1 / 34

II Encuesta Nacional de Seguridad Informática ACIS 2002

II Encuesta Nacional de Seguridad Informática ACIS 2002. Jeimy J. Cano, Ph.D Coordinador Académico II Jornadas Nacionales de Seguridad Informática. Agenda. Introducción Segurinfo – Lista de Seguridad Informática Contexto General de la Encuesta Consideraciones Generales

tovah
Télécharger la présentation

II Encuesta Nacional de Seguridad Informática ACIS 2002

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. II Encuesta Nacional de Seguridad InformáticaACIS 2002 Jeimy J. Cano, Ph.D Coordinador Académico II Jornadas Nacionales de Seguridad Informática

  2. Agenda • Introducción • Segurinfo – Lista de Seguridad Informática • Contexto General de la Encuesta • Consideraciones Generales • Resumen de Resultados • Resultados de la Encuesta • Reflexiones • Discusión y Análisis

  3. Introducción • Es un esfuerzo de la Asociación Colombiana de Ingenieros de Sistemas, a través de su grupo de interés SEGURINFO • Busca establecer un parámetro general sobre el estado actual de la seguridad en COLOMBIA • Busca convertirse en un referente de comparación y mejoramiento de las organizaciones con relación a la seguridad informática • Orientar y promover mejores prácticas de seguridad informática • Ejercicio sano y necesario para mirar al futuro y volver a crearlo!

  4. SEGURINFO • Lista Colombiana de Seguridad Informática, creada en el año 2000 • Características: • Lista Moderada por administrador de ACIS y Coordinador de lista • Se nutre de la participación de sus suscriptores, los cuales son profesionales, estudiantes, investigadores o interesados en los temas de seguridad informática • A la fecha con más de 380 participantes: • Colombia, Bolivia, Guatemala, Honduras, México, Argentina, Peru, Costa Rica, entre otros • En promedio se tramitan 4 a 5 correos diarios • Temas: • Hacking, seguridad en redes, detección de intrusos, Seguridad en sistemas operacionales, alertas de seguridad, entre otros • Planes: • Estructurar documentación técnica de seguridad de alta consulta y referencia • Desarrollar ciclos de conferencias temáticas con expertos

  5. Consideraciones Generales • El año anterior se adelantó este mismo ejercicio via una página WEB • Se envió la notificación de participación excluisvamente a la lista de seguridad informática – SEGURINFO • A comparación del año anterior, este año se incorporaron más preguntas y tópicos

  6. Contexto General de la Encuesta • Se diseñó un cuestionario con 20 preguntas dividido en los siguientes temas: • Demografía • Presupuestos • Fallas de seguridad • Herramientas y prácticas de seguridad • Políticas de seguridad • Se envió el cuestionario vía correo a la base de datos de direcciones electrónicas de ACIS. • Fecha envío: 24 abril de 2002 • Fecha final: 24 de mayo de 2002 • Respuestas totales recibidas : 104

  7. Resumen de Resultados • Demografía • Sectores con mayor participación • Industria informática • Educación • Gobierno • Por tamaño de la organización • 1 a 100 empleados • 101 a 250 empleados • 1001 a 2500 empleados • Personal dedicado Tiempo Completo a Seg.Infg • 1 a 10 personas • Dependencia organizacional de la Seg. Inf • Departamento de Sistemas • Dirección de Seguridad Informática • Cargos que participaron respondiendo la encuesta • Profesionales de Sistemas • Directores/Vicepresidentes • Jefe de Operaciones/Gerentes de proyectos

  8. Resumen de Resultados • Presupuestos • Generalmente se incluye el rubro de seguridad informática • La inversión en seguridad se concentra en: • Protección de los datos críticos de la organización • Protección de la red • Proteger almacenamiento de datos de los clientes • Monto de la inversión en seguridad informática • Mas de 10 millones de pesos • Menos de 1 millón de pesos • Entre 2 y 4 millones de pesos

  9. Resumen de Resultados • Fallas de seguridad • Violaciones de seguridad • Virus • Acceso no autorizado al WEB • Pérdida de información • Cómo se enteran? • Análisis de registros en FW/WEB • Datos alterados • Alertados por cliente/proveedor • A quién notifica? • No se denuncian • Equipo de atención de incidentes • Asesor legal • Por qué no se denuncia? • Pérdida de imagen • Vulnerabilidad ante la competencia • Leyes vigentes no funcionan, no se sabe dónde denunciar • Existe consenso sobre la necesidad de la existencia de un Centro Nacional de Reporte de Incidentes de Seguridad Informática - CENRIS

  10. Resumen de Resultados • Herramientas y prácticas de seguridad informática • Pruebas de seguridad • Entre 2 y 4 al año • Ninguna • Una al año • Dispositivos de seguridad utilizados • Contraseñas • Firewalls • Proxies • Notificación de fallas de seguridad • Lectura de artículos especializados en seguridad • Notificación de colegas • Notificación de proveedores

  11. Resumen de Resultados • Políticas de seguridad informática • Se cuentan con ellas? • Actualmente en desarrollo • Políticas formales • Obstáculos para contar con adecuada seguridad • Inexistencia de políticas de seguridad • Falta de tiempo • Falta de apoyo directivo • Actualmente se verifica un control de acceso de los empleados al WEB. Control de contenidos. • Actualmente la mayoría de las empresas que respondieron la encuesta no cuentan con contactos nacionales o internacionales para apoyar el seguimiento de un intruso.

  12. Resultados de la Encuesta • Demografía - Participantes

  13. Resultados de la Encuesta • Demografía – Tamaño de las empresas

  14. Resultados de la Encuesta • Demografía – Personal dedicado a Seg.

  15. Resultados de la Encuesta • Demografía – Jerarquía de la Seguridad

  16. Resultados de la Encuesta • Demografía – Cargos que contestaron

  17. Resultados de la Encuesta • Presupuestos – Incluye Seg. Informática

  18. Resultados de la Encuesta • Presupuestos – Inversión de Seg. Informática

  19. Resultados de la Encuesta • Presupuestos – Inversión en Millones de pesos

  20. Resultados de la Encuesta • Fallas de seguridad – Por tipos

  21. Resultados de la Encuesta • Fallas de seguridad – Cómo se entera

  22. Resultados de la Encuesta • Fallas de seguridad – Notificación del incidente

  23. Resultados de la Encuesta • Fallas de seguridad – Motivos de No denuncia

  24. Resultados de la Encuesta • Fallas de seguridad – Existencia Centro de Reporte de Incidentes

  25. Resultados de la Encuesta • Herramientas y prácticas de seguridad – Pruebas de seguridad

  26. Resultados de la Encuesta • Herramientas y prácticas de seguridad – Mecanismos de protección

  27. Resultados de la Encuesta • Herramientas y prácticas de seguridad – Cómo se informa de las fallas de seguridad

  28. Resultados de la Encuesta • Políticas de seguridad – Se tienen?

  29. Resultados de la Encuesta • Políticas de seguridad – Dificultades comunes

  30. Resultados de la Encuesta • Políticas de seguridad – Control de acceso al WEB

  31. Resultados de la Encuesta • Políticas de seguridad – Contactos Nal e Internal

  32. Reflexiones • La seguridad informática ha ganado terreno en los presupuestos de las organizaciones • Los virus y los accesos no autorizados al web son las más grandes vulnerabilidades presentes en las empresas • La cultura de la “No denuncia” es la que prevalece ante un incidente de seguridad informática • No existe un ente donde notificar la existencia de un incidente de seguridad • Se considera que las leyes no son suficientes para abordar y procesar los incidentes de seguridad informática • La gran mayoría de las empresas inician hasta ahora su proceso de elaboración de políticas de seguridad informática • La falta de tiempo, de apoyo directivo y la inexistencia de políticas de seguridad se muestran como los factores críticos para una adecuada seguridad informática

  33. Discusión y Análisis - DEBATE

  34. II Encuesta Nacional de Seguridad InformáticaACIS 2002 Jeimy J. Cano, Ph.D Coordinador Académico II Jornadas Nacionales de Seguridad Informática

More Related