Tag Archives: RSA

Cómo evitar costosas consecuencias de los delitos cibernéticos

cepal-rsa-itusersLima, Perú, 28 de agosto del 2015.— En un mundo globalizado donde las empresas y personas deben estar conectadas digitalmente por diversos motivos como: trabajo, entretenimiento, entre otros, la Internet se convierte en un espacio con ventajas infinitas para los mencionados fines, sin embargo, también pueden presentarse algunos peligros relacionados con el cibercrimen al impactar en la seguridad de la información que se gestiona y ocasionando costos innecesarios tanto a nivel de las organizaciones y las personas en general.

A medida que las amenazas de los cibercriminales fueron convirtiéndose en más complejas, los usuarios se han visto obligados a incrementar su seguridad y contemplar medidas para contrarrestarlos. El cibercrimen se ha convertido en un negocio especializado en hurtar información financiera de productos y personal, transacciones y de comercio electrónico. Según un estudio difundido por la Comisión Económica para América Latina y el Caribe (CEPAL), los costos de los ciberdelitos ascendieron a US$113.000 millones en 2013 en 24 países del mundo. Perú ocupa el primer lugar en recibir correos no deseados (spam) y el quinto en recepcionar programas maliciosos (malware).

Además, según un informe del control antifraudes de RSA, División de Seguridad de EMC, en el primer semestre del 2014, el robo de identidad dio como resultado pérdidas de US2,200 millones de dólares en empresas globales. Se conoce, además que en un comercio minorista el costo promedio de una hora tiempo muerto equivale a US$ 500,000 de ventas perdidas, pudiendo ser el costo de su reputación y de la marca aún mayor, pues los clientes dejarían de utilizar los servicios y/o bienes de la misma, como lo señala, un estudio de Ponemon Institute.

De otro lado, en un usuario final, las consecuencias negativas generadas por el cibercrimen también son similares debido a la información sensible que pertenece al ámbito personal, la cual muchas veces es compartida a través de las redes sociales y otros medios digitales.

En ese sentido, Marcos Nehme, Director de Ingeniería de Ventas para Latinoamérica y el Caribe de RSA, la división de seguridad de EMC brinda algunos consejos fundamentales tanto para empresas como para las personas en general.

  • Algunas personas piensan que no serán victimas del cibercrimen, pero es aconsejable que tengan conciencia de los delitos a los que puede estar expuestos y tomar las medidas necesarias para su prevención (poseer sistemas de seguridad, cambios de clave a nivel usuario, etc.)
  • Evitar ser engañado por información fraudulenta. En el día a día ya sea en el trabajo o en cualquier tipo de actividad, se suele acceder a páginas o enlaces con promociones, recordatorios, actualizaciones de documentos, etc., que están a la orden del día en la bandeja de entrada de cualquier usuario.
  • Cambio regular de contraseñas. Utilice contraseñas complejas alfanuméricas y que solo usted conozca. No las guarde como parte de la memoria de la computadora en especial si no es la propia.

ACERCA DE RSA

Las soluciones de seguridad impulsadas por la inteligencia de RSA ayudan a las organizaciones a reducir los riesgos de operar en un mundo digital. Mediante visibilidad, análisis y acciones, las soluciones de RSA ofrecen a los clientes la posibilidad de detectar e investigar amenazas avanzadas y responder a ellas, confirmar y administrar identidades y, finalmente, evitar el robo de IP, el fraude y el cibercrimen. Para obtener más información, visite www.rsa.com.

RSA: el tamaño no es importante en seguridad cibernética

rsa-emc-2015-itusersInvestigación de RSA descubre que el tamaño no es un factor importante en la seguridad cibernética. El índice de pobreza de seguridad cibernética inicial muestra una falta de madurez preocupante y una confianza excesiva en la prevención. Aproximadamente el 75 % de los encuestados carece de la madurez para enfrentar riesgos de la seguridad cibernética. El 83 % de las grandes organizaciones se califica como con un nivel de madurez inferior a “desarrollado”. Hasta un 45 % admite incapacidad para medir, evaluar y mitigar riesgos de seguridad cibernética. La capacidad más madura descubierta en la investigación se relaciona con el área de protección; se manifiesta un retraso en las capacidades de detección y respuesta. Solo un tercio de las organizaciones de servicios financieros manifiesta una preparación adecuada. El marco de seguridad cibernética de NIST se utiliza como parámetro de medición; sin embargo, América ocupa un nivel inferior a APJ y EMEA en la clasificación de madurez general

Lima, Perú, 12 de junio del 2015.— Hoy, RSA, la División de Seguridad de EMC (NYSE: EMC), dio a conocer su índice de pobreza de seguridad cibernética, en el que se compilaron los resultados de encuestas de más de 400 profesionales de seguridad en 61 países. La encuesta permitió que los participantes autoevaluaran la madurez de sus programas de seguridad cibernética usando el marco de seguridad cibernética de NIST (CSF) como parámetro de medición.

La investigación proporciona una valiosa perspectiva global sobre cómo las organizaciones califican, en términos generales, la madurez y las prácticas de seguridad cibernética en organizaciones de distintos tamaños, sectores y geografías. Si bien se considera que las organizaciones de mayor tamaño comúnmente tienen los recursos para montar una defensa cibernética más importante, los resultados de la encuesta indican que el tamaño no es un factor determinante para alcanzar una madurez de seguridad cibernética potente, y casi el 75 % de los encuestados informó niveles insuficientes de madurez en seguridad.

La falta de madurez general no es sorprendente, ya que muchas de las organizaciones encuestadas informaron incidentes de seguridad que provocaron pérdidas o daños en sus operaciones en los últimos 12 meses. La capacidad más madura descubierta en la investigación fue el área de protección.

Los resultados de la investigación proporcionan una perspectiva cuantitativa que muestra que el área más madura del programa y las capacidades de seguridad cibernética de las organizaciones está relacionada con las soluciones preventivas, a pesar de que se sabe que las estrategias y las soluciones preventivas solas no son suficientes contra ataques más avanzados.

Además, la mayor debilidad de las organizaciones encuestadas es la capacidad de medir, evaluar y mitigar riesgos de seguridad cibernética; el 45 % describe sus capacidades en esta área como “inexistentes” o “ad hoc”, y solo el 21 % informa su madurez en este aspecto. Esta desventaja dificulta o imposibilita priorizar los procesos y la inversión en seguridad, una actividad básica para cualquier organización que tiene planes de mejorar sus capacidades de seguridad hoy.

A diferencia de lo esperado, la investigación muestra que el tamaño de una organización no es un indicador de madurez. Es más, el 83 % de las organizaciones encuestadas con más de 10,000 empleados calificó sus capacidades como inferiores a “desarrolladas” en su nivel de madurez general. Este resultado sugiere que la experiencia con amenazas avanzadas y la visibilidad general de estas que poseen las grandes organizaciones imponen la necesidad de una mayor madurez que la actual.

Las calificaciones de madurez baja que se otorgaron las grandes organizaciones indican que comprenden la necesidad de cambiar a soluciones y estrategias de detección y respuesta para lograr una seguridad más sólida y madura.

Los resultados de las organizaciones de servicios financieros, denominados a menudo líderes en la industria en lo que respecta a la madurez en seguridad, tampoco fueron los esperados. No obstante la opinión general, las organizaciones de servicios financieros encuestadas no se calificaron como el sector más maduro, y solo un tercio se calificó como bien preparado.

Los operadores de infraestructura crítica, público al que está dirigido originalmente el CSF, deberán realizar avances significativos en sus niveles actuales de madurez. Las organizaciones del sector de telecomunicaciones informaron el nivel de madurez más alto: el 50 % de los encuestados cuenta con capacidades desarrolladas o privilegiadas.

El Gobierno, sin embargo, ocupó el último puesto entre los sectores incluidos en la encuesta: solo el 18 % de los encuestados se calificó como desarrollado o privilegiado. Las autoevaluaciones de madurez más bajas en sectores notablemente maduros en otros aspectos sugieren una mayor comprensión del panorama de amenazas avanzadas y de la necesidad de crear capacidades más maduras para enfrentarlas.

A pesar de que el CSF se desarrolló en los Estados Unidos, la madurez que informaron las organizaciones en América obtuvo una peor calificación que APJ y EMEA. Las organizaciones en APJ informaron las estrategias de seguridad más maduras; el 39 % se calificó como desarrollado o privilegiado en madurez general, mientras que solo el 26 % de las organizaciones de EMEA y el 24 % de las organizaciones de América se calificaron como desarrollado o privilegiado.

Metodología

Para evaluar la madurez en seguridad cibernética, los encuestados autoevaluaron sus capacidades en relación con una muestra del marco de seguridad cibernética de NIST (CSF). El CSF proporciona pautas en función de normas, directrices y prácticas existentes para reducir los riesgos cibernéticos, y se creó mediante la colaboración entre los sectores y el gobierno.

A pesar de que el CSF se desarrolló originalmente en los Estados Unidos con el objetivo de reducir los riesgos cibernéticos para la infraestructura crítica, organizaciones en otros países han descubierto que se trata de un enfoque jerarquizado, flexible, repetible y rentable para administrar el riesgo cibernético. Por lo tanto, funciona como una base excelente para evaluar la madurez de la seguridad cibernética clave y de la administración de riesgos cibernéticos de cualquier organización.

Las organizaciones calificaron sus propias capacidades en las cinco funciones clave detalladas en el CSF: identificación, protección, detección, respuesta y recuperación. Las calificaciones usan una escala de 5 puntos, donde 1 implica que la organización no tiene capacidad en un área específica y 5 indica que cuentan con prácticas mayormente maduras en el área.

CITAS DE EJECUTIVOS:

Amit Yoran, presidente, RSA, la División de Seguridad de EMC

Esta investigación muestra que las empresas continúan invirtiendo enormes cantidades de dinero en firewalls, antivirus y protección avanzada contra malware de última generación con la esperanza de detener amenazas avanzadas. No obstante, a pesar de la inversión en estas áreas, incluso las organizaciones más grandes todavía sienten que no están preparadas para las amenazas que enfrentan. Creemos que esta dicotomía es un resultado del fracaso de los modelos de seguridad de la actualidad basados en la prevención para enfrentar el panorama de amenazas avanzadas. Necesitamos cambiar nuestro modo de concebir la seguridad, y el primer paso es reconocer que la prevención aislada es una estrategia fallida y que es necesario prestar más atención a las estrategias basadas en detección y respuesta”.

Stephen T. Whitlock, director de estrategia y tecnología, Information Security Solutions, Boeing

Boeing ha respaldado el marco de seguridad cibernética de NIST y ha contribuido con este desde su concepción. Lo utilizamos como una base para evaluar la seguridad general de las organizaciones internas y con clientes externos. El marco promueve un enfoque integral, adaptable y basado en riesgos que no tiene en cuenta la tecnología ni las reglamentaciones. Gracias al uso del marco, los resultados han tenido un impacto significativo en la explicación de los problemas y en la definición de la dirección para la capacidad de seguridad cibernética futura”.

RECURSOS ADICIONALES:

  • Descargue el libro electrónico del índice de pobreza de seguridad cibernética, que proporciona información valiosa sobre la madurez de seguridad cibernética de las organizaciones
  • Realice la misma evaluación de madurez de seguridad cibernética utilizada para el índice de pobreza de seguridad cibernética a fin de determinar la madurez de su organización
  • Mire un video en el que Amit Yoran, Zulfikar Ramzan y Mike Brown analizan perspectivas sobre el índice de pobreza de seguridad cibernética
  • Descargue una infografía interactiva que destaca los resultados clave de la investigación
  • Conéctese con RSA mediante Twitter, Facebook, YouTube, LinkedIn y el Blog y Podcast de RSA “Speaking of Security”

ACERCA DE RSA

Las soluciones de seguridad impulsadas por la inteligencia de RSA ayudan a las organizaciones a reducir los riesgos de operar en un mundo digital. Mediante visibilidad, análisis y acciones, las soluciones de RSA ofrecen a los clientes la posibilidad de detectar e investigar amenazas avanzadas y responder a ellas, confirmar y administrar identidades y, finalmente, evitar el robo de IP, el fraude y el cibercrimen. Para obtener más información, visite www.rsa.com.

RSA y EMC son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. Todos los demás productos y servicios de referencia son marcas comerciales de sus respectivas empresas.

###

Amit Yoran propone al sector de la seguridad trazar un nuevo rumbo

amit-yoran-rsa-itusersAmit Yoran propone al sector de la seguridad trazar un nuevo rumbo para enfrentar amenazas cibernéticas. El presidente de RSA afirma que hay una mentalidad antigua detrás de los retos del sector; propone un nuevo enfoque respecto de la seguridad para lidiar con las amenazas avanzadas. El presidente de RSA, Amit Yoran, afirma que los continuos retos del sector de la seguridad se deben a un problema de mentalidad y no un a un problema tecnológico. Yoran explica que cualquier enfoque de seguridad basado en herramientas predictivas e, incluso, en la detección de malware fallará frente a las campañas de ataques actuales. Yoran brinda cinco recomendaciones para enfrentar las deficiencias del sector y combatir mejor las amenazas avanzadas.

San Francisco, 24 de abril del 2015.— Frente a un número récord de profesionales de seguridad de equipos en la conferencia insignia de RSA, Amit Yoran, presidente de RSA, la División de Seguridad de EMC (NYSE: EMC), retó al sector a renunciar a los antiguos enfoques para combatir los ataques cibernéticos; enfoques que han fallado, pero que siguen brindando a las organizaciones una falsa sensación de seguridad.

El año 2014 fue otro recordatorio de que estamos perdiendo la batalla”, afirmó Yoran en su discurso de apertura frente a más de 30,000 ejecutivos del sector cibernético. “Los adversarios están allá afuera controlando el sector con sus estratagemas y, por donde se lo mire, están ganando”.

Comparó el enfoque actual del sector con una mentalidad estancada en la Edad Media, en el cual las empresas emplean soluciones y estrategias de seguridad que ya no se adecuan al negocio ni al ambiente de amenazas al que nos enfrentamos. “Para protegernos de los bárbaros, solo estamos construyendo muros más altos en nuestros castillos y cavando fosas más profundas. Muros más altos no solucionarán nuestro problema”.

Yoran señala que el sector continúa buscando una solución tecnológica para algo que básicamente es un problema de enfoque estratégico: un enfoque reiterativo para mejorar nuestra estrategia defensiva es incapaz de derrotar a los creadores de amenazas que pueden evolucionar sus tácticas mucho más rápido que lo que nosotros tardamos en crear nuevos muros. Basándose en sus décadas de experiencia que abarcan desde su puesto en el Departamento de Defensa hasta su actual rol de liderazgo en una de las empresas de seguridad líderes del mundo, Yoran describió su visión respecto del camino que se debe tomar:

  1. Dejen de creer que alcanza con protecciones avanzadas: “Sin importar cuán altos o inteligentes sean los muros, un adversario enfocado logrará pasar por arriba, por abajo, por un costado o a través de él”. Muchos de los ataques avanzados del año pasado ni siquiera utilizaron malware como táctica principal. 
  2. Adopten un nivel exhaustivo y generalizado de visibilidad real en todas partes, desde el endpoint hasta la nube: “Necesitamos visibilidad generalizada y precisa de nuestros ambientes empresariales. No es posible brindar seguridad sin tener visibilidad de la captura continua de paquetes de red y la evaluación de los endpoints comprometidos”.
  3. La identidad y la autenticación son más importantes que nunca: “En un mundo sin perímetro y con menos puntos de referencia de seguridad, la identidad y la autenticación importan más que nunca… En algún punto de la campaña de cualquier ataque exitoso, el uso indebido de la identidad es un trampolín que los atacantes utilizan para lograr su objetivo”.
  4. La inteligencia de amenazas externas es una funcionalidad central: “Existen orígenes increíbles para la inteligencia de amenazas adecuada… Esta debe ser automotizada y de lectura mecánica para aumentar la velocidad y el aprovechamiento. Debe ser operativo en el programa de seguridad y se debe ajustar a los intereses y recursos de nuestra organización para que los analistas puedan enfrentar las amenazas que representan un riesgo mayor”.
  5. Comprendan qué es más importante para su negocio y qué es de misión crítica: “Deben comprender qué es más importante para su negocio y qué es de misión crítica. Deben proteger lo que es importante y protegerlo con todo lo que tienen”.

Yoran señaló que RSA, como empresa, se está realineando para adaptarse a este nuevo paradigma. “Como sector, estamos en un camino que seguirá evolucionando en los próximos años gracias al esfuerzo que hagamos nosotros ahora”. También agregó: “Hemos navegado más allá de los mapas, amigos. Quedarse sentados y esperar instrucciones no es una opción. Y tampoco lo es lo que veníamos haciendo: seguir navegando con nuestros mapas antiguos aunque el mundo haya cambiado”.

Yoran concluyó que muchas de las tecnologías existen para proporcionar verdadera visibilidad, inteligencia de amenazas adecuada y sistemas que ayudan a administrar el riesgo digital y del negocio. “No se trata de un problema tecnológico”, afirmó. “Es un problema de mentalidad”.

Recursos adicionales

  • Mire el video según demanda del discurso de apertura de Amit Yoran: http://www.rsaconference.com/us15/rsa
  • Busque videos de discursos de apertura, programas, eventos y sesiones en Conferencia de RSA de 2015
  • Conéctese con RSA mediante Twitter, Facebook, YouTube, LinkedIn y el blog y podcast de RSA “Speaking of Security”.

Acerca de RSA

Las soluciones de seguridad impulsadas por la inteligencia de RSA ayudan a las organizaciones a reducir los riesgos de operar en un mundo digital. Mediante visibilidad, análisis y acciones, las soluciones de RSA ofrecen a los clientes la posibilidad de detectar e investigar amenazas avanzadas y responder a ellas, confirmar y administrar identidades y, finalmente, ayudan a evitar el robo de IP, el fraude y el cibercrimen. Para obtener más información sobre RSA, visite www.rsa.com.