Revista Sistemas Edición Abril-Junio 2024 PDF

No. 171 Abril - Junio DOI: 10.29236/sistemas ISSN 0120-5919 Calle 93 No. 13 - 32 of. 102 Bogotá, D.C. www.acis.org.co En esta edición Editorial 4 Computación confidencial DOI: 10.29236/sistemas.n171a1 El reto de la seguridad y el control de los datos “en uso”. Columnista Invitado 10 Trabajando en “Las Nubes” DOI: 10.29236/sistemas.n171a2 Por sus beneficios, el uso de la tecnología de nube ha aumentado de forma consistente en los últimos años, sin embargo, esta tecnología también ha creado nuevos retos de ciberseguridad. Este artículo ofrece recomendaciones para facilitar el aseguramiento de servicios en “las nubes”. Entrevista 18 Seguridad en la nube y el futuro DOI: 10.29236/sistemas.n171a3 Javier Díaz Evans experto en ciberseguridad y líder en dirección aceptó la convocatoria para entrevistarlo alrededor de la seguridad en la nube y el futuro en este número de la revista. Investigación 24 XXIV Encuesta Nacional de Seguridad Informática DOI: 10.29236/sistemas.n171a4 De la seguridad a la confianza. Cara y Sello 99 Computación confidencial: Eficiencia de la seguridad en la nube DOI: 10.29236/sistemas.n171a5 La nube vs OnPremise. Uno 114 Computación confidencial DOI: 10.29236/sistemas.n171a6 Cinco realidades (y una mentira) en el contexto organizacional. SISTEMAS 1 Publicación de la Asociación Colombiana de Ingenieros de Sistemas (ACIS) Resolución No. 003983 del Ministerio de Gobierno Tarifa Postal Reducida Servicios Postales Nacional S.A. No. 2015-186 4-72 ISSN 0120-5919 Apartado Aéreo No. 94334 Bogotá D.C., Colombia Dirección General Jeimy J. Cano M. Consejo de Redacción Francisco Rueda F. Gabriela Sánchez A. Manuel Dávila S. Andrés Ricardo Almanza J. Emir Hernando Pernet C. Fabio Augusto González O. Jorge Eliécer Camargo M. María Mercedes Corral S. Editores Técnicos Jeimy J. Cano M. Andrés Ricardo Almanza J. Editora Sara Gallardo M. Junta Directiva ACIS 2024 - 2026 Presidente Ricardo Munévar Molano Vicepresidente Carlos Andrés Cuesta Yépes Secretario Hilda Cristina Chaparro López Tesorero Edgar José Ruíz Dorantes Vocales Camilo Eduardo Rodríguez Acosta Iván Mauricio Rey Salazar Carlos Enrique Niño Barraga Directora Ejecutiva Beatriz E. Caicedo R. Diseño y diagramación Bruce Garavito Los artículos que aparecen en esta edición no reflejan necesariamente el pensamiento de la Asociación. Se publican bajo la responsabilidad de los autores. Abril - Junio 2024 Calle 93 No.13 - 32 Of. 102 Teléfonos 616 1407 - 616 1409 A.A. 94334 Bogotá D.C. www.acis.org.co Editorial Computación confidencial DOI: 10.29236/sistemas.n171a1 El reto de la seguridad y el control de los datos “en uso”. Jeimy J. Cano M. Andrés R. Almanza J. La dinámica de los datos tanto a ni- estados actuales: en reposo (alma- vel empresarial como global, impli- cenados en servidores y equipos ca reconocer los retos, los trata- de usuario final), en movimiento (a mientos y los flujos de información través de redes y conectores entre que determinan las diferentes ven- aplicaciones) y en uso (en la ejecu- tajas competitivas de las naciones ción y procesamiento de las aplica- y los negocios. En este sentido, la ciones) se convierte en un escena- protección de los datos en sus tres rio de acción conjunta entre organi- 4 SISTEMAS zaciones y terceros de confianza (el hipervisor es un tipo de soft- para lograr un mayor asegura- ware informático, firmware o miento de sus operaciones y por hardware que crea y ejecuta má- tanto, concretar la promesa de va- quinas virtuales)” (Felk, 2023). lor para sus clientes. El reconocer que los datos “en uso” Una reciente encuesta latinoame- son el nuevo reto de las organiza- ricana realizada por la consultora ciones modernas, ahora motivadas internacional EY (2024) indica que por una acelerada transformación los ejecutivos de las empresas de digital y el desarrollo de nuevos esta región consideran al menos ecosistemas digitales de negocio, las siguientes tecnologías como implica actualizar el paradigma de claves para su desarrollo en los seguridad y control vigente de las próximos tres años: grandes datos empresas que ha puesto el énfasis & analítica, computación en la nu- en los datos “en reposo” y en los da- be, inteligencia artificial y conecti- tos “en tránsito”. En este sentido, se vidad 5G. advierten una serie de desafíos tanto para las organizaciones como En este escenario, el tratamiento para sus terceros de confianza pa- de los datos a nivel de las aplica- ra concretar y asegurar la confian- ciones se vuelve más sensible ha- za digital que los clientes deman- bida cuenta que, es en su explota- dan en un entorno cada vez más in- ción (la de los datos), donde se con- terconectado y dinámico como el creta el nuevo valor para los clien- actual. Algunos de los retos son: tes, lo que implica un mayor proce- (CCC, 2021) samiento y uso por parte de las apli- caciones representadas en las Establecer un inventario de apli- nuevas iniciativas digitales gene- caciones que requiere la imple- ralmente desplegadas en la nube. mentación urgente de las ca- racterísticas de la computación La computación confidencial tiene confidencial. como objetivo “cifrar los datos en Invertir en la formación de talen- uso en la memoria principal del sis- to especializado que permita a- tema sin comprometer el rendi- palancar las nuevas iniciativas miento. Lo anterior implica que los alrededor de la computación datos en memoria tienen dos as- confidencial y cerrar la brecha pectos claves: que esto supone. Identificar los socios estratégi- Cifrado de toda la memoria del cos en sus terceros de confianza sistema, y para apalancar el aseguramien- Cifrar la memoria individual de la to de los datos extremo a extre- máquina virtual (MV) y aislar la mo con el fin de aumentar la con- memoria de la MV del hipervisor fiabilidad de la operación y el SISTEMAS 5 aseguramiento de las exigen- dencial, con el fin de traer al esce- cias normativas alrededor de los nario actual diferentes posturas so- datos. bre el tema, como insumo para Crear casos de negocio con los plantear alternativas y opciones en socios estratégicos para invertir un entorno de disrupción tecnoló- de forma proactiva en el desa- gica acelerada. Con ese propósito rrollo de pruebas de concepto fueron convocados profesionales que muestren las oportunidades especialistas, quienes desde su ex- de la computación confidencial periencia proponen reflexiones pa- sobre sus aplicaciones críticas. ra seguirle la pista al desarrollo de Cuidar los elementos claves de las tendencias y prácticas vigentes la transición hacia un entorno de en esta temática, capitalizando lec- computación confidencial, lo ciones aprendidas, casos de estu- que implica mantener entornos dio, repensando las dinámicas de híbridos y mixtos en la opera- los negocios y retos actuales, así ción, con una hoja de ruta clara y mismo explorar el futuro que se avi- validada tanto por los objetivos zora en el horizonte. de negocio como por los socios estratégicos. La ingeniera Sandra Rueda, profe- sora asociada del Departamento En una organización centrada en la de Ingeniería de Sistemas y Com- protección y defensa de los datos y putación de la Universidad de los la información, tanto de su dinámi- Andes, columnista invitada, aborda ca empresarial como la de sus algunas reflexiones sobre las ten- clientes, la computación confiden- dencias y retos de la computación cial se transforma en el estándar confidencial en la actualidad. base de seguridad y control que asegura un adecuado procesa- La entrevista efectuada al ingenie- miento de los datos, cuidando no ro Javier Evans, Director General sólo la sensibilidad de la informa- Global firma A3SEC, revela aspec- ción que produce la compañía, sino tos prácticos de los retos de la com- el cumplimiento de la responsabili- putación confidencial y establece dad que implica el cuidado de la in- algunas orientaciones tanto para formación que entregan los clientes los profesionales en seguridad/ci- al utilizar cada una de sus aplica- berseguridad sobre este nuevo pa- ciones o iniciativas digitales. radigma de protección datos en la nube que demanda repensar la vis- Es por esto que esta edición de la ta de los diferentes estados de los revista Sistemas, de la Asociación datos y la infraestructura de hard- Colombiana de Ingenieros de Sis- ware que se requiere para dar temas −ACIS−, apunta a revisar, cuenta de las promesas de este explorar y analizar los retos y opor- nuevo avance en seguridad y con- tunidades de la computación confi- trol. 6 SISTEMAS La investigación a cargo del inge- alrededor de los retos que implica niero Andrés Almanza Junco, es el la computación confidencial para resultado del ejercicio continuado las organizaciones modernas. de la Asociación Colombiana de In- genieros de Sistemas para tomarle Ellos advierten sobre la necesidad el pulso a la evolución y transfor- de aumentar la visibilidad y cono- mación de las prácticas de seguri- cimiento de esta nueva apuesta de dad/ciberseguridad en Colombia. transformación de la seguridad y Los resultados muestran entre control en la nube, el reto de esta- otros aspectos como la confianza blecer una seguridad extremo a digital y la ciberresiliencia se con- extremo de las iniciativas digitales vierten generadores de nuevos ne- que actualmente despliegan las or- gocios, como elementos claves pa- ganizaciones y sobremanera, esta- ra cultivar las relaciones entre con- blecer planes de transición para sumidores y quienes ofrecen los concretar la promesa de valor de servicios, como una oportunidad esta tecnología. para manejar y maniobrar en los ecosistemas digitales actuales. En resumen, se trata de un pano- rama renovado y provocador de El artículo desarrollado por el inge- nuevas transformaciones, retos y niero Jeimy J. Cano M., se centrada propuestas alrededor de la compu- en la conceptualización de la com- tación confidencial, que tensionan putación confidencial como nuevo las certezas de los saberes y prác- paradigma de seguridad y control ticas existentes de la seguridad en para la información “en uso”. Este la nube y las realidades de las em- hace una revisión básica de la te- presas en el tratamiento de sus da- mática, plantea algunas realidades tos con sus terceros de confianza. (y una mentira) sobre la implemen- Su contenido invita a todos los pro- tación de este nuevo paradigma y fesionales, en las diferentes áreas establece algunas conclusiones del conocimiento, a explorar los prácticas sobre sus retos e impli- nuevos retos y oportunidades en el caciones tanto para las empresas uso y procesamiento de los datos y como para los proveedores de ser- la información en un mundo digital y vicios en la nube. tecnológicamente modificado, sin perjuicio de las amenazas, fallas y El foro de esta revista fue un espa- vulnerabilidades propias de esta cio para compartir visiones desde nueva propuesta de seguridad y diferentes ángulos la computación control, donde tanto el negocio, la confidencial. Los ingenieros Diego infraestructura, las aplicaciones y Bueno de Oracle y Alonso Verdugo los datos plantean, revelan y rees- de Microsoft, desarrollaron un diá- criben nuevas incertidumbres y po- logo abierto y nutrido para contras- tencian el desarrollo de capacida- tar y complementar sus posturas des cibernéticas antes inexisten- SISTEMAS 7 tes, de cara a los riesgos que per- Tellenbach, B. (editors). (2023). Trends manecen ocultos en los retos de la in Data Protection and Encryption Technologies. Cham, Switzerland: transformación digital que avanza Springer Nature Switzerland AG. 103- actualmente en las empresas. 107. Referencias Confidential Consulting Consortium – EY (2024). Desafíos y tendencias 2024 CCC (2021). Confidential Computing – para las empresas de Latinoamérica. The Next Frontier in Data Security. https://www.ey.com/es_co/insights/de https://confidentialcomputing.io/wp- safios-tendencias-2024-empresas- content/uploads/sites/10/2023/03/Eve latinoamerica rest_Group_- _Confidential_Computing_- Felk, Y. (2023). Confidential computing. En _The_Next_Frontier_in_Data_Securit Mulder, V., Mermoud, A., Lenders, V. & y_-_2021-10-19.pdf Jeimy J. Cano M., Ph.D, CFE, CICA. Ingeniero y Magíster en Ingeniería de Sistemas y Computación por la Universidad de los Andes. Especialista en Derecho Disciplinario por la Universidad Externado de Colombia. Ph.D en Business Administration por Newport University, CA. USA. y Ph.D en Educación por la Universidad Santo Tomás. Profesional certificado como Certified Fraud Examiner (CFE), por la Association of Certified Fraud Examiners y Certified Internal Control Auditor (CICA) por The Institute of Internal Controls. Profesor Distinguido de la Facultad de Derecho, Universidad de los Andes. Es director de la Revista SISTEMAS de la Asociación Colombiana de Ingenieros de Sistemas –ACIS–. Andrés R. Almanza J., Ms.C, CISM. Chief Growth Officer en CISOS.CLUB, Investigador en Ciberseguridad SegInfo y Liderazgo. | Executive Certificate in Cybersecurity Leadership & Strategy by FIU University | Certificado como ISO 27001 Lead Implementer and 27005 Lead Manager from PECB | CISM, ITILv3, LPI| Certificado como Coach Profesional Internacional, Master in Leadership and Organizational Development with Coaching, Executive Master's in Leadership Skills Developed in Harvard, & Coach Profesional avalado por International Coach Federation| Profesional en Ingeniería de Sistemas | especialista en seguridad en redes y máster en seguridad de la información. Docente del programa de maestría de la Universidad Externado de Colombia y de la Universidad de las Américas en Ecuador. Creador de la Comunidad CISOS.CLUB, CISOS-COL y CISOS-LATAM (Linkedin) y Miembro del comité editorial de la revista sistemas de ACIS. 8 SISTEMAS Columnista invitado Trabajando en Las Nubes DOI: 10.29236/sistemas.n171a2 Sandra Rueda Por sus beneficios, el uso de la tecnología de nube ha aumentado de forma consistente en los últimos años, sin embargo, esta tecnología también ha creado nuevos retos de ciberseguridad. Este artículo ofrece recomendaciones para facilitar el aseguramiento de servicios en “las nubes”. La organización NIST (National puto que pueden ser rápidamente Institute of Standards and Techno- aprovisionados y liberados con un logy) deﬁne Cómputo en la Nube esfuerzo de administración míni- como “un modelo para habilitar mo” (Mell & Grance, 2011). Entre acceso ubicuo, conveniente y por las ventajas de esta tecnología po- demanda a un conjunto compartido demos mencionar, reducir el costo de recursos conﬁgurables de cóm- de la infraestructura tecnológica y 10 SISTEMAS su mantenimiento, mejorar la capa- de las inversiones para 2025 cidad de responder a cambios en la (Gartner, 2024). Con base en estos demanda de recursos y ampliar la datos podemos aﬁrmar que el valor posibilidad de conexión a servicios de la inversión y el número de em- vía internet. presas consumidoras de tecnolo- gía de nube seguirá creciendo en Considerando estas ventajas, no los próximos años. sorprende que el uso de servicios en la nube haya crecido de forma Principales Retos para consistente en los últimos años. La Asegurar un Servicio en la Figura 1 muestra la inversión reali- Nube zada por diferentes empresas, des- El amplio uso de tecnología de nu- de 2017, en tecnología de nube y be justiﬁca el trabajo de los exper- se puede observar un crecimiento tos para garantizar la seguridad y consistente en el valor de la inver- privacidad de datos y servicios en sión. Los valores estimados para la ese contexto. Entre los principales inversión en 2024 y 2025 son retos que las empresas deben en- US$675430 millones de dólares frentar cuando deciden migrar un ($675,43 US billions) y US$824760 servicio a la nube podemos identi- millones de dólares ($824,76 US ﬁcar: asumir el modelo de respon- billions) respectivamente (Statista, sabilidad compartida, manejar el 2024). aumento de la superﬁcie de ataque y la pérdida de visibilidad y respon- Gartner por su parte pronostica un der a los requerimientos de priva- crecimiento del 22,1% en el valor cidad y cumplimiento. Figura 1. Inversión en Servicios de Cloud Pública (datos de Statista). SISTEMAS 11 Asumir el modelo de responsabili- pliega un servicio en la nube debe dad compartida. Las empresas me- identiﬁcar sus responsabilidades, dianas y pequeñas, y algunas gran- entre las cuales podemos mencio- des, creen que migrando sus servi- nar dos tareas que el cliente siem- cios a la nube transﬁeren al pro- pre debe asumir: (i) la identiﬁcación veedor la responsabilidad de resol- de los requerimientos de seguridad ver los problemas de seguridad, de sus datos y servicios, y (ii) hacer pero, esta creencia es errónea. Al (o contratar) un análisis de riesgos migrar los servicios a la nube la res- para veriﬁcar que los requerimien- ponsabilidad no se transﬁere com- tos de seguridad están siendo ges- pletamente, se distribuye, dando tionados de forma apropiada. lugar a un modelo de responsabili- dad compartida. Esto ocurre por- Manejar el aumento en la exposi- que la migración no cambia los re- ción de los datos y servicios. Un querimientos de seguridad de un servicio de nube da mayor cone- servicio o un conjunto de datos, los xión a los usuarios gracias al uso de requerimientos de conﬁdenciali- protocolos de comunicación están- dad, integridad, disponibilidad y pri- dar que facilitan la conexión vía in- vacidad se conservan, pero las so- ternet con dispositivos como servi- luciones deben ser implementadas dores, computadores de escritorio, de forma compartida por el pro- laptops, tabletas y teléfonos celu- veedor y la empresa que compra el lares inteligentes. Por otro lado, los servicio de nube. atacantes pueden usar está misma capacidad de acceso para desple- La distribución de responsabilida- gar ataques vía internet. La empre- des varía dependiendo del modelo sa que despliega un servicio en la de servicio; Infraestructura como nube es responsable de evaluar el Servicio, Plataforma como Servicio riesgo asociado, decidir cómo ma- y Software como Servicio implican nejarlo y deﬁnir las políticas de se- variaciones en las responsabilida- guridad correspondientes. Ade- des de proveedores y clientes. más, dependiendo del modelo de Google Cloud (Google Cloud, s.f.), servicio, debe implementar contro- Microsoft Azure (Microsoft, 2023) y les en las capas que estén bajo su otros proveedores de nube tienen responsabilidad. sus propias versiones del modelo de responsabilidad compartida, los Manejar la pérdida de visibilidad. El nombres de las capas usadas va- control de una empresa sobre su in- rían un poco, pero todos comparten fraestructura y mecanismos en una el concepto fundamental: tanto el instalación local (on-premise) es proveedor como el cliente son res- completo, pero cuando migra un ponsables del despliegue seguro servicio a la nube mueve sus re- de un servicio en la nube. Como cursos fuera del alcance de su red y consecuencia, la empresa que des- transﬁere parte del control al pro- 12 SISTEMAS veedor. Además, un servicio en la y datos personales de sus ciudada- nube permite a los empleados co- nos, como en el caso de la limita- nectarse desde cualquier parte, a ción geográﬁca de GDPR (General cualquier hora y con diferentes dis- Data Protection Regulation) de la positivos. Con el auge de trabajo Unión Europea (Intersoft Consul- remoto desde la pandemia de ting, s.f.). COVID-19, estas características son ideales, sin embargo, las em- Aunque los proveedores de nube presas pueden perder visibilidad ofrecen herramientas que permiten sobre cómo y cuándo se usa su in- satisfacer estándares de cumpli- formación y, como los recursos en miento, es responsabilidad de los la nube están fuera del alcance de clientes identiﬁcar la regulación una red corporativa, las herra- que deben cumplir, como PCI DSS mientas tradicionales no sirven pa- (Payment Card Industry Data Se- ra monitorear los recursos protegi- curity Standard) o GDPR (General dos. Data Protection Regulation), y de- ﬁnir e implementar políticas y con- Manejar los requerimientos de pri- troles que protejan sus datos de fu- vacidad y cumplimiento. La priva- gas y usos no autorizados y permi- cidad se deﬁne como el derecho de tan cumplir con la regulación. todos los individuos a controlar lo que se sabe y se almacena sobre Incidentes Recientes ellos mismos. Las regulaciones so- El reporte de seguridad en nube pa- bre protección de datos personales ra 2024 de Cybersecurity Insiders y son consecuencia de este derecho Check Point indica que 61% de las y su cumplimiento debe ser una de empresas con servicios de nube re- las prioridades de cualquier empre- portan haber sufrido incidentes de sa que recopile, almacene y proce- seguridad durante los últimos 12 se los datos de sus usuarios, tanto meses, lo cual representa un incre- por el aspecto legal como por prin- mento de 24% con respecto al año cipios éticos dado que las regula- anterior. 23% de los encuestados ciones protegen aspectos sensi- no están seguros o no pueden re- bles de las personas (International portar los incidentes y solo 16% di- Telecommunication Union-ITU, 20- cen que no hubo incidentes (Check 12). Adicionalmente, al mover da- Point y Cybersecurity Insiders, 20- tos a la nube, hay que considerar 24). que serán almacenados en centros de datos distribuidos en diferentes Entre los principales problemas de sitios geográﬁcos y, por otro lado, seguridad que conducen a inciden- algunos países tienen regulaciones tes están: que establecen restricciones sobre Errores de conﬁguración. Estos los sitios de procesamiento y al- errores son una de las principa- macenamiento de datos sensibles les causas de problemas de se- SISTEMAS 13 guridad y fugas de datos. Ocu- alto nivel de conectividad vía in- rren por desconocer las caracte- ternet, lo cual facilita el intento rísticas de una infraestructura de de acceso con un costo muy ba- nube, no comprender el alcance/ jo. Además, tienen una alta pro- limitaciones de los controles de babilidad de presentar errores seguridad, y por la heterogenei- de conﬁguración y almacenan dad de despliegues multinube gran cantidad de datos que pue- (Check Point, s.f.). Estos errores den ser valiosos (Check Point, incluyen fallas en: la gestión de s.f.) (THALES, 2024). Adicio- vulnerabilidades, en el uso de nalmente, como la conﬁguración autenticación multifactor, en la de la infraestructura es estándar conﬁguración del control acceso es posible que una técnica de y en la conﬁguración de las inter- ataque pueda repetirse con una faces de conexión a los servicios alta probabilidad de éxito, de he- de nube (Check Point, s.f.) cho, en 2023 Mandiant y VMwa- (THALES, 2024). re remediaron una vulnerabili- Secuestro de cuentas. Algunos dad de día cero; esta situación usuarios tienen contraseñas dé- probó que los atacantes tienen biles y las usan en varios servi- los ambientes de nube entre sus cios. Esto facilita que un ata- objetivos (Google Cloud, 2024) cante logre acceso no autoriza- do a una cuenta legítima y la use Factores Adicionales para robar datos, sin que los Además de los retos mencionados, administradores del servicio lo hay tres factores que ampliﬁcan la noten. (Check Point, s.f.) problemática de seguridad que se Mecanismos no controlados pa- debe enfrentar al migrar servicios a ra compartir datos. La tecnolo- la nube: herramientas especíﬁcas, gía de nube está diseñada para falta de expertos y complejidad del facilitar la tarea de compartir da- ambiente. tos e incluye la posibilidad de crear un enlace que se envía por Herramientas Especíﬁcas. Las he- correo electrónico para dar rramientas que ofrecen los provee- acceso a un recurso, sin necesi- dores de nube para implementar dad de autenticación. Este me- políticas de seguridad son diferen- canismo permite que el enlace tes de las herramientas usadas en sea reenviado múltiples veces y infraestructuras locales. Esto signi- diﬁculta controlar quién tiene ﬁca que el equipo de seguridad de- acceso a un recurso (Check be familiarizarse con herramientas Point, s.f.) nuevas, y a menudo complejas por Ciberataques. Los servicios en la gran cantidad de opciones de nube son un objetivo atractivo conﬁguración, identiﬁcando el al- para un atacante porque la infra- cance de estas y cómo gestionar- estructura subyacente ofrece un las. 14 SISTEMAS Falta de Expertos. Asegurar servi- ridad deben enfrentar un nivel de cios en la nube es diferente de ase- complejidad mayor al que se en- gurarlos en una instalación local frenta en una instalación local en (on-premise) y los equipos de se- todas las combinaciones. Esta guridad deben ser conscientes. complejidad es resultado de las di- ferencias de funcionalidad, interfa- Estas diferencias incluyen el con- ces y herramientas en cada plata- junto de riesgos, dado que hay ma- forma, agrava la pérdida de visibili- yor exposición de los recursos, un dad y hace más difícil la tarea de participante adicional que puede asegurar los servicios y datos en la tener privilegios (el proveedor de nube. (Check Point y Cybersecurity servicios) y un conjunto diferente Insiders, 2024) (THALES, 2024) de herramientas. El reporte de se- guridad en nube para 2024 de Cy- Recomendaciones bersecurity Insiders y Check Point El Centro Nacional para la Ciberse- menciona que 76% de los encues- guridad del Reino Unido hace las tados han enfrentado la falta de siguientes recomendaciones tradi- profesionales expertos en seguri- cionales para escoger, conﬁgurar y dad en contextos de nube (Check usar servicios de nube de forma se- Point y Cybersecurity Insiders, 20- gura: proteger los datos en tránsito, 24). The Cloud Security Alliance proteger los activos en almacena- (CSA) también incluyó la falta de miento y en procesamiento, identi- conocimientos y experiencia como ﬁcar las técnicas de aislamiento de uno de los principales retos para clientes, usar un framework para 2023. (Cloud Security Alliance, 20- gobernanza de la seguridad, im- 23) plementar técnicas para operar y manejar los servicios de forma se- Complejidad del Ambiente. Es co- gura, considerar el acceso del per- mún que un cliente decida construir sonal del proveedor, diseñar, de- un ambiente híbrido o multinube, el sarrollar y desplegar los servicios primero combina una nube pública de forma segura, considerar la se- y una privada, o una nube pública y guridad de la cadena de suminis- una instalación local, mientras el tros, administrar usuarios, manejar segundo ambiente combina dos o identidad y autenticación, proteger más proveedores de nube. Estas las interfaces externas, asegurar combinaciones ofrecen la posibili- los sistemas de administración, au- dad de distribuir cargas de trabajo ditar y alertar, y usar seguridad por de forma ﬂexible con base en las defecto. (National Cyber Security necesidades de la organización y Centre, s.f.) en las ventajas del proveedor, co- mo precio, capacidad de procesa- Además de estos principios tradi- miento y distribución geográﬁca. cionales, con base en las amena- Sin embargo, los equipos de segu- zas y retos identiﬁcados más re- SISTEMAS 15 cientemente, es recomendable te- eﬁcazmente a un incidente de ner en cuenta (ISC2 y Cybersecu- seguridad. rity Insiders, 2024) (Google Cloud, 2024): Desplegar un servicio seguro en nube puede ser una tarea compleja Automatizar. Usar herramientas que debe abordarse de forma or- automatizadas para evaluar ganizada; entendiendo las respon- conﬁguración y comportamiento sabilidades asociadas, capacitán- y monitorear en tiempo real para dose y aprendiendo sobre las ca- detectar amenazas y responder racterísticas de la infraestructura rápidamente. de nube, las herramientas disponi- Incorporar IA (Inteligencia Artiﬁ- bles y los retos presentes, y apo- cial). La rápida evolución de la IA yándose en recomendaciones de generativa ofrece a los atacan- centros reconocidos y expertos. tes una nueva herramienta para Referencias mejorar sus técnicas. Los exper- Statista. (2024). Public cloud services end- tos en seguridad deberían usar user spending worldwide from 2017 to esta misma tecnología para me- 2024. Retrieved from Estadísticas: jorar su capacidad de preven- https://www.statista.com/statistics/273 818/global-revenue-generated-with- ción, detección y respuesta. cloud-computing-since-2009/) Mejorar la protección de datos. Usar cifrado, control de acceso y Mell, P., & Grance, T. (2011, September). técnicas de prevención de fuga The NIST Definition of Cloud Compu- de datos para proteger informa- ting (Special Publication 800-145). ción sensible. Intersoft Consulting. (n.d.). Retrieved Invertir en entrenamiento y certi- Junio 2024, from GDPR: ﬁcación. Ofrecer entrenamiento https://gdpr-info.eu/art-3-gdpr/ que permita a los equipos de se- guridad entender los retos de se- ISC2 y Cybersecurity Insiders. (2024). 2024 Cloud Security Report. guridad en la nube y diseñar y construir arquitecturas apropia- International Telecommunication Union- das para las necesidades de la ITU. (2012). Privacy in Cloud Compu- organización. ting. Adoptar un modelo de conﬁanza Check Point y Cybersecurity Insiders. cero. El modelo busca proteger (2024). 2024 Cloud Security Report. los recursos, suponiendo que la conﬁanza nunca debe asignarse Check Point. (n.d.). Top 15 Cloud Security implícitamente y debe evaluarse Issues, Threats and Concerns. continuamente. Retrieved Junio 2024, from Check Point Cyber Hub: Construir un plan de respuesta a https://www.checkpoint.com/cyber- incidentes. Este plan debe adap- hub/cloud-security/what-is-cloud- tarse a las características de un security/top-cloud-security-issues- servicio en nube para responder threats-and-concerns/ 16 SISTEMAS THALES. (2024). 2024 Cloud Security aspectos básicos de la seguridad en Study. Azure: https://learn.microsoft.com/es- Cloud Security Alliance. (2023, Abril). Top es/azure/security/fundamentals/share Cloud Security Challenges in 2023. d-responsibility Retrieved Junio 2024, from Cloud Security Alliance: National Cyber Security Centre. (n.d.). https://cloudsecurityalliance.org/blog/ The Cloud Security Principles. 2023/04/14/top-cloud-security- Retrieved Junio 2024, from Cloud challenges-in-2023 Security Guidance: https://www.ncsc.gov.uk/collection/clo Google Cloud. (2024). Insights for Future ud/the-cloud-security-principles Planning. Google Cloud. (n.d.). Shared responsibilities and shared fate on Gartner. (2024, Mayo). Gartner Forecasts Google Cloud. Retrieved Junio 2024, Worldwide Public Cloud End-User from Cloud Architecture Center: Spending to Surpass $675 Billion in https://cloud.google.com/architecture/ 2024. Retrieved Junio 2024, from framework/security/shared- Gartnet Newsroom: responsibility-shared-fate https://www.gartner.com/en/newsroo m/press-releases/2024-05-20- Microsoft. (2023). Responsabilidad gartner-forecasts-worldwide-public- compartida en la nube. Retrieved Junio cloud-end-user-spending-to-surpass- 2024, from Documentación de los 675-billion-in-2024 Sandra Rueda: Profesora asociada en el Departamento de Ingeniería de Sistemas y Computación de la Universidad de los Andes, Colombia. Ph.D. Computer Science and Engineering, The Pennsylvania State University, Estados Unidos. Sus áreas de investigación son seguridad de sistemas de software, análisis y generación automática de políticas de control de acceso y ciberseguridad en plataformas emergentes como IoT y móviles. SISTEMAS 17 Entrevista Seguridad en la nube y el futuro DOI: 10.29236/sistemas.n171a3 Javier Díaz Evans experto en ciberseguridad y líder en dirección aceptó la convocatoria para entrevistarlo alrededor de la seguridad en la nube y el futuro en este número de la revista. “Existen personas muy importantes El entrevistado es ingeniero elec- en mi desarrollo profesional, entre trónico, especialista en Telemática ellos César Tarazona, mi gran men- de la Universidad de los Andes y tor, quien aportó en mi carrera el co- eMBA de Inalde Business School. nocimiento técnico y la experiencia Cuenta con más de 20 años de ex- para evolucionar y desarrollarme periencia en el campo de la ciber- en el frente de ciberseguridad y Ju- seguridad, ha desempeñado un pa- lio Leonzo Álvarez quien me apoyó pel clave en la evolución y expan- en el desarrollo de mis capacida- sión de A3SEC desde su fundación des de liderazgo y dirección”, se- en 2012, como un spin-oﬀ de ñaló Javier Díaz Evans. AlienVault y Teldat; A3SEC ha cre- 18 SISTEMAS cido bajo su liderazgo para conver- tirse en una empresa líder en solu- ciones de ciberseguridad, operan- do en España, Colombia, Ecuador y México, con planes de expansión hacia Europa y Estados Unidos, agregó. Javier Díaz Evans ha sido pionero en la adopción de una estrategia basada en la inteligencia de datos, la hiperautomatización y el uso de IA/ML, transfor- mando la forma en que las organizaciones protegen sus activos digitales. Antes de A3SEC, acu- muló una vasta expe- riencia como proveedor y consultor de seguri- dad, así como C I S O (Chief Information Security Oﬃcer) de un conglomerado ﬁnanciero, lo que le ha permitido tener una visión integral y prác- tica de las necesidades del sec- tor. Revista Sistemas: ¿Es la compu- Pad Cifrados). La computación tación conﬁdencial el futuro de la conﬁdencial promete extender esta seguridad en la computación en la protección al procesamiento de da- nube? tos en entornos de nube, pero en- frenta varios retos signiﬁcativos: Javier Díaz Evans: Tradicional- mente, la protección de datos se ha Estándares y Regulaciones: La centrado en el resguardo y la trans- falta de normas uniﬁcadas y re- misión, pero la conﬁdencialidad del gulaciones claras puede diﬁcul- procesamiento de datos solo se ha- tar la adopción generalizada. bía abordado para elementos muy Rendimiento: Mantener un alto sensibles utilizando soluciones co- nivel de rendimiento mientras se mo los HSM (Módulos de Seguri- garantiza la seguridad es un de- dad en Hardware) y los EPP (Pin safío técnico. SISTEMAS 19 Interoperabilidad: Es crucial una organización y garantizar que asegurar que las soluciones de nos preparemos para enfrentar los computación conﬁdencial fun- desafíos y maximizar los beneﬁcios cionen eﬁcientemente en dife- es necesario seguir una hoja de rentes plataformas y con otros ruta detallada, comparto algunas sistemas de seguridad. ideas: Adopción del Mercado: Con- vencer a las organizaciones del 1. Desarrollar Conocimientos y Ca- valor y la necesidad de invertir pacidades: en estas tecnologías es un reto. Fortalecer las competencias in- Complejidad Técnica: Imple- ternas sobre el paradigma de la mentar y gestionar entornos de computación conﬁdencial. ejecución conﬁables (TEE) re- 2. Evaluación Inicial: quiere conocimientos avanza- Realizar un análisis de las nece- dos y recursos signiﬁcativos. sidades de negocio, inventario, Ataques Soﬁsticados: Es nece- ﬂujos y clasiﬁcación de datos, sario desarrollar métodos para así como de los riesgos actuales protegerse contra ataques cada de ciberseguridad y privacidad. vez más soﬁsticados que bus- 3. Diseño de Arquitectura: can explotar vulnerabilidades en Seleccionar los estándares y los TEE. tecnologías más adecuadas, planiﬁcando la integración con Aunque la computación conﬁden- las soluciones existentes y deﬁ- cial tiene un gran potencial, el futu- niendo políticas y estándares ro podría ver la aparición de otras especíﬁcos. tecnologías emergentes que trans- 4. Prueba Piloto: formen este paradigma de la segu- Implementar una prueba piloto ridad en la nube. La evolución para evaluar la seguridad y el constante en el ámbito de la segu- rendimiento, permitiendo reali- ridad cibernética signiﬁca que de- zar ajustes y optimizaciones ne- bemos estar preparados para cesarias antes del despliegue a adaptarnos a nuevas soluciones gran escala. que puedan ofrecer aún más pro- 5. Plan de Despliegue: tección y eﬁciencia. Establecer un plan de migración gradual de la tecnología, con RS: Si una organización quiere in- monitoreo constante y soporte corporar la computación conﬁden- continuo para asegurar una tran- cial en sus prácticas y despliegues sición ﬂuida. actuales, ¿cuál sería la hoja de ruta 6. Estrategia de Gobernanza: a seguir? Desarrollar una estrategia de go- bernanza que incluya evalua- JDE: Para incorporar la tecnología ciones periódicas de cibersegu- de computación conﬁdencial en ridad, actualizaciones tecnoló- 20 SISTEMAS gicas y la integración en proce- trusos (IDS) y su evolución NDR sos de gestión de fallos e inci- (Network Detection & Respon- dentes. se) que analizan el tráﬁco de red 7. Evaluación de Impacto: pueden encontrar limitaciones al Medir y evaluar los resultados analizar datos cifrados, afectan- obtenidos con la nueva tecnolo- do su visibilidad y capacidad de gía, generando retroalimenta- detección de amenazas. ción continua para mejorar y Sistemas EDR: Podrían enfren- ajustar la implementación según tar diﬁcultades para identiﬁcar sea necesario. ciertas tácticas y técnicas que implican acceso y procesa- RS: ¿Cuáles podrían ser los retos miento de datos cifrados, requi- más importantes a tener en cuenta riendo una evolución en sus ca- para una organización si quiere in- pacidades de detección. corporar la computación conﬁden- Integración y Evolución de Con- cial en su infraestructura y aplica- troles: ciones? - XDR y SOAR: Estas soluciones, que combinan múltiples fuentes JDE: La respuesta fue planteada de datos y capacidades de res- en la primera pregunta para validar puesta automatizada, necesita- si es el futuro de la computación en rán adaptarse para gestionar y la nube, pero si analizamos los más analizar datos en entornos de importantes diría que son: computación conﬁdencial. Esto Rendimiento. implica actualizar metodologías Interoperabilidad. y procesos de ingeniería de de- Ataques Soﬁsticados. tección para mantener y mejorar la eﬁcacia en la identiﬁcación de RS: ¿Cómo encaja la computación amenazas, incluso con datos ci- conﬁdencial con las actuales medi- frados. das de seguridad desplegadas en Complementariedad: la nube como son XDR, SOAR, en- - Analítica de Ciberseguridad: He- tre otras? rramientas de analítica avanza- das pueden complementar las JDE: La computación conﬁdencial, capacidades de detección y res- al centrarse en el cifrado integral de puesta de XDR y SOAR, ase- los datos, plantea retos y oportuni- gurando que no se pierdan capa- dades para los sistemas de seguri- cidades críticas para reducir el dad en la nube. tiempo de exposición ante ata- ques. Desafíos en Detección y Respues- ta: En resumen, la computación conﬁ- Cifrado de Datos en Tránsito: dencial exige una evolución en las Los sistemas de detección de in- herramientas de seguridad actua- SISTEMAS 21 les para integrarse eﬁcazmente, sin necesidad de descifrarlos pre- manteniendo y potenciando las ca- viamente. Esto no solo fortalece la pacidades de detección y respues- privacidad, sino que también puede ta. mejorar el rendimiento de las apli- caciones. RS: ¿Qué nuevos desarrollos se ven a futuro para la computación Otro avance importante es la com- conﬁdencial? putación distribuida conﬁdencial, que permite a múltiples entidades JDE: La computación conﬁdencial colaborar en el cálculo de funcio- está avanzando con el desarrollo nes sin revelar sus datos de entra- de procesadores que incorporan da individuales. Este enfoque pre- tecnologías para proteger la ejecu- serva la privacidad y la integridad ción de código y datos. Estos pro- de los datos entre los participantes. cesadores permiten aislar la ejecu- ción del sistema operativo y las Finalmente, se esperan desarrollos aplicaciones, mejorando así la pri- signiﬁcativos en normativas y es- vacidad de datos. tándares, que jugarán un papel cru- cial en la regulación y adopción de Además, están surgiendo nuevos estas tecnologías seguras a nivel modelos criptográﬁcos que facilitan global. realizar cálculos con datos cifrados 22 SISTEMAS Investigación XXIV Encuesta Nacional de Seguridad Informática DOI: 10.29236/sistemas.n171a4 De la seguridad a la confianza. Resumen La encuesta de seguridad informática, capítulo Colombia, soportada por la Asociación Colombiana de Ingenieros de Sistemas (ACIS) y realizada a través de Internet, entre los meses de marzo y mayo de 2024, contó con la participación de 203 encuestados, quienes con sus respuestas permiten conocer la realidad del país en esta temática. La distribución se hizo a tra- vés de las diferentes redes sociales, comunidades y grupos que colabo- raron también con el diligenciamiento del instrumento. Sus resultados muestran la transformación de las prácticas de seguridad y control en el país, los cuales se contrastan con los referentes internacionales seleccio- nados para esta versión de la encuesta. Palabras clave Seguridad de la información, encuesta, líder, perfil profesional, riesgos de información. 24 SISTEMAS Andrés R. Almanza J. Introducción titulado “Reflexiones y retos para la Entender la realidad nacional en academia en la formación de pro- materia de seguridad de la infor- fesionales de seguridad/ciberse- mación y ciberseguridad, permite guridad en Colombia: 2010 – 2020” visualizar los retos en el corto, me- (Cano & Almanza, 2021), que fue diano y largo plazo, así como ayu- publicado en el 2021, como un re- dar a formular mejoras en la postu- gistro analítico y documentado del ra de seguridad control y resiliencia pasado y una prospectiva sobre el en las organizaciones. Ese enten- futuro de la seguridad en Colombia, dimiento, sumado a conocer el con- como un soporte más de los análi- texto internacional, proporciona sis realizados y situados de los re- una proyección al entorno nacional sultados de esta nueva encuesta. para enfrentar los retos y desafíos en ambientes cada vez más per- Como todos los años, se revisan meados por la realidad digitalmen- para la realización de este informe, te modificada. algunos de los reportes más repre- sentativos de la industria, para De la misma manera que en otras identificar convergencias, diver- versiones, la Encuesta Nacional gencias, contradicciones o comple- pretende medir las dinámicas y ló- mentos a los resultados propios de gicas de las empresas del país, ver esta investigación. otros referentes mundiales en la búsqueda y construcción de los Estructura de la encuesta propios. El estudio contempla 39 preguntas repartidas en varias secciones so- Año tras año, este estudio ha refle- bre diferentes asuntos. jado cómo ha venido desarrollán- dose en Colombia el desarrollo de Demografía: Describe la informa- la seguridad y ciberseguridad de ción del encuestado, cuáles son las las organizaciones y como los dife- tareas que realiza, la visión de la rentes sectores de la industria em- seguridad, además de los roles que piezan a comprender a la seguri- en tal sentido puedan existir dentro dad digital y ciberseguridad como de su organización. Datos que per- herramientas que ayudan a incre- miten ubicar el sector al que perte- mentar el valor de estas. nece, el tamaño y tipo de empresa. Como parte de los esfuerzos aca- Presupuestos: Relaciona todos démicos para estudiar y entender la los aspectos asociados con los re- realidad de la Colombia, se resalta cursos financieros destinados en el análisis longitudinal de 10 años materia de seguridad y, sobre todo, SISTEMAS 25 en qué se concentra la inversión de guridad en el desarrollo de la diná- dichos recursos. mica de protección de la empresa. Incidentes de seguridad: Muestra Hallazgos principales los detalles y tipos de incidentes presentados, un barrido por las Demografía prácticas más importantes en el manejo y diligencia de la evidencia Sectores participantes digital, como herramienta en la per- secución de los ciberdelincuentes. La gráfica 1 refleja la participación de algunos de los sectores de la Herramientas y prácticas de se- economía colombiana. Los tres guridad: Se refiere a las prácticas segmentos con mayor participa- comunes en materia de seguridad, ción de la encuesta para este año ese conjunto de acciones que per- fueron Consultoría especializada, mite a las organizaciones definir Financieros, Educación y Otros, el una postura clara en materia de cual representa a aquellos que no protección. se identifican con los sectores defi- nidos (Servicios legales, asegura- Políticas de seguridad: Busca co- dores, sociedad civil, y otros). nocer el estado de las políticas de seguridad, la práctica de la gestión La grafica 2 muestra el tamaño de de riesgos y su integración en el las empresas en Colombia, de contexto organizacional. acuerdo con el número de emplea- dos y se puede observar la partici- Capital intelectual: Busca definir pación de empresas de todos los cómo son las áreas de seguridad y tamaños y cómo la ciberseguridad las características básicas en ma- ha impactado sus operaciones. teria de experiencia, formación y capacitación de los profesionales La gráfica 3 muestra los cargos de de seguridad. Muestra también la los encuestados, entre los que se relación de las instituciones de edu- cuentan oficiales de Seguridad de cación superior frente a una reali- la información, profesionales del dad tan cambiante. departamento de seguridad, ase- sor y consultor externo auditores in- Temas emergentes: En esta sec- ternos. ción se analizan varios aspectos, entre ellos: la percepción del futuro En la categoría de otros se en- en materia de ciberseguridad; la cuentran a un variado universo de vinculación de los directivos de la profesionales, entre otras están do- organización en la ciberseguridad centes universitarios, ingenieros empresarial, además de la respon- del sector de la industria de TI, y al- sabilidad y el papel del líder de se- gunos otros profesionales de ciber- 26 SISTEMAS Gráfica 1: Sectores participantes Gráfica 2: Tamaño de las empresas participantes. SISTEMAS 27 Gráfica 3: Cargos de los encuestados seguridad que no se identifican con propia, Director/Jefe de Seguridad las categorías de cargos que con- de la Información 35%, seguido por tiene la encuesta. Es importante la Vicepresidencia/Director Depar- considerar que existe una gran ga- tamento de Tecnologías de la Infor- ma de roles que responden la en- mación 17% y en tercer lugar del cuesta y dan sus distintas visiones Director/Jefe de Seguridad Infor- acerca de lo que representa la ci- mática 15%. berseguridad en sus organizacio- nes. En la gráfica 6 se observan los roles dentro de una organización en ma- En la gráfica 4 se observan las ta- teria de seguridad digital. El rol de reas realizadas por los profesio- analista de seguridad de la infor- nales de seguridad dentro de las mación es el número 1, seguido de organizaciones. Para este año, el la posición CISO u Oficial de Segu- porcentaje más alto está represen- ridad de la Información y analista tado por definir controles de TI en de seguridad informática. materia de seguridad, seguido de establecer e implementar un mo- Consideraciones de los datos delo de políticas y en tercer lugar Definir, implementar y asegurar la Participación de la industria estrategia de ciberseguridad de la empresa. Después de 24 años de este ejer- cicio, se ha mantenido la participa- La gráfica 5 muestra de quién de- ción de los diferentes profesionales pende el área de seguridad. Los de seguridad, tecnologías y afines, datos indican que el área de segu- que ven en este instrumento una ridad depende de una dirección oportunidad para seguir apren- 28 SISTEMAS Gráfica 4: Funciones del responsable de seguridad Gráfica 5: Dependencia del área de Seguridad SISTEMAS 29 Gráfica 6: Roles de Seguridad diendo sobre la ciberseguridad en las empresas en procura de una la región y el país. resiliencia que haga sostenible a los mismos (WEFa, 2024) El informe del Foro Económico Mundial en Davos del 2024, una Roles, responsabilidades y vez más muestra qué importante es funciones la ciberseguridad para el ecosiste- ma empresarial y como está viene Las áreas de seguridad siguen de- evolucionando de hablar de solo sempeñando un rol importante en proteger a ser un generador de las empresas colombianas, este confianza (WEFc, 2024), así mis- año al hacer análisis por tamaños mo el informe de la misma institu- de empresas hemos encontrado en ción titulado Global Cybersecurity los diferentes sectores de indus- Outlook 2024, resalta la importan- trias datos interesantes. cia que menciona aspectos claves de la seguridad en la sociedad y la Se siguen manteniendo las funcio- importancia para las empresas, y nes básicas de las áreas de segu- como las tecnologías emergentes ridad como unas áreas tácticas u son y serán piezas claves del de- operacionales en las empresas de sarrollo económico de los estados y Colombia, donde la Definición de 30 SISTEMAS controles de TI en materia de se- formación el 18%, Definir, im- guridad de la información con un plementar y asegurar el progra- 67%, Creación de programas de ma de protección de datos per- entrenamiento en materia de se- sonales de la empresa 17% y guridad de la información con un Definir programas de resiliencia 63%, y Establecer e implementar digital el 17%. un modelo de políticas en materia 4. De 501 a 1000, Creación de pro- de seguridad de la información con gramas de entrenamiento en un 61%, son las principales funcio- materia de seguridad de la infor- nes del área de seguridad. Sin em- mación 19%, Evaluar la eficien- bargo, si existen algunas intere- cia y efectividad del modelo de santes variaciones al revisar por ta- seguridad de la información maño de las empresas en la reali- 19%, Definir o diseñar escena- dad colombiana. rios/simulaciones/Playbooks en relación con ciberriesgos 18%. 1. Las empresas de 1 a 50 em- 5. De 1001 a 5000, Supervisar pro- pleados, el área de seguridad cesos de cumplimiento regula- cumple con un propósito muy torio en tecnología de informa- técnico y táctico, al estar enfo- ción 35%, Supervisar y gestionar cadas en velar por la protección los procesos de investigaciones de información personal en un forenses digitales 33%, Esta- 21%, aseguramiento de los pro- blecer y revisar la arquitectura cesos de la organización 18% y de seguridad de la información seguimiento de prácticas en ma- 32%. teria de protección de la privaci- 6. Mayores a 5001, Dirigir y super- dad con igual % visar los programas de riesgos 2. Las empresas de 51 a 200 em- de seguridad de la información pleados centran sus esfuerzos de la organización 22%, Gestio- en el 15% en el seguimiento a nar el programa de gestión de in- las prácticas en materia de pro- cidentes de seguridad de la in- tección de la privacidad, la Im- formación 21%, Definir progra- plementación de controles de TI mas de resiliencia digital 20%. en materia de seguridad de la in- formación con el mismo porcen- La confianza y la resiliencia son dos taje y como su tercera acción es- pilares fundamentales de las eco- tá Definir, diseñar y velar por el nomías actuales que hacen por programa de privacidad de la in- tanto que los datos se conviertan formación de la organización, to- en la herramienta, junto a sus pro- dos con el mismo porcentaje. cesos de protección en una estra- 3. Las empresas de 201 a 500 em- tegia para brindar a las partes inte- pleados enfocan sus acciones resadas la confianza para crear en- en, Definición de controles de TI tornos digitales confiables (Edel- en materia de seguridad de la in- man, 2024), los datos de la realidad SISTEMAS 31 de Colombia, a la luz de informes que basado en los datos inclusive como el de ISACA muestran que la por tamaños de empresas se com- protección de la confianza se está portan de manera distinta, acá para volviendo cada vez más relevante y efectos de la investigación dejamos de mayor importancia (ISACA, 20- el general de algunos sectores de 24). la industria y sus esfuerzos número uno tabla 1. Igualmente se puede decir que mientras las empresas pequeñas La tabla 2, describe y resalta el top entienden al dato como un activo tres de funciones en (rojo) que su- de vital importancia (Connectwise, ceden en las empresas basados en 2024), maduran a un ritmo no uni- sus tamaños, en ellas se pueden forme y se presentan desconexio- representar la madurez de las em- nes en las organizaciones que ha- presas en el desarrollo de sus prác- cen que ese ritmo no sea más efi- ticas, las pequeñas hasta 200 em- ciente frente a la cantidad de ata- pleados parece que entienden que ques informáticos exitosos que el dato y más los personales son existen en la actualidad (Latpass, fuentes y motor del negocio que ne- 2024). cesita ser protegidos, las medianas mayor de 200 hasta 999, educar, Al revisar por sectores, hay noto- gestionar riesgos, generar contro- rias diferencias que muestran un les, crear resiliencia y proteger los poco la realidad de las empresas, y datos son piezas claves de sus fun- Tabla 1: Sectores x función de seguridad (Elaboración propia) 32 SISTEMAS Tabla 2: Distribución de responsabilidades por tamaños de empresas SISTEMAS 33 34 SISTEMAS SISTEMAS 35 ciones y por último las mayores de presente y la realidad existente 1000, velar por sus riesgos, desa- (Martínez, J., 2021). rrollar resiliencia, gestionar inci- dentes y saber que ocurre son las Dependencia de la seguridad acciones que muestran mejor su madurez. Con el pasar de los años se ve a un área de seguridad mucho más em- Seguimos en un proceso de cam- poderada y posicionada, los datos bios y transformaciones que ha ratifican que hay mejoras en la de- afianzado al trabajo remoto, los pendencia de seguridad, que so- ambientes híbridos como realida- portan la idea de un área que sigue des que se han plasmado en la vida su proceso de consolidación en las de las personas y de las organiza- empresas. ciones, que han hecho que el pro- fesional de seguridad tenga que re- Este año se ven cambios impor- pensar la forma en como desarrolla tantes frente al año inmediatamen- su función y que reta la práctica, en te anterior, por ejemplo, el sector donde se hace necesario que nue- salud a diferencia del año anterior vos aprendizajes y nuevas formas muestra avances en la creación de de visualizar el futuro sean posi- áreas de seguridad y tener un di- bles. No es posible aprender del fu- rector de esta para guiar todas las turo, si este no se visualiza en el iniciativas de seguridad. La gráfica Gráfica 7: Crecimiento de la dependencia del área de seguridad. 36 SISTEMAS 7 muestra la dependencia de la se- 24a; Deloitte, 2024a; Digital Insti- guridad en la organización y en es- tute, 2024; EY, 2024). te caso una comparación con el año inmediatamente anterior. Dos de los resultados que llaman la atención, por un lado, un creci- Cabe resaltar que, la función de se- miento del 3,62% que menciona guridad en todos los sectores de la que el área de seguridad depende industria se sigue posesionando, de otras áreas, sin embargo, más un crecimiento del año 2023 a 2024 por sintaxis que por nombre están en 3,67% muestra que se vuelve asociados áreas de seguridad y más importante y se evidencia co- riesgos que áreas diferentes a las mo necesidad, tendencia que se que existen. El segundo resultado puede evidenciar en múltiples in- que es muy alentador es que hay formes de industria como (Cyber una diminución cercana al 4% de XM 2024; PwC 2024b). Otro de los los que no lo tienen formalmente aspectos relevantes es el creci- definidos, eso es un gran avance y miento en 2,90% de la dependen- demasiado alentador, pues se rati- cia del área de seguridad de la di- fica la tendencia relacionada con la rección general, esto se puede ex- presencia del área de seguridad y plicar como contexto de los fenó- ciberseguridad necesita su espacio menos recientes de ciberataques en relación con la dinámica de los muy sonados como caso Solar- negocios digitales (ISACA, 2024). winds, MGM y otros ataques que han puesto en evidencia la impor- Mientras se siga avanzando en el tancia de la ciberseguridad y su re- desarrollo de la función de la segu- lación con la dirección, así como, el ridad en las organizaciones de Co- incremento sostenido de las regu- lombia como se viene dando, se se- laciones, como el caso de las con- guirá mostrando unos aprendizajes sideraciones de seguridad de la que muy seguramente dejaran lec- Security Exchange Comission ciones para optimizar y mejorar co- (SEC) (Auditboard, 2024), quien ha mo igual se manifiesta en la ten- creado reglas de cumplimiento pa- dencia mundial. ra los cuerpos directivos y ejecuti- vos en los Estados Unidos, de la Presupuestos misma manera ha pasado en Euro- pa con la regulación DORA (Digital Continúa la asignación de presu- Operational Resilience Act) que ha puestos para la ciberseguridad; en determinado reglas de juego en el esta oportunidad el 82%, frente a escenario de la ciberseguridad que un 18% que dice no tenerlo. Gráfica hace más demandante el trabajo 8. para los equipos de seguridad y su relación con los cuerpos ejecutivos La gráfica 9 muestra el porcentaje y directivos de la misma (PwC, 20- que representa el presupuesto pa- SISTEMAS 37 Gráfica 8: Presupuesto de Seguridad Gráfica 9: Porcentaje del presupuesto Global ra la ciberseguridad del total del montos asignados se puede obser- presupuesto de la organización. var que los montos inferiores al 5% del presupuesto global de la com- Cerca del 56% de los encuestados pañía representan el 30%, mien- lo conoce, mientras que el otro 44% tras que el 26% están para los mon- dice no conocer o no tener la infor- tos superiores al 5%. Entre el 0 y mación. De quienes conocen los 2% representa un 15%, entre 3 y el 38 SISTEMAS Gráfica 10: Presupuesto de Seguridad 5% representa el 15%, 9% es más presupuestos por encima de $US- del 11%, y entre el 9 y 11% es el 5%, 130.000, el 3% asigna entre $US- mientras que entre el 6 y el 8% re- 90.000 y $US110.000, el 6% asig- presenta el 12%. na entre $US50.000 a $US70.000, 3% asigna entre $US70.000 a La gráfica 10 refleja los montos $U S90.000 y 5% entre $U S- asignados en las organizaciones 110.000 a $US130.000 dólares para la ciber-seguridad. Para este americanos. año cerca del 50% tiene un monto asignado para la seguridad; que La gráfica 11 muestra la forma có- disminuye comparado con el año mo se está invirtiendo el dinero en pasado cerca de un 9%, por su par- materia de ciberseguridad. El 61% te el 50% dice no conocer cuánto es invierte en la adquisición e imple- el presupuesto asignado para la ci- mentación de tecnología de segu- ber-seguridad. Para este año cerca ridad, el 51% invierte en renovación de un 10% dice que asigna menos de licenciamiento, el 45% invierte de $US20.000 dólares americanos en capacitación del personal de se- en sus presupuestos, seguido 6% guridad, así como en los servicios que corresponde a la franja entre de monitoreo y gestión, el 36% in- $US20.000 y $US50.000; siguien- vierte en y contratación de servicios te es el 17% que corresponde a los de consultoría. SISTEMAS 39 Gráfica 11: Inversión de Seguridad Consideraciones de los datos las tendencias claves del año 2024 (WEF, 2024c; WEF 2024a; Inversiones en ciberseguridad CyberXM, 2024) 3. En la franja de los $US 0 hasta Este año hay varias consideracio- los $US 70.000 dólares la con- nes importantes, al analizar el ta- sultoría especializada de 1 a 50 maño de las empresas, los secto- empleados, son las empresas res de industria y los montos aso- que hacen más inversiones, en ciados se encuentran algunos da- dichas franjas los otros sectores tos muy interesantes. de empresas hasta de 500 em- pleados invierten de la misma 1. El sector salud, es el sector que manera. Tendencia que nos ale- menos conoce cuanto se invierte ja de la realidad de otras latitu- en la ciberseguridad y particu- des como Estados Unidos (Con- larmente en las empresas del ta- nectwise, 2024). maño de los 1000 a 5000 em- 4. En la banda de los $US70.000 pleados. hasta $US90.000 dólares, los 2. El sector financiero en las em- sectores de telecomunicacio- presas de más de 5000 emplea- nes, financiero, consultoría es- dos es la que invierte más en la pecializada en las franjas desde franja de los $US 130.000 dóla- 200 hasta 1000 empleados son res, que puede estar explicado los más representativos en esas por todo el marco regulatorio inversiones. tanto nacional como internacio- 5. Las empresas del sector finan- nal que existe y que es una de ciero medianas (entre 200 y 500 40 SISTEMAS empleados) son las que invier- presas de 200 a 1000 emplea- ten en la banda de los $US dos. 110.000 a $US130.000 dólares. 6. En la banda de inversiones de La tabla 3, se deja para el lector y los $US90.000 a $US110.000 pueda revisar más valores los cua- las empresas del sector público, les están disgregados todos los cri- financiero y consultoría resaltan terios anteriormente analizados. por sus inversiones entre las em- Tabla 3: Distribución de Inversión por Tamaño de empresa y sector SISTEMAS 41 La tabla 4, relaciona las inversiones que se ha convertido en un reto pa- de seguridad por sectores de las ra las empresas, por tanto una es- empresas colombianas, teniendo trategia clara es fortalecer al talento que el valor mayor de todos los sec- existente razón por la cual estrate- tores se da en el rubro de entrena- gias como el upskilling o fortaleci- miento de las personas de seguri- miento del talento y el reskilling de- dad “Capacitación/Actualización sarrollo de talento nuevo dentro de del personal de seguridad de la in- las empresas toman fuerza en el formación” que además lo hace el mundo de la ciberseguridad (WEF, sector de la consultoría especiali- 2024b). zada con un 28%, este mismo rubro es el valor mayor valor para el sec- Al revisar en profundidad como se tor de las telecomunicaciones con distribuye esas inversiones en los un 14%, tendencia interesante y sectores de industria y el tamaño que se conecta con la realidad del de las empresas, encontramos mantenimiento del talento de segu- que, el sector de la consultoría es- ridad (ISC2, 2024; Kaspersky pecializada en las empresas de 1 a 2024b; ISC, 2024b, ISC, 2024c), 50 empleados es donde más se in- 42 SISTEMAS Tabla 4: Distribución de tipos de inversiones por sectores vierte para capacitar al personal de en las empresas de más de 5000 seguridad. Para el sector financiero empleados, son las inversiones la contratación de servicios de con- más representativas. El sector de la sultoría en las empresas de hasta consultoría especializada de em- 5000 empleados es el valor más al- presas entre 200 y 500 empleados to, la adquisición de soluciones de se invierte en el monitoreo como in- seguridad en las empresas de has- versión más representativa, mien- ta 1000 empleados es el valor ma- tras que el sector de las telecomu- yor, y los servicios de monitoreo y nicaciones en las empresas de 50 a gestión de seguridad con terceros 200 empleados, la adquisición de SISTEMAS 43 soluciones de seguridad informáti- datos y más pueden ser vistos en la ca es lo más representativo, estos tabla 5. Tabla 5 44 SISTEMAS Invertir en la ciberseguridad es im- puestos compartidos con las áreas portante, sin embargo, los datos de de tecnologías de la información o Colombia empiezan a mostrar que el rol del profesional de seguridad no solo es necesario, también es que diligencia la encuesta no tenga bueno empezar a hacer inversio- acceso a dicha información. nes de manera razonable y que es- tén acordes con la realidad de las Incidentes organizaciones (CyberEdge, 20- 24). La gráfica 12 representa la canti- dad de incidentes que para este Hoy por hoy en Colombia se confir- año los encuestados manifestaron ma que las organizaciones están que se presentaron. Para este año asignando presupuesto, aun así, cerca del 50% de los encuestados sigue siendo algo para observar manifiesta que ha estado en con- porqué los profesionales de seguri- tacto con algún incidente de segu- dad manifiestan no conocer cuánto ridad en su empresa con un creci- es el presupuesto asignado, mon- miento del 2% general frente al año tos, y sobre todo los valores, esto inmediatamente anterior. El 33% puede obedecer a que sean presu- manifiesta no tener información al SISTEMAS 45 Gráfica 12: Cantidad de Incidentes. respecto de los incidentes en sus ticos en las empresas colombia- organizaciones, al revisar los deta- nas, el 87% manifiesta que los cos- lles se encuentra que el 29% mani- tos estimados totales luego de su- fiesta haber experimentado entre 1 frir un incidente están por debajo de y 3 incidentes, 14% más de 7 inci- los $US50.000 dólares america- dentes y 8% entre 4 y 7 incidentes, nos, entre $US50.000 y $US- así mismo, el 17% manifiesta que 100.000 solo el 9%, más de $US- no ha tenido incidentes. 150.000 el 3% y entre $US100.000 y $US150.000 dólares americanos La gráfica 13 relaciona los tipos de el 1% incidentes que se presentaron en las organizaciones, Errores huma- La gráfica 15, muestra ante quién nos (34%), Phishing (30%) y accio- se reportan los incidentes de segu- nes de ingeniería social (21%) son ridad. El 67% lo reporta directa- los tres primeros que han sido iden- mente a los directivos de la organi- tificados en este año. Si bien com- zación, el 44% lo reporta al equipo parados con el año pasado dismi- de atención de incidentes (CSIRT), nuyen un poco todos los valores los el 32% a las autoridades naciona- cambios no son significativos para les, el 26% a los asesores legales, decir que hay un cambio de ten- el 20% a autoridades locales o re- dencia. gionales y solo el 5% manifiesta que no se denuncian. Para este La gráfica 14 representa el costo año hubo más reporte hacia los di- promedio de los incidentes ciberné- rectivos un aumento del 4% y una 46 SISTEMAS Gráfica 13: Tipos de Incidentes de Seguridad Gráfica 14 Costos de los Incidentes SISTEMAS 47 Gráfica 15: A quien se reportan los incidentes Gráfica 16: Notificación de las fallas de seguridad disminución del 3% de reportes an- La gráfica 16, muestra como los te los CSIRT, otro dato interesante profesionales de ciberseguridad se que se mantiene en el 5% igual mantienen informados sobre las aquellos que no dicen nada o no vulnerabilidades y fallas de los sis- notifican nada de sus incidentes. temas. El 53% de los profesionales 48 SISTEMAS Tabla 6: Contacto con autoridades de seguridad se enteran a través de cia, y disminución en un 10% de colegas en primera medida, segui- aquellos que no son conscientes de do de la lectura de artículos espe- la misma. cializados o revistas 53%, la notifi- cación de un CSIRT ocupa el tercer La consciencia hay que llevarla a la lugar con el 52%, el cuarto lugar las práctica, a través de la formaliza- notificaciones de los proveedores ción y de la implementación, el 51% 50%, lectura de listas de seguridad manifiesta no tener formalizado o la 33% y 12% no tiene el hábito. existencia de un procedimiento de este estilo en la empresa, y el 49% Comparado con el año pasado hay manifiesta que sí; y al revisar la im- un drástico cambio, primera vez plementación de estos procedi- que se ve que los profesionales es- mientos, el 36% manifiesta tener un trechan sus relaciones de confian- procedimiento implementado para za con sus pares, la cooperación la gestión de incidentes, el 29% lo entre pares se está convirtiendo en tienen de manera informal y el 35% una fortaleza, la creación de comu- no lo sabe o no lo tiene. Al revisar nidades se fortalece como lo su- en más detalles y ver que tanto se gieren distintos informes de indus- han implementado estos procedi- tria. mientos se encuentra que La tabla 6 se resalta que el 61% de Consideraciones de los datos las personas encuestadas si tienen contacto con las autoridades, mien- Frecuencias de los incidentes tras que el 39% no lo posee. Explorando la forma en como en En cuanto la evidencia digital, los Colombia los distintos sectores de datos muestran que, 77% de los la industria experimentan los dis- encuestados si es consciente del tintos incidentes, la gráfica 17, manejo de la evidencia digital y que muestra como los distintos secto- es requerida como parte del proce- res de industria sufren las distintas so de la gestión de incidentes, el franjas de incidentes. 18% no sabe del tema y solo el 4% no es consciente, frente al año an- Lo primero para resaltar es que to- terior hay cambios importantes in- dos los sectores más representati- cremento de un 6% de la concien- vos y los otros sectores experimen- SISTEMAS 49 Gráfica 17: Cantidad de Incidentes por sectores tan incidentes cibernéticos, ten- este sector tenga mayores regula- dencia que se confirma a través de ciones para poder gestionar los de- reportes como (Verizon, 2024; Cy- safíos de ciberseguridad. berEdge, 2024; ITRC, 2024; Cano & Almanza, 2021). Al revisar con detalle estos datos, la tabla 7, los muestra por sectores, Consecuente con las dinámicas de tamaños de empresas y la cantidad los ciberataques, vemos que el de estos, de los cuales se puede sector salud que es uno de los sec- decir. tores más atacados de la industria (Kroll, 2024; Claroty, 2024), mani- La tabla muestra que el sector de fiesta que su mayor valor es no con- consultoría especializada en em- tar con la información sobre inci- presas pequeñas no tiene inciden- dentes, esto puede estar explicado tes o al menos así lo manifiesta, po- de dos maneras, una que quien dili- siblemente más asociado a la au- gencia la encuesta no conoce el sencia de procedimiento de gestión proceso de gestión de incidentes, o de incidentes y el monitoreo de es- dos que no se tengan los procesos tos a que los adversarios no consi- de gestión de incidentes y lo ex- deren de valor dichos objetivos prese de esa manera, tendencia (Paloaltonetworks, 2024). En el que también se puede ver reflejada mismo sector del tamaño de em- en los reportes mencionados, así presas de 50 a 200 empleados se mismo, como tendencia global se presentan de 1 a 3 incidentes como ve que cada vez más los estados el valor más presente, así mismo empiezan a preocuparse para que entre 4 y 7 incidentes tiene una re- 50 SISTEMAS Tabla 7: Distribución de incidentes por sectores y tamaños SISTEMAS 51 presentación mayor que las demás da parte resalta el top 1 en materia franjas de incidentes para el mismo de el tipo de incidente del total de sector. veces que se presenta. El sector de Gobierno es el que De las tablas se pueden resaltar los más experimenta incidentes según siguientes aspectos los datos analizados en este perio- do, es la franja de más de 7 inci- 1. Todos los sectores de la indus- dentes la que tiene una porción ma- tria nacional sufren algún tipo de yor, cosa que se mantiene basado ciber incidente en las tendencias de reportes de in- 2. El top 5 de los incidentes de to- dustria, donde se muestran que das las industrias son Errores uno de los sectores más atacados humanos, phishing, acceso no es precisamente el sector de go- autorizado al web, instalación de bierno (Darkreading, 2024; Kas- software no autorizado y los ata- persky, 2024a) ques de ingeniería social como lo más representativo No todas las verticales empresa- 3. Los errores humanos es el inci- riales en Colombia tiene los mis- dente que es común a todos los mos tipos de incidentes, la tabla 6, sectores la cual muestra dos visiones, la pri- 4. Phishing es el segundo, sin em- mera visión resalta el top 3 de tipos bargo, no es el más presente en de incidentes por sector, la segun- todos los sectores. 52 SISTEMAS Tabla 8: Sectores representativos e incidentes La tabla 8 muestra para los secto- sector salud, educación, consulto- res más representativos de la in- ría y asegurador son los sectores dustria colombiana, los incidentes que sin importar el tamaño de la más representativos. empresa están más expuestos a ataques de phishing (Knowbe4, Las tendencias de Colombia en 2024). Intel471 en su reporte del materia de la presencia de los inci- año resalta que muchos de los ata- dentes cibernéticos no se alejan de ques observados siguen evolucio- las tendencias internacionales, por nando, usando la inteligencia artifi- una parte, los errores humanos se cial no solo para acelerar el proce- han resaltados en reporte de indus- so de phishing también para inno- tria como, donde la variedad de téc- var en las técnicas alrededor del nicas novedosa que usan los ad- mismo (Intel471, 2024). Según versarios digitales pone demasiada Egress en su informe sobre los ata- presión en las personas y los indu- ques de Phishing el 77% de los ca- cen en muchos casos a errores sos son ataques que personalizan (Proofpoint, 2024; FS-ISAC, 20- a grandes marcas del mercado 24). (Egress, 2024). Frente al año anterior, el Phishing, La ingeniería social como otra de Ransomware, Ingeniería Social y las técnicas usadas es una ten- Errores Humanos, son los que más dencia global, donde las víctimas variaciones tuvieron, fenómenos usan la conversación para construir que no se alejan de los reportes y confianza y se valen de cualquier tendencias internacionales que son método para poder engañar a sus analizados a través de reportes de víctimas y son los temas de la ac- industria, el reporte de Verizon (Ve- tualidad, relevancia y los que so- rizon, 2024; FBI, 2024) manifiesta cialmente conectan los que son que el Phishing sigue siendo la téc- más usados (Proofpoint, 2023). nica más usada por los cibercrimi- nales. la firma Knowbe4 resalta que Aplicaciones, datos y nube, son los sectores de la industria como el tres de las grandes incógnitas de SISTEMAS 53 las empresas, el informe de Thales los costos de los incidentes por resalta que el 33% de los partici- sectores de industria. Se ratifica la pantes del estudio tienen como tendencia que los incidentes cues- prioridad la protección de ellos tan en su gran mayoría menos de (Thales, 2024), gran relación con 50.000 dólares americanos, con el los ataques en la nube y aplicacio- 87%. nes que son uno de los criterios de incidentes representativos. En el Del cuál se puede extraer lo si- reporte de Orca se identifica que el guiente: 62% de las organizaciones tienen vulnerabilidades severas en repo- 1. Con relación al año anterior, hay sitorios de la nube (Orca, 2024). una variación interesante del 3% en el valor estimado de los Costos de los incidentes costos de un incidente en la fran- ja de hasta 50 mil dólares ameri- Los costos de los incidentes tienen canos, esta lectura puede ser un comportamiento y cada vez que asociada a una mejor forma de hay en los distintos sectores de la estimación de los costos, o un industria colombiana nuevos patro- poco más de conciencia de que nes que muestran la dinámica de un ataque cibernético, así mis- cómo son estos, y cuáles son sus mo podría como lectura comple- costos. La gráfica 18, representa mentaria es empezar a visuali- Gráfica 18: Costos de incidentes por industria 54 SISTEMAS zar los costos ocultos de los ata- que es real la presencia de los in- ques cibernéticos (Splunk, 20- cidentes en este sector. 24b). 2. Solo el sector financiero ha ma- Para este año analizando los datos nifestado para este año tener in- recolectados, se ha determinado el cidentes que han costado más costo total aproximado de los inci- de 150 mil dólares americanos. dentes por sector de la industria, el El sector de gobierno y de las te- cual se refleja en la gráfica 19. El lecomunicaciones tiene valores costo total estimado de los inci- entre los 100 mil y 150 mil dóla- dentes para todos los tipos de inci- res americanos. dentes monitoreados y sectores de 3. El orden de la presencia de inci- la industria se estimó en un costo dentes cibernéticos está deter- superior a los 26Millones de dóla- minado por el primer lugar la res americanos, teniendo un decre- consultoría especializada, el cimiento con el mismo ejercicio del sector financiero, educación, go- año anterior del 7%. Se puede ver bierno, telecomunicaciones y que, para otros sectores de la in- salud. Si bien la tendencia de dustria, aquellos que no se identifi- Colombia se desconecta un po- can con la clasificación oficial de la co de la realidad internacional encuesta, el costo estimado es de donde el sector salud está entre 5,8 Millones de dólares america- los primeros, se mantiene en el nos, sigue el sector de gobierno margen de la tendencia pues si con casi 3,9 Millones de dólares, el presenta incidentes cibernéti- sector de la consultoría con 3,3 Mi- cos, casos como CAFAM, Audi- llones de dólares, siendo los sec- farma, Sanitas, pues muestran tores más representativos. Gráfica 19 Costos de los incidentes x sectores de industria SISTEMAS 55 Gráfica 20 Costos totales por tipo de incidente La gráfica 20, muestra la distribu- del año 2023 al 2024. De los cuales ción de los costos por tipo de inci- se puede deducir lo siguiente, los dente, en el cual tenemos que los ataques de denegación de servicio errores humanos es el incidente tuvieron un crecimiento importante que más les cuesta a las empresas en las empresas colombianas, el colombianas en un total aproxima- incremento fue del 26%, las accio- do de $US 3.750.000 dólares, phi- nes de ingeniería social con un shing seguido con 3.450.000 mil 24% de crecimiento, phishing 21%, dólares, y acciones de ingeniería las brechas que involucran a terce- social $US2.550.000. ras partes tuvieron un incremento del 17%, el acceso no autorizado al Comparando los datos con el año web tuvo un crecimiento del 8% y inmediatamente anterior y viendo los errores humanos un crecimien- que tanto crecieron los incidentes to del 3%, estos fueron los que más en los distintos sectores de la in- crecieron y variaron, mientras que dustria de Colombia, tenemos la el que más decreció fue el phar- gráfica 21, que muestra la variación ming que este año no tuvo presen- 56 SISTEMAS Gráfica 21 Variación de los incidentes 2023-2024 cia como incidente y por tanto su En el gráfico 22, se tiene la distri- decrecimiento es del 100%, los ata- bución normal de los incidentes ci- ques tradicionales también decre- bernéticos de todos los sectores cen, y esto no significa que no su- analizados. Hoy se puede afirmar cedan, las implicaciones de esto con los datos obtenidos de la en- están en que los adversarios cada cuesta, que los incidentes ciberné- vez aprovechan las múltiples vul- ticos en promedio le pueden costar nerabilidades que aparecen en las a una empresa entre 50.000 dóla- infraestructuras, soportadas en los res americanos y cerca de 3.8 mi- cambios y las dinámicas de las em- llones de dólares, siendo la franja presas, (Sophos, 2024; Zidkova, de $100.000 dólares hasta $US 2024; Edgescan, 2024; Bugcrowd, 2.900.000 millones de dólares el 2024). costo en el que más oscila los inci- SISTEMAS 57 Gráfica 22 Distribución de costos de incidentes cibernéticos Tabla 9: Costos de los incidentes vs Inversiones vs Cantidad de Incidentes dentes cibernéticos en la industria sas que hacen menores inversio- nacional. Cabe mencionar que es- nes tienen mayor probabilidad sin tos valores no son para un solo in- importar el tamaño, o el sector de cidente sino la presencia de varios evidenciar entre 1 a 3 incidentes, en las distintas industrias. siendo esta la franja más probable, en la medida que se invierta más se En este año al mezclar los datos de puede disminuir la tasa de presen- costos de incidentes vs inversiones cia de incidentes, sin embargo, no del presupuesto global (Tabla 9), se es que no se presenten ninguno de puede determinar que las empre- ellos. 58 SISTEMAS Aquellos que invierten entre el 0 y QR incrementan y eso se ve inclu- 2% del total de su presupuesto para sive en la realidad latinoamericana la ciberseguridad tienen un 22% como tendencia, razón por la cual más de probabilidad de que un inci- los ataques pueden ser exitosos dente se presente, y exactamente (Cofense, 2024). un 16% que se presente entre 1 y 3 incidentes en las empresas de Co- Los costos de los ciberataques cre- lombia, si se revisa las otras fran- cen año tras año (Verizon, 2024; jas, lo que se puede ver es que en la Sophos, 2024). En el caso de Ran- medida que incremente las empre- somware para Colombia se siguen sas su inversión en seguridad, dis- experimentando costos, es una minuye en 2,3 y hasta 5 veces la tendencia creciente que ha mos- posibilidad de que un incidente que trado que en la realidad nacional se va presentar cueste menos de también este tipo de incidentes ge- $US 50.000 dólares americanos. neran efectos en las empresas, y si Es importante manifestar que in- bien el rigor diario de las noticias de vertir en seguridad no evitará que ciberseguridad muestra perma- los incidentes no pasen, solo harán nentemente ataques de esta natu- menos plausible que sus impactos raleza, pues se ratifica que frente a tengan costos más manejables pa- otros tipos de ataques aún no están ra la realidad de las empresas co- en los primeros lugares en términos lombianas. de costos. Al revisar las tendencias y reportes Los datos de Colombia muestran internacionales, se puede encon- una desviación frente a la tenden- trar puntos en los cuales la realidad cia global en relación con el sector de Colombia se conecta la interna- salud estudios como (Ponemon- cional. Proofpoint, 2022; MinterEllison, 20- 23) muestran que es uno de los Los ataques cibernéticos, siguen y sectores más atacados (frecuen- seguirán creciendo en el caso de cia) y su implicaciones e impactos ataques usando el Phishing, los (costos) elevados, mientras en Co- ataques de ingeniería social son lombia no se ve esa misma tenden- marcas que se siguen viendo y más cia, esto se puede explicar porque ahora con la presencia de la IA, el sector de la salud de Colombia, (Mimecast, 2024), para Barracuda se encuentra en un estado de los ataques de correo electrónico y aprendizaje y madurez de sus prác- sobre todo el Business Email Com- ticas de ciberseguridad y por tanto promose (BEC), suceden uno de las capacidades de tener procesos cada 10 haciendo que exista y que de gestión de incidentes y monito- sea exitoso, (Barracuda, 2024). El reo de los mismos sea baja para incremento de ataques con códigos poder identificar lo que sucede. SISTEMAS 59 Herramientas sualiza que las soluciones de SIEM, los firewalls de nueva gene- La gráfica 23, muestra la distribu- ración, y el enfoque de zero trust ción del uso de las herramientas de son los tres frentes de trabajo que seguridad en las empresas colom- han variado más en ese orden res- bianas, en ella se evidencia que las pectivamente, es decir que para es- VPNs, el cifrado de datos, los siste- te año tuvo el uso de SIEM, los fire- mas de contraseñas, las solucio- walls y los enfoque de zero trust nes antimalware y las firmas digi- fueron lo

Revista Sistemas Edición Abril-Junio 2024 PDF

Document Details

Tags

Related

Summary

Full Transcript