Con demasiada frecuencia, las juntas de directores no están al tanto de los riesgos de seguridad a los que sus organizaciones están expuestas.Fue la conclusión a la que llegó el Ponemon Institute en junio, luego de realizar una encuesta a miembros de las juntas directivas y a los expertos en seguridad informática de las mismas empresas. Los investigadores del instituto Ponemon hallaron que 30 por ciento de los directores¹ reconoce no comprender los riesgos a que está expuesta su organización en materia de seguridad. A su vez, más de la mitad de los expertos en seguridad informática cree que los directores que integran las juntas directivas de sus empresas no entienden el entorno de seguridad en el que trabajan ni los riesgos que representa.

Se trata de una amenaza real, considerando el número de filtraciones de datos que han visto las empresas. Según el informe de 2015 de Kaspersky Lab, un significativo 90 por ciento de empresas grandes fueron víctimas de un ataque informático.² Con frecuencia, el dedo acusador en los casos de filtraciones señala a agentes externos maliciosos; es decir, delincuentes informáticos decididos a obtener información a través de software malicioso y hurto.

Cuando los integrantes de una organización no reconocen las amenazas básicas de seguridad, ni cómo éstas pueden afectar a la organización, los costos pueden aumentar mucho y muy rápidamente. Se espera que los delitos informáticos alcancen los 2 billones de dólares³ en pérdidas corporativas para 2019. Dichas pérdidas pueden ser el resultado de errores sencillos que inducen a filtraciones de datos: un asistente que hace clic en un enlace en un correo electrónico fraudulento de suplantación de identidad, un vendedor que deja su teléfono inteligente en una cafetería o un miembro de una junta directiva que abre un archivo adjunto malicioso enviado a través de una cuenta de correo electrónico falsificada. Sin una sólida formación y capacitación en temas de seguridad, cualquier persona dentro de una organización pone a su empresa en riesgo de una filtración de datos y sus consecuencias, lo cual se traduce en costosas multas y con frecuencia en un golpe a la reputación.

Todo lo que necesita saber sobre las amenazas informáticas pero temía preguntar

1. “Dell SecureWorks and Ponemon Institute Present the 2015 Global IT Security Spending & Investments Report” https://www.secureworks.com/about/press/ponemon-2015-global-security-spending-report 2. “90 percent of companies have suffered at least one cyber attack” Ian Barker, 7 de octubre de 2015. BetaNews http://betanews.com/2015/10/07/90-percent-of-companies-have-suffered-at-least-one-cyber-attack/ 3.“Cybercrime will cost businesses over $2 trillion by 2019” Juniper Research, 12 de mayo de 2015 https://www.juniperresearch.com/press/press-releases/cybercrime-cost-businesses-over-2trillion

Ben Bourne Director del equipo de Atención al cliente,Europa, Medio Oriente yÁfrica

Magdalena Borcal Directora del equipo de Atención al cliente,Europa, Medio Oriente yÁfrica

Nathan Birtle Vicepresidente de ventas y desarrollo de negocio, Europa, Medio Oriente yÁfrica

Todo lo que necesita saber sobre las amenazas informáticas pero temía preguntar

Múltiples dispositivos

Un informe de Citrix⁸ afirma que el empleado promedio utiliza por lo menos tres dispositivos para conectarse a la red de la corporación. Esto coincide con un estudio de GlobalWebIndex⁹ que encontró que una persona corriente utiliza tres dispositivos y que ese número aumenta según el nivel de ingresos. Con base en estos datos, se puede decir que la mayoría de los miembros de las juntas directivas posee por lo menos cuatro dispositivos. Más del 60 por ciento se conectan a Internet fuera de la oficina. El movimiento llamado “Bring Your Own Device” (conocido con las siglas BYOD, y que se traduce como Traiga su propio dispositivo) permite que las empresas gasten menos en dispositivos, pero también significa que TI tiene menos control sobre los software, las prácticas de seguridad y el acceso en general. Se espera que la preocupación en torno a la seguridad en relación a estos dispositivos empeore. Según una investigación de la firma Gartner10, más de 6 mil millones de dispositivos estarán conectados a Internet en 2016. Los empleados podrían conectar numerosos dispositivos a la red inalámbrica de una empresa y, debido a las vulnerabilidades de los sistemas operativos de muchos de estos dispositivos, las compañías podrían ser víctimas de riesgos de seguridad y de ataques por puertas traseras.

Tecnologías emergentes

Cada nuevo avance tecnológico se convertirá, en algún momento, en el objetivo de delincuentes informáticos y otros actores maliciosos, y ello significa que la tecnología que usan los miembros de las juntas directivas podría ponerlos a ellos, y potencialmente a la organización, en un riesgo mayor. Los expertos en seguridad convienen en que los automóviles y edificios inteligentes, así como los más recientes dispositivos ponibles, pueden ser susceptibles de ataques, y lo serán más temprano que tarde, según ZDNet.11 Incluso si la tecnología emergente no está conectada directamente a los centros de datos de su negocio, la nueva tecnología puede permitir el acceso a la empresa de otras maneras. El sistema de seguridad de un edificio que ha sufrido un ataque informático puede abrir las puertas a ladrones, tal como lo demostró un grupo de investigadores de la Universidad de Michigan12 cuando logró piratear el sistema de seguridad de una casa inteligente.

Autenticación de usuarios

Los sistemas de autenticación de usuarios, tales como el uso de contraseñas, tienen como finalidad proteger los datos y las cuentas; sin embargo, las contraseñas hurtadas también constituyen una mina de oro para los delincuentes que hurtan datos. No es solo que las contraseñas sean valiosas, según lo evidenció un informe de Trend Micro 13, sino que el acceso a estas cuentas puede tener un mayor impacto en la seguridad, tal como lo descubriera una miembro de la junta directiva de Shipley Energy14 cuando un hacker minó su correo electrónico y computadora después de obtener acceso a su contraseña. Tener una combinación sencilla de contraseña/nombre de usuario facilita el trabajo de extracción fraudulenta de datos para los delincuentes informáticos. Si no se exige el cumplimiento por parte de toda la empresa, y ello incluye a la junta directiva, en lo que

Sin embargo, para mejorar la inteligencia de una organización en temas de seguridad, todos deben tener un mejor entendimiento de dónde se encuentran los riesgos y de qué se puede hacer para eliminar las amenazas potenciales.

LOS RIESGOS

Personal con acceso a información privilegiada

La amenaza de seguridad más grande para cualquier empresa son las personas que tienen acceso directo a la red y a datos confidenciales, según una serie de estudios tales como el Informe sobre filtraciones de datos de Verizon de 2016⁴ y el informe titulado “Battling the Big Network Security Hack”⁵ de la firma de control de seguridad Spiceworks.

Las amenazas internas se presentan de diferentes maneras, pero con frecuencia, estas acciones no son deliberadamente maliciosas. Sin embargo, maliciosas o no, dichas acciones aún ocasionan hechos de seguridad serios. Algunas veces, es tan simple como perder dispositivos desbloqueados o utilizar dispositivos que no cuenten con un software de borrado de datos o conectar dispositivos de almacenamiento no verificados a una computadora. Aun en una corporación grande, una acción indebida o un solo clic es todo lo que hace falta para causar daños y costos de recuperación millonarios.

Una encuesta de Thomson Reuters⁶ determinó que los miembros de las juntas directivas generan numerosos riesgos de seguridad. Por ejemplo, más de la mitad de los miembros de las juntas directivas siguen imprimiendo y llevando consigo documentos de sus juntas directivas, que podrían perder o dejar en un lugar equivocado. Esto pone los datos confidenciales de las corporaciones en riesgo de que personas externas a la organización los hallen y los expongan.

Redes sociales

Las redes sociales son un arma de doble filo. Por un lado, permiten que las corporaciones lleguen a su público en tiempo real y con mensajes dirigidos. También permiten una rápida y sencilla comunicación entre la empresa y el cliente.

Sin embargo, las redes sociales también pueden representar un dolor de cabeza para la seguridad informática. Según un informe de IFSEC Global⁷, una comunidad en línea que se desempeña en la industria de la seguridad, la mayoría de los profesionales de TI y de seguridad de TI determinó que las redes sociales en el entorno laboral generan un riesgo grave, pero muy pocas organizaciones están haciendo algo para hacer frente a la amenaza. La cuenta de red social de su empresa podría ser pirateada y utilizada para dirigir ataques de ingeniería social destinados a estafar a clientes y a cualquier persona relacionada con la corporación. Esto podría ocasionar descargas de software malicioso, el hurto de información de carácter personal, filtraciones de datos corporativos o daños a la reputación.

4. “Leaky end users star in DBIR 2016” Susan Richardson, 23 de mayo de 2016. Data on the Edge, http://blog.code42.com/leaky-end-users-star-in-dbir-2016/ 5. “Battling the Big Hack: Inside the ring and out… IT pros plan to land some blows in 2016” Spice Works, diciembre de 2015: https://www.spiceworks.com/marketing/resources/reports/it-security/?utm_function=dg&utm_channel=swemail&utm_source=securitypromo&utm_medium=e-mail&utm_ campaign=2016itsecurity&utm_content=151216-button&mkt_tok=3RkMMJWWfF9wsRoksqrMd%2B%2FhmjTEU5z16egrXaS2gIkz2EFye%2BLIHETpodcMTsFgNrvYDBceEJhqyQJxPr3MJNkN1NxvRhnjCQ%3D%3D 6. “Are your board members a security risk?” Thomson Reuters, http://www.biia.com/is-your-board-member-a-security-risk 7. “Global Survey: Malware attacks up because of social media” IFSEC Global, 12 de octubre de 2011. http://www.ifsecglobal.com/global-survey-malware-attacks-up-because-of-social-media/ 8. “7 Enterprise Mobility Statistics You Should Know” Citrix, 12 de junio de 2015 https://www.citrix.com/articles-and-insights/workforce-mobility/jun-2015/7-enterprise-mobility-statistics-you-should-know.html 9. “Digital consumers own 3.64 connected devices” Global Web Index, 18 de febrero de 2016 http://www.globalwebindex.net/blog/digital-consumers-own-3.64-connected-devices 10. “6.4 Billion Connected “Things” Will Be in Use in 2016, Up 30 Percent From 2015” Gartner Report, noviembre de 2015, http://www.gartner.com/newsroom/id/3165317 11. “A huge security breach traced back to an unsecured IoT device will happen within the next two years, warn security experts” Danny Palmer, 1 de julio de 2016. ZD Net, http://www.zdnet.com/article/the-first-big-internet-of-things-security-breach-is-just-around-the-corner/ 12. “Hacking into homes: ‘Smart home’ security flaws found in popular system” Nicole Casal Moore, 2 de mayo de 2016. Michiga News, University of Michigan. http://ns.umich.edu/new/multimedia/videos/23748-hacking-into-homes-smart-home-security-flaws-found-in-popular-system 13. “How much your passwords are worth to cybercriminals” Market Watch, 31 de diciembre de 2015 http://www.marketwatch.com/story/how-much-your-passwords-are-worth-to-cybercriminals-2015-12-11 14. “Kill the password: a string of characters won’t protect you”, Mat Honan, 15 de noviembre de 2012. Wired, https://www.wired.com/2012/11/ff-mat-honan-password-hacker/

Todo lo que necesita saber sobre las amenazas informáticas pero temía preguntar

en la trampa. Los ataques de suplantación de identidad tipo Spear (con arpón) tienen como destino personas específicas y con frecuencia parecen provenir de fuentes fiables que comparten documentos legítimos relacionados con trabajo. El ataque tipo Whaling (caza de ballenas) supera con creces a los ataques tipo Spear, debido a que va dirigido a ejecutivos, personal de alto nivel y personalidades, tales como celebridades y políticos. Los correos electrónicos tipo Whaling son muy personalizados y son difíciles de detectar.

⊲ Ataques de denegación de servicio distribuido (DDoS, por sus siglas en inglés): hacen exactamente lo que indica su nombre; tienen como objetivo negar el servicio de la red. Los ataques DDoS, tal como lo define el Departamento de Seguridad Nacional de los Estados Unidos, representan uno de los métodos favoritos de las organizaciones “hacktivistas” como Anonymous, que detienen la operatividad de sitios web para realizar una declaración política o una protesta.

⊲ Amenaza persistente avanzada (APT, por sus siglas en inglés): es la peor pesadilla para una corporación. La finalidad de una APT es hurtar cuanta información sea posible, según un artículo publicado en el diario Network Security.18 Un hacker, generalmente parte de una red de delincuencia informática, se infiltra en la red y permanece sin ser detectado durante prolongados espacios de tiempo. Esto le proporciona al delincuente informático acceso virtualmente ilimitado a la información que fluye a través de la infraestructura. Puede detectar la presencia de un ataque de ATP de diferentes maneras, tal como una actividad de inicio de sesión atípica o enormes transferencias de datos no planificadas.

⊲ Ataques de día-cero: se perpetran a través de las vulnerabilidades de un programa de software. Los atacantes se apresuran para hacer uso de estas vulnerabilidades antes de que se descubra el “agujero” y se implemente un parche. Para evitar los ataques de día cero, los expertos instan a los usuarios a implementar los parches de software apenas estén disponibles, según la firma Malwarebytes.

⊲ Ataques de intermediario (MitM, por sus siglas en inglés): se refieren al tipo donde se espían comunicaciones para que el delincuente informático pueda entremeterse en las conversaciones en línea para obtener información. Por ejemplo, un ataque de MitM, tal como aseguran los expertos de Veracode19, podría piratear la transacción entre un banco y una persona que se encuentre realizando una transacción financiera, y obtendría entonces acceso a números de cuentas, nombres y contraseñas.

⊲ Publicidad maliciosa y descargas automáticas peligrosas: son diferentes tipos de ataque, aunque se asemejan en la manera en que el actor malicioso se apodera del sitio web de otra persona. Se inyecta el código del software malicioso en el sitio, casi siempre sin que lo sepa el propietario. En un ataque de publicidad maliciosa, el software malicioso se descarga cuando se hace clic en un anuncio infectado. Las descargas automáticas peligrosas, según Fox Business20, infectan un sistema cuando alguien simplemente visita el sitio.

se refiere al uso de sistemas de autenticación de múltiples factores,es sencillo que accedan a la red usuarios no autorizados.

Proveedores externos

Los proveedores externos fueron los responsables de algunas de las filtraciones de mayor resonancia de los últimos años. Target puede ser el ejemplo más emblemático, debido a que su filtración de datos se produjo por errores de seguridad que cometió una empresa contratista de servicios de climatización. Tal como lo dijo MacDonnell Ulsch en TechTarget15, los proveedores externos son personas con acceso a información confidencial de manera temporal, lo que les proporciona un acceso considerable a información privilegiada sin el mismo nivel de seguridad con que se controla al personal regular con acceso a información confidencial.

“Por tal motivo, la administración de terceros y los acuerdos a nivel de servicio (SLA, por sus siglas en inglés) son críticos en la gestión de riesgos”, escribió Ulsch.

Por supuesto, muchos proveedores externos se toman estos riesgos en serio y siempre tienen presente los requisitos de seguridad de sus clientes. Los proveedores externos de calidad tienden a ser abiertos y estar dispuestos a discutir las necesidades de seguridad de un cliente, así como a trabajar junto con el cliente para garantizar que las redes son seguras y que se han resuelto todas las inquietudes.

TIPOS DE ATAQUE

Software malicioso

Este tipo de software es el término genérico para denominar las amenazas informáticas más comunes y conocidas, tales como virus, troyanos, gusanos y ransomware. Los software maliciosos por lo general vienen en familias, según su codificación, con más de 1.500 familias de software maliciosos identificadas apenas en el otoño de 2015, de acuerdo con la publicación especializada en comercio Help Net Security16. Algunas de las familias de software malicioso más populares son Conficker, Sality y Cutwail. Una vez en el sistema, cada tipo de software malicioso tiene un rol particular que jugar. Algunos tienen como objetivo registros financieros u otros tipos de datos, otros están diseñados para hacer que nuestro sistema quede inoperativo, e incluso pueden convertir una computadora en un robot que envía correo basura.

Nadie es inmune a los ataques mediante software maliciosos, y los miembros de las juntas directivas pueden correr un riesgo aún mayor debido a que pueden estar relacionados con numerosas organizaciones. Los actores maliciosos utilizan una amplia variedad de ataques para infectar nuestro sistema con un software malicioso. Estos ataques incluyen:

⊲ Ataques de suplantación de identidad: imitan verdaderas comunicaciones con el fin de engañar al destinatario del correo electrónico para que haga clic en un enlace corrupto o abra un archivo adjunto que contiene un software malicioso. Se presentan en diferentes formatos, según la empresa de seguridad Tripwire.17 El correo electrónico de suplantación de identidad promedio se envía de manera aleatoria con la esperanza de que alguien caiga

15. “Third-party risk management: Horror stories? You are not alone”, MacDonnell Ulsch, Tech Target, http://searchsecurity.techtarget.com/feature/Third-party-risk-management-Horror-stories-You-are-not-alone 16. “Top malware families targeting business networks”, Help Net Security, 30 de noviembre de 2015 https://www.helpnetsecurity.com/2015/11/30/top-malware-families-targeting-business-networks/ 17. “6 Common Phishing Attacks and How to Protect Against Them” David Bisson, 5 de junio de 2016 http://www.tripwire.com/state-of-security/security-awareness/6-common-phishing-attacks-and-how-to-protect-against-them/ 18. “Advanced Persistent threats and how to monitor and deter them” Colin Tankard, agosto de 2011. Elsevier, http://www.sciencedirect.com/science/article/pii/S1353485811700861 19. “Man-in-the-Middle Tutorial: Learn About Man-in-the-Middle Attacks, Vulnerabilities and How to Prevent MITM Attacks” Veracode, http://www.veracode.com/security/man-middle-attack 20. “What You Need to Know About ‘Drive-By’ Cyber Attacks”, Jason Glassberg, 4 de febrero de 2015. Fox Business, http://www.foxbusiness.com/features/2015/02/04/what-need-to-know-about-drive-by-cyber-attacks.html

Todo lo que necesita saber sobre las amenazas informáticas pero temía preguntar

Utilizar un software para juntas directivas dificulta que los delincuentes informáticos puedan hurtar las comunicaciones y los documentos.

Correo electrónico: info@diligent.comLlame: 1-973-939-9404Visite: www.diligent.com

Consíguelo de

Diligent es una marca comercial de Diligent Corporation, registrada en los Estados Unidos. Todas las marcas comerciales de terceros pertenecen a sus respectiv os propietarios. ©2016 Diligent Corporation. Todos los derechos reservados.

Ransomware

Técnicamente se trata de un software malicioso, pero los ataques se están volviendo tan sofisticados que se deben analizar como si se tratase de un vector de ataque individual. El ransomware (del inglés “ransom”, “rescate” y “ware”, software) se apodera de los datos almacenados cifrándolos y obligando al propietario a pagar un rescate en un plazo determinado de días para poder recibir la clave del cifrado. Un estudio de PhishMe21 determinó que durante el primer trimestre de 2016, 93 por ciento de los correos electrónicos de suplantación de identidad contenía ransomware. Si un miembro de una junta directiva hace clic accidentalmente en un enlace o en un archivo adjunto que contenga ransomware, podría infectar la red de la organización y costarle a ésta cientos o miles de dólares la recuperación de los datos.

A pesar de no ser una novedad, la popularidad del ransomware se atribuye a diferentes razones: los pagos se efectúan de manera anónima, por lo general con Bitcoin u otras monedas en línea; los paquetes utilizados para aprovecharse de la información se pueden encontrar fácilmente y los hackers no tienen que desarrollar nuevos software maliciosos constantemente para tener éxito; además, se trata de un rápido sistema de ataque y recompensa.

PREVENCIÓN Y PROTECCIÓN

Prevención y protección significa la aplicación de las mejores prácticas de seguridad, tales como realizar pruebas de penetración, establecer políticas de seguridad, actualizar y aplicar parches de software de inmediato, y regular los dispositivos que se conectan a la red. Adicionalmente, los expertos en seguridad sugieren lo siguiente:

Educación

Es esencial proporcionar a todos los empleados capacitación obligatoria en seguridad. Todas las personas que accedan a la red deben entender tanto los riesgos de seguridad informática como las tácticas de prevención. La educación debería incluir:

⊲ Comunicación regular, ya sea a través de sugerencias semanales o mensuales en relación con las amenazas más recientes, y cuáles son las expectativas en lo que se refiere a la seguridad.

⊲ Capacitación práctica regular. Existen módulos en línea sobre seguridad informática, disponibles a través de una capacitación mensual o trimestral, que incluyen la detección de estafas por suplantación de identidad y otros ataques potenciales.

⊲ Mejores prácticas para las redes sociales que incluyen lo que no se debe compartir en estos medios y cómo reconocer la ingeniería social.

⊲ Establecer políticas de seguridad para el BYOD y velar por su cumplimiento.

⊲ Una línea abierta de comunicación. Todas las personas con acceso a la red deberían poder plantear sus inquietudes a TI o al personal responsable de la seguridad. Todas las preguntas y comentarios se deben tomar con seriedad.

Concentrarse en los datos, no en las redes

Cada vez son más los expertos en seguridad que recomiendan a las organizaciones reestructurar sus prácticas, de modo que en lugar de proteger la red, protejan los datos. Debido a que en la actualidad existen numerosos extremos con acceso a datos confidenciales y que gran parte de esa información está almacenada en un servidor dentro de las empresas, los métodos de seguridad perimetral tradicionales ya no son tan efectivos. Esto significa investigar a los proveedores externos, especialmente a los proveedores de servicios en la nube, para determinar cómo protegen los datos. Las mejores prácticas de seguridad informática incluyen:

⊲ Cifrar los datos cuando no se estén utilizando

⊲ Utilizar opciones de correo electrónico seguras

⊲ Implementar herramientas de seguridad para cada extremo, incluidos teléfonos inteligentes y tabletas

Utilizar los avances tecnológicos

La tecnología también puede mejorar la seguridad. Con el uso de un software para juntas directivas, por ejemplo, las comunicaciones y los documentos están cifrados, lo que dificulta que un hacker potencial pueda hurtarlos. Los software para juntas directivas también ofrecen a los miembros de las juntas directivas una ubicación única desde la cual acceder a la información, de modo que no existe preocupación alguna de que los correos electrónicos o los documentos estén almacenados en sistemas inseguros o desactualizados, los cuales son más vulnerables y corren un riesgo mayor de explotación.

El director de la Agencia de Seguridad Nacional, Mike Rogers, le dijo al Wall Street Journal22 que no se trata de si penetrarán sus redes, sino de cuándo, y cada organización, sin importar su tamaño, debe tomarse la seguridad informática más en serio.

21. “93% of phishing emails are now ransomware”, Maria Korolov, 1 de junio de 2016. CSO, http://www.csoonline.com/article/3077434/security/93-of-phishing-emails-are-now-ransomware.html 22. “NSA Chief Expects More Cyberattacks Like OPM Hack”, Robert Wall and Alexis Flynn, 15 de julio de 2015. The Wall Street Journal, http://www.wsj.com/articles/nsa-chief-expects-more-cyberattacks-like-opm-hack-1436985600