Llegamos a ustedes gracias a:



Reportajes y análisis

Siete datos del ciber crimen que los ejecutivos deben saber

[20/01/2011] Los chicos malos se vuelven más inteligentes. Ya sea que se trate de terroristas que se dan cuenta de otra manera de hacer daño a todo el mundo y avanzar en su agenda desestabilizadora de las economías de los países desarrollados, especialmente los líderes como los EE.UU., descontentos con información privilegiada, o criminales normales con predominantes fines de lucro, los delitos cibernéticos están aumentando y volviéndose cada vez más costosos. En los círculos de seguridad de la tecnología de la información, hay algunos comentarios en torno al estudio de julio del 2010, El Costo del Delito Cibernético, en referencia al estudio de una muestra representativa de empresas de EE.UU. realizado por el Instituto Ponemon. Esta organización lleva a cabo investigaciones independientes sobre la privacidad, la protección de datos, y la política de seguridad de la información.

El punto que el Instituto está aparentemente tratando de hacer con su estudio representativo es que el manejo de riesgos de la empresa (ERM por sus siglas en inglés), especialmente en lo relacionado a las TI, necesita incrementarse, las empresas son cada vez más laxas aún y vuelven a asumir una actitud de que "eso "(es decir: las cosas malas) no les van a pasar con ellos. El informe del instituto Ponemon de 23 páginas está disponible en línea en su sitio web, pero, aquí presentamos un buen resumen de siete puntos y mi punto de vista de cómo la información puede estar relacionada con la situación de su empresa.
Los delitos cibernéticos son mucho más costosos que la adopción de medidas previas para endurecer un entorno
El estudio informa que el promedio de los costos de respuesta para las empresas que se vieron afectadas fue de 3.8 millones de dólares por año. El costo de las tecnologías y procesos que podrían haber mitigado o prevenido con eficacia los mismos incidentes, fueron en general menos de 1/3 del costo. En otras palabras, y más bien, obviamente -la pre-planificación y mitigación es mucho más barata, en la mayoría de los casos, que tan solo limitarse a reaccionar con una respuesta ad hoc después de un incidente/violación.
Aún más importante, el nombramiento de un solo ejecutivo superior responsable de la gestión del riesgo, al estilo de un Jefe de Seguridad, o mejor aún, un Jefe de Riesgos es un factor crítico para el éxito. A menudo presentando informes autónomos directamente al consejo de administración y con una imagen fiel de toda la empresa, no solo centrada en la tecnología, este ejecutivo puede garantizar adecuadamente que la gestión del riesgo está "servida" al inicio de los proyectos y programas, en lugar de simplemente "atornillarlos" sin orden ni concierto en el último momento. Además, relegar la gestión de la seguridad y el riesgo TI a algún "subalterno", como parte de un trabajo en un departamento de otra línea es una receta rápida para un gran problema.
Además, la creación y el despliegue de una estrategia de ERM y la adhesión voluntaria a un gobierno o marco de certificación (por ejemplo, ITIL / NIST, etc) parece que disminuyen sustancialmente la probabilidad de ocurrencia y el costo total de hacer frente a un incidente de delito informático.
Los delitos cibernéticos son penetrantemente intrusivos y cada vez más comunes
¿Por qué lo pregunta? Muchas empresas parecen tener una actitud arrogante o complaciente, al menos no oficialmente, algo parecido a: "Nuestra seguridad es ya lo suficientemente buena", "Ya estamos mejor que la competencia", "Esos requisitos no se refieren a nosotros", etc. ¡Ese endurecimiento de las actitudes está totalmente equivocado en varios aspectos!
¿Qué hay de su empresa? Además, sabemos que el cumplimiento (de la norma o reglamento) ¡no significa necesariamente estar seguro! La Gestión de Riesgos de TI (InfoSec, BC / DR, cumplimiento, gobierno), como el ERM, es un programa de mejora continua, no solo un proyecto lo hicimos y nos olvidamos. Luego está la bendición mezclada de las redes sociales, la nueva avenida para el crecimiento potencial del negocio y la conducta infame. Algunos analistas estiman que el 30% del ancho de banda corporativo es consumido por el tráfico de redes sociales.
Algunos defensores argumentan que las redes sociales como Twitter y LinkedIn funcionan como agentes de difusión del negocio. Algunos proveedores de soporte de TI se distribuyen actualmente por los sitios de medios sociales. Además, las relaciones públicas y equipos de márketing están descubriendo el valor de las redes sociales para ofrecer promociones. YouTube se está convirtiendo en una plataforma más accesible para los esfuerzos en relaciones públicas de las empresas.
Si bien puede ser cierto, sin embargo, los medios sociales también pueden proporcionar la puerta de entrada de virus y malware, la distracción de la productividad, y los empleados pueden terminar discutiendo información confidencial o de propiedad sin la debida autorización. Además, los colectores de competencia y de deudas también utilizan esas fuentes para observar a los empleados de las empresas.
Los delitos informáticos más costosos son los causados por los ataques web y malware privilegiado
¿Cuántos sitios web aloja su empresa? ¿Qué pasa con sus interfases a la nube? ¿Alguno de estos sitios ha sido comprobado mediante una prueba de penetración grave o el cumplimiento de la codificación OWASP? Las mejores prácticas generalmente aceptadas dicen que se deberían estar haciendo análisis trimestrales de OWASP y pruebas de penetración bianuales. ¿Qué tan robusto es su proceso de gestión del cambio? Además, ¿ha considerado -¿Quis ipsos custodes custodios? Es latín, "¿quién vigilará a los guardias? ¿Será de auditoría interna y con registro de cuentas de acceso privilegiado? La mitigación de tales vulnerabilidades potenciales requiere la implementación de tecnologías tales como SIEM, DLP, HIPS, (entre otros) en concierto con las estrategias de amenazas a nivel de empresa y de gestión de riesgos.
Al inicio, la resolución rápida es la clave para reducir costos
De acuerdo con esta muestra del estudio de referencia, los ataques cibernéticos pueden llegar a ser aún más costosos si no se resuelven rápidamente. El informe muestra que el número promedio de días para resolver un ataque cibernético fue de 14 días con un costo promedio para la organización de 17.696 dólares por día. ¿Cómo es que esa pérdida de dólares impacta en la rentabilidad de su empresa?
La encuesta reveló que los ataques maliciosos de información privilegiada pueden tomar hasta 42 días o más para resolverse. Estos costos demuestran que la resolución rápida es necesaria para los ataques sofisticados de hoy. El estudio no cubre, pero sí es necesario considerar los costos exorbitantes de dañar la reputación (también conocido como riesgo de título). Por ejemplo, además de las sanciones judiciales y financieras, ¿qué le sucedería a la marca de su organización si han sido capturados en violación de las leyes de protección de identificación personal como las de California, Massachusetts, o la UE?
La pérdida de información debido al robo representa el más alto costo externo, seguido por los costos asociados con la interrupción de las operaciones del negocio
El informe cita que en una base anual, las cuentas por robo de información fueron el 42% del total de los costos externos. Los costos asociados con la interrupción de negocios o pérdida de las cuentas de la productividad fueron de un 22% de los costos externos. También se deduce entonces, que cuanto más grande es una empresa, es mayor su riesgo de exposición. Tangencial a esos gastos, es el daño y los gastos de la reputación del "segundo desastre" de prensa negativa y pérdida de confianza por parte de los clientes y/o accionistas. Aquí es donde un programa sólido, pre-planificado de comunicación de crisis puede ayudarle a salvar el día, literalmente.
La detección y recuperación de incidentes / violaciones son las actividades internas más costosas. Eso también significa que estas inversiones son las áreas más abandonadas debido a estos altos costos. He aquí una rápida revisión de la realidad. Si no hay ningún / muy pocos fondos comprometidos (no solo una categoría en el presupuesto puesta como pretexto) y ningún o poco tiempo de un alto ejecutivo dedicado a la Gestión de Riesgos, a continuación, todo lo que tiene es otro programa de boquilla. ¡Buena suerte cuando las cosas golpeen el ventilador! Estamos empezando nuevamente a oír hablar de otra táctica que algunas empresas utilizan para eludir la obligación de aceptar su responsabilidad sobre la debida diligencia. Algunas empresas están "presupuestando" para el ERM y / o Infosec, pero nunca se comprometen con el dinero. O, alternativamente, las empresas afirman que continúan con la investigación de nuevas tecnologías, no durante semanas o meses -, ¡sino desde hace años! Algunos reguladores y compañías de seguros se están dando cuenta, incluso persiguiendo cargos de fraude o negando las demandas basadas en negligencia del asegurado.
Todos los verticales de la industria son susceptibles a la delincuencia informática
Este informe indica que el costo medio anual de los delitos cibernéticos parece variar según el segmento de la industria, donde las empresas de defensa, energía y de servicios financieros tienen mayores costos que las organizaciones de servicios al por menor, y la educación. Sin embargo, todas las verticales están siendo negativamente afectadas y en una frecuencia cada vez mayor.
En los últimos cinco años, la cantidad cada vez mayor de declaraciones de desastre de negocios no es el resultado de los actos de Dios. Por el contrario, es el resultado de la adopción intencional de las empresas (pasiva o no) de riesgos que, obviamente, no deberían haber aceptado.
Las compañías de seguros lo están notando. Ellas buscan cada vez más una prueba más de la debida atención y diligencia antes de emitir las políticas y antes de pagar los reclamos. ¡El gobierno también lo está tomando en cuenta!
Hay un debate activo en que el gobierno federal pronto pondrá más peso en la gestión de riesgos del sector privado, especialmente en lo relacionado a las TIC. La premisa aquí es que ahora las TI son consideradas como parte de la infraestructura de misión crítica de la economía moderna interconectada y la adhesión voluntaria por parte de entidades no gubernamentales a las prácticas generalmente aceptadas de manejo de riesgos es lamentablemente insuficiente.
Activamente discutidos como una posible nueva norma mínima "de debida diligencia para todos los negocios (de cierto tamaño /volumen de ingresos) son los marcos de seguridad más rigurosos, como PCI-DSS.
Así, la próxima vez que su empresa haga consideraciones presupuestarias, tal vez debería alentar, por lo menos a sus departamentos de TI, a pensar en marcar algunos fondos adicionales para - como mínimo, una evaluación de seguridad completa de toda la empresa. Por un costo relativamente bajo, el personal existente puede ser capacitados y certificados, incluso sobre cómo hacer evaluaciones minuciosas. Hay una advertencia sin embargo. Con frecuencia, el personal existente está un poco cansado y es menos objetivo que alguien imparcial e independiente.
Lo ideal sería que una empresa haga evaluaciones periódicas internas con la intención de recoger y analizar los resultados dentro de la organización. El siguiente paso es mantener una entidad externa habilitada para hacer otra evaluación de alcance similar para asegurar una imagen precisa. La entidad externa también puede ofrecer asesoramiento independiente sobre las prioridades para la gestión del riesgo y la inversión de seguridad en TI. De esta manera, la organización va a saber con mayor precisión dónde se encuentra y cómo se tiene que invertir para garantizar que la empresa no cree riesgos imprudentemente haciendo que aparezca en los titulares o se convierta en un foco de vulnerabilidades.
Jon Murphy, OSC (US)