Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

@vusecurity Informe Seguridad de la Información Latam 2015

1,019 views

Published on

Bienvenido al informe sobre Seguridad de la Información en América Latina, una herramienta anual brindada por la compañía VU, que persigue el objetivo de concientizar y poner a disposición datos estadísticos en el campo de la seguridad, constituyendo de esta forma una “llave en mano” esencial para la toma de decisiones en el campo de la ciberseguridad de cualquier corporación.

Este informe se llevó a cabo durante el primer semestre de 2015, y los datos que se recabaron fueron gracias al desarrollo de una encuesta auto administrada, elaborada por VU. Cabe destacar que quienes colaboraron con datos e información fueron clientes y prospects de la compañía, a los largo de toda Latinoamérica.

Los datos estadísticos y de tendencias fueron validados en su totalidad por los expertos que conforman VU Labs, laboratorio de investigaciones de seguridad de la compañía. Agradecemos a las más de 300 organizaciones de toda América Latina que contribuyeron a este informe con datos únicos, actuando como brújula para el mercado actual y brindando las herramientas para establecer las perspectivas de lo que se viene.

VU es una compañía especialista en el desarrollo de software de Ciberseguridad, con foco en la prevención del fraude y el robo de identidad. Todas sus soluciones son destinadas al ámbito corporativo, usuario final y organismos gubernamentales y se basan en la evaluación del comportamiento de los usuarios con el fin de proteger contra ataques dirigidos, pharming, phishing, man in the middle, vishing y botnets. La compañía tiene como misión mantener la autenticidad, confidencialidad, integridad y disponibilidad antes, durante y luego de realizar una transacción crítica. VU es la única empresa de la región alineada a las buenas prácticas en materia de autenticación internacional, miembro de FIDO Alliance, OATh y OIC.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

@vusecurity Informe Seguridad de la Información Latam 2015

  1. 1. Rounded Chart 76% 25% 50% Rounded Chart 76% 77% 40% 64% 2015 2014 2013 Informe sobre seguridad de la información Contáctese con nosotros. Nos interesa su opinión. corporate@vusecurity.com @vusecurity VU Security
  2. 2. Bienvenido al informe sobre Seguridad de la Información en América Latina, una herramienta anual brindada por la compañía VU, que persigue el objetivo de concientizar y poner a disposición datos estadísticos en el campo de la seguridad, constituyendo de esta forma una “llave en mano” esencial para la toma de decisiones en el campo de la ciberseguridad de cualquier corporación. Este informe se llevó a cabo durante el primer semestre de 2015, y los datos que se recabaron fueron gracias al desarrollo de una encuesta auto administrada, elaborada por VU. Cabe destacar que quienes colaboraron con datos e información fueron clientes y prospects de la compañía, a los largo de toda Latinoamérica. Los datos estadísticos y de tendencias fueron validados en su totalidad por los expertos que conforman VU Labs, laboratorio de investigaciones de seguridad de la compañía. Agradecemos a las más de 300 organizaciones de toda América Latina que contribuyeron a este informe con datos únicos, actuando como brújula para el mercado actual y brindando las herramientas para establecer las perspectivas de lo que se viene. VU es una compañía especialista en el desarrollo de software de Ciberseguridad, con foco en la prevención del fraude y el robo de identidad. Todas sus soluciones son destinadas al ámbito corporativo, usuario final y organismos gubernamentales y se basan en la evaluación del comportamiento de los usuarios con el fin de proteger contra ataques dirigidos, pharming, phishing, man in the middle, vishing y botnets. La compañía tiene como misión mantener la autenticidad, confidencialidad, integridad y disponibilidad antes, durante y luego de realizar una transacción crítica. VU es la única empresa de la región alineada a las buenas prácticas en materia de autenticación internacional, miembro de FIDO Alliance, OATh y OIC. Informe sobre seguridad de la información Sebastian Stranieri CEO & Fundador de VU 2 INTRODUCCIÓN
  3. 3. ARGENTINA ARGENTINA VENEZUELA CHILE BOLIVIA PERÚ NICARAGUA ECUADOR COSTA RICA EL SALVADOR MEXICO COLOMBIA PANAMÁ REPÚBLICA DOMINICANA URUGUAY HONDURAS GUATEMALA PAÍSES REPRESENTADOS EN EL INFORME Informe sobre seguridad de la información 3
  4. 4. Informe sobre seguridad de la información 4 El relevamiento se llevó a cabo a través de una encuesta auto-administrada, que fue respondida por más de 300 organizaciones de toda América Latina. Las preguntas fueron abiertas, invitando al desarrollo de sus respuestas por parte del público participante (mayores de edad, similar porcentaje de público femenino y masculino). En muchas oportunidades, los referentes encuestados han considerado los mismos ítems a la hora de responder algunas de las preguntas de mayor desarrollo. Desde ya, todas las respuestas fueron contabilizadas y tenidas en consideración. La totalidad de la encuesta fue desarrollada, administrada y analizada por VU, utilizando bases de contactos propias que incluían clientes y futuros prospectos de toda la región. El sondeo tiene un margen de error de -/+5 % y un nivel de seguridad del 95 %. METODOLOGÍA DE LA INVESTIGACIÓN
  5. 5. Informe sobre seguridad de la información 5 (*) Se debe tener en consideración que en muchos casos los encuestados optaron por no incluir el rubro/nombre de la compañía. INDUSTRIAS REPRESENTADAS EN EL INFORME (*) 8,3% 8,7% 4,3% 2,0% 1,7% 1,3% 1,3% 1,3% 1,3% 1,3% Telecomunicaciones Gobierno Banca Educación Salud Construcción Telefonía Alimenticia Consultoría Energética Petróleo Turismo Transporte Textil Automotriz Portuaria Medios Aeronáutica Cosmética 1,0% 0,7% 0,7% 0,7% 0,7% 0,7% 0,7% 0,7% 0,3%
  6. 6. El primer ítem que formó parte del relevamiento se centra en las problemáticas más comunes en materia de seguridad informática dentro de las organizaciones. Cabe aclarar que como problemática se entiende a toda preocupación que gira en torno a la ciberseguridad, desde delitos hasta carencia de conocimiento del personal. A continuación se detallan en un cuadro las problemáticas más destacadas, con su porcentaje de participación de acuerdo a la audiencia encuestada. Luego, el gráfico que representa dichas respuestas, con su posterior análisis por país. ANÁLISIS DE RESULTADOS Fuga de información/Acceso no autorizado a servidores Incumplimiento/ausencia de procedimientos de seguridad Ataques internos y externos / Ataques Ddos Falta de concientización/capacitación a público interno de empresa Virus, malware, spyware, seguridad perimetral Fraude/ Suplantación de identidades/ Ingeniería social Dispositivos USB infectados Spam Deficiencia de claves y contraseñas Escasa inversión en seguridad e investigación Hackeo de IP pública/privada Phishing, SQL Infraestructura / seguridad perimetral Personal poco calificado para combatir amenazas Carencia de encriptación de datos Falta de compromiso con gobierno corporativo y cultura organizacional Herramientas Open Source no actualizadas A B C D E F G H I J K L M N O P Q Informe sobre seguridad de la información 6
  7. 7. Informe sobre seguridad de la información 7 PROBLEMAS COMUNES DE SEGURIDAD INFORMATICA - NIVEL CORPORATIVO La fuga de información es una de las razones por las que las empresas pierden más capital, reputación y prestigio. De forma externa, lo que motiva la fuga de datos es el reconocido malware, los ataques vía e-mail y el phishing. Todos tienen el objetivo de extraer información crítica para la empresa - estratégica y confidencial - lo que genera un gran deterioro a la confianza de los clientes. De modo interno, generalmente son causados por descuidos y/o escaso conocimiento. Los aspectos destacados luego se centraron en falta de concientización/ capacitación a público interno de la empresa (9%) seguido por la proliferación de virus, malware, spyware y carencia de seguridad perimetral (7,9%). Los mencionados fueron los 4 puntos con mayor porcentaje, respecto al primer item analizado. Todos los mencionados problemas tienen solución si se toman medidas de seguridad orientadas a la educación del personal, a aumentar las barreras de seguridad y a controlar el acceso a datos desde dispositivos móviles. A B C D E F G H I J K L M N O P Q 17,4% 11,8% 9,6% 9,0% 7,99% 6,7% 6,7% 0,6%1,1% 1,1% 6,2% 5,6% 2,2% 3,9% 3,4% 3,4% 3,4%
  8. 8. Las organizaciones de Argentina, por su parte, resaltaron la escasa inversión en seguridad informática, deficiencia de claves y contraseñas, fuga de información, presencia de virus/malware/etc y el incumplimiento de procedimientos como los principales tópicos a considerar dentro de las problemáticas más comunes. Mientras que Bolivia destacó fuga de información, virus/spam, suplantación de identidades, phishing y el empleo de dispositivos USB infectados. Colombia señaló como problemáticas principales el hackeo de IP pública y deficiencia de usuarios y contraseñas. Referentes de Costa Rica sumaron a dichas situaciones ingeniería social, phishing y falta de capacitación a público interno como preocupaciones más destacadas. En situación similar se encuentra Ecuador, Guatemala, Honduras, Nicaragua, Panamá, Perú, República Dominicana y Venezuela. Informe sobre seguridad de la información 8
  9. 9. A continuación se evaluó si los encuestados estaban de acuerdo o no con subir toda la información a la nube. Desde VU entendemos que es un gran dilema para muchos la seguridad, confianza y respaldo de la nube. La red proporciona infinitas posibilidades, pero no está libre de ataques. Todos los sistemas pueden ser vulnerados, si no se cuenta con barreras de protección adecuadas. Ante esta consulta, muchos referentes del sector no sienten la seguridad necesaria para cargar datos o información confidencial de las compañías en la nube (almacenamiento remoto), ya que temen ataques, pérdida de información o colapsos a pesar de que ofrece un buen rendimiento de costos comparado con depender de servidores tradicionales. Al respecto, a continuación se presenta un gráfico con los principales resultados sobre el tema. Informe sobre seguridad de la información 9 No estoy de acuerdo con subir la información a la nube Estoy de acuerdo con subir la información a la nube Estoy parcialmente de acuerdo12,1% 38,7% 49,2%
  10. 10. A través del gráfico, se puede comprender que de las 300 organizaciones referentes que participaron en el relevamiento, 38,7% de ellas está de acuerdo con subir información a la nube por considerarla una alternativa confiable, práctica, segura, con buenas garantías, accesible y que asegura la reducción de costos; mientras que 49,2% de los encuestados no están de acuerdo por temer a las vulnerabilidades existentes y sienten que la nube es permeable a los ataques, y sólo 12,1% están parcialmente de acuerdo, lo que indica que prefieren no subir información confidencial y sí utilizar el almacenamiento remoto con información que no sea estratégica. Dentro de quienes integran la serie que sí confía en la nube, se encuentran principalmente referentes de Argentina, Bolivia, Nicaragua, Perú, Venezuela y Ecuador, en menos medida. El grupo que no está de acuerdo, proviene de países como Guatemala, Honduras, Costa Rica, Ecuador, Honduras, Perú, Nicaragua, Venezuela, Argentina, Panamá y en menor medida República Dominicana, Bolivia y El Salvador. La parcialidad se concentró entre Ecuador, Perú y Guatemala principalmente. Informe sobre seguridad de la información 10
  11. 11. El siguiente aspecto que se consideró dentro del relevamiento es qué delitos informáticos se destacan como más frecuentes, dentro de la múltiple variedad que se hacen manifiestos en la actualidad. Para desarrollar la presente investigación, partimos de la base de considerar “delito informático” a toda actividad antijurídica que se desarrolla a través de vías informáticas. La Organización de Naciones Unidas (ONU) reconoce tres tipos de delitos informáticos, que abarcaremos en este informe: 1. Fraudes cometidos mediante manipulación de computadoras/ordenadores 2. Manipulación de datos 3. Daños o modificaciones de programas o datos A continuación se presenta una tabla de referencia y los resultados del relevamiento sobre esta temática. Como se podrá observar, muchas de los delitos coinciden con algunos de los ítems destacados como problemáticas de seguridad informática, de la primera opción analizada. Informe sobre seguridad de la información 11
  12. 12. Informe sobre seguridad de la información 12 A B C D E F G H I J K L M N O P Robo de información con/sin dispositivos Phishing / Pharming Suplantación de identidad Hackeo de cuenta Fraude / amenazas Clonación de tarjeta de crédito / datos Acesso no autorizado a servidores y equipos Denegación de servicios Malware / SQL Ataque DDoS Virus Ingeniería social Cryptolocker Stuxnet Celebgat Heartbleede
  13. 13. Entre los países de la región que resaltaron el robo de información con o sin dispositivos como uno de los delitos más frecuentes se destacan - por orden de cantidad de menciones - Perú, Ecuador, Argentina, Bolivia y Honduras. Respecto a phishing/pharming, los países que hicieron mayor hincapié en esta opción fueron Perú, Ecuador, Argentina y Venezuela. Costa Rica y República Dominicana en menor medida. En relación a suplantación de identidad, se posiciona primero Perú, seguido por Venezuela y Ecuador; hackeo de cuentas destacan a Ecuador y Perú; fraude/amenazas a Argentina, Ecuador y Honduras; clonación de tarjetas por Ecuador, Guatemala y Venezuela, acceso no autorizado a servidores y equipos pro Ecuador y Bolivia, entre los principales aspectos a destacar. Informe sobre seguridad de la información 13 6,5% 28,8% 17,6% 12,4% 7,1% 10,7% 5,3% 2,9% 2,4% 1,8% 1,8% 1,2% 0,6% 0,6% 0,6% 0,6% A B C D E F G H I J K L M N O P DELITOS INFORMÁTICOS MÁS FRECUENTES EN AMÉRICA LATINA
  14. 14. El presente informe busca no dejar de lado la problemática legal que abarca la seguridad informática en la región, es por ello que se indagó respecto a qué considera cada referente encuestado que los gobiernos de turno deberían hacer respecto a esta rama delictiva que en algunos casos se encuentra levemente regulada. Ante esta consulta, exactamente la mitad de quienes participaron del relevamiento (50%) indicaron que es tarea de los gobiernos tanto legislar como sancionar la materia para controlar la industria delictiva. A continuación se pueden observar las respuestas obtenidas y su referencia. A B C D E F G H I J K L Legislar y sancionar Formar un equipo de seguridad capacitado concientizar a nivel nacional y corporativo Invertir en investigación y desarrollo Capacitar a funcionarios Mejorar la calidad de los equipos Generar centro de servicios informáticos de coordinación Ajustar normativas Estandarizar procesos de seguridad Implementar sistema de gestión de seguridad Ocuparse de la seguridad informática Controlar accesos Informe sobre seguridad de la información 14
  15. 15. Informe sobre seguridad de la información 15 ¿EXISTE UN VACÍO LEGAL SOBRE SEGURIDAD INFORMÁTICA EN SU PAÍS? Entre los principales motivos a los que se atribuye en vacío legal en los casos que destacaron su presencia, se destaca el escaso nivel cultural de la región, falta de información y retraso tecnológico. Desconoce No existe un vacio legal. Hay normativas adecuadas Existe un vacío legal sobre seguridad de información 90,3% 5,6% 4%
  16. 16. Informe sobre seguridad de la información 16 LAS ESTADÍSTICAS DE USA, ¿SON REPRESENTATIVAS PARA LA REGIÓN ? Seguido a ello se consultó si se considera que las estadísticas extraídas de Estados Unidos (respecto a ataques, market share, tipo de uso de tecnología) son representativas a nivel América Latina. Ante ello, más de la mitad de los encuestados (51,6%) indicó que considera que no lo son a nivel regional, fundamentalmente porque representan otra realidad y los países de América Latina no poseen la misma infraestructura que Estados Unidos. El detalle se puede observar en el gráfico a continuación. Las estadísticas de USA son representativas de LATAM Desconoce el tema Parcialmente lo son Las estadísticas de USA no son representativas a nivel regional 0,08% 35,5% 12,1% 51,6%
  17. 17. Se sondeó entre los participantes encuestados de la región, en qué periodo de tiempo consideran que se implementará la biometría en América Latina, de forma masiva. En este sentido, con autenticación biométrica, referimos a la verificación de identidad a través de huellas dactilares, retina, iris, rostro, mano – como características estáticas. También se puede aplicar a través de características dinámicas, que se vinculan al comportamiento del ser humano. La mayor cantidad de respuestas se concentró en 2 a 5 años, como periodo de implementación (40,3%). El periodo siguiente seleccionado fue dentro de 5 a 10 años (33,1%). Cabe destacar que 4% considera que actualmente ya se implementa, y 2,4% indica que considera que la autenticación biométrica nunca se implementará de forma masiva. Informe sobre seguridad de la información 17 40,3% 33,1% 11,3% 8,1% 4,0% 2,4% 0,8% A B C D E F G Dentro de 2 a 5 años Dentro de 5 a 10 años Desconoce Dentro de 15 a 25 años A: B: C: D: E: F: G: Actualmente ya se implementa No considera que la biometría se implemente de forma masiva Dentro de 10 a 15 años
  18. 18. Informe sobre seguridad de la información 18 A medida que evoluciona la forma de hacer negocios, la infraestructura de seguridad debe cambiar para favorecer el desarrollo y el éxito consecuente. Como se explicó anteriormente, los ataques de los llamados “hackers” tienen el potencial de destruir un negocio, conllevando la pérdida de clientes y la consecuente desvalorización de la cotización en los mercados de valores. Es a partir de esta premisa que a lo largo de la investigación también se recabó información respecto a qué implicancias tiene la ciberseguridad en la forma de hacer negocios. Al respecto, estos fueron los resultados. A B C D E F G H I Negocios y transacciones online más ágiles, seguras y confiables Negocios más especializados, responsables y amplios Protección de datos y aumento de demanda Mayor compromiso y conciencia con clientes y servicios Aumenta el costo de los negocios Incrementa la inversión en recursos y capacitación Mayor conocimientos sobre controles y limitaciones Optimiza el manejo del tiempo y reduce riesgos No afecta el negocio
  19. 19. Informe sobre seguridad de la información 19 Como se puede observar en el gráfico previo, 43,7% de los referentes de organi- zaciones latinoamericanas encuestados indicaron que ocupándose de la ciberseguri- dad, los negocios y las transacciones online se tornaron más ágiles, seguras y confi- ables. Esta situación se podría traducir en un aumento de la demanda por parte de los clientes y por ende el fortalecimiento de la relación con los mismos. A continuación, 17,2% indicó que los negocios se hacen cada vez más especializados, responsables y amplios, ya que el mercado se expande para alcanzar y cubrir todas las necesidades posibles. En la misma línea, 10,3% indicó que la ciberseguridad beneficia la protección de datos y aumenta la demanda; 8% afirma que genera mayor compromiso y conciencia con clientes y servicios; 6,9% expresó que aumenta el costo de los negocios debido a que se añade un gasto más en el presupuesto; 5,7% destacó que incrementa la inversión en recursos y capacitación, 3,4% se refirió a que incrementa el conocimiento sobre controles y limitaciones y optimiza el manejo del tiempo; y finalmente 1% indicó que atender la ciberseguridad no afecta de ninguna manera el negocio. 43,7% 17,2% 10,3% 8,0% 6,9% 5,7% 3,4% 3,4% 1,1% A B C D E F G H I
  20. 20. Para finalizar, se consultó qué canales se popularizarán en los próximos años, y es en este punto donde se puso de manifiesto la especial preponderancia del Cloud Computing (15,3%) – almacenamiento en la nube. Cloud Computing Dispositivos y aplicaciones móviles IoT Redes sociales Canales electrónicos Venta/transacciones online Video Conferencia/Audio Controles biométricos Telefonía Robótica, Big Data, IVP6 Comandos de voz VPN Encriptamiento Servicios a medida del comportamiento del usuario Interconexión digital de elementos cotidianos Evolución tecnológica de drones Sistemas operativos multiplataforma Masificación de sistemas operativos de auto Tarjetas con chip, tarjetas de proximidad A B C D E F G H I J K L M N O P Q R S Informe sobre seguridad de la información 20
  21. 21. Informe sobre seguridad de la información 21 Entendiendo a la ciberseguridad como un conjunto de acciones preventivas que buscan asegurar el uso y acceso de las redes propias, durante el corriente año se vienen manifestando una serie de desafíos a afrontar tanto por parte de las compañías como de los estados, para poder contar con un “ciber entorno” más seguro. De acuerdo a nuestro centro de investigación VU Labs, por un lado, es esperable la masificación de los ataques personalizados automatizados y un nuevo aumento de la velocidad de los mismos. Con las redes sociales facilitando información a través de perfiles públicos, los atacantes ya están empezando a realizar ataques más específicos; antiguamente eran sectorizados y tenían como objetivo a un sector de la población (clientes de un producto, consumidores de un producto o manuales en algunos casos particulares, donde el atacante en persona se dedicaba a intentar estafar a un individuo en particular). Transversalmente, la autenticación de doble factor se mantendrá a la vanguardia. CONCLUSIONES Y RECOMENDACIONES
  22. 22. Analizando las tendencias por sectores, en lo que respecta a banca y finanzas, es notable que como los avances tecnológicos continúan progresando, los bancos e instituciones financieras se esfuerzan por ofrecer flexibilidad a sus clientes. En este contexto, la telefonía móvil es una herramienta esencial y cada vez se maneja más información a través de ella, por lo cual la seguridad es un aspecto vital a tener en cuenta para brindar un servicio eficiente cuando de finanzas se trata. Uno de los problemas de muchas entidades bancarias es la actualización tecnológica, ya que aún existen bancos con tarjetas de coordenadas o con acceso sin segundo factor. Sin embargo, cabe resaltar que no todos los bancos están en esa situación: hay implementaciones de token para celulares en Sudamérica que datan del 2008. Otro punto es que muchas entidades bancarias latinoamericanas no analizan los patrones de comportamiento de los usuarios, y no proveen una interface fácil, dinámica y segura para la interacción con ellos; muchas de las aplicaciones para dispositivos móviles todavía están 4 o 5 años atrasadas en el paradigma de uso, convirtiéndolas en una herramienta difícil o molesta a la hora de utilizarlas. Al limitar la interacción con el usuario por problemas de usabilidad, se hace evidente una mayor dificultad para validar la identidad y poder obtener información adicional para chequear transacciones sospechosas. Los sistemas educativos – por su parte - ocupan un rol vital en la sociedad, ya que se caracterizan por garantizar que todos los ciudadanos reciban la misma calidad de educación a la vez que funcionan como agentes socializadores. En la actualidad, el sector académico se ha vuelto cada vez más competitivo, y los estudiantes demandan mejor tecnología para acompañar sus procesos de aprendizaje. Dentro del contexto cambiante del sistema educativo que requiere actualizaciones constantes, surge la necesidad de que la gestión del legajo de los alumnos garantice un acceso realmente seguro e inalterable. ¿Qué desencadena esta situación? El avance plantea poco a poco la necesidad de adoptar una estrategia de autenticación robusta que se base en la simple entrega de servicios, la selección y las posibilidades futuras de escalabilidad. Esta será la tendencia que pisa fuerte en el sector y se relaciona estrictamente con la seguridad de la información que se viene. Informe sobre seguridad de la información 22
  23. 23. En lo relativo a gobierno, tanto a nivel municipal, regional o nacional, las entidades gubernamentales deben abordar las necesidades de la población así como también la gestión de sus propios asuntos financieros y administrativos. En este contexto, problemáticas como el robo de identidad, la gestión de pagos y cobros y el manejo de recursos económicos entran en escena y resulta fundamental proteger los sistemas frente a las amenazas cotidianas. La autenticación robusta también pisa fuerte en este sector, y cada vez será más evidente su rol para salvaguardar los datos poblacionales. El sector sanidad no se queda afuera de todo el progreso y está sumergido en el entorno cambiante producto del avance tecnológico. ¿Qué es lo que se viene? Una herramienta infaltable en la práctica clínica de los profesionales de la salud y de todo paciente, es el acceso seguro a su historia clínica que debe ser privado y de uso exclusivo de la relación paciente – médico. Misma situación tiene lugar con la validación de tratamientos autorizados por los profesionales exclusivamente a sus pacientes de acuerdo a su historia clínica y enfermedad. Es fundamental que ambos procesos brinden la seguridad y confidencialidad necesaria por lo que significan para cada individuo, por ello, su acceso es crítico y debe ser seguro y propio de cada paciente. Finalmente, un sector en auge constante: telecomunicaciones. La actualización constante y las nuevas amenazas que surgen día a día respecto a identidad y fraude, dan nacimiento a la necesidad de brindar un acceso seguro a los sistemas mediante VPN y WiFi y al servicio de autogestión del cliente. Otro escenario más para la autenticación de doble factor. A medida que evoluciona la forma de hacer negocios, la infraestructura de seguridad debe cambiar para favorecer el desarrollo y el éxito consecuente. Los individuos malintencionados – popularmente conocidos como “hackers” - tienen el potencial de destruir un negocio, conllevando la pérdida de clientes y la consecuente desvalorización de la cotización en los mercados de valores. En este sentido, las compañías y los estados deben adaptar su infraestructura de seguridad para evitar las brechas en la protección, que serán explotadas por los atacantes. Informe sobre seguridad de la información 23
  24. 24. Una arquitectura de seguridad debe estar fuertemente integrada de forma tal que se puedan ejecutar políticas de seguridad en todos los puntos en pos de contener y detener daños. Hoy las empresas necesitan tanto implementaciones y soluciones en materia de ciberseguridad como planes de recuperación de desastres. Todos los aspectos destacados acompañan el desarrollo de Internet de las cosas (Internet of Things, IoT) que ya lleva quince años desde sus comienzos. A pesar de ello, no es un término usual para el amplio público que usa tecnología en la vida cotidiana. Concretamente, ¿de qué estamos hablando al referirnos a IoT? Es de público conocimiento que en las economías desarrolladas, cada persona utiliza entre 1.000 y 5.000 aparatos de uso cotidiano - como heladeras, secadoras, horno, entre otros – que se conectan en una nube propia, intercambian información entre sí para actuar y se controlan desde un punto común como un teléfono inteligente. En este sentido, IoT no se queda afuera del ámbito que se analiza en este informe ya que el concepto de control de datos tiene diferentes facetas, como la seguridad y la privacidad. Sin embargo, es importante no perder de vista otro concepto que pisa fuerte en el mercado y que pone de manifiesto una mirada más global: Internet de Todo – IoE por sus siglas en inglés “Internet of Everything” - concepto que indica que no hace falta únicamente conectar cosas, sino también personas, procesos y datos. Internet de Todo agrega valor, con el objetivo de conectar para entregar la información adecuada, a la persona o dispositivo correcto, en el momento oportuno, que les permita tomar decisiones de impacto al negocio en tiempo real. Big Data, Cloud y Movilidad forman parte de este gran concepto integrador, con gran impacto en materia de ciberseguridad. Para concluir, la seguridad de hoy tiene que sentirse de forma más natural y fluida, no debe ser un proceso disruptivo o molesto. Uno de los desafíos más importantes es mejorar la seguridad sin empeorar la usabilidad, hasta llegar al punto en que los procesos sean naturales en los usuarios. Informe sobre seguridad de la información 24
  25. 25. Los expertos de VU Labs, laboratorio de investigación y desarrollo de VU Security, concluyen que el mercado sufrirá importantes transformaciones, y que aún resta mucho por desarrollar y transformar en materia de seguridad de la información. Los cambios constantes son característicos tanto en el mercado de IT como de IS debido a las nuevas técnicas de ataque. Ataques de phishing y pharming se vuelven normales y los usuarios de sistemas online no cuentan con las herramientas necesarias para prevenirlos o bien descubrir que fueron víctimas. A raíz de la experiencia y de los datos recabados en el presente informe, se pueden detectar una serie de tendencias que marcan el desarrollo del ecosistema actual: - La integración de tecnologías como Geolocalización y Trazabilidad en Tiempo real potencian modelos como el teletrabajo o la posibilidad de conexiones remotas. Este aspecto presenta el desafío de requerir mayor seguridad y control de datos para corporaciones. - Las empresas acortan los tiempos de implementación en producción inspirados en el incremento de ataques dirigidos. - Se agotan los viejos modelos de utilizar hardware como medio de seguridad. Tokens, llaveros USB e incluso NFC, no brindan la posibilidad de restringir el acceso y brindar una rápida actualización ante una vulnerabilidad o compromiso de la seguridad. El software permite un nivel de control exhaustivo, un alto nivel de actualización y por sobre todo no acarrea los costos de logística, pérdida, recambio y/o deterioro. - La utilización de sistemas de autenticación hacen que cualquier ataque que tenga como objetivo obtener la contraseña del usuario sea en vano. Utilizando más de una red de comunicaciones, los nuevos sistemas de autenticación hacen imposible para un atacante la vinculación de los distintos factores de autenticación. Informe sobre seguridad de la información 25
  26. 26. Respecto al escenario de la seguridad frente a IoT y wearables, estas tecnologías se expanden rápidamente en el mercado. De acuerdo con Gartner el 30% de los dispositivos wearebles de menor tamaño será, en 2017, prácticamente imperceptible por el ojo humano. En contrapartida, estos dispositivos conllevan determinados riesgos dentro de los que se destaca la probabilidad de que los usuarios mal intencionados accedan a la información personal de cada usuario. Generalmente, los diseñadores de este tipo de dispositivos no ponen el foco 100% en la seguridad de la información de dichos productos, dejando un “vacío” que recae sobre los usuarios. El foco está en el análisis del comportamiento del usuario. Cabe resaltar que como cada usuario tiene una huella dactilar, también existe la huella online, y esto ocurre porque el usuario se conecta siempre con la misma computadora o con la misma Tablet – es decir que tiene un comportamiento recurrente, que estudiándolo se puede formar un patrón. Informe sobre seguridad de la información 26
  27. 27. Las soluciones de VU tienen la combinación perfecta en materia de autenticación y prevención de fraude, teniendo en consideración: • IoT • Análisis de Comportamiento • Reputación en Línea & ID • Firma Digital • Tecnología Agent Less • Voz y Reconocimiento Facial La prevención de fraude tanto en línea como en tiempo real representa una necesidad real para las compañías STP (Straight Trough Processing). Ante ello, la tecnología agent less que ofrecen las soluciones de VU les permite diferenciarse y evitar las transacciones fraudulentas, con el valor agregado de integrarse a VU Omnichannel Core. LA VISIÓN DE VU Informe sobre seguridad de la información 27
  28. 28. ÍNDICE GENERAL PAGINA corporate@vusecurity.com @vusecurity VU Security Países representados en el informe Metodología de la investigación Industrias representadas en el informe Análisis de resultados Problemas comunes de seguridad informática - Nivel corporativo Almacenamiento en la nube Delitos informáticos más frecuentes Problemática legal en la región Comparación con estadísticas de USA Implementación de biometría en América Latina Impacto de la ciberseguridad en la forma de hacer negocios Canales que se van a popularizar en los próximos años Conclusiones y recomendaciones 3 4 5 6 7 9 13 14 16 17 18 20 21

×