Webinar: Ciberseguridad – Metodología para identificar y medir tu nivel de riesgos.

Platicaremos acerca de una metodología de riesgos de ciberseguridad en términos de cuáles son los objetivos y propósitos de obtener un nivel de riesgos y cómo se determina la madurez de los controles de seguridad actuales que protegen los servicios críticos de una organización.

En este Webinar exponemos un contexto general con relación a riesgos de seguridad de la información y riesgos de ciber seguridad así como los parámetros para determinar el nivel de riesgos en torno a la exposición de amenazas internas y externas de una organización.

Lo invitamos a unirse al seminario web Zoom.

Fecha: 24 sep 2020 10:00 AM CDMX

Inscríbase aquí: https://us02web.zoom.us/webinar/register/WN_OUupGTs8R0ySqWqHKvgebw

Más información

#HablemosDeSeguridad

Vía @Contacto_Capa8

La reciente filtración de datos de un fabricante de GE (General Electric) de cierto servicio comercial resultó en el hurto de PII (Información Personal Identificable) de muchos empleados de la empresa.  Esto resalta los problemas que representan los Ataques a la Cadena de Suministro y a Terceros Proveedores.  Como las empresas desean reducir costos y mejorar los márgenes de operación, contratan proveedores de servicios comerciales o de productos para aprovechar los bajos costos que este tipo de socios suelen tener gracias a la especialización y a las economías a escala.  Estas estrategias son sólidas prácticas comerciales debido a la tendencia creciente hacia ecosistemas colaborativos. 

Los riesgos que las empresas enfrentan son la falta de control que tienen en la protección de los datos que hoy comparten o que se encuentran en el host de estos proveedores, los cuales no siempre están protegidos con el mismo nivel de seguridad que la empresa podría implementar con sus propios recursos.  La incapacidad para determinar el impacto financiero de este tipo de ataques de filtración hace que sea muy difícil muy difícil, para los servicios terceros/externos, conscientes de los costos, o para los proveedores de mercancías, evaluar el “tamaño correcto” de los riesgos y de las medidas de mitigación de este tipo de filtraciones.

El mundo de los atacantes está aprovechando esta cadena de terceros proveedores o de ataques a la cadena de proveedores e incluyen a Políticos Ciber Guerreros, Hackers Financieros, Empleados Descontentos y Agentes de Espionaje Industrial.  Estos actores hicieron números en términos del valor de la información robada, en términos del valor monetario que les representa.  Están respaldados por recursos suficientes para invertir en métodos de ataque que habilitarán este tipo de penetraciones y de fugas internas.  Conforme el número de ataques y tamaño o prestigio de las víctimas de estas filtraciones aumentan, las empresas deben ser mucho más diligentes al adaptarse a estos riesgos.

Al seleccionar un servicio a proveedores de terceros o alianzas de proveedores, las empresas deben desempeñarse con la debida y razonable diligencia para asegurarse y asegurarle a sus operadores que el proceso de selección no sólo se enfoca en el costo.  El primer paso es que las compañías evalúen el impacto financiero que dichas filtraciones implicarían para su negocio, en términos de reputación y de sobrevivencia.  Esto se puede lograr cuantificando el riesgo en términos monetarios; un ejercicio de Cuantificación del Riesgo puede arrojar un número de impacto financiero para cada tipo de compromiso de los activos.  Esto debe llevarse a cabo por las empresas mismas o por profesionales independientes. ¡No debe hacerlo un outsourcing, un externo!

En segundo lugar, cada proveedor potencial debe demostrar que es adecuado en seguridad de la información, mediante una evaluación de madurez de la defensa, asegurándose de que todas las medidas de seguridad estén en su sitio, sean vigentes y estén bien configuradas.  Hay varias normas específicas de la industria como la ISO, la NIST y otras que pueden brindar un objetivo estándar, así como especialización independiente para darle una dirección a las evaluaciones.  Estas evaluaciones deben llevarse a cabo según se requiera.  Clientes y organizaciones prospectados deben solicitarlas y recibir estas evaluaciones de seguridad durante su proceso de selección.

En tercer lugar, cada suscriptor de estos servicios externos debe buscar obtener Ciber Seguridad.  Estas políticas han madurado de sobremanera en los últimos años.  El análisis de impacto financiero que el comprador del servicio haya desempeñado es esencial para establecer los términos y la protección que la póliza ofrece.

La mitigación ciber se ha convertido en un hecho vital y las empresas deben asegurarse de que lo estén abordando con efectividad.  Los servicios o productos externos que se venden a terceros en un mismo ecosistema pueden ser en extremo benéficos y permiten que las organizaciones trasladen su hoja de balance general, y que aumenten los beneficios del mercado al proveerse de tales servicios.  Pero deberán actuar agresivamente asegurándose de que sus socios son capaces de brindar seguridad y de proteger a la compañía ante riesgos.

Por Gerard Sabbah

Más información

#HablemosDeSeguridad

Vía @Contacto_Capa8