

Entre el 0 y el 2% Entre el 3 y el 5% Entre el 6 y el 8% Entre el 9 y el 11% Más del 11%

Serv

icio

s F

inan

cie

ros

y B

anca

Gob

iern

o / S

ecto

rpú

blic

o

Co

nsulto

ríaE

sp

ecia

lizad

a

Otro

s (e

specifiq

ue)

Educació

n

Tele

com

unic

acio

nes

Secto

r de

En

erg

ía e

Hid

rocarb

uro

s

Salu

d

Co

nstru

cció

n /

Ingen

iería

Re

tail / C

onsum

om

asiv

o

Alim

en

tos

Ma

nufa

ctu

ra

Count of Adquisición e implementación de tecnología de seguridad informática

Count of Capacitación/Actualización del personal de seguridad de la información

Count of Contratación de servicios de asesoría/consultoría

Count of Servicios de monitoreo y gestión de seguridad con terceros

Count of Renovación de licenciamiento y mantenimiento de hardware y software

Entre

US

D$1

10.0

01 y

US

D$1

30.0

00

Me

nor d

eU

SD

$2

0.0

00

Má

s d

eU

SD

$1

30.0

01

Entre

US

D$9

0.0

01 y

US

D$1

10.0

00

Entre

US

D$2

0.0

01 y

US

D$5

0.0

00

Entre

US

D$5

0.0

01 y

US

D$7

0.0

00

Entre

US

D$7

0.0

01 y

US

D$9

0.0

00

23.53%21.57%17.65%15.69%13.73%7.84%

18.75%21.88%15.63%

6.25%

15.63%18.75%

3.13%

24.32%27.03%

13.51%

18.92%

13.51%2.70%

22.86%11.43%20.00%

22.86%

11.43%

8.57%

2.86%

21.21%24.24%15.15%21.21%

6.06%

12.12% Renovación de Licenciamiento y

mantenimiento de hardware y software

Servicios de monitoreo y gestión de

seguridad con terceros

Contratación de servicios de

asesoría/consultoría

Capacitación/Actualización del personal de

seguridad de la información

Adquisición e implementación de tecnología

de seguridad informática

9.80%

7.84%

1.96%

7.84%

1.96%

1.96%

3.92%

1.96%

3.92%

7.84%

3.92%

1.96%

1.96%

3.92%

1.96%

5.88%

1.96%

1.96%

1.96%

5.88%

1.96%

1.96%

3.92%

1.96%

1.96%

1.96%

3.92%

1.96%

6.25%

9.38%

6.25%

3.13%

9.38%

3.13%

3.13%

12.50%

3.13%

3.13%

3.13%

6.25%

3.13%

3.13%

3.13%

3.13%

6.25%

3.13%

3.13%

3.13%

3.13%

2.70%

5.41%

10.81%

10.81%

2.70%

2.70%

2.70%

2.70%

2.70%

5.41%

5.41%

2.70%

2.70%

5.41%

2.70%

2.70%

2.70%

5.41%

2.70%

2.70%

8.11%

2.70%

2.70%

2.70%

11.43%

11.43%

2.86%

8.57%

2.86%

2.86%

2.86%

2.86%

5.71%

2.86%

5.71%

2.86%

5.71%

2.86%

2.86%

2.86%

2.86%

2.86%

2.86%

2.86%

2.86%

2.86%

2.86%

2.86%

9.09%

12.12%

3.03%

9.09%

3.03%

3.03%

3.03%

3.03%

3.03%

3.03%

6.06%

3.03%

3.03%

3.03%

6.06%

3.03%

3.03%

3.03%

3.03%

3.03%

3.03%

3.03%

3.03%

3.03%

Menor de USD$20.000

Más de USD$130.001

Entre USD$90.001 y USD$110.000

Entre USD$50.001 y USD$70.000

Entre USD$110.001 y USD$130.000

Menor de USD$20.000

Más de USD$130.001

Entre USD$50.001 y USD$70.000

Entre USD$20.001 y USD$50.000

Entre USD$110.001 y USD$130.000

Menor de USD$20.000

Entre USD$90.001 y USD$110.000

Entre USD$20.001 y USD$50.000

Más de USD$130.001

Entre USD$90.001 y USD$110.000

Entre USD$50.001 y USD$70.000

Menor de USD$20.000

Entre USD$50.001 y USD$70.000

Entre USD$110.001 y USD$130.000

Menor de USD$20.000

Entre USD$90.001 y USD$110.000

Entre USD$110.001 y USD$130.000

Menor de USD$20.000

Entre USD$70.001 y USD$90.000

Entre USD$50.001 y USD$70.000

Entre USD$20.001 y USD$50.000

Entre USD$110.001 y USD$130.000

Menor de USD$20.000

Más de USD$130.001

Entre USD$50.001 y USD$70.000

Entre USD$110.001 y USD$130.000

Menor de USD$20.000

Entre USD$20.001 y USD$50.000

Menor de USD$20.000

Entre USD$50.001 y USD$70.000

Se

rvic

ios

Fin

an

cie

ros y

Ba

nca

Go

bie

rno

/ S

ecto

rp

úb

lico

Ed

uca

ció

n

Se

cto

r de

En

erg

ía e

Hid

rocarb

uro

s

Otr

os

(esp

ecifiq

ue)

Reta

il /

Con

su

mo

ma

siv

oC

on

su

lto

ría

Espe

cia

lizad

aT

ele

co

mun

ica

cio

nes

Con

str

ucció

n/

Inge

ni

erí

aS

al

ud

Ma

nuf

act

ura

Renovación de licenciamiento y

mantenimiento de hardware y software

Contratación de servicios de

asesoría/consultoría

Servicios de monitoreo y gestión de

seguridad con terceros

Capacitación/Actualización del personal

de seguridad de la información

Adquisición e implementación de

tecnología de seguridad informática

35%

28%

16% 15%

6%

No cuentocon esa

información

Entre 1-3 Entre 4-7 Más de 7 Ninguno

Incidentes

Incidentes

39%

28%

26%

23%

22%

19%

18%

16%

12%

9%

9%

9%

8%

7%

6%

6%

6%

4%

3%

3%

2%

1%

1%

Errores humanos

Instalación de software no autorizado

Acciones de ingeniería social

Phishing

Virus/Caballos de Troya

Accesos no autorizados al web

Ransomware

Ataque de aplicaciones Web (XSS, SQL Injection,…

Ciberataques (APT o ataques dirigidos, denegación…

Fraude electrónico

Pérdida/Fuga de información crítica

Ninguno

Robo de elementos críticos de hardware…

Negación del servicio (DOS/DDoS)

Suplantación de identidad

Manipulación de aplicaciones de software

Pérdida de integridad de la información

Robo de datos

Brecha de seguridad provocada por terceras partes…

Incidentes relacionados con la privacidad de los…

Pharming

Monitoreo no autorizado del tráfico

Espionaje

Tipos de incidentes

52%

31%

19%

13%

9%

7%6%

Denuncias

Directivos de la propiaorganización

Equipo de atención deincidentes (CSIRT)

Autoridades nacionales(Policía, Entidadesregulatorias, Fiscalía, etc.)Asesor legal

Otra (especifique)

Incidentes

38.64%

30.00%

31.58%

25.00%

34.48%

31.52%

50.00%

31.82%

37.50%

27.69%

28.57%

100.00%

29.41%

21.43%

30.00%

25.00%

29.63%

24.39%

11.11%

16.67%

26.67%

23.08%

55.00%

1.09%

1.54%

3.85%

45.00%

15.91%

25.00%

23.68%

25.00%

24.14%

21.74%

27.27%

37.50%

21.54%

42.86%

29.41%

14.29%

30.00%

50.00%

35.19%

26.83%

33.33%

33.33%

53.33%

28.85%

20.45%

18.33%

18.42%

50.00%

17.24%

14.13%

18.18%

25.00%

23.08%

7.14%

23.53%

14.29%

10.00%

14.81%

24.39%

11.11%

27.78%

6.67%

17.31%

25.00%

26.67%

26.32%

24.14%

31.52%

50.00%

22.73%

26.15%

21.43%

17.65%

50.00%

30.00%

25.00%

20.37%

24.39%

44.44%

22.22%

13.33%

26.92%

of Accesos no autorizados al web

of Acciones de ingeniería social

of Ataque de aplicaciones Web (XSS, SQL Injection,Directory Transversal, etc.)

of Brecha de seguridad provocada por terceras partes (p.eCloud Access Security Broker)

of Ciberataques (APT o ataques dirigidos, denegación deservicios masiva)

of Errores humanos

of Espionaje

of Fraude electrónico

of Incidentes relacionados con la privacidad de los datospersonales (publicación de información personal,…

of Instalación de software no autorizado

of Manipulación de aplicaciones de software

of Monitoreo no autorizado del tráfico

of Negación del servicio (DOS/DDoS)

of Pérdida de integridad de la información

of Pérdida/Fuga de información crítica

of Pharming

of Phishing

of Ransomware

of Robo de datos

of Robo de elementos críticos de hardware (notebooks,discos, etc.)

of Suplantación de identidad

of Virus/Caballos de Troya

Count of Ninguno

No cuento con esa información Ninguno Más de 7 Entre 4-7 Entre 1-3

Incidentes vs SectoresNo cuento con esa información

Entre 1-3

Entre 4-7

Más de 7

Ninguno

Incidentes

Se

rvic

ios F

inancie

ros y

Ba

nca

Consultorí

a E

specia

lizada

Ed

ucació

n

Gobie

rno / S

ecto

r públic

o

Te

lecom

unic

acio

nes

Otr

os (

especifiq

ue)

Ma

nufa

ctu

ra

Sa

lud

Se

cto

r de E

nerg

ía e

Hid

rocarb

uro

s

Constr

ucció

n / Inge

nie

ría

Alim

ento

s

Reta

il / C

onsum

o m

asiv

o

Fu

erz

as A

rma

das

Count of Acciones de ingeniería social

Count of Suplantación de identidad

Count of Ataque de aplicaciones Web (XSS, SQL Injection, Directory Transversal, etc.)

Count of Ninguno

Count of Robo de elementos críticos de hardware (notebooks, discos, etc.)

Count of Virus/Caballos de Troya

Count of Robo de datos

Count of Fraude electrónico

Count of Espionaje

Count of Pharming

Count of Errores humanos

Count of Ransomware

Count of Phishing

Count of Pérdida/Fuga de información crítica

Count of Manipulación de aplicaciones de software

Count of Pérdida de integridad de la información

Count of Incidentes relacionados con la privacidad de los datos personales (publicación de información personal,solicitudes de eliminación de datos personales, etc.)

Count of Negación del servicio (DOS/DDoS)

Count of Monitoreo no autorizado del tráfico

Count of Brecha de seguridad provocada por terceras partes (p.e Cloud Access Security Broker)

Count of Instalación de software no autorizado

Count of Ciberataques (APT o ataques dirigidos, denegación de servicios masiva)

IncidentesTe

lecom

un

icacion

es

Servicios Fin

anciero

s yB

anca

Sector d

e Energía e

Hid

rocarb

uro

s

Salud

Retail / C

on

sum

o m

asivo

Otro

s (especifiq

ue)

Man

ufactu

ra

Go

biern

o / Secto

r pú

blico

Edu

cación

Co

nsu

ltoría Esp

ecializada

Co

nstru

cción

/ Ingen

iería

Alim

ento

s

Fuerzas A

rmad

as

A quien reportan

Directivos

Asesor Legal

Servicios Financieros yBanca

Gobierno / Sector público

Consultoría Especializada

Otros (especifique)

Telecomunicaciones

Sector de Energía eHidrocarburos

Salud

Retail / Consumo masivo

Manufactura

Educación

Construcción / Ingeniería

Alimentos

Por qué no reportanCount of Publicación denoticias desfavorables en losmedios/pérdida de imagen

Count of Pérdida dereputación ante accionistas

Count of Vulnerabilidad antela competencia

Count of Pérdida de clientesactuales o potenciales

Count of Motivacionespersonales

Count of Responsabilidadlegal

39%

34%

18%

9%

Evaluaciones de Seguridad

Una al año

Entre 2 y 4 al año

Ninguna

Más de 4 al año

53%

44%

44%

43%

37%

37%

36%

36%

35%

32%

26%

24%

24%

22%

21%

20%

15%

14%

13%

10%

9%

7%

6%

5%

5%

5%

VPN/IPSec

Firewalls tradicionales (Hardware/Software)

Soluciones Anti-Malware

Cifrado de datos

Firmas digitales/certificados digitales

Biométricos (huella digital, iris, etc.)

Firewalls de nueva generación

Sistemas de Contraseñas

IDS/IPS de nueva generación

Web Application Firewalls (WAF)

Proxies/Proxies inversos

Servicio de SOC

Firewalls de Bases de Datos (DAF)

SIEM (Security Information Event Management)

Entrenamiento/Actualización del personal de…

Sistemas de detección y/o prevención de intrusos IDS/IPS…

Herramientas Anti–DDoD

Cooperación/Intercambio de información con otros (estado,…

Soluciones de monitoreo de redes sociales

ADS (Anomaly detection systems)

Tercerización de la seguridad informática

Ciberseguros

Smart Cards

Herramientas de validación de cumplimiento con…

Servicios de inteligencia de amenazas

Otro (especifique)

Mecanismos de Seguridad

Mecanismo de Seguridad

Mecanismo de Seguridad

Servicios Financieros y Banca

Consultoría Especializada

Gobierno / Sector público

Educación

Otros (especifique)

Telecomunicaciones

Salud

Sector de Energía e Hidrocarburos

Manufactura

Construcción / Ingeniería

Retail / Consumo masivo

Alimentos

Evaluaciones de Seguridad

Una al año

Entre 2 y 4 al año

Más de 4 al año

Ninguna

Count of ADS (Anomaly detection…

Count of Biométricos (huella digital,…

Count of VPN/IPSec

Count of Herramientas de validación…

Count of Sistemas de Contraseñas

Count of Web Application Firewalls…

Count of Tercerización de la seguridad…

Count of Soluciones de monitoreo de…

Count of Ciberseguros

Count of Firewalls de Bases de Datos…

Count of Cooperación/Intercambio de…

Count of Soluciones Anti-Malware

Count of Herramientas Anti–DDoD

Count of Proxies/Proxies inversos

Count of Smart Cards

Count of Entrenamiento/Actualización…

Count of IDS/IPS de nueva generación

Count of Firmas digitales/certificados…

Count of Sistemas de detección y/o…

Count of Firewalls de nueva generación

Count of Servicio de SOC

Count of Firewalls tradicionales…

Count of Servicios de inteligencia de…

Count of SIEM (Security Information…

Count of Cifrado de datos

Us

o d

e la

s te

cn

olo

gía

s d

e s

eg

urid

ad

Servicios Financieros y Banca

Gobierno / Sector público

Consultoría Especializada

Otros (especifique)

Telecomunicaciones

Sector de Energía e Hidrocarburos

Salud

Retail / Consumo masivo

Manufactura

Educación

Construcción / Ingeniería

Alimentos

49%

31%

28%

27%

25%

23%

20%

17%

16%

15%

14%

12%

8%

Ausencia o falta de una cultura en seguridad de la información

Falta de apoyo directivo

Falta de colaboración entre áreas/departamentos

Poca visibilidad del tema a nivel ejecutivo

Escasa formación en gestión segura de la información

Poco entendimiento de la seguridad de la información

Poco entendimiento de los flujos de la información en la

organización

Falta de formación técnica

Limitadas habilidades gerenciales de los CISO’s

Falta de tiempo

Complejidad tecnológica

Inexistencia de política de seguridad

Otros (especifique)

Obstáculos de la seguridad digital

Co

unt

of A

usen

cia

o f

alta

de u

na c

ultura

en s

eg

urid

ad

de

la

…

Cou

nt

of C

om

ple

jida

d t

ecn

oló

gic

a

Cou

nt

of P

oca v

isib

ilid

ad d

el te

ma

a n

ive

l e

jecu

tivo

Cou

nt

of In

exis

ten

cia

de

po

lítica

de s

eg

urid

ad

Cou

nt o

f L

imita

da

s h

ab

ilid

ad

es g

ere

ncia

les d

e lo

s C

ISO

’s

Cou

nt

of F

alta

de f

orm

ació

n t

écn

ica

Cou

nt

of E

sca

sa f

orm

ació

n e

n g

estió

n s

eg

ura

de

la

in

form

ació

n

Co

unt

of P

oco e

nte

nd

imie

nto

de

la

se

gu

rid

ad

de

la in

form

ació

n

Cou

nt

of F

alta

de t

iem

po

Cou

nt

of P

oco e

nte

nd

imie

nto

de

lo

s f

lujo

s d

e la

in

form

ació

n…

Cou

nt

of F

alta

de c

ola

bo

ració

n e

ntr

e á

rea

s/d

ep

art

am

en

tos

Cou

nt

of F

alta

de a

poyo

dir

ectivo

Visión de los sectores de los obstáculos de seguridad

Servicios Financieros y Banca Gobierno / Sector público Consultoría Especializada

Otros (especifique) Telecomunicaciones Sector de Energía e Hidrocarburos

Salud Retail / Consumo masivo Manufactura

Educación Construcción / Ingeniería Alimentos

Políticas de Seguridad

Riesgos

50% 22% 24% 3%

Cuantas veces

Una Dos Más de dos Ninguna61%

34%

33%

33%

24%

5%

Tipos de Riesgos

Riesgos operacionales

Riesgos legales

Riesgos reputacionales

Riesgos económicos

Riesgos transversales

Otros (especifique)

ISO 31000, 27%

ISO 27005, 24%

SARO, 14%

GRC ( Governance,

Risk & Compliance),

10%

Magerit, 8%

Otra (especifique),

5%

ERM(Enterprise Risk

Management), 3%

AS/NZ 4360, 3%

Octave, 1%

Tipo de Metodologias

38%

16%

15%

12%

9%

9%

Por que no se hace

Se realiza dentro del proceso de gestión de riesgo

empresarial de la organización

No se tiene un proceso formal de gestión de

riesgos ni corporativo, ni de información

Desconocimiento del tema

Falta de presupuesto

No se tiene asociados riesgos con el

tratamiento de la información

Otros (especifique)

Si, 94%

No, 6%

Meotodologia de Riesgos

Si, 68%

No, 32%

Gestion de Riesgos

Co

un

t of SA

RO

Co

un

t of ISO

31

00

0

Co

un

t of ISO

27

00

5

Co

un

t of G

RC

( Go

vernan

ce, Risk &

…

Co

un

t of M

agerit

Co

un

t of A

S/NZ 43

60

Co

un

t of O

ctave

Co

un

t of ER

M(En

terprise R

isk…

Uso de Estándares de SeguridadServicios Financieros yBanca

Consultoría Especializada

Gobierno / Sector público

Otros (especifique)

Telecomunicaciones

Sector de Energía eHidrocarburos

Salud

Retail / Consumo masivo

Manufactura

Educación

Construcción / Ingeniería

Alimentos

52%

29%

11%

8%

Normativas aprobadas por entes desupervisión (Poder legislativo,

Superintendencias, Ministerios o Institutosgubernamentales)

Ninguna

Regulaciones internacionales (SOX,BASILEA II, COSO)

Otra (especifique)

Regulaciones

Estándares y Regulaciones

57%

19%

11%

11%3%

Personal de Seguridad

1 a 5

Ninguna

6 a 10

Más de 15

11 a 15

Áreas de Seguridad

Servicios Financieros y Banca

Consultoría Especializada

Gobierno / Sector público

Educación

Otros (especifique)

Telecomunicaciones

Salud

Sector de Energía e Hidrocarburos

Manufactura

Construcción / Ingeniería

Retail / Consumo masivo

Alimentos

Áreas de Seguridad x Sectores

1 a 5 Ninguna Más de 15 6 a 10 11 a 15

63%

31%

4%2%

Experiencia

Más de dos años de experiencia

De uno a dos años

Menos de un año de experienciaNinguno

19%

29%

15%

1% 3% 3%

48%

2%

9%

21%

2%8%

11%6%

54% 52%

31%

16%10%

0%3% 3%

48%

2%

9%

21%

2%8%

11%

3%

CIS

SP –

Cer

tifi

ed

Info

rmat

ion

…

CIS

M –

Cer

tifi

ed

Info

rmat

ion

…

CIS

A –

Cer

tifi

ed

Info

rmat

ion

…

CIF

I –C

erti

fied

In

form

atio

n …

MC

SE/I

SA-M

CP

(Mic

roso

ft)

NSA

IAM

/IEM

CIA

- C

erti

fied

Inte

rnal

Au

dit

or

SEC

UR

ITY+

Au

dit

or

ISO

27

00

1 (

Líd

er…

CFE

- C

erti

fied

Frau

d E

xam

iner

Nin

gun

a

CEH

(C

erti

fied

Eth

ical

Hac

ker)

GIA

C –

SAN

S In

stit

ute

CSX

–C

ybe

rsec

uri

ty …

CR

ISC

- C

erti

fied

in R

isk

and

…

Otr

a(e

spec

ifiq

ue)

Certificaciones

Certificaciones Poseidas Certificaciones deseadas

16%

15%

10%

35%

23%

Cuenta de CISM – Certified Information Security …

Cuenta de CISSP –Certified Information …

Cuenta de Auditor ISO27001 (Líder y/o Interno)2

Cuenta de CRISC- Certifiedin Risk and Information…

Cuenta de CEH (CertifiedEthical Hacker)2

Cuenta de CSX –Cybersecurity Nexus2

Cuenta de CISA – Certified Information System Auditor

Cuenta de CIFI – Certified Information Forensics …

Cuenta de CIA - CertifiedInternal Auditor2

Cuenta de SECURITY+2

Cuenta de CFE - CertifiedFraud Examiner2

Cuenta de GIAC – SANS Institute2

Cuenta de MCSE/ISA-MCP(Microsoft)

Cuenta de NSA IAM/IEM2

Servicios Financieros yBanca

Consultoría Especializada

Gobierno / Sector público

Otros (especifique)

Telecomunicaciones

Sector de Energía eHidrocarburos

Salud

Retail / Consumo masivo

Manufactura

Educación

Construcción / Ingeniería

Alimentos

Perfil del Profesional de Seguridad

EL CISO

30%

26%

22%

22%

Tipo de CISO

CISO como Implementador (Vela por laimplementación de las tecnologías deprotección y su correcto funcionamiento,está pendiente de los detalles de toda lainfraestructura de seguridad)

CISO como Supervisor ( Vela por la eficaciay eficiencia del programa de seguridad, suvisión del control es la que rige comoprincipio, Vela por los riesgos, y elcumplimiento)

CISO como un Asesor (Integrado al negocio,educa, influencia, teniendo clara lasimplicaciones de todo con los ciber riesgos,relaciona nuevas visiones con riesgosemergentes, vela por el desarrollo decapacidades para manejar y enfrentar riesgos entoda

CISO como un Estratega (Integra operación,riesgos y negocio, entiende la relación denegocio, activo y operación y vela por ella)

37%

31%

29%

28%

11%

3%

Comunicaciones del CISO Información Técnica relacionada con(vulnerabilidades, amenazas, e incidentes)

Información relacionada con los riesgos enSeguridad de la Información y Ciberseguridad parala toma de decisionesInformación relacionada con la gestión de laseguridad para la toma de acciones

Información relacionada con las brechas deseguridad existentes en la organización

No está entregando información

Otras (especifique)

48%

34%

33%

31%

28%

26%

23%

2%

Habilidades gerenciales (liderazgo, comunicación,rendición de cuentas, proyecciones financieras,…

Capacidades técnicas y/o experiencia

Habilidades para entender el negocio

Habilidades para comunicar e interconectar negocios ynecesidades en materia de seguridad de la información

Visión práctica de estrategias livianas, sencillas yefectivas para el aseguramiento de la información

Formación académica y técnica

Capacidades prospectivas y de pronóstico

Otras (especifique)

Oportunidades de Crecimiento del profesional de seguridad

EL CISO

Servicios Financieros yBanca

ConsultoríaEspecializada

Gobierno / Sectorpúblico

Educación

Otros (especifique)

Telecomunicaciones

Sector de Energía eHidrocarburos

Salud

Manufactura

Construcción /Ingeniería

Retail / Consumomasivo

Alimentos

Como se percibe a un CISO

CISO comoImplementador

CISO como Supervisor

CISO como un Asesor

CISO como unEstratega

Auditoría interna

Director/Jefe de Seguridadde la información

Director/Jefe de SeguridadInformática

Se encuentra tercerizadaen otra organización

Vicepresidente/DirectorDepartamento de

Sistemas/Tecnología

Vicepresidente/Gerente deCumplimiento

Vicepresidente/Gerente deFinanzas

Vicepresidente/Gerente deOperaciones

Vicepresidente/Gerente dePlaneación

Vicepresidente/Gerente deRiesgos

Vicepresidente/GerenteEjecutivo

Dependencia vs Entrega de Información

Cuenta de Informaciónrelacionada con lagestión de la seguridadpara la toma de acciones

Cuenta de No estáentregando información

Cuenta de Informaciónrelacionada con lasbrechas de seguridadexistentes en laorganización

Cuenta de Informaciónrelacionada con losriesgos en Seguridad dela Información yCiberseguridad para latoma de decisionesCuenta de InformaciónTécnica relacionada con(vulnerabilidades,amenazas, e incidentes)

Reflexiones✓ Posición del área de seguridad. Independiente vs Dependiente

✓ Los Roles mas usados dependen en gran medida del sector en el que se encuentre. No existe un consenso del rol

en materia de seguridad de la información.

✓ El sector Financiero y el Sector de Hidrocarburos invierte más sus recursos en los servicios de monitoreo, el sector

de la consultoría especializada y Telecomunicaciones invierte en mayor medida en la capacitación de sus

profesionales de seguridad, otros sectores y el sector de la Educación invierten más en las tecnologías de

seguridad, el sector del Gobierno invierte en renovar el licenciamiento de sus tecnologías en materia de seguridad.

✓ Todos los sectores sin excepción muestran presencia de incidentes en sus ambientes organizacionales. La

tendencia de todos los sectores están entre 1 y 3 incidentes, como la media que se manifiesta en las

organizaciones Colombianas.

✓ Posición del área de seguridad. Independiente vs Dependiente

✓ Los Roles mas usados dependen en gran medida del sector en el que se encuentre. No existe un consenso del rol

en materia de seguridad de la información.

✓ El sector Financiero y el Sector de Hidrocarburos invierte más sus recursos en los servicios de monitoreo, el sector

de la consultoría especializada y Telecomunicaciones invierte en mayor medida en la capacitación de sus

profesionales de seguridad, otros sectores y el sector de la Educación invierten más en las tecnologías de

seguridad, el sector del Gobierno invierte en renovar el licenciamiento de sus tecnologías en materia de seguridad.

✓ Todos los sectores sin excepción muestran presencia de incidentes en sus ambientes organizacionales. La

tendencia de todos los sectores están entre 1 y 3 incidentes, como la media que se manifiesta en las

organizaciones Colombianas.

✓ El CISO sigue ganando posición, existe un profesional de seguridad que tiene mucho espacio para seguir

creciendo y dando oportunidad a las organizaciones Colombianas por encontrar posturas de seguridad adecuadas

“Recorrer el camino no es lo mismo que conocer el camino. Ambos requieren poder decidir, en búsqueda del aprendizaje y resultados deseados.” Almanza

• Andrés Ricardo Almanza• Coach Ejecutivo & Chief

Growth Officer at CISOs.CLUB

• Email: conectate@cisos.co• Twitter: @cisos_club• Linkedin: cisos_club