ataque digital

Cuál es el costo de un ataque digital a mi empresa  

FORBES- 25 de Febrero de 2016

Se necesita empezar a incorporar una cultura de seguridad desde la punta de la pirámide hasta la base. Es imperante poder desarrollar una dinámica donde se pueda conjugar las necesidades del negocio con prácticas seguras.

  

El año pasado estuvo marcado por ataques informáticos a grandes cadenas de consumo masivo, de entretenimiento, energía y hasta proveedores de seguridad. A nivel nacional, 2015 cerró con un ataque a la cadena Liverpool que según se estima, le pudo costar más de 100 millones de pesos y sin contar el daño ocasionado por el robo de la información de sus clientes.

En Estados Unidos, el caso que más repercusión tuvo fue el hackeo a Sony en 2014, el cual fue catalogado como uno de los más “destructivos” de la historia y tuvo un costo, solamente para reparar el  daño hecho, de 15 millones de dólares. A esta lista se agregan empresas como JP Morgan, Target, Home Depot, Neiman Marcus, Dropbox y la tienda de aplicaciones de Apple, entre otras.

En lo que refiere a los ataques a los proveedores de seguridad, encontramos casos en empresas como BitDefender, Kaspersky Lab y The Hacking Team, este último causó una gran repercusión debido a que los atacantes publicaron la lista de sus clientes, que incluían diferentes gobiernos en diferentes países. Aunque no se descarta que el resto de los fabricantes estén bajo un ataque continúo.

Debemos recordar que vivimos en la sociedad del conocimiento, donde el valor diferencial de las organizaciones radica en las ideas y en la información, que en la mayoría de los casos, viven en entornos digitales.

Este escenario plantea dos formas en los cuales una empresa puede ser atacadas: externa, ya sea por un ataque informático, con sus múltiples metodologías, incluida lo que se conoce como ingeniería social; e interna, por medio del enemigo interno. Este personaje es una persona que por diferentes motivaciones como pueden ser monetarias, rencor o espionaje, entre las principales, roba información sensible de la empresa; como pueden ser cartera de clientes, base de datos o hasta información confidencial.

Independientemente si esté dejando o no la organización. En este punto juega un rol fundamental las políticas de permisos y escalabilidad que tiene cada empleado de una compañía.

Sin embargo, en cualquiera de las dos situaciones el problema básico es el exceso de confianza por parte de la dirección. Lo que significa que no se han tomado las medidas necesarias de seguridad para cuidar el activo más valioso que tienen las empresas, sus datos sensibles. Aunque tampoco debe perderse de vista la pérdida monetaria, según Symantec, en México el año pasado se perdieron cerca de 101.4 mil millones de pesos debido al cibercrimen. Lo que quiere decir los directores deben involucrarse también en las políticas y estrategias de seguridad corporativa, al mismo tiempo que profesionalizan el área.

Se debe tener presente que la seguridad de una empresa es una de las principales causas del despido o renuncia de los CEO. Basta ver cómo evolucionaron los casos mencionados tanto en México o Estados Unidos. Por esta razón la dirección necesita empezar a incorporar una cultura de seguridad desde la punta de la pirámide hasta la base. Es imperante poder desarrollar una dinámica donde se pueda conjugar las necesidades del negocio con prácticas seguras.

Estamos hablando que se debe desarrollar un Security Dev Ops, es decir, un conjunto de técnicas que buscan reducir la cantidad de errores para tener una protección proactiva. “Los enfoques de Security DevOps permiten que los responsables de Desarrollo, Operaciones y Seguridad, tengan un ámbito común de trabajo para acelerar de forma segura los entregables de tecnología que permitan ganar agilidad al negocio sin resignar sustentabilidad”, señala Marcelo Lozano, Consultor de Seguridad y Analista. Al mismo tiempo que se elimina la brecha comunicacional entre la dirección y el responsable de la seguridad de la empresa (CISO por su siglas en inglés).

Debido a esta brecha de comunicación es que se están dejando puertas abiertas al enemigo interno o externo de la organización. Según las estadísticas de Kaspersky Lab de 2015, el riesgo de infección para los dispositivos de los usuarios por medio de Internet es de (24.3%) y el tipo de características más comunes encontradas en el malware son: Web Inject (Inyecta código malicioso en páginas auténticas localmente en el equipo del usuario, lo que permite el robo de información y la automatización de transacciones fraudulentas) con el 45% de los casos; Capture Screenshot (Hace capturas de pantalla de los equipos de los usuarios) que representa el 21% de la muestra; Form Grabbing (Roba las credenciales de los usuarios antes de que sean enviados al sitio del banco), 18% y URL Spoofing (Se usa en ataques de phishing) con el 16%.

Se debe comprender que “seguridad digital” no es solamente contar con un antivirus de calidad, es decir, que no sea gratuito. Se necesita contar con la infraestructura necesaria, desde un servidor hasta un endpoint, como una laptop o un Smartphone diseñado para garantizar la seguridad y privacidad. Como también contar con un sistema de doble identificación para garantizar la identidad de quien accede a la información o al dispositivo. Estamos hablando de un conjunto de aplicaciones, buenas prácticas e infraestructura que construyan una seguridad robusta.

La industria del engaño

Aquí es donde entra en juego la ingeniería social. Esta metodología consiste en desarrollar un ataque mediante el cual el usuario acceda al código malicioso por su propia voluntad. Ya sea por un correo electrónico con una liga maliciosa, la duplicación de una página para robar registros, entre otras tantas formas de engaño. Esto con el objetivo de entrar al sistema corporativo para empezar a escalar en los permisos hasta llegar a la información deseada. De esta forma se genera una puerta de entrada por la cual los cibercriminales y hackers pueden sustraer lo que quieran.

Por estas razones es que la dirección debe comprender que si bien puede tener una infraestructura robusta, nunca será lo suficientemente segura, si cuenta con un empleado sin educar en cuanto a la seguridad digital, tiene un talón de Aquiles. Aquí es donde las compañías, sobre todo las pequeñas y medianas empresas, deben empezar a trabajar por un lado en la educación de sus colaboradores y por el otro en adquirir la tecnología y especialistas adecuados para profesionalizar el área.

En la actualidad los criminales tienen la ventaja del factor sorpresa, la cual aprovechan para quebrar la seguridad corporativa. Por esto es necesario que el ejecutivo de seguridad forme parte de la dirección de una empresa para; por un lado desarrollar programas de educación continua de los empleados y, por el otro, desarrolle herramientas de análisis de patrones de comportamiento para detectar cualquier conducta fuera de lo normal.

Se debe tener presente, que según cifras de la compañía Silent Circle, el 75% de los negocios hoy son ejecutados desde dispositivos móviles, el 66% de las empresas permiten a sus empleados utilizar sus dispositivos móviles personales para efectos laborales, como el BYOD y el 78% de responsables de TI dentro de las organizaciones afirman que los empleados no siguen las políticas de sistemas de las compañías.

“Estos números son relevantes para entender en nivel de impacto ya que muchas de nuestras empresas en México no estarán en condiciones de asumir un costo de ésta naturaleza lo que nos lleva a trabajar en conjunto y poder tener una estrategia integral que minimice el impacto”, destaca Federico Polakoff, Director General de Silent Circle para Latinoamérica.

“La estrategia eficaz de seguridad debe involucrar personas, procesos y tecnología. El líder de seguridad tiene que desarrollar relaciones y entender las áreas de negocios, sus objetivos y cómo las informaciones son producidas y circulan entre departamentos, clientes y proveedores. Todo eso para tener visibilidad, traer mejores prácticas y permitir un ambiente íntegro y seguro para los datos, operaciones y usuarios”, agrega Vladimir Amarante, Director Latin America Technical Sales & Services de Symantec.

Por lo tanto, la seguridad debe ser parte de la dirección para empezar a involucrarse en la estrategia de seguridad de su organización y el negocio. En muchos casos los cibercriminales acceden a información sensible por medio de los empleados y escalan sus privilegios hasta tomar el control del sistema. Es necesario dejar de estar a merced de los ataques informáticos y robos para dejar de ser parte de las estadísticas y focalizarse en lo que importa, el negocio.