[01/09/2015] Como dijimos anteriormente, el pasado martes 25 fue un gran día para los CIOs locales y para nosotros. En aquella mañana en la que desarrollamos nuestro segundo foro del año "La importancia de la seguridad: Retos a afrontar” disfrutamos de ocho presentaciones que tocaron el tema central del evento desde distintos y variados ángulos.
Una analista comenzó la mañana ofreciendo un amplio panorama de la industria y luego un grupo de expositores se encargó de complementar su exposición mostrando la posición que tienen diversos proveedores de este campo. Un reconocido CIO también nos ofreció su análisis desde la perspectiva del que trabaja en el día a día con la seguridad de su firma, haciendo que el día fuese muy fructífero para todos aquellos que nos acompañaron en esa mañana.
Pero, sin duda, fue nuevamente la interacción entre todos ustedes la que le dio a la jornada una sensación de reunión amical. Vimos caras conocidas y otras nuevas, conversando, discutiendo sobre lo que acababan de oír y compartiendo opiniones y experiencias profesionales. Era lo que buscábamos y era lo que conseguimos.
Fueron alrededor de 200 asistentes los que nos acompañaron en este último foro y por ello no nos queda sino agradecer nuevamente su presencia. Cada vez la concurrencia a nuestras reuniones es más numerosa y por ello entendemos que seguimos en el camino correcto, gracias a ustedes.
Y como "recordar es volver a vivir” los dejamos a continuación con un informe sobre lo que se vio aquella mañana. Con el texto, videos y presentaciones que se adjuntan en este informe esperamos que aquellos que fueron al foro recuerden e identifiquen los detalles de aquella presentación que les pareció particularmente interesante. También queremos que aquellos que no pudieron asistir -y esperamos que en una siguiente reunión nos acompañen- tengan acceso a la más completa información sobre lo que se trató aquel día, casi como si hubieran estado ahí.
Nuevamente, muchas gracias y disfruten su lectura.
El análisis
La mañana se inició con la exposición de Rosario Calderón, socia de risk consulting de Advisory de KPMG. En su presentación llamada "Pérdidas para el negocio por brechas de seguridad”, la ejecutiva hizo una breve reseña de los momentos por los que estamos pasando, recordándonos que firmas tan conocidas como Sony o eBay han padecido de ciberataques.
Las amenazas son reales y se pueden cuantificar. Calderón sostuvo que localmente las entidades financieras han recibido algún tipo de ataque en el 67% de los casos, y que el sistema financiero ha cuantificado las pérdidas que tuvo durante el año pasado en 60 millones de soles.
Rosario Calderón, socia de risk consulting de Advisory de KPMG. 
De acuerdo a la analista, los delitos cibernéticos más costosos son aquellos causados por la denegación de servicios, robo de información privilegiada y código malicioso. Estos representan más del 55% de todos los gastos en delincuencia cibernética. Además, el tiempo promedio para resolver un ataque cibernético es de 45 días, con un costo promedio de organizaciones participantes de más de 1,5 millones de dólares.
Las actividades relacionadas con la seguridad informática en la capa de red reciben la mayor asignación presupuestaria. Por el contrario, la capa de host recibe el nivel de financiamiento más bajo.
Sin embargo, también hay que tomar en cuenta que el costo de la delincuencia cibernética es moderado por el uso de los sistemas de inteligencia de seguridad. Las empresas que utilizan tecnologías de inteligencia de seguridad fueron más eficientes en la detección y en contener ataques cibernéticos.
Y para ello es conveniente establecer líneas de defensa; es decir, seguridad perimetral, adecuado perfilado en toda la organización (segregación de tareas), adecuadas políticas y procedimientos en los procesos y operaciones, y configuración de equipos y software, además del monitoreo continuo.
De no hacerlo, las organizaciones se exponen a consecuencias e impactos, que la expositora delineó como: pérdida de datos, robo de identidad, accesos no autorizados, violación de derechos de autor, sistemas no disponibles, destrucción de datos, daños a la marca y daños regulatorios.
Con estas cifras apeló a los asistentes para que se tome conciencia de la necesidad de invertir en seguridad ya que ninguna industria se encuentra a salvo. Otra de las revelaciones que mostró Calderón es que el 90% de los ataques tienen origen interno.
Claudio Caracciolo, chief secutiry ambassador de Eleven Paths de Telefónica.
La seguridad en Android
Luego de Calderón pudimos apreciar otra exposición que nos abrió los ojos en torno al tema de la seguridad en los dispositivos con Android.
Claudio Caracciolo, chief secutiry ambassador de Eleven Paths de Telefónica, nos mostró cifras realmente preocupantes sobre el sistema operativo móvil. Su exposición denominada "Descubriendo redes criminales y tipos de malware en el mercado de Android” ofreció abundante información al respecto.
Para empezar, indicó que es más fácil subir una aplicación al mercado de Android que al mercado de iOS. Incluso, las aplicaciones que son denunciadas como maliciosas tienen un periodo de 24 a 48 horas para actuar antes que los responsables del mercado la eliminen. E, incluso, puede que no se tomen medidas drásticas contra su creador, pues éste podría simplemente abrir otra cuenta para subir otra aplicación fraudulenta.
En base a cifras del 2014, el expositor indicó que con una base de 900 millones de dispositivos, Android es el objetivo de casi el 99% de los ataques a dispositivos móviles. De hecho, se estiman en 15 millones los dispositivos móviles infectados, cuatro millones más que en el 2013.
El número de troyanos bancarios (12.100) ha sido nueve veces mayor que en el año anterior y existen versiones maliciosas del 97% de las 100 aplicaciones más importantes de pago y del 80% de las aplicaciones gratuitas.
Se ha identificado 2,2 millones de aplicaciones maliciosas en Android, lo que representa un aumento del malware de 600% con respecto al 2012. El malware móvil de mayor incidencia corresponde a los troyanos (65%), seguido de adware (19%), riskware (15%), spyware (0,2%) y otros tipos de malware.
El expositor hizo especial hincapié en la forma en que los usuarios generalmente utilizan aplicaciones maliciosas en lugar de las verdaderas. Sostuvo que para poder identificar una aplicación fraudulenta, más importante es el nombre y la imagen de la aplicación que la descripción, las descargas o la reputación, ya que éstas pueden manejarse mediante otras aplicaciones fraudulentas que incrementan estas estadísticas para engañar al usuario.
Y, a diferencia de lo que puede ocurrir con el escritorio, la vía más frecuente para la infección con este malware es la propia instalación por parte del usuario. Simplemente basta con disfrazar un poco a una aplicación para que los usuarios piensen que ésta tiene que ver con alguna aplicación oficial o que le ofrece servicios que se complementan con esta. Así se realiza la infección. Las empresas deben de tomar en cuenta este fenómeno.
Alex Le Bienvenu, gerente de servidores y nube de Microsoft.
La nube como habilitadora de seguridad
El tercer invitado de la mañana fue Alex Le Bienvenu, gerente de servidores y nube de Microsoft. Con su presentación "El impacto de seguridad en los negocios tradicionales y digitales” el ejecutivo tuvo un mensaje muy claro: La nube habilita la seguridad. Y la nube ya es un mercado maduro.
Todos sabemos que las soluciones de nube se fundamentan en ciertos pilares. De acuerdo a Le Bienvenu estos son la seguridad, la privacidad y la transparencia. Y por ello nos puede ofrecer una manera de implementar seguridad de la misma forma en que hemos utilizado la nube con otros propósitos.
Ciertamente, el entorno de la seguridad se ha hecho muy complejo y es necesario implementarlo; sin embargo, dadas las necesidades del negocio es necesario hacer esto pero sin perder la agilidad del negocio. Es aquí donde entra la nube. Dada su estructura, la nube ofrece precisamente eso, la manejabilidad de las complejidades de la seguridad pero de una manera ágil.
Le Bienvenu indicó que la industria TIC peruana se ha vuelto compleja y que por ello el país se ha visto involucrado en frecuentes ataques informáticos. De hecho, de acuerdo a las estadísticas mostradas por el expositor, el Perú ha sido el segundo país de 14 países latinoamericanos de una muestra en tener encuentros con los ataques informáticos, durante el 2014, solo superado por Venezuela.
Es más, en ese mismo año, si nos remitimos solo a los ataques que tuvieron éxito, Perú sigue como segundo en la lista de países, aunque ahora superado solo por República Dominicana.
En ese entorno, el expositor sostuvo que la nube ofrece muchas ventajas para implementar seguridad. La nube, dijo, proporciona servicios administrados de clase mundial en hiperescala; sigue mejores prácticas de seguridad con continua evolución; ofrece herramientas especializadas como servicio (DLP, análisis de riesgo, patrones irregulares, etcétera); es auditable, transparente y certificada por terceros; ofrece agilidad con o sin outsourcing y es multiplataforma; y ofrece la posibilidad de realizar pruebas sin riesgo.
En resumen, indicó Le Bienvenu, la nube es el habilitador más transparente, ágil y costo efectivo de cumplimiento regulatorio siguiendo las mejores prácticas de seguridad.
Cyril Delaere, subgerente de estrategia de portafolio productos y vicepresidente del mercado de corporaciones de Entel.
Los retos
Finalmente, antes del receso, Cyril Delaere, subgerente de estrategia de portafolio productos y vicepresidente del mercado de corporaciones de Entel, ofreció su visión a través de la presentación "Los desafíos en seguridad para la organización”.
Delaere explicó que existe un grupo de desafíos que las organizaciones tienen que enfrentar. Entre ellos se encuentran el hecho de que las amenazas siguen teniendo un origen interno y que ya no es necesario ser un experto en sistemas para poder representar una amenaza para una firma. En el mundo en el que vivimos hoy ha aparecido el 'crimen como servicio', un medio mediante el cual cualquier persona puede encontrar servicios de hackeo y ataques. Todos se compra.
Por ejemplo, sostuvo el expositor, se puede conseguir servicios de consultoría para configurar una botnet por un precio que va de los 350 a 400 dólares. Igualmente, se puede conseguir servicios de infección que cobran aproximadamente 100 dólares por cada millar de instalaciones, o también se pueden encontrar servicios de ataques de denegación de servicios por 535 dólares por cinco horas diarias, durante una semana. Igualmente, se puede contratar spam por 40 dólares para 20 mil direcciones de correo electrónico o web por solo dos dólares para 30 posts.
Con estas cifras de miedo es innegable que lo que se encuentra en juego son los intangibles de una empresa, como la marca, la reputación e incluso el lucro cesante y las multas por regulación, entre otros impactos negativos.
¿Qué se debe hacer para enfrentar esto? Conectar la seguridad con el negocio, y esta es una tarea del CISO y del gobierno de la seguridad.
Esto implica asesorar y sensibilizar a las áreas en temas de seguridad y riesgo; ejecutar la campaña de difusión general de la organización respecto a la política y el gobierno de seguridad, y medir la efectividad; desarrollar el programa de seguridad corporativo en alineación con los objetivos estratégicos de la compañía; asegurar la evaluación, formalización y tratamiento de los riesgos de la seguridad de la compañía; y asegurar la creación de valor asociado a la adecuada protección de los activos.
El expositor también indicó que una forma de implementar una mayor seguridad es mediante el uso de una metodología del análisis de riesgo, llamada GRC (governance, risk management, compliance). La solución GRC es una herramienta metodológica que ofrece una visión integrada de las exposiciones al riesgo y de las obligaciones; integra indicadores clave de desempeño (KPI, por sus siglas en inglés) e indicadores clave de riesgo (KRI, por sus siglas en inglés) para la supervisión efectiva de la estrategia.
El CIO
Luego del receso en el que los asistentes pudieron interactuar con los expositores y entre ellos mismos, se inició la segunda parte del evento.
En esta segunda parte de la mañana se contó con la experiencia que Eugenio Kollmann, director de operaciones y tecnología de Visanet Perú, que ofreció la presentación "La seguridad de información como garantía del crecimiento del negocio en Visa”. Quizás la frase que más sonó durante su presentación fue "nosotros no jugamos con los nueves”.
Eugenio Kollmann, director de operaciones y tecnología de Visanet Perú.
Con estas palabras Kollmann quería indicar que su discurso no se agota en ofrecer la máxima cantidad de nueves en las cifras de seguridad o ausencia de fallas; ellos van por el 100%, una cifra menor a esta implica que ha habido problemas en su red y eso es algo que no se permiten.
Kollmann ofreció algunas cifras que indican lo arduo y duro de su trabajo. Por ejemplo, compartió que el día más difícil del año para ellos -en el Perú- es el 24 de diciembre, fecha en la que un millón y medio de peruanos realizan transacciones a través de su red. Para esa fecha se preparan con meses de anticipación, pues no debe de haber errores con el dinero del público.
El CIO también ofreció algunos detalles sobre la infraestructura con la que cuenta su compañía para realizar su trabajo. Por ejemplo, indicó que la red global de procesamiento de Visa cuenta con dos modernos centros de cómputo con tecnología IBM mainframe que le ofrecen al negocio confiabilidad, capacidad, seguridad e innovación continua.
De hecho, esta red global entra en funcionamiento cada vez que se realiza una transacción en el Perú. De acuerdo al ejecutivo, el proceso por el que pasa una transacción consta de cinco fases, incluyendo las instituciones bancarias. Primero se pasa por una fase de captura de la transacción, en donde intervienen generalmente los conocidos POS. Luego se pasa a una fase de comunicación de los datos capturados, para posteriormente pasar a la fase de procesamiento del adquiriente y luego pasar a una fase de la red de procesamiento, aquí es donde interviene Visa Global Services. Recién después de haber pasado por estas cuatro fases se pasa a las instituciones bancarias que son las que indican si el usuario tiene el crédito necesario o los fondos necesarios para realizar la transacción.
Luego, como una forma de interactuar con las personas pidió preguntas al público. Quizás lo más destacado de todas esas respuestas es que Kollmann se notó como un CIO que tiene ganas de arriesgarse a hacer nuevas cosas, como los pagos móviles desde celular e incluso, en un futuro, micropagos a través de la tecnología NFS. Kollmann animó a los CIO a mostrar mayor liderazgo para llevar a sus organizaciones por nuevos caminos y nuevos negocios, como él hace con la suya.
Francisco Robayo, security engineer manager de Central America y ROSA de Check Point Software Technologies.
La ciberguerra
Luego del CIO, Francisco Robayo, security engineer manager de Central America y ROSA (resto de América del Sur, por sus siglas en inglés) de Check Point Software Technologies, ofreció una presentación muy atractiva "Cambiando los paradigmas de seguridad”. La parte más llamativa de su presentación fue el hecho de que frente a nosotros realizó una demostración de cómo se puede infectar un teléfono con técnicas de phishing y luego acceder a información del usuario.
Por su puesto, también ofreció información valiosa sobre los ataques. Por ejemplo, señaló que de acuerdo un informe de Verizon del 2014, entre el 2007 y el 2008 los orígenes internos y externos de los ataques fueron iguales en número, mientras que en el periodo 2013 - 2015 la mayoría de las fuentes de los ataques fueron externas.
Otros datos importantes que se desprenden del estudio presentado por Robayo son que cuando ocurre un ataque, solo el 33% de las empresas admiten que saben cómo defenderse, lo que implica que el 67% no tiene una idea clara de cómo hacerlo.
De hecho, eso ocurre. El expositor señaló el caso de una siderúrgica alemana que fue atacada mediante malware. Debido al ataque no pudieron controlar su horno y éste se estropeó dañando la producción de la empresa. Obviamente, los beneficiados fueron las empresas de la competencia que se hicieron cargo de la demanda no atendida de la firma afectada. Es un ejemplo claro de cómo la seguridad importa para los negocios.
En el ámbito de la movilidad, la seguridad también se ve amenazada. De acuerdo a una encuesta realizada entre más de 500 mil usuarios de Android y más de 400 mil usuarios de iOS en más de 100 países, el 42% de los usuarios de alguno de estos tipos de dispositivos móviles sufrió un incidente de seguridad. Es más, al hacer el cálculo conjunto de los costos de estos ataques, se llega a estimar en 25 millones de dólares. El entorno es agresivo porque un malware puede tener hasta 20 variantes y, de hecho, se han hallado 18 familias de MRATs.
Marcos Nehme, director técnico de RSA para América Latina.
La inteligencia en la tercera plataforma
Marcos Nehme, director técnico de RSA para América Latina, ofreció su visión sobre los desafíos que enfrenta la tercera plataforma; es decir, la plataforma móvil a través de su exposición "Enfrentando los ataques con inteligencia”.
El ejecutivo nos indica que nos encontramos en la tercera plataforma, aquella que se encuentra caracterizada por la movilidad, la nube, las redes sociales y el big data. Ya hemos pasado por la segunda plataforma que se encontraba compuesta por la PC y la arquitectura cliente servidor, y la primera plataforma integrada por los grandes mainframes.
Pero a la vez nos encontramos en lo que Nehme ha señalado como La edad oscura de la seguridad. Éste es un tiempo en el que menos del 1% de los ataques exitosos son ubicados por los sistemas SIEM (security information and event management).
Y esto se debe a que incluso las protecciones avanzadas pueden fallar. Por ello necesitamos de una verdadera y omnipresente visibilidad. Otro de los puntos importantes que resaltó el ejecutivo es la identidad y la autenticación. Se estima que el 95% del tiempo los atacantes utilizan credenciales robadas y simplemente ingresan sin mayor problema.
Ante estos nuevos escenarios es necesario utilizar inteligencia; sin embargo, dados los limitados recursos con los que cuentan las organizaciones, una salida adecuada para este tipo de desafíos los constituyen las soluciones de inteligencia externa contra las amenazas. Simplemente, una organización que se dedica al tema de la seguridad puede ofrecer más alternativas que las que se pueden idear en casa. Y todo esto porque al final del día lo que se busca es priorizar los recursos limitados con los que se cuenta para maximizar el impacto sobre la seguridad, sostuvo el ejecutivo.
Carlos Rubio, anti-fraud solutions consultant de Easy Solutions.
El fraude y la movilidad
Finalmente, Carlos Rubio, anti-fraud solutions consultant de Easy Solutions, hizo un recuento del nuevo entorno de amenazas que tienen que enfrentar las empresas en la actualidad. Esto lo hizo a través de su presentación "Tendencias del fraude electrónico y retos en la protección del móvil”.
Y la actualidad se desarrolla en un entorno que cambia. De acuerdo al ejecutivo se pueden identificar grandes tendencias que están cambiando al mundo. Por ejemplo, el dinero se convierte en una fuente de cambio debido al propio cambio que se desarrolla en él, ahora es completamente digital, infinitamente transferible y libre.
Esto genera un nuevo terreno, pues en la actualidad se estima que alrededor de la mitad de quienes usan Internet para transacciones lo hacen desde un dispositivo móvil. El que no se llegue a cifras más altas se debe a que aún hay ciertos factores que juegan en contra de esta tendencia.
Quizás el más generalizado es que las personas tienen temor al fraude electrónico o no consideran al teléfono como un elemento seguro. Otro factor es que precisamente las personas pueden no tener un teléfono inteligente o tableta, no confían en que la transacción quede bien hecha o simplemente es difícil realizar las transacciones desde un teléfono móvil.
Por otro lado, en América Latina el 50% de los dispositivos utilizan el sistema operativo Android, y a la vez el 30% de los usuarios sabe que Android es un sistema inseguro.
Hasta la siguiente oportunidad
Nuevamente, muchas gracias a todos ustedes por haber hecho de este foro otro éxito. Y esperamos que el presente informe les pueda dar una visión panorámica de lo que vivimos en aquella memorable jornada.
Si pudo asistir sabrá que, como en ocasiones anteriores, dinos nuestro máximo esfuerzo para que deje la sala con la sensación de haber aprovechado aquellas horas con nosotros. Si no estuvo presente le animamos a acompañarnos en una siguiente oportunidad, converse con sus amigos y sabrá que nuestros foros siempre ofrecen valor a sus asistentes.
Nos vemos en una siguiente oportunidad.
CIO, Perú