Son muchas las recomendaciones de ciberseguridad, pero no siempre se pueden aplicar. Muchos CISOs se quejan de la escasez de fondos y el débil apoyo de su organización. Sin embargo, estos son a menudo síntomas y no el origen de los problemas. Si éstos no se conocen, los profesionales de la ciberseguridad pueden perderse en los detalles y dejar de acometer una auténtica reducción de los riesgos de seguridad.
#HablemosDeSeguridad
Vía @cyware
“FaceApp” se viralizó rápidamente entre usuarios de Twitter e Instagram, quienes aprovecharon la oportunidad para subir sus fotos siendo “viejitos” o que le aplicaron el filtro a algún famoso para que nos vayamos dando una idea de cómo se verán en un par de años más.
Sin embargo, FaceApp ha comenzado a preocupar a todos aquellos que se interesan por la protección de datos personales en la web, esto gracias a que la aplicación es de origen ruso y cuenta con una política de privacidad bastante ambigua, la cual además de no ser clara no se ha actualizado en más de dos años.
#HablemosDeSeguridad
Vía @sopitas
A lo largo de estas décadas el rumbo de la seguridad de la información se ha encaminado hacia una constante metamorfosis, anteriormente nos preocupábamos por problemas de lentitud, comportamientos erráticos del sistema causados por virus entre otros tipos de malware y herramientas como firewalls y antivirus en equipos y servidores, actualmente los temas que nos ocupan son el secuestro o robo de información, espionaje y la ciber guerra que además ahora se extiende a entornos como los dispositivos móviles, la nube y pronto a todo aquello que se conecte a internet.
En términos de seguridad informática estos son los orígenes históricos en cuanto a incidentes de seguridad, por ejemplo:
| 1972 | El primer virus informático de la historia y como consecuencia el primer antivirus |
| 1975 | La manifestación del primer Troyano “Animal/Pervade” |
| 1978 | Primer antecedente de infestación de SPAM |
| 1983 | Los virus comienzan a propagarse al público |
| 1994 | El SPAM comienza a ser un dolor de cabeza en las compañías |
| 1999 | “Melissa” el primer virus que colapsa servicios corporativos con contenido pornográfico |
Es a partir de entonces cuando la seguridad informática da inicio a la evolución de erradicar simples amenazas a la administración de métodos de contención de ataques más sofisticados, por consecuencia la administración de riesgos de seguridad de la información cambia su arista hacia una gestión asertiva de los ciber riesgos.
¿Cuál es la diferencia entonces?
Los riesgos de seguridad existen como correspondencia a un proceso concreto y probado de identificar, analizar y evaluar eventos futuros de amenazas y vulnerabilidades internas y/o externas existentes, es decir, permite pronosticar la probabilidad de ocurrencia de un evento futuro conocido (provenientes de lecciones aprendidas, antecedentes o pruebas, eventos de seguridad ocurridos, intuición, etc.).
Una metodología de riesgos de seguridad de la información correctamente implementada en una organización permitirá beneficios estratégicos como determinar la cuantificación del riesgo (es decir, conocer el costo al que una organización se afrontaría ante la manifestación del riesgo), predecir el impacto al negocio de proyectos, así como determinar el tratamiento del riesgo si es que éste se llega a manifestar.
Un ciber riesgo o riesgo de ciber seguridad hace énfasis a la combinación 1 a N de riesgos conocidos y no conocidos que pueden causar daños adversos a las organizaciones, ya que en este caso las amenazas se transforman en ataques dirigidos (espionaje, robo o secuestro de información, crimen organizado, etc.) hacia alguna industria en particular (energética, gubernamental, telecomunicaciones, educación, hospitalaria, etc.) y su geolocalización.
Fuente: FireEye Mandiant Trends 2019 – Industrias más vulneradas por ciberataquesM(https://content.fireeye.com/m-trends)
Lo anterior quiere decir que aquella organización donde existe la posibilidad de un daño adverso derivado de un ciber riesgo tendrá un impacto diferente según al tipo de industria que pertenezca y en donde esta se encuentre ubicada, y no sólo eso, la manifestación de una amenaza avanzada persistente en dicha organización incrementará considerablemente la posibilidad de movimientos laterales y su persistencia a largo plazo.
En este caso, no existe una metodología o proceso a seguir que nos pueda asegurar la protección de los activos críticos ya que la mayoría de las amenazas son cambiantes de un día a otro.
La buena noticia es que existen herramientas y plataformas que permiten conocer el nivel del ciber riesgo de una organización a través de la inteligencia de amenazas, esta inteligencia permite identificar las amenazas cibernéticas relacionadas con la geolocalización y la industria basándose en el análisis en línea de datos de open-source y fuentes confiables de ciberseguridad (fabricantes, comunidades, organizaciones) y así generar pronósticos de amenazas avanzadas.
Fuente: Cytegic ACRO CDSS – Cyber Decision Support System (www.cytegic.com)
Las ventajas que trae consigo este tipo de soluciones es que:
En resumen, la administración de riesgos de seguridad es una buena práctica que toda organización debería realizar, más sin embargo llevar a cabo la inteligencia de amenazas a través de la gestión de ciber riesgos debería ser una función implícita en las áreas o gerencias de seguridad.
“No basta con tener más tecnología de seguridad, sino tener los controles de seguridad correctos”
Autor: Diana Cadena Martínez – Consultor en Ciberseguridad Estratégica.
Morgan Freeman decía: “Desafíate a ti mismo; es el único camino que conduce al crecimiento”. Una frase fuerte que evoca a la superación personal, y que nos hace recordar que los retos y su conquista son importantes en nuestro progreso como profesionales y en consecuencia como personas.
Lamentablemente, hay retos malentendidos que persiguen objetivos intrascendentes, difundidos masivamente por mera moda y peor aún, con resultados en ocasiones no muy gratos para los desafiados. En ese sentido ¿Cuántos retos se han viralizado en redes sociales? Saltan a mi memoria desde el “Ice bucket” hasta el tristemente célebre “In my feellings” mejor conocido en nuestro país como “Chona Challenge” -qué desafortunado nombre-. Ociosos todos ellos, algunos graciosos y otros más que representan un gran riesgo y que penosamente se han vuelto atractivos para menores. Recientemente ha ganado terreno en las redes sociales el “10 year challenge”, un reto que busca que la gente comparta fotografías de 10 años atrás y las compare con su imagen actual evidenciando las diferencias en su aspecto físico. Por cierto, este desafío parece inofensivo, sin embargo se sospecha que su difusión tiene como finalidad entrenar a algoritmos de sistemas de reconocimiento facial[1].
Sobre este último reto me gustaría proponerles un giro. Si tuviéramos la oportunidad de jugar el mismo desafío y obtener una fotografía del estado de la seguridad en nuestro país hace 10 años y la comparamos con otra obtenida del día de hoy, ¿Qué nos encontraríamos? Es curioso pero al igual que esas fotos de personajes que te arrancan alguna carcajada, ya sea porque al individuo en cuestión le ha cobrado el tiempo alguna factura con varios kilos de más o cabellos de menos, el estado de la seguridad en el país refleja una entidad que ha perdido ciertos encantos por batallas que le han dejado en el camino aprendizajes, experiencias y por supuesto varios desaguisados. Una decada atrás se comenzaban a trazar los primeros esbozos en la costrucción de capacidades en la materia, sustentados en el Plan Nacional de Desarrollo y el Programa de Seguridad Nacional de esos ayeres[2], y que posteriormente fueron tomando forma en una Estrategia Nacional de Seguridad de la Información, con esfuerzos aislados y sin el impulso que ésta ameritaba. Al igual que en el proceso de madurez de un ser humano, este ente no aprende a la primera, comete los mismos errores y es hasta que le duelen que toma conciencia de que hay que cambiar, que hay que evolucionar. Como referencia, estamos hablando que durante esa década, ya existía una preocupación latente en el orbe por los impactos económicos y políticos producidos por ciber-delincuencia, hacktivismo y ciber-espionaje; se vislumbra a la ciberseguridad como un riesgo global y en otras latitudes con economías no tan alejadas de la mexicana, emergen proyectos más sólidos: Argentina, Colombia, Panamá o España son algunos ejemplos. Finalmente, y muy de la mano de la OEA, llegamos a la definición de una Estrategia Nacional de Ciberseguridad, que si bien debe aterrizarse, madurar y darle continuidad en esta nueva administración, es un hito importante en nuestro país.
Ahora bien, relativicemos el reto a nuestras organizaciones, ¿Qué nos encontramos? ¿Será una fotografía similar?
CISO, te reto a que rescates esa fotografía de hace 10 años en tu organización y la contrastes con la situación que vives ahora. ¿Es mejor? ¿Has ganado kilos y experiencia? Compártenos qué te has encontrado. Si la imagen no te es tan clara o peor aún, no tienes fotografías, creo que es un buen momento para emprender el reto. Analiza cómo estás -qué tal esa gestión del riesgo, tus controles de seguridad, tu respuesta a incidentes, tus lecciones aprendidas, tu estrategia…-. Busca mejorar, traza un camino, gana experiencia, compárate con los demás y mide tu evolución. Espero que en el próximo reto puedas preciarte de que tu organización se vea mejor. Desafíate a ti mismo.
Provehito in altum
Por: Juan Pablo Carsi
[1]FACEBOOK’S ’10 YEAR CHALLENGE’ IS JUST A HARMLESS MEME—RIGHT? https://www.wired.com/story/facebook-10-year-meme-challenge/
[2]Revista de Administración Pública. Hacia una estrategia nacional de ciberseguridad en México. Edgar Iván Espinosa.
Los ejecutivos de las empresas de servicios financieros están cada vez más preocupados por los riesgos, pero a medida que la tecnología se integra más en la gestión financiera, cada vez más ejecutivos dicen que la seguridad cibernética se está convirtiendo en el tipo de riesgo más importante.
Cuando se les preguntó qué tipos de riesgo crecerían en importancia en los próximos dos años, el 67% de los ejecutivos de servicios financieros denominaron ciberseguridad, frente al 41% en 2016.
#HablemosDeSeguridad
Vía @InfosecurityMag
Usar una contraseña para todo es conveniente, pero también es peligrosamente inseguro. Examinamos el caso de Mark, un joven diseñador. Mark es un chico normal. Tiene cuentas de correo electrónico, Facebook, Instagram, Amazon, eBay, Steam y Battle.net, por no mencionar las de una docena de tiendas en línea y un foro dedicado a su videojuego favorito. Las cuentas están todas vinculadas a su correo electrónico.
Más información
#HablemosDeSeguridad
Vía @kaspersky
Expertos estiman que al menos un incidente de seguridad digital cobrará vidas humanas a corto plazo. Según el informe «Digital in 2018» elaborado por We Are Social y Hootsuite, el 53% de la población mundial está conectada a internet, ello implica un riesgo muy alto para particulares y empresarios que deben velar por el tema de la ciberseguridad.
Más información
#HablemosDeSeguridad
Investigación de Trend Micro reveló cómo se podrían explotar los sistemas de interfaz hombre-máquina expuestos en miles de organizaciones críticas de agua y energía en todo el mundo, lo que causaría impactos significativos en el mundo real, como la contaminación del suministro de agua.
Más Información
#HablemosDeSeguridad
Via @helpnetsecurity
México ocupa el lugar 15 de 23 países que integran el Online Civility Index 2017 realizado por Microsoft, el cual mide el nivel de riesgo al que están expuestos los habitantes de un país al navegar en la red.
#HablemosDeSeguridad
Vía El Economista
Más información
Copyright © 2018 - Todos los derechos reservados
Aviso de Privacidad