El Cibercrimen desafía a las empresas con pérdidas millonarias ¿Cómo hacerle frente?, 7 recomendaciones de acción

Por: Samuel Hourdin, Director de Desarrollo de Negocios Identity & Access Management
 Gemalto, Latinoamérica
  
El Cibercrimen ya es noticia casi diaria de máxima actualidad, grandes grupos de crimen organizado, realizan ataques masivos para obtener información con objetivos económicos, financieros y políticos desde Internet. La venta de información en el mercado negro alcanza un valor cercano a los 7,000 millones de dólares en todo el mundo

Para el 42% de las compañías los ataques online son la primera de sus preocupaciones.
En términos anecdóticos, si tuviesen que elegir de quién se defenderían primero, ¿de un ladrón agujereando sus muros, o de otro agujereando su firewall?, las empresas lo tienen claro, acabarían antes con el segundo. 

Con este porcentaje, La ciberdelincuencia supera ya en el ranking al crimen tradicional como la principal preocupación de las compañías, por encima de los desastres naturales, el terrorismo y el crimen tradicional combinado. 

Este elevado temor tiene una explicación económica. Cada año, las empresas se gastan en promedio 2 millones de dólares (millón y medio de euros) en costes asociados a los ciberataques . Los tres costos principales fueron: productividad, ingresos y pérdida de confianza del cliente según el informe de Symantec 2010 State of Enterprise Security, realizada en enero de este año a 2,100 CIOs (Chief Technology Officer), encargados de seguridad informática y administradores de TI de 27 países, incluidos Argentina, Brasil, Colombia y México.

Lo más preocupante, es que los datos pronostican para el 2010 un aumento de los ciberataques y de los costos asociados: en los últimos 12 meses El 75% de las compañías sufrieron ataques cibernéticos, el 36 % calificaron los ataques como muy dañinos y el 29 % informó que los ataques han sido más frecuentes. Las tres pérdidas más denunciadas fueron el robo de la propiedad intelectual, el robo de información de información financiera, especialmente de las tarjetas de crédito y el robo de la información de identificación personal de clientes.

 
Dos acontecimientos de los últimos meses están   impactando al mundo. En el pasado mes de febrero, Un macro ataque informático, afectó a más de 2.400 empresas multinacionales y organismos gubernamentales. Las investigaciones apuntan a un grupo de hackers, supuestamente procedentes de Europa del Este, que desde servidores en Alemania y China consiguió infectar 74.000 ordenadores de 196 países. Los principales ataques fueron robos a la propiedad intelectual, pérdida de datos, números de tarjetas, pero también cuentas personales de facebook y yahoo.

Algunas víctimas conocidas, las farmacéuticas Merck y Cardinal Health, Paramount Pictures, Juniper Networks, varias entidades bancarias y una decena de agencias gubernamentales de EEUU, sobre todo, de Defensa. Las pérdidas aún no se han podido terminar de calcular.

El caso de China ha sido especialmente mediático estas semanas. El rastreo de los ataques informáticos registrados en los últimos meses contra Google y varias decenas más de empresas estadounidenses ha llevado a los investigadores de la Agencia de Seguridad Nacional norteamericana a dos instituciones educativas de China. El objetivo, detectar información secreta relativa al comercio e incautarse de correos electrónicos de activistas defensores de los Derechos Humanos. Incluso se especula con la posibilidad de que los ataques generalizados formen parte de una trama de espionaje industrial a gran escala.

EEUU encabeza todos los rankings anuales sobre la procedencia del malware. El 37,4% de las páginas web infectadas tiene sus servidores alojados en este país, seguido de Rusia (12,8%) y China (11,2%), según el estudio de Sophos.

Los sistemas jurídicos nacionales son insuficientes y dejan a las empresas ante un terreno desconocido en el que la principal herramienta con la que pueden contar para protegerse es la tecnología combinada con una estrategia inteligente más sofisticada.

Gemalto destaca una lista de líneas de acción para las empresas:

• Tendencias claves para la reestructuración del área de TI: el proceso de selección darwinista de los nuevos riesgos, sacará del mercado a aquellas empresas que no redefinan su área de TI adecuadamente.
„Ï La estrategia del área de IT estará más ligada a la estrategia global de negocio de la empresa.  Los objetivos de negocio dependen de la incorporación del uso de las nuevas tecnologías. El trabajo a distancia, el uso de servicios de cómputo basados en Internet o servicios comerciales en línea son algunos.
„Ï Habrá una demanda de funcionalidad de misión crítica en relación al costo-desempeño, y de identificación de  herramientas de seguridad integradas a la hora de invertir
„Ï Capital humano: La escasez del personal se enfoca erróneamente. No se necesita una armada. Una estrategia sólida previa definirá de forma eficiente las tareas específicas y el perfil del personal a contratar. La capacitación de todos los empleados sobre las políticas de seguridad y procedimientos será imprescindible
„Ï  Observatorio de información: queremos proponer este concepto. La seguridad pasará a ser 70% prevención, %20 solución de crisis. La información es la pieza estratégica para la prevención temprana
„Ï Los rubros de seguridad que TI calificó como la más importantes son:
La seguridad de la red (con más segmentos: redes virtuales, inalámbricas, etc.), la contratación de servicios de TI: infraestructura, la plataforma y el software (muchos delincuentes ofrecerán estos servicios, cometerán el crimen y desaparecerán), seguridad en entornos virtuales (especialmente servidores y endpoints), o el cómputo en la nube

• Robo de la propiedad intelectual: Un caso de fuga de información a una organización rival puede resultar en grandes pérdidas. El 82% por ciento son ejecutados por los propios empleados de las empresas. Agravado por los despidos ocasionados con la crisis, el 50% de las personas que dejaron su trabajo se llevaron con ellos datos confidenciales de su empresa.
Para prevenir, se requiere una compleja combinación de acciones como una política de contraseñas, un registro de usuarios por equipo o el control de privilegios para acceso a archivos; esto último, es la punta de la pirámide para proteger la información más confidencial. La tecnología más innovadora es el uso de la biometría, el medio más robusto de identificación de usuarios. Lo que antes era ciencia-ficción ya es realidad. Como ejemplo, la tecnología Gemalto Net.Bio, es un sistema de autenticación triple para que la empresa pueda diferenciar a sus empleados con distintos niveles de seguridad combinando los 3 elementos: algo que tienes: la Smart card, algo que sabes: el PIN y algo que eres: la huella digital.

• Amenazas a la cúpula directiva de las empresas: altos puestos corporativos, directores generales, gerentes, dueños o cualquier otro alto cargo en empresas, tienen como claro objetivo la obtención de dinero. El envío de mensajes de correos maliciosos, secuestro de sus equipos exigiendo dinero a cambio, e incluso ofertas para ser “mulas monetarias” (cómplices de estafas por una comisión). Nuevas amenazas a la que deberán estar atentas las empresas.

• Ataques a los servicios financieros: el temor a la estafa, el robo de datos personales, cuentas bancarias y tarjetas de crédito está poniendo en jaque mate a la banca y al comercio electrónico. Este último perdió 3,800 USD en el mundo.
Para recuperar el volumen de transacciones se deberá ganar la confianza del consumidor. La seguridad será un factor de competitividad para empresas y banca. La industria identifica 2 grupos de riesgos: el acceso a Internet (virus, troyanos y otros secundarios como el spam) y la más alarmante, el phishing. La tendencia clara de la seguridad en banca será la adopción de sistemas de autenticación de la identidad como es el ‘Challenge-Response’. El usuario autenticará primero al banco para asegurarse de que está entrando en la página correcta mediante dispositivos más sofisticados.
Internacionalmente se llama la atención a las empresas que desarrollan estas soluciones a cumplir con las normativas, como Basilea II, y los estándares. Será una referencia clave para las empresas en la selección de tecnología. Gemalto ha sido una de las pioneras en ajustarse a los estándares para la mayor protección de los usuarios así nacen las soluciones de  Ezio.
 
• Los empleados víctimas en su trabajo y en su vida personal: la protección de la pérdida de datos por las empresas tendrá que considerar la seguridad de sus empleados protegiéndoles no solo en el desempeño de su trabajo sino también en su vida privada. El teletrabajo ya es una realidad, los ejecutivos cada vez mayor tiempo fuera de la oficina y necesitan acceder a la información de forma remota, además de llevarla consigo en laptops, o dispositivos e intercambiarla. Una de las tendencias de las empresas consiste en proporcionar a sus empleados herramientas de cifrado como son los tokens USB Smart Guardian de Gemalto, para que el empleado pueda acceder a las aplicaciones de seguridad que controlan la información. En caso de robo o pérdida, el PIN y la posibilidad de inhabilitar el acceso son 2 medidas importantes.
Al mismo tiempo el empleado participa activamente en redes sociales, blogs de la industria, busca información y participa de las redes sociales. Facebook y Twitter, los más inseguros, LinkedIn puede proporcionar información trascendental sobre la organización y empleados de su organización. Las empresas tenderán a adoptar una postura más rigurosa en la aplicación de políticas para el uso y el acceso a las redes sociales en sitios de trabajo, e informarles de consejos al usarlas en su ámbito privado. De momento son las únicas opciones dado el escaso control legal que hay sobre estas redes y su administración dudosa

• Por último, el cumplimiento de normas de TI es una tarea enorme: El próximo año se cumple una década de la lucha que los organismos internacionales han emprendido contra el Cibercrimen. Existen unos 19 estándares marcos de referencia de TI independientes de los que los principales son: los ya conocidos ISO y Sarbanes-Oxley además de otros que suenan sólo a los expertos, HIPAA, CIS, PCI o ITIL.

• Nuevos sistemas operativos en el horizonte: el software libre permitirá que las empresas personalicen su software, esta diversidad desorientará a los criminales, cada empresa será un caso diferente para diseñar su ataque. La base de usuarios de Apple Mac y Ubuntu de Linux crecen constantemente y la mono-cultura global de Windows podría empezar romperse por los beneficios que la diversidad tiene para la seguridad