La mitad de las empresas no están listas ante incidentes de ciberseguridad

Categorías relacionadas:

El 77% de los encuestados en un estudio realizado por Ponemon Institute y patrocinado por IBM Resilient, mencionaron no tener un plan de respuesta a incidentes de ciberseguridad aplicado de manera consistente.

Leer más...



Contratar a más equipo de TI no resuelve los problemas de seguridad

Categorías relacionadas:

Admin-Riesgos

Mientras los equipos de seguridad en las organizaciones planean contratar más personal para dar respuesta a vulnerabilidades, y es posible que tengan que hacerlo, su nivel de seguridad no mejorará si no arreglan los procesos de parches dañados, así lo da a conocer la investigación  “Today’s State of Vulnerability Response: Patch Work Demands Attention” (El estado actual de la respuesta de vulnerabilidad, el desarrollo de parches exige atención) realizada por Ponemon Institute a petición de ServiceNow.

Leer más...



Organizaciones dan accesos innecesarios a empleados

Categorías relacionadas:

ciberseguridad-TI-maestria

El 58% de los directores de operaciones de TI y de seguridad creen que las organizaciones le están dando a los individuos acceso innecesario más allá de sus funciones o responsabilidades, en tanto que 91% prevé que los riesgos de las amenazas internas seguirán en aumento o permanecerán en los mismos niveles.

Así lo reveló el estudio “La Inseguridad de los Usuarios Privilegiados” llevado a cabo por Forcepoint en asociación con el Ponemon Institute; este análisis compara los datos correspondientes a los años 2011 y 2014 con los actuales. En el estudio participaron más de 600 directores de operaciones comerciales y 142 directores de operaciones de TI federales y de seguridad.

Ya que más del 40% de los participantes coinciden en que los miembros internos de las compañías podrían utilizar técnicas de ingeniería social para obtener derechos de acceso como usuarios privilegiados – hasta 20% de los datos de 2011 – no sorprende que la mayoría de ellos prevean que las amenazas internas sigan siendo un problema.

Aproximadamente 70% de los grupos encuestados creen que es “muy probable” o “probable” que los usuarios privilegiados piensan que pueden tener acceso a toda la información. Casi el 70% también cree que los usuarios privilegiados acceden a datos sensibles o confidenciales simplemente por curiosidad. Al considerar estos grandes porcentajes, sólo 43% de las organizaciones comerciales y 51% de las organizaciones federales dijeron que tienen actualmente la capacidad de monitorear efectivamente las actividades de sus usuarios privilegiados. La mayoría aseguró que sólo 10% o menos de su presupuesto se dedica a resolver este importante desafío.

Aunque el presupuesto y el recurso humano son factores clave para enfrentar las amenazas internas, las deficiencias de la tecnología también juegan un papel relevante. La encuesta reveló que un número importante de los entrevistados utilizan las herramientas de seguridad cibernética para combatir las amenazas internas y no tecnologías más especializadas (por ejemplo, 48% de las organizaciones comerciales y 52% de las organizaciones federales utilizan un SIEM para determinar si una acción es una amenaza interna). Como resultado, más del 60% indica que estas herramientas producen demasiados falsos positivos. En consecuencia la mayoría de las audiencias encuestadas (63% de las organizaciones comerciales y 75% de las organizaciones federales) carecen de la información contextual necesaria para evitar que surjan amenazas internas.

Leer más...



¿Qué tan seguras son sus aplicaciones móviles?

Categorías relacionadas:

En los próximos años las aplicaciones (apps) móviles serán la interfaz dominante del futuro, lo cual plantea nuevos retos para las organizaciones que avanzan hacia su transformación digital, pero que hoy en día tendrán que resolver y enfrentar si desean participar con éxito en la economía digital.

En México el mercado de aplicaciones móviles continúa experimentando una fase de crecimiento acelerado guiado por la incesante adopción de dispositivos móviles (smartphones y tabletas). De esta forma, el número de usuarios de aplicaciones en nuestro país alcanzó 66.9 millones al segundo trimestre de 2015 (2T15), es decir, un incremento de 41.7% en comparación con el mismo periodo del año anterior, de acuerdo con un estudio realizado por The Competitive Intelligence Unit (The CIU).

Ante este panorama, cada vez más las compañías reconocen el valor que aportan las aplicaciones en el fortalecimiento de sus estrategias de negocio. De ahí que en los últimos años se observe un crecimiento explosivo de aplicaciones de escritorio y, aún más, de apps móviles. Si su empresa aún no está implementando esta tecnología, es posible que su competidor ya lo esté haciendo y le esté restando participación.

El estudio Growing the Digital Business: Spotlight on Mobile Apps realizado por la firma de consultoría Accenture destacó que el 87% de las grandes empresas coincidieron en que las aplicaciones móviles son necesarias para aprovechar plenamente los beneficios de las tecnologías digitales, el 82% consideró que las aplicaciones empresariales internas son parte integral de su organización, y un 85% estimó que las aplicaciones móviles serán la interfaz dominante del futuro.

Este estudio también reveló que el 46% de los encuestados utiliza en la empresa aplicaciones de productividad, el 44% de ventas, servicio al cliente e información y el 43% de gestión u operación. Las aplicaciones de aprendizaje móvil y de colaboración, que representan uno de los beneficios potenciales del Internet de las Cosas en el lugar de trabajo, actualmente es utilizada únicamente por el 35% de los entrevistados, aunque un 38% tiene la intención de adoptarlas en los próximos dos años.

Ante este panorama entregar apps que garanticen una mejor experiencia entre empresa-cliente debe ser única, de lo contrario las compañías que fracasan al entregar una experiencia positiva en una aplicación, arriesgan perder hasta la cuarta parte de su base de clientes, según el análisis global comisionado por CA Technologies denominado Software: el Nuevo campo de batalla por la Lealtad de Marca.

Denyson Machado, vicepresidente de Solution Sales para Security de CA Technologies para América Latina, expresó que al final lo que difiere de una organización a otra es la manera en cómo es su interacción con los usuarios, y ahí está totalmente involucrado el tema de la economía de las aplicaciones.

El directivo destacó que lanzar una aplicación es fácil, pero mantenerla de manera positiva con todos los cambios, las actualizaciones —tanto en los sistemas como en los dispositivos— y las amenazas incipientes que hay en el mercado, exige de cada organización una estrategia muy bien implementada para mantener las aplicaciones siempre disponibles y de la mejor manera posible.

Características de las apps y su impacto
El estudio Software: el Nuevo campo de batalla por la Lealtad de Marca encuestó a 6,770 consumidores y 809 tomadores de decisiones de negocio en 18 países, para descubrir cómo cada grupo pensaba sobre diversas características de las aplicaciones y cómo impactaban en la experiencia del usuario, además de conocer qué tan bien las diferentes industrias entregaban esas características. Los consumidores identificaron tres de las que generan mayor impacto en la experiencia del consumidor:

1. Carga rápida. El 68% de los consumidores encuestados, que dejaron una marca porque los tiempos de descarga eran malos, considerando como aceptable un tiempo de carga de seis o menos segundos —un poco más de la mitad de los encuestados exige un tiempo de carga de menos de tres segundos. El 30% de los mexicanos abandonan una aplicación si ésta no se baja rápidamente, mientras el promedio a nivel global es el 24%.

2. Funcionalidad simple. Más del 70% de los consumidores clasificaron que “realizan tareas con poca dificultad” y casi el 80% de las aplicaciones clasificadas como “fáciles de usar” son los principales impulsores en su decisión de utilizar o comprar una aplicación. Por su parte, el 32% de los mexicanos abandona una aplicación si experimenta poca facilidad de uso, asimismo el 28% lo hace al encontrar dificultades técnicas en el desempeño de la misma cuando en promedio a nivel global es del 24%, respectivamente. Por otro lado, el 30% de los mexicanos dejan de usar una aplicación si experimentan un desempeño pobre de la misma, y el 26% por ciento a nivel global.

3. Garantía de seguridad. Fuera de usuarios que tenían una experiencia regular o mala, el 10% dijeron que dejarían una marca para siempre, debido a problemas de seguridad. En el caso especifico de los mexicanos, el 30% abandona una aplicación si considera que la seguridad de la misma es baja, cuando en resto del mundo la media es del 28%.

Al respecto, Denyson Machado destacó que si una aplicación presenta problemas de determinada índole o de seguridad que pueda impactar la usabilidad del usuario, eso puede afectar en la vida de la organización. “Si la aplicación tiene un desempeño positivo, entonces se percibe a la empresa como moderna, pero si no funciona, el negocio se puede ir abajo”, opinó.

El directivo de CA sugirió que desde la primera concepción de la idea o de la primera reunión sobre el lanzamiento de una aplicación, aspectos como la seguridad y el time to market (tiempo que tarda un producto desde que es concebido hasta que está a la venta) deben ser parte de la estrategia del negocio, y no considerarse posteriormente.

Seguridad aplicativa, tranquilidad para todos
Podemos observar que aspectos como el desempeño y rendimiento son vitales en la economía de las aplicaciones, sin embargo, la seguridad juega un papel relevante debido a que el más mínimo hueco puede ser aprovechado por la ciberdelincuencia y las consecuencias pueden ser difíciles de lamentar para la organización.

Daniel Casados, director general de Blue Coat Systems México, destacó que las organizaciones deben asegurar el estado de salud de sus aplicaciones móviles. “Las empresas deben contar con una plataforma de seguridad sólida ya que las aplicaciones móviles no sólo consumen valioso ancho de banda corporativo, sino pueden exponer a su red y sistemas a los peligros de malware y otras intrusiones aumentando la probabilidad de pérdida de información”.

Según un estudio de IBM/Ponemon, cerca del 40% de las grandes compañías, incluyendo a una significativa cantidad que forma parte del ranking Fortune 500, no está tomando las precauciones necesarias para proteger las aplicaciones móviles que desarrollan para sus clientes. También se encontró que un 33% de las compañías nunca prueba sus aplicaciones.

Durante el desarrollo de las aplicaciones móviles, aspectos como la utilidad para el usuario final está por encima de la seguridad y la privacidad. El 65% de las organizaciones afirmó que la seguridad se ve a menudo comprometida por las demandas del cliente y el 77% mencionó “las prisas por el lanzamiento” como la razón principal por la que las aplicaciones contienen un código vulnerable.

De ahí que la seguridad aplicativa ocupe una posición relevante desde la creación hasta la actualización de una aplicación. “A través de ésta es posible identificar y detectar vulnerabilidades en el código de aplicaciones, cubriendo desde la fase desarrollo hasta la operación en producción, con la finalidad de mitigar riesgos y grandes pérdidas monetarias derivadas de robo de información, fraudes o inversiones adicionales en seguridad, dijo Luis Uribe, director Desarrollo de Nuevos Negocios de Sictel.

Agregó que en los últimos cuatros años el crecimiento de aplicaciones móviles es de un 400%, todo mundo quiere llevar su tecnología a la movilidad. Ese gran porcentaje es el que nos está impulsando a revisar las aplicaciones antes de ponerlas en producción. Mencionó que actualmente el mercado, incluso el gobierno, está yendo de desarrollos propios a tercerizarlos.

Para Héctor Takami, de HP Enterprise Security Products, prácticamente todas las aplicaciones están en peligro porque el principal foco de los centros de desarrollo es la lógica de negocio, “estamos acostumbrados a hacer desarrollos en los cuales no se verifica la vulnerabilidad de los códigos”, dijo.
Takami agregó que “la educación en seguridad no es un común denominador en la gente de desarrollo de código” y se entiende porque son muchas cuestiones técnicas de las cuales deben estar conscientes y están mucho más enfocadas a los casos de negocio desde cómo construir esa solicitud hasta publicarla. Es por ello que “no se identifica que tienes problemas hasta que ocurre un incidente”.

Denyson Machado, de CA, mencionó que los desarrolladores deben seguir las políticas de seguridad definidas por las áreas de seguridad de la corporación. En tanto a los CIO, el directivo sugirió proteger las identidades de los usuarios y las informaciones que acceden a los datos sensibles y confidenciales de una organización, ya que son los puntos más cruciales a proteger.

Ante el gran número de amenazas que surgen a diario, HP en alianza con Sictel liberó hace algunos meses Fortify on Demand (SaaS), un servicio 100% en español y ubicado en el territorio nacional que estimula el crecimiento de la seguridad aplicativa, indicó Héctor Takami, de HP, quien agregó que al ser un software as a service permite al cliente pagar solo por lo que consume y evita que tenga que invertir en rubros como infraestructura, licenciamiento, soporte, mantenimiento y recursos capacitados.

El directivo informó que este servicio permite realizar escaneos de seguridad en aplicaciones para identificar la cantidad y tipo de vulnerabilidades en código, cubriendo todas las fases del ciclo de desarrollo de una aplicación (SDLC). Todo esto, una vez que una institución se ha dado cuenta que ha sido atacada (el promedio mundial es mayor a 200 días).

Con Fortify On Demand se pueden encontrar más de 500 categorías de vulnerabilidades en más de 21 lenguajes de programación, incluyendo los sistemas operativos de dispositivos móviles como IOS, Android y Windows 8.

Por último, Luis Uribe, de Sictel, recordó a las organizaciones verificar cada una de las etapas durante el ciclo de desarrollo de una aplicación, “es importante verificar cada vez que se realice un cambio. Es un cambio de paradigma tanto para las empresas como para las áreas de desarrollo, pero es vital en el fortalecimiento de la seguridad de las aplicaciones”.

-Mireya Cortés, CIO México

Leer más...



La administración de contraseñas se convierte en un dolor de cabeza

Categorías relacionadas:

En una escala de 1 a 10, los encuestados en una encuesta global de Ponemon Institute han dicho que el riesgo y los costos asociados con la  administración de claves o certificados era de siete o más, y han citado la falta de claridad en la propiedad de las claves como la razón principal.

“Hay un conocimiento creciente de que los beneficios en seguridad del cifrado provienen de las claves”, comentó Richard Moulds, vicepresidente de estrategia de producto de Thales e-Security, patrocinador del informe. “Los algoritmos de cifrado de datos son los mismos, lo que los hace seguros son la claves”.

Pero cuando las organizaciones utilizan más el cifrado, terminan con más claves, y más variedad de claves.

“En algunas compañías se pueden tener millones de claves”, afirmó. “Y cada día se generan más claves, que tienen que ser administradas y controladas. Si los chicos malos consiguen acceder a las claves, consiguen acceder a los datos. Y si las claves se pierden, perdemos el acceso a los datos”.

Otros factores que contribuyen al problema, son sistemas fragmentados y aislados, falta de personal formado y herramientas de administración inadecuadas. Y ahora los problemas son mayores que antes. “La proporción de gente que califica el problema percibido como mayor es más alta que el año pasado”, considera Moulds.

Una razón de que el problema crece podría ser que el cifrado se está volviendo más ubicuo, según Moulds, adoptado por sectores y compañías nuevas con los retos de la gestión de claves y certificados.

Según la encuesta, que está ahora en su décimo año, la proporción de compañías sin estrategia de cifrado ha decrecido del 38% en 2005 al 15% en la actualidad. Mientras, el porcentaje de compañías con una estrategia de cifrado aplicada de forma consistente en toda la empresa ha crecido del 15% al 36%.

El mayor crecimiento el año pasado estuvo en salud y distribución comercial, dos sectores afectados por problemas de seguridad que se han hecho públicos. En el sector sanitario y farmacéutico, el porcentaje de compañías con una utilización extensiva del cifrado ha pasado del 31 al 40 por ciento, y en la distribución minorista del 21 al 26 por ciento.

No obstante, por primera vez en la historia de la encuesta, la proporción del presupuesto de TI dedicado al cifrado ha caído. Entre 2005 y 2013, subió de forma consistente del 9,7 al 18,2 por ciento, pero cayó al 15,7% en el informe de este año.

El mayor impulsor del cifrado es la regulación y conformidad, con el 64% de los encuestados afirmando que utilizaban el cifrado por los requerimientos y regulaciones de seguridad de datos o privacidad.

Evitar la difusión pública después de sufrir un ataque y violación de datos fue citado como factor importante por un 9% de los encuestados.

La residencia de datos, por la que algunos países permiten que los datos protegidos salgan del país sólo si están cifrados, no aparece siquiera en la lista. “No aparece en la lista de motivaciones tanto como se podría pensar” dijo Moulds. “Pero la residencia de datos es un factor creciente, y creo que va a ser un factor decisivo en el futuro”.

– Maria Korolov, CSO (US)

 

Leer más...