CONCLUSIONES GENERALES DE ENCUESTA NACIONAL

Según una encuesta adelantada por la Asociación de Ingenieros en Colombia en el 2008 sobre tendencias en Colombia hacia la seguridad de la información, estos fueron algunos apuntes como conclusiones:

1. Las regulaciones nacionales e internacionales llevarán a las organizaciones en Colombia a fortalecer los sistemas de gestión de la seguridad de la información. Actualmente la norma de la Superfinanciera comienza a cambiar el panorama de la seguridad de la información en la Banca y en el país.

2. La industria en Colombia exige más de dos años de experiencia en seguridad informática como requisito para optar por una posición en esta área. De igual forma, se nota que poco a poco el mercado de especialistas en seguridad de la información toma fuerza, pero aún la oferta de programas académicos formales se encuentra limitada, lo que hace que las organizaciones opten por contratar a profesionales con poca experiencia en seguridad y formarlos localmente.

3. Las certificaciones CISSP, CISA y CISM son la más valoradas por el mercado y las que a la hora de considerar un proyecto de seguridad de la información marcan la diferencia para su desarrollo y contratación. Se advierte un importante giro en las certificaciones CFE, CIA y CIFI que si bien no aparecen con resultados “muy importantes”, si son consideradas importantes por la industria.

4. La inversión en seguridad de la información se encuentra concentrada en las redes y sus componentes, así como la protección de datos de los clientes y un ligero interés en el tema de control de la propiedad intelectual y derechos de autor. Llama la atención la aparición del tema de pólizas de cibercrimen, como un elemento emergente que se empieza a imponer a nivel internacional, como un nuevo control que obliga a las organizaciones a mantener un ejercicio permanente de evaluación de seguridad.

5. Las cifras en 2008 muestran a los antivirus, las contraseñas, los firewalls de software y hardware como los mecanismos de seguridad más utilizados, seguidos por los sistemas VPN y proxies. Existe un marcado interés por las herramientas de cifrado de datos y los firewalls de aplicaciones web que establecen dos tendencias emergentes ante las frecuentes fugas de información y migración de las aplicaciones web al contexto de servicios o web services.

6. La limitada legislación en temas de delito informático en el país para adelantar un proceso jurídico puede resultar más costoso para el demandante que para el posible infractor, dado que generalmente la carga de la prueba está a cargo de la parte afectada y los posibles costos derivados de peritaje informático o análisis forense no son coherentes con la economía procesal requerida.

7. Si bien están tomando fuerza las unidades especializadas en delito informático en Colombia, es necesario continuar desarrollando esfuerzos conjuntos entre la academia, el gobierno, las organizaciones y la industria, para mostrarles a los intrusos que estamos preparados para enfrentarlos.

8. La inexistencia de políticas de seguridad y la falta de tiempo, no pueden ser excusas para no avanzar en el desarrollo de un sistema de gestión de seguridad. La inversión en seguridad es costosa, pero la materialización de inseguridad puede serlo mucho más. Ud. Decide!

9. Los resultados sugieren que en Colombia el ISO 27000, el Cobit 4.1 y las Guías del NIST son el estándar y las buenas prácticas que están en las áreas de seguridad de la información o en los departamentos de tecnología informática.

10. Son motivadores de la inversión en seguridad: la continuidad de negocio, el cumplimiento de regulaciones y normativas internas y externas, así como la protección de la reputación de la empresa. Así mismo, se manifiesta la necesidad de adelantar al menos un ejercicio anual de análisis de riesgos como soporte a los temas de seguridad y procesos de negocio.