Ingeniero de seguridad informática, ¡show me the money!

¿Por qué tanto dinero en seguridad informática? ¿Qué representa la protección de mi información además de un gasto? ¿Si es una inversión, cómo me la explico?

Para resolver éstas y otras dudas empecemos con un tema fundamental para cualquier organización: “La sensibilidad de la Dirección sobre los CiberRiesgos”.

En el reporte 2015 Global Study on IT Security Spending & Invest Ponemon InstituteLLC patrocinado por Dell, se muestra un resultado interesante.

“El 64% de los encuestados considera que su Directiva no está informada. Esto significa que miles de riesgos a los que no se les da la importancia que requieren, podrían traducirse en una alta probabilidad de perder mucho dinero.”

De acuerdo con Fortinet el costo promedio de una brecha de seguridad podría llegar causar una perdida de $4 millones de dólares. Otro dato alarmante del fabricante de seguridad, establece que el costo de una brecha de seguridad en tarjetas de crédito podría llegar a tener un impacto de $162 millones de dólares. Si te parece difícil de creer, o lo crees, ¡preguntenle a Liverpool! La organización vió vulnerada la información de tarjetas de crédito de sus clientes en diciembre del 2014 y perdió un aproximado de  23 millones de dólares.  

Descarga el la infografía de los problemas actuales en las Directivas para la inversión en seguridad.

“Por lo general el CEO o Dirección raramente creen que ellos son 

responsables de asegurar que los objetivos de seguriad se logren.” – Ponemon Institute. Con los numeros anteriores la Directiva puede pensar, “fue Liverpool…, fue Target…, fue Sony…, empresas grandes.”

Desafortunadamente todas las empresas corremos riesgos con el simple hecho de tener “Información valiosa”.

Te mostramos como puedes llegar a perder millones de dólares por no atender la seguridad informática de tu empresa.

1.- Reputación.

Ser atacado es como estar enfermo, nadie te quiere cerca para no contagiarse. Se estima que una empresa es atacada puede reducir su nivel de ventas hasta un 40%. Un claro ejemplo de esto sería Sony ¿Dejarías los datos de tu tarjeta de crédito en el PlayStation? 

2.- Información de clientes.

Según un estudio realizado por Fortinet, fabricante líder de soluciones de seguridad, más del 80% de los CIO´s entrevistados consideran que la información de los clientes es su activo más valioso, particularmente la información financiera. Los atacantes pueden utilizar esta información de muchas formas como: estafas, cobros a sus tarjetas de crédito, venta de la información en la DeepWeb. La pérdida de esta información es una clara violación a la confidencialidad de los clientes, y en ciertos paises esta pérdida puede implicar multas de hasta $1 millón de dólares. 

3.- Información de procesos.

Que pasaría si mañana desaparecieran todos los documentos de tu procesos principal, si mañana apareciera tu SAP fuera de línea. Perder los registros de tu proceso para poder tener información del negocio. Creo que la mayoría de las empresas cuentan con un respaldo de su información ¡¿CIERTO?!. 

4.- Corte de tus servicios.

Un hacker cambio el password del servidor del ERP, robo información de los clientes, publicó en las redes sociales y se tuvo que reeinstalar la aplicación.

Perdida en productividad

Perdida en sueldos por corte de los servicios.

(Considerando 5 días de recuperación en una empresa mediana)

$500,000.00 dólares

Perdida en ingresos

Perdida en ventas por 5 días                                     

 $1,000,000.00 dólares

Impacto por baja en ventas durante los siguientes 3 meses

 $1,000,000.00 dólares

Seguro por cargos a tarjetas de crédito                      

 $500,000.00 dólares 

Costo de Reparación 

Especialistas del ERP                                                   

$500,000.00 dólares

Consultoría en seguridad                                              

$150,000.00 dólares 

Equipamiento en seguridad                                          

$100,000.00 dólares

Pérdida de información temporal o permanente

Consultoría forense                                                      

$100,000.00 dolares

Información perdida                                                    

(horas hombre invertidas, tiempo de desarrollo, investigación, know how del negocio)

$1,000,000.00 dólares ó más 

 Otros ….

 

 Ya ahogado el niño……. A gastar.

5.- Secuestro de tu información.

Esta creciendo rapidamente esta amenaza llamada “Ransomware” la cual secuestra tu información; por lo general el rescate que piden es oneroso. Últimamente, se han tenido noticias de empresas a las que pueden estar pidiendo rescates de hasta $100,000.00 dólares. Este tipo de programas de secuestro de información se vende en el mercado de la DeepWeb por $1,000.00 dólares, por lo que tienen que ver por el retorno de su inversión.  

¿Cómo justificar inversión en seguridad de la información? ¿Cómo poder convencer a la junta directiva de la necesidad de invertir?

Muchos de nosotros esperamos que la Dirección de Informática haga más con menos. El fundamento de todo negocio esta en el ROI (Return of Invesment) generado, y el cálculo debe ser fundamentado para que el CEO pueda ver números que le hagan tomar desiciones.

Un metodo simple de poder calcular el ROI de las inversiones de seguridad es el “Payback” este es un simple cálculo que compara la expectativa de la pérdida anualizada con los posibles ahorros logrados una vez realizada la inversión.

Hagamos un ejemplo: Un riesgo latente es la perdida de algún password. Los estudios arrojan que la probabilidad de que ocurra es del 90% al año, si se invierte en una campaña de concientización el riesgo se podría reducir a un 30% de probabilidad de ocurrencia. Entonces,

 

Costo de la perdida de password

 Probabilidad 

Perdida esperada

Costo del riesgo

$150,000.00 dólares anuales

90%

$135,000.00 dólares anuales

Costo del riesgo mitigado

$150,000.00 dólares anuales

30% 

$45,000.00 dólares anuales 

 

 

 Ahorro promedio anual

$9,000.00 dólares anuales 

De esta forma, por cada año que pase sin algún incidente se puede considerar un ahorro de $9,000.00 dólares. Se recomienda poder adquirir soluciones de seguridad que sean inferiores al ahorro anual esperado por la inversión.

La encuesta FTI Consulting y el NYSE Governance Services del 2014 pone la administración de los Cyber Riesgos como el trabajo # 1 para la Directiva y el Consejo General de las empresa. Te recomendamos que pongas en tu agenda revisar la seguridad informática de la organización.

¿Quieres saber más? Descarga nuestro ebook para el cálculo de riesgos y cálculo del ROI en la inversión en seguridad de la información.

Fuentes:

Fortinet: Stopping Data Breaches: Show me the money

http://www.fortinet.com/webinars/stopping-data-breaches-show-me-money.html

Secure Works

http://www.secureworks.com/assets/pdf-store/white-papers/wp-ponemon-global-study 

FTI Journal

http://ftijournal.com/article/managing-cyber-risk-job-1-for-directors-and-general-counsel 

CNN Español

http://cnnespanol.cnn.com/2014/12/25/quien-causo-realmente-el-ataque-a-sony/ 

¿El gobierno te espía? El ciberataque a Hacking Team expone a México.

Después de los ciberataques que sufrió hace unos días, la compañía italiana Hacking Team, especializada en software para hackear computadoras y smartphones, reconoció haber perdido el control de los usuarios de su tecnología “…terroristas, extorsionadores y otros pueden utilizarla. Creemos que se trata de una situación extremadamente peligrosa y una grave amenaza”, señaló en un comunicado.

David Vincenzetti, CEO de la empresa, confirmó que los ataques informáticos expusieron en internet más de 400 gigabytes de información confidencial, entre la que figuran sus propios datos, y dijo que la empresa busca la manera de “contener” los daños. “Nuestros clientes han suspendido el uso del sistema comprometido por el ataque. Es un paso importante para proteger información reservada y de la policía”, añadió.

¿Y por qué te debe interesar?

Pues por un pequeño detalle: los principales clientes de Hacking Team son empresas e instituciones gubernamentales de países que utilizan software para monitorear (por no decir “espiar”) a sus ciudadanos. Entre estos países se encuentran Italia, Rusia, Colombia, Chile, Estados Unidos, Brasil, España, Arabia Saudita, y… ¡ups! México. Se supone que estos gobiernos “requieren” llevar el registro de actividades sospechosas de presuntos criminales y, desde luego, de ciudadanos incómodos, como por ejemplo, activistas de derechos humanos, disidentes y periodistas.

Lee nuestro artículo acerca de Internet como herramienta de revolución social.

Los informes muestran que México es el mayor cliente de la firma de ciber-espionaje. El país gastó más de $6 millones de dólares en el software conocido como “Da Vinci” o “Galileo”, que capaz de grabar vídeo y sonido de forma remota, además de utilizar smartphones como herramientas de monitoreo. En cuanto a las computadoras personales, el software opera de la siguiente forma: una vez infectado el objetivo (normalmente mediante phishing), Da Vinci tiene acceso a todo el equipo y a todas las actividades llevadas a cabo en éste, incluyendo emails, chats de Skype, pulsaciones del teclado, acceso al disco duro, llaves de seguridad cifradas, e incluso acceder al audio y a la imagen de la webcam integrada.

Los críticos señalan que el uso del software es una clara violación a la privacidad y en el caso de México podría ser inconstitucional. “De acuerdo con el artículo 16 de la Constitución, solamente a fiscales y agencias federales como el CISEN se les permite espiar bajo la ley”, dijo en un informe Luis Fernando García, un defensor de derechos digitales. Por el momento, y como era de esperarse, las instituciones mexicanas comprometidas en la controversia, ya se han deslindado de cualquier responsabilidad, argumentando que nunca se ha adquirido ningún software de Hacking Team, por lo menos en lo que va de la presente gestión.

¿Quieres enterarte de las últimas noticias sobre seguridad informática? Síguenos en redes sociales, o regístrate a nuestros updates por email. Encuentra el formato en la esquina superior derecha de esta pantalla.

Fuentes: gizmodo.com blog.chron.com terra.com.mx

Miles de pasajeros afectados. Ni los aviones se libran de ciberataques.

Si algo nos puede poner muy nerviosos, es saber acerca de cualquier desperfecto que interfiera con el correcto funcionamiento de una aeronave, y más si acostumbramos este tipo de transporte para movernos, por lo menos de vez en cuando.

El pasado domingo 21 de junio, LOT Airlines, la línea aérea nacional de Polonia, se vio en la terrorífica situación de tener que cancelar 10 vuelos nacionales y extranjeros después de que piratas informáticos atacaran equipos que emiten los planes de vuelo.

El portavoz de la aerolínea, Adrian Kubicki, dijo que un ataque lanzado por hackers que aún no se han identificado, paralizó temporalmente las computadoras de LOT en el aeropuerto Frederic Chopin de Varsovia el pasado domingo, lo que alteró los itinerarios de unos 1,400 pasajeros, programados para volar a Hamburgo, Düsseldorf, Copenhague y destinos dentro de Polonia. Kubicki aclaró que ningún avión en el aire en ese momento se vio afectado.

Aunque el problema fue finalmente resuelto alrededor de las 8 pm y los vuelos programados para partir más tarde ese mismo día pudieron despegar como estaba previsto, una comisión ya investiga el origen del ataque. Para el siguiente lunes, las operaciones habían vuelto a la normalidad.

“Estamos utilizando los sistemas informáticos con tecnología de última generación, ya que que este podría ser una amenaza potencial para otras compañías en la industria”, dijo el portavoz de LOT Airlines, Adrian Kubicki.

No cabe duda que los ataques informáticos pueden aparecer de pronto donde menos uno se lo espera. La tecnología de defensa contra riesgos avanza a pasos agigantados, aunque su contraparte en lo que amenazas se refiere, no se queda atrás. Protégete y protege a tu empresa de los peligros informáticos que están a lo orden del día.

Y ahora Corea del Norte; más amenazas de Ciberataques desde Oriente.

Al parecer, esta vez Corea del Norte es el ciberenemigo, pues este martes informó que ha decidido lanzar un ciberataque contra Estados Unidos en respuesta a un ataque “estilo de Stuxnet”, que aunque no tuvo éxito, ha registrado como una clara agresión.

En un artículo publicado en el diario de mayor circulación del país, portavoces del país oriental dijeron que se ha tomado la decisión de iniciar una guerra cibernética contra Estados Unidos que “acelere su caída”. Tales amenazas son bastante frecuentes en medios de comunicación norcoreanos y, aunque casi nunca son reales, lo cierto es que en materia de ataques cibernéticos, Corea del Norte ya tiene bastante cola que le pisen. De hecho, tales ciberataques han tenido como blanco principal a su vecino del Sur, pero recientemente, Norcorea ya ha sido públicamente acusada por el gobierno de Estados Unidos de estar detrás del devastador ataque del año pasado contra Sony Pictures.

 El  artículo dice: “La República Popular Democrática de Corea tiene el poder de reaccionar a cualquier forma de guerra, (…) que los imperialistas estadounidenses intenten. Es la firme determinación de (Corea del Norte) llevar a cabo la guerra cibernética al estilo coreano para apresurar la ruina final deEstados Unidos. y las fuerzas que le siguen…”. El artículo fue publicado en el Rodong Sinmun, periódico del Partido de los Trabajadores de Corea, publicación con una clara línea propagandística.

A finales de mayo, Reuters informó que Estados Unidos había intentado lanzar un ciberataque contra el programa de armas nucleares de Corea del Norte hace cinco años. Éste pretendía ser similar al ataque de Stuxnet que dañó miles de centrifugadoras utilizadas por el programa nuclear de Irán. Sin embargo, esta vez el ataque contra Corea del Norte no tuvo éxito debido a que el virus no obtuvo acceso a la red informática nuclear de este país.

“Estados Unidos está muy equivocado si piensa que La República Popular Democrática de Corea se quedará de brazos cruzados ante las provocaciones en el espacio cibernético”, concluyó el Rodong Sinmun.

Hay que recordar que, a pesar de que si bien en una ciberguerra no hay bombardeos ni invasiones físicas, un hecho como el que plantea Corea del Norte, puede en la teoría llevar al desastre a estados que dependen de su tecnología informática, sobre todo si las agresiones están efectivemente dirigidas a los puntos claves de las instituciones. Es claro que un mundo en el que la economía, la política y la vida en general de los ciudadanos está cada vez más regida por las computadoras, se corre más riesgo ante esta nueva modalidad de guerra.

Mantente informado con nosotros y no dejes que este tipo de noticias te tomen desprevenido.

Nuevo ciberataque Chino vs USA, ¿una ciberguerra de baja intensidad?

El Departamento de Seguridad Nacional de los Estados Unidos dio a conocer que su sistema de detección de intrusos, conocido como Einstein, descubrió un ciberataque masivo que expuso información personal de cerca de 4 millones de trabajadores federales. Se sospecha que  China tiene  responsabilidad en este  ataque, descrito como “uno de los más importantes robos de datos de gobierno de la historia”, informó el Wall Street Journal. 

En esta ocasión, el ataque fue dirigido a la Oficina de Administración de Personal (OPM, por sus siglas en inglés), una agencia gubernamental encargada de la contratación y manejo del personal del gobierno, y que lleva los registros de millones de trabajadores retirados y en activo.

Esta misma institución sufrió otra violación a la seguridad de sus archivos el año pasado, aunque no hay evidencias de que éste se trate de un ataque completamente independiente. Hasta el año pasado, la OPM y el Departamento de Seguridad Nacional subcontrataban a una compañía particular en Virginia para llevar a cabo las verificaciones de antecedentes de empleados, hasta que dicha compañía sufrió graves fallos de seguridad.

Legisladores de la Cámara de representantes calificaron el ataque cibernético como “escandaloso, porque los estadounidenses esperarí­an que las redes informáticas federales estén bien protegidas”. Es importante añadir que un funcionario, cuyo nombre se mantuvo reservado, declaró que el robo de información podrí­a afectar a todas las agencias federales.

“Todo yo, todo yo”

China es a menudo sospechosa de patrocinar este tipo de ciberataques, pero no está claro cuánta evidencia apunta a ese país en esta ocasión. Funcionarios estadounidenses dijeron al diario que el resultado de las investigaciones comienzan a apuntar de nuevo al gobierno chino, pero las averiguaciones continúa, pues es muy difícil de identificar el exacto origen de los ataques.

 Por su parte, y como se esperaba, China negó enfáticamente su participación en el crimen, a pesar de tales evidencias. El gobierno de Beijing aprovechó para pedir una mayor cooperación internacional para combatir a los piratas informáticos. Además advierte que  “Es irresponsable … hacer acusaciones falsas sin una investigación a fondo”.

No cabe duda de que si el masivo gobierno de los Estados Unidos es susceptible a robos de datos de estas magnitudes, nosotros, como entes indiscutiblemente más vulnerables, también podemos ser víctimas de ataques.