Riesgos Y Tendencias Del Crimen CibernéTico Y Su Impacto En La Republica Dominicana Final

Riesgos y Tendencias del Crimen Cibernético y su Impacto en la República Dominicana
COMPUEXPO ‘09
Jonathan Jaquez
Chief Technical Officer
Mageni | “Seguridad para Innovación”
(809) 846 6724
jejaquez@mageni.net
© 2009 Mageni Networks, Todos los derechos reservados.

Datos del expositor
Jonathan Jaquez es el co fundador de Mageni Networks, una empresa de consultoría en seguridad de sistemas y administración de riesgos en la información. Tiene extensiva experiencia en pruebas de penetración, ethical hacking, asesoría de riesgospara grandes y medianas empresas, y en la entrega de conocimiento competitivo que ayuda a transformar la seguridad en un habilitador del crecimiento e innovación de los negocios.

En esta conferencia descubrirán
Los riesgos que enfrentan los negocios en R.D.
El crecimiento de la industria del crimen cibernético
Las técnicas usadas por los hackers para explotar los riesgos
Demostración de los ataques que realizan los hackers para ganar acceso a los sistemas de información
Los controles y mejores practicas para optimizar los riesgos

¿Que es el crimen cibernético?
El crimen cibernético es el termino usado para enmarcar cualquier actividad ilegal que comprometa la integridad, disponibilidad, predictibilidad, seguridad, confianza y confidencialidad de un recurso tecnológico, propiedad intelectual, datos o información.

La evolución del crimen en una industria
Fuente: RSA Business Success in a Dark Market: An Inside Look at the Fraud Underground
El crimen cibernético se ha convertido en una industria que evoluciona cada dia. Así como los negocios legítimos, estos empresarios del crimen ofrecen productos y servicios por una ganancia, luchan por ganar una ventaja competitiva y cuota en el mercado, y están continuamente innovando para mejorar sus ofertas y satisfacer las necesidades de sus clientes, y son afectados por las leyes de la oferta y demanda.

El crimen cibernético es una industria….
Organizada
Multi-nacional
Muy, muy lucrativa
Riesgo bajo o inexistente
Es vertical y de vertiginoso crecimiento
Muy bajo CAPEX y OPEX
Fácil de operar y sus mercados son sus victimas
Es muy innovadora, no son niños que la conducen, son mentes criminales con un claro objetivo: robarse nuestro dinero

El ecosistema de la industria del crimen
Infraestructura Técnica
Infraestructura Operacional
Herramientas
Fast Flux Hosting
Entrega
Mulas
Victimizar
Monetizar
Comunicación vía foro / chat
Cajero
Negocios Corporativos
Recolector
Soporte Técnico
Mercado
Victima de Hacking

Servicio al “cliente” de los criminales

Reputación
Garantía del producto
Actualizaciones
Soporte
Marketing
Innovadores
CaaS (Crimeware-as-a-Service) / FaaS (Fraud-as-a-Service)
Diversificación

“Nosotros vemos muchas señales que los criminales están imitando las practicas abrazadas por exitosos negocios legítimos para ganar ingresos y hacer crecer sus empresas” Tom Gillis, Vice Presidente y Gerente General, Cisco Security Products

La lucrativa industria del crimen cibernético
“Desde el 2004, el Crimen Organizado ha hecho mas dinero de la venta de datos que por las ventas de drogas”
“El crimen cibernético se
mueve a tan alta velocidad que la policía no
puede atraparlo”
Fuente: The United Nations Office of Drugs and Crimes and the US Treasury’s Office of Technical Assistance
Fuente: Valerie McNiven, US Treasury advisor on cyber crime 2004

Innovación de las amenazas
Los ataques son dirigidos y metódicamente elaborados
Bandas de criminales trabajan arduamente para captar nuevos “mercados”
Las victimas en su mayoría son bancos y medianas empresas
La tasa de los ataques esta acelerándose
Fuente: IBM

Instituciones financieras atacadas por mes
Fuente: RSA Fraud Report Jun’09

Países mas atacados por marcas
Fuente: RSA Fraud Report Jun’09

Costo estimado por incidentes
Riesgo de la Reputación
¿Cual seria el impacto de una brecha de seguridad? Muchas veces es incuantificable y cada cliente se puede convertir en un multiplicador de este efecto.
Riesgo Financiero
Brechas causadas por incumplimiento con PCI DSS pueden recibir multas de hasta 500,000 USD por incidente
$20 - $90 por tarjeta de crédito que pudierahaber sido expuesta
Costo promedio por incidente es de USD $5,000,000
Riesgo Operacional
Visa puede imponer restricciones operacionales como prohibir el manejo de tarjetas o datos de las mismas

Fuente de las brechas de seguridad
Fuente: Verizon Business, 2009 Data Breach Investigations Report

¿Que recursos son blanco de los ataques?

Perdidas por fraudes en línea
% Ingreso perdido por fraude en línea
Ingresos perdidos: USD $4.0 Billones
Fuente: Cybersource

El impacto psicológico de una brecha
En el caso de una brecha….
3 de cada 4 clientes no usaríanun servicio en línea que ya ha sido comprometido
84%de los clientes quieren comprar en lugares que sean lideres en la seguridad
Fuente: Visa

El blanco pocas veces descubre la brecha
Como fue detectada la brecha
Un tercero la detecto a causa de un FRAUDE (55%)
Un tercero la detecto NO por FRAUDE (15%)
Descubierta por un empleado (13%)
Desempeño inusual del sistema (11%)
Como ocurren las brechas
67% fueron por errores (Desarrollo, configuración, insensibilidad de la situación, etc.)
64% resultaron por actividades de hacking
38% uso malware
22% abuso de los privilegios
9% fue por ataques físicos
La sensibilidad situacional es la percepción de los riesgos de su negocio, ambiente y dependencias dentro de un volumen de tiempo y marco regulatorio, la comprensión de su significado, y la proyección de su situación en un futuro próximo que le permitirá ser consciente de lo que está sucediendo a su alrededor para comprender como la información, eventos, riesgos, amenazas, vulnerabilidades y sus propias acciones afectaran sus metas y objetivos estratégicos, tanto ahora como en el futuro próximo.

Factores que incrementan el riesgo
Nuevas/Antiguas tecnologías (hardware & software) y aplicaciones
Nuevos servicios y productos
Éxito / Globalización
Poca seguridad / Poca cultura de seguridad
Desconocimiento de la sensibilidad situacional
Marco legal débil: La Ley 53-07 es un paso en la dirección correcta, pero le falta adecuarse a la realidad del crimen internacional, el código procesal penal no es el aliado perfecto para las autoridades que persiguen crímenes cibernéticos.
Escasos profesionales de seguridad experimentados
El CIDAT (Comisión Interinstitucional para el Combate de los Delitos de Alta Tecnología) necesita de un CERT (ComputerEmergency Response Team)

La constante evolución de las amenazas
De buscar fama a buscar dinero
Crecimiento de los negocios
El riesgo es proporcional al crecimiento
Crecimiento acelerado de servicios y redes IP
Acelera exponencialmente el riesgo
Rápido crecimiento de la data
La data es la nueva moneda (12 dólares por un dump*)
Los costos de seguridad crecen 3x en relación al presupuesto
Impedimento para ejecutar los planes completamente
Regulaciones y estándares como PCI DSS y CobiT
Dirigen las inversiones de seguridad

La tormenta perfecta
* Dump es el termino undergound para data de tarjetas de crédito/debito, incluyendo números de cuenta

¿Cuanto vale para un hacker las tarjetas?
Aproximadamente 12 dólares por el “dump” de una tarjeta
Pero los precios pueden variar
50 USD por una Visa/Mastercard Corporativa*
100~160 USD por una Visa/Mastercard Platino**
* Fuente: http://www.wired.com/threatlevel/2009/10/florida_skimming/
** Fuente: Búsqueda en Google por “CreditCardDumpPricing”

Tendencias en la explotación de riesgos
Numero de Vulnerabilidades
Fuente: SANS, The Top Cyber Security Risks ‘09

9 de cada 10 paginas web
tienen una seria
vulnerabilidad
Fuente: WhiteHat Security
“75% de los ataques son a las aplicaciones“ (Gartner)
Demostraciones …

Anatomía del cross-site scripting (XSS)Como los hackers pueden ganar acceso a una red interna desde Internet
6
1
2
3
4
5
A traves de un canal encriptado (HTTPS) para mitigar ser detectado el intruso extrae la data de la empresa,
El atacante pone malware en un sitio de confianza
Un empleado es infectado por el malware y recibe un troyano
El hacker obtiene el password de administrador de la PC
Usando el password de administrador gana acceso a una PC segura
El hacker usa otra cuenta con privilegios de administrador para ganar acceso al controlador del dominio
DNS
WWW
Internet
Controlador de Dominio
Servidor con Secretos
Red Corporativa
Hacker
Windows con Cliente
Sin Parcho de Seguridad
Windows con
Parchos de Seguridad
Fuente: SANS, The Top Cyber Security Risks ‘09

Para mitigar el cross-site scripting
Organizaciones
Implemente la modelación de amenazas
Valide todas las entrada de datos a las aplicaciones
Implemente listas negras que filtren los caracteres: < # > ‘ “
Audite anualmente el código de sus aplicaciones
Los programadores deben educarse en programación segura
Realice pruebas de penetración después de cada actualización
Aplique políticas de seguridad web robustas
Usuarios/Clientes
Instale la extensión de firefoxNoScript
Actualice Internet Explorer a la versión 8 que mitiga el cross-site scripting

Phishing
El estafador se hace
pasar por una entidad
confiable en una
aparente comunicación
oficial.

Phishing dirigido para instalar malware
Correo enviado de una aparente dirección valida.
Inmediatamente entra al sitio del phisher se le pide instalar una actualización de Flash
Link dirigiendo a un sitio que parece legitimo.
Fuente: Cisco 2008, Annual Security Report

Como mitigar el riesgo del Phishing
Personas
Antes de responder, pregunta: ¿Quien te envió el correo? ¿Porque? ¿Para que es útil la información que te piden?
Ningún banco pide información de sus usuarios por Internet
No entres a ninguna dirección que te envíe un correo de SPAM
Organizaciones
Implemente programas de educación Anti Fraude/Phishing para sus clientes, esto le ayudara a elevar la confianza en sus servicios.
“an ounce of prevention is worth a pound of cure” – Benjamin Franklin

Un troyano instalado por Phishing
Unavezlas credenciales son robadas, la ventana del troyano desaparece, entregando al hacker las credenciales validas.
La ventana maliciosa es puesta sobre la ventana legitima sin interaccion del usuario.
Caballo de troya activado al momento de la victima visitar el banco.
29

Para mitigar los troyanos
Clientes/Usuarios
No instale programas sin validar el origen de los mismos
No use programas pirateados aka “cracks”
Borre los correos de Phishing
Mantenga una lista de direcciones confiables, no confíe en todo correo, pueden tener malware que se ejecuta al leer el mismo.
No visiten un Internet Banking desde Cybercafes
Organizaciones
Eduque a sus clientes y empleados en materia de seguridad
Realice pruebas de penetración comprensivas

Operación: GetRichor Die Tryin’
Catalogada por el FBI como la brecha de seguridad mas grande que ha ocurrido en la historia de los Estados Unidos.

Operación: GetRichor Die Tryin’
VictimasTécnicas
(1) Inyección de Comandos SQL
(2) Sniffers
(3) WarDriving
(4) Recursos Compartidos (Password Débiles)
(5) Malware
(6) Anti-Forenses
(7) Backdoors
(8) Ingeniería Social
Impacto
+130 millones de tarjetas de crédito comprometidas
TJ Maxx perdió al menos USD $200 millones
HeartlandPaymentSystems ha perdido USD $32 millones

Anatomía de los ataques de Inyección SQLReconstrucción de Operación “GetRichor Die Tryin’”
1
2
3
4
El hacker inyecta comandos SQL a la BD a través de una aplicación
Extrae la base de datos
Gana privilegios de SA e Instala malware (troyanos y sniffers)
Escala privilegios en la red local
WWW
BDB
Internet
Red Corporativa
WWW
BDA
Hacker

Como mitigar el riesgo la inyección SQL
Implemente la modelación de amenazas
Valide todas las entrada de datos a las aplicaciones
Deshabilite los storedprocedures peligrosos
No use las cuentas de administradores para una aplicación
Realice pruebas de penetración después de cada actualización
Los programadores deben educarse en programación segura
Implemente un plan de respuestas a incidentes
No confie100% en los firewalls/IPS, estas tecnologías no pueden combatir estos ataques

Impacto económico de “Getrichor die Tryin”
TJ Maxxperdió$200 millones de dólares
HeartlandPaymentSystemsperdió $32 millones de dólares
Las otras empresas afectadas no han divulgado datos….
¿Cuanto dinero hacen los hackers con 130 millones de tarjetas?
Cada tarjeta vale USD $12 dólares mínimo en el mercado de los hackers
130,000,000 x 12 = USD $1,560,000,000
En pesos dominicanos: RD$ 56,160,000,000
No debe haber dudas porque el crimen cibernético hace mas dinero que la droga.

El ataque directo a un Banco no es inaudito
Varios hackers penetraron en el 2005 a las oficinas de SMBC en el Reino Unido como conserjes, en complicidad con el personal de seguridad e instalaron keyloggers a los empleados de Mesa de Ayuda obteniendo los password de usuarios con acceso al SWIFT (SocietyforWorldwideInterbankFinancialTelecommunication) y transfirieron £220m (casi un cuarto de billón de dólares)
Fuente: Zdnet17 Mar 2005
“70% de las instituciones financieras sufrieron fraudes internos causado por empleados en los últimos 12 meses” (Darksecurity, 10.05.09)

Las instituciones militares también sufren
Redes espías desde china descargaron terabytes de datos del proyecto F-35 que cuesta aproximadamente 300 billones de dólares.
Fuente: switched.com y Wall Street Journal

Call centers fraudulentos

Un caso de call center fraudulento en RD
?????? se acerca a técnicos de informática de varias empresas dominicanas, los soborna con RD$ 100,000~150,000 para que le den acceso los fines de semanas a sus redes con el fin de usar ilícitamente las IP-PBX (PrivateBranch Exchange) para traficar llamadas a destinos como Haití y Cuba.
Varias empresas han caído en este esquema y han sufrido perdidas millonarias en fraudes de llamadas.
Aunque este criminal ha sido identificado por las autoridades, evade la ley 53-07 abusando de las debilidades en la misma y en el código procesal penal. Es hora de actualizar las leyes dominicanas acorde a la realidad del crimen cibernético.

Otras actividades del crimen cibernético
El salario semanal de una mula es 100,000 pesos dominicanos

Todos son un blanco
HACKEADOS

LuckySploit y URLZone: Malware de Ultima Generación Análisis de un ataque real a los clientes de un banco europeo entre agosto y septiembre del 2009.

¿Que es LuckySploit?
Una herramienta de explotación de vulnerabilidades en los navegadores Internet Explorer, MozillaFirefox y Opera para ganar acceso a las computadoras evadiendo los controles de seguridad.
Algunas características de LuckySploit
Aplicando la encriptación y ofuscación evade los sistemas de antivirus: Un firewall e IPS no es defensa contra LuckySploit
Para ganar acceso no autorizado explota vulnerabilidades en: Adobe FLASH y PDF, Microsoft Internet Explorer, Firefox y Opera
Es implantado en website legítimos a través de vulnerabilidades de inyección de comandos SQL (SQLi), Cross-site Scripting (XSS) entre otras.
Fuente: http://www.finjan.com/MCRCblog.aspx?EntryId=2213

¿Que es URLZone?
Es un bot (troyano) bancario que es implantado en las PC’s comprometidas por LuckySploit o por otro Crimeware.
Algunas características de URLZone
Registra las credenciales y cuentas bancarias
Toma screnshoots del Internet Banking cuando es accedido por la victima
Roba dinero de las cuentas bancarias de las victimas
Aplica el análisis del comportamientopara evadir los sistemas anti-fraude implementados en los bancos
Modifica el balance de las cuentas usando DOM (DocumentObjectModel) para evitar que la victima se de cuenta que le están robando
Registra las actividades de otras cuentas (Facebook, Gmail, Paypal)

Anatomía de la infección de URLZone
Internet
PAGINA WEB
C&C SERVER
MI BANCO FAVORITO
Hacker
Windows con Navegador Parcheado

Dentro de la interfaz C&C del troyano
Fuente: Finjan 2009 SeptCyberintel

Para evitar la detección del robo
Los criminales se aseguran que el balance de la victima sea positivo
Que el monto robado no sea muy alto
Establecen un monto al azar para cada transacción
Se aseguran que el balance que reste sea positivo

Screenshot del E-Banking de la victima
09:39:04 2009-08-24 GMT FJFAFJP1HAWOHNCAIN
NAME=POST1
USERHOST=postbank.de
USERACC=[REMOVED]
USERPASS=[REMOVED]
BALANS=2027.69
INET_LIMIT=15000.00 (Limite de la victima)
DISPO_LIMIT=7000.00
MAXBETRAG=
BLZ=60050101
TRUEAMOUNT=53,94 (Balance falso)
AMOUNT=8576,31 (Cantidad robada)
%DROP_BLZ%=|LBBW/BW-BANK STUTTGART| (Banco de la mula)
%DROPNAME%=|xxxxxx| (Mula)
%KONTONUMMER%=|1000000001|
%BLZ%=|60010070|
%C1%=|RefNum 123456|
%C2%=|RefNum 123456|
%C3%=|RefNum 123456|
%C4%=|RefNum 123456|
COMMENT: Tigr
EXINF=
DATE: 24.08.2009
VERSN: iexplore.exe 6.0.2900.2180 (Versión de IE)
IP: XX.XX.XX.XX
Balance falso, en verdad el hacker robo mas de 8,000 euros.

Tasa de detección de URLZone x los AV’s
1
2
3
4
5
Solo 5 de 41 antivirus detectan a URLZone: Sencillamente alarmante

Un análisis económico de este caso
Desde el 11 hasta el 26 de agosto del 2009 esta banda hizo un total de 193,606 euros (RD$ 10,280,478) es decir: 12,000 euros por día (RD$ 637,200)
Desde agosto 30 hasta el 1 de septiembre, ellos robaron 42,527 euros (RD$ 2,258,183). Ósea: 21,000 euros por día. (RD$ 1,115,100)
En un total de 22 días hicieron 300,000 euros (RD$ 15,930,000)
El troyano aun permanece activo….
A ese ritmo: En un año esta banda de criminales podría hacer cerca de 5 millones de euros (RD$ 265,500,000)
No debe haber dudas de porque el crimen cibernético hace mas dinero que la droga y es de mucho menor riesgo. Países como Ucrania han dado inmunidad diplomática a criminales de este tipo y en Rusia muchos son muy protegidos.

Complicaciones legales de URLZone
Realiza todas sus operaciones desde el ordenador de la victima, y no desde una localidad remota. Esto implica que tanto para el banco como para un juez, el único que ha realizado transacciones es la victima.
URLZone cuando es detectado, activa un mecanismo de defensa para proteger la identidad de la mula, enviando dinero a cientos de cuentas de clientes legítimos que no son mulas. Muchas personas sin ser mulas podrían ser acusadas de lavado de dinero.

Medidas para mitigar el riesgo
Usuarios/Clientes
No descarguen cracks, casi todos (o todos) son troyanos
Google Chrome® tiene medidas de seguridad para mitigar este riesgo (Un sanbox)
No visiten paginas de dudosa reputación
Revise su balance desde otra computadora si nota algo anormal
Mantengan actualizados sus softwares (PDF, Flash, Office, Zip, WMP, etc)
No ejecuten programas que les sean enviados para solucionar virus
Organizaciones
Es muy difícil detectar estos casos y mas aun detenerlos, es mejor prevenir que curar. Una educación proactiva a sus clientes y empleados puede darle mas resultados que invertir en costosas tecnologías que no mitigaran este riesgo. Despues de todo, el facto humano siempre es el mas débil en la seguridad.

¿Y mis defensas? ¿Qué pueden hacer para mitigar estos riesgos? ¿Cómo la evaden los hackers?

Teoría Económica: Mercado de Vehículos
El comprador no discierne entre en un vehículo usado y uno nuevo, así que esta dispuesto a pagar por el usado como nuevo y viceversa. Esto no crea incentivos para R&D, lo que reduce la calidad de los productos de seguridad. Los resultados: los precios descienden hasta el nivel de productos poco útiles.
Los suplidores de seguridad son parecidos al mercado de vehículos
Los productos seguros son indiscernibles de los inseguros desde el punto de vista del comprador ya que el vendedor no dice las vulnerabilidades de sus productos. Muchos atacantes abusan de debilidades en los productos que están supuestos a defender las redes (Cisco 2008 Security AnnualReport)

El hacking es una ciencia muy lucrativa
El radar y ventana de efectividad de los IPS/IDS es limitado y pueden ser vencidos.
Los antivirus poseen debilidades que posibilitan la evasión de los mismos. Ejemplo de ello es que solo 5/41 antivirus detectan hasta la fecha al troyano URLZone
Es posible burlar los mecanismos de defensa de los firewalls por el uso de debilidades del protocolo TCP/IP.
Hacking no es teórico, es practico y metódico: Muchos hackers son jóvenes muy talentosos que son “contratados” (o forzados por la mafia) en las universidades y otros lugares para ser criminales

Ventana de efectiva de los IPS/IDS y AV’s
1. Estudio basado en
Intrusiones descubiertas!
2. Muchas vulnerabilidades
Pasan ITW (in the wild) años antes de ser descubiertas.
3. Este es el modelo de seguridad de la industria y los atacantes lo han vencido.
4. Parcho no es sinónimo de seguridad.
.
Los IPS/IDS y AV’s son efectivos desde aquí
Intrusiones
1. Descubrimiento
3. Divulgación del Parcho
2. Vulnerabilidad es hecha publica

Una evaluación de riesgos de la Republica Dominicana

Evaluación de riesgos para RD
CULTURA
SQLi
PHISHING
VOIP
REDES SOCIALES
XSS
PCI DSS
TROYANOS BANCARIOS
DDoS
LEY 53-07
CÓDIGO PENAL
SPAM
MiTB
LÓGICA DEL NEGOCIO
VISHING
BOTNETS
EXTORSIONES
INFRAESTRUCTURA
DNS POISONING
CIBERTERRORISMO
PHARMING
VIRUS EN CELULARES
BGP HIJACKING

Tendencias del crimen cibernético en RD
Conforme los bancos implementen autenticación de dos factores se comenzaran a ver mas ataques de MiTB (Man-in-The-Browser)
La sofisticación de los troyanos bancarios aumentaran, la probabilidad que para el 2010 seamos afectados por troyanos como URLZone es alta.
Los ataques a los procesadores de tarjetas de créditos y bancos se incrementaran
Proveedores de servicios de telefonía IP serán blanco de extorsiones por parte de Botmasters
Los ataques dirigidos de SQLi y XSS contra aplicaciones web serán mas frecuentes

Recomendaciones para el Gobierno Dominicano

Recomendaciones para el gobierno (I)
El gobierno puede aprovechar los riesgos actuales en la información para liderar iniciativas en el Caribe y Centroamérica , incentivar el consumo en línea, la investigación y desarrollo, innovar en seguridad e impulsar un plan de uso seguro de las nuevas tecnologías. Las recomendaciones son:
Impulsar un plan de Cyberseguridad en la red
Definir un plan estratégico de seguridad que sea referente y ayude a trabajar de forma continua en los modelos de prevención
Implementar en el ITLA un CERT que también sea laboratorio de certificación que permita elaborar un catalogo de empresas y productos certificados en todo el territorio nacional

Recomendaciones para el gobierno (II)
Crear campanas de concientización del crimen cibernético que ayuden a elevar la confianza en los servicios en línea dominicanos. Esto puede dinamizar la economía en línea de RD
Incentivar a nuestros jóvenes para que aprendan la seguridad de sistemas y no incursionen en el crimen organizado
Impulsar una ley similar a E-Discovery para garantizar la confiabilidad y estandarización de las evidencias electrónicas de los crímenes de alta tecnología
Lanzar un programa de certificación para E-Discovery dirigido a los profesionales de la auditora forense
Actualizar la ley 53-07 y el código procesal penal de forma que sea una efectiva y eficiente herramienta para combatir el crimen

Recomendaciones para el gobierno (III)
Crear un portal de protección a los datos del consumidor, que brinde consejos para la población sobre cómo protegerse de las amenazas cibernéticas y que notifique de brechas de seguridad, proveyendo las recomendaciones para mitigar el impacto de las mismas.
Aplicar por ley la transparencia en las brechas de seguridad que sufren las empresas dominicanas así como ha ocurrido en Estados Unidos
Implementar un plan de administración de riesgos en la información y los proyectos de tecnología

Recomendaciones a las empresas para optimizar el riesgo
Las empresas que en los próximos años implementen una inteligente administración de riesgos y apliquen la ecuación riesgo-recompensa sacaran provecho de sus riesgos y crearan una ventaja competitiva de los mismos.

Necesidad de un ERM
Objetivos y Metas
del Negocio
OBSTÁCULOS/RIESGOS
Procesos y Actividades del Negocio
ENTERPRISE RISK MANAGEMENT
Identifica, analiza, responde y monitorea los obstáculos que pueden impedir a los procesos y actividades del negocio el lograr sus objetivos y metas .

¿Por qué un ERM?
Optimizara sus riesgos: Hoy en día es imposible mitigar al 0% todos los riesgos, las empresas riesgo-inteligentes se han movido de mitigar sus riesgos a optimizarlos para aprovecharlos como ventaja competitiva
Agregara valor al negocio
Transformara la seguridad de un inhibidor en un acelerador de la innovación y del crecimiento de su negocio
Manejara efectivamente eventos futuros que podrían crear incertidumbre
Reducirá sorpresas operacionales y perdidas por incidentes
Le ayudara a tomar decisiones mejor informado

Otras recomendaciones…
Eduque sus usuarios y clientes en materia de seguridad. El 84% de los clientes quieren comprar y usar servicios de empresas lideres en seguridad
Realice pruebas de penetración a un sistema después de cada actualización y a su organización de forma anual
Cumplir con PCI DSS es un paso en la dirección correcta pero no es la solución a los riesgos. Muchas empresas sufren brechas cumpliendo con PCI DSS.
Implemente un plan de respuestas a incidentes alineado con su BCP
Alinee su GRC: Eliminara programas redundantes, reducirá gastos y mitigara sus riesgos

Jonathan Jaquez
Chief Technical Officer
Mageni Networks
http://www.mageni.net
Email: jejaquez@mageni.net
Móvil: 809.846.6724
Para conocer mas como proteger y acelerar el crecimiento de su negocio
Visítenos en: http://www.mageni.net