Jorge Villar ([email protected]) Gerente de Ingeniería, Symantec México Junio 10, 2008
Seguridad de la Información:
Agenda
¿Quién es Symantec?
1
1
El Sector Asegurador en México y Por Qué Llama
la Atención de los Atacantes
2
2
Panorama Actual de la Seguridad en Internet
3
3
¿Cómo evitar pérdidas de información?
4
¿Quién es Symantec?
• Fundada en 1982
• Presencia en 40 países con más de
17,500 empleados
• 4ta. mayor compañía independiente de software en el mundo
• Forma parte de la lista FORTUNE 500 en
el lugar 461
• Apoya al 99% de las empresas en la
lista de FORTUNE 1000
• Más de 50 millones de consumidores
activos
• + de 400 patentes registradas
• 15% inversión anual en investigación y desarrollo
Symantec Corporate Overview 5
Los consumidores viven un
cambio digital
Las empresas tienen nuevas
maneras de conectarse
Generalidades del Mundo Conectado
Symantec Corporate Overview 6
Los consumidores enfrentan una
gran variedad de amenazas
Las empresas necesitan
administrar los riesgos de TI y
enfrentar la complejidad de TI
Generalidades del Mundo Conectado
El papel de Symantec es ASEGURAR,
ADMINISTRAR Y RECUPERAR
La Infraestructura La Información Las Interacciones
El Sector Asegurador
en México
Sector Asegurador en México
•
Los seguros ofrecen un servicio valioso a la economía:
– Permiten la transferencia de riesgos
– Son elementos estabilizadores
•
Sector con rápido crecimiento a nivel local
– Crecimiento = Mayor número de asegurados y mayores volúmenes en el manejo de información
•
Mayor cultura de prevención entre la población y mayor
oferta
•
Se estima que para 2015 el sector de seguros en México
crecerá 177% y pasará de una participación de 1.8% del PIB
a 5% (AMIS)
¿Por qué el Sector Asegurador puede
ser de interés para los atacantes?
•
Los atacantes y ladrones cibernéticos han cambiado sus
intereses, ahora el blanco son los usuarios y buscan robarles
información valiosa que después venden en el mercado
negro
•
Sector con tendencia a la digitalización (fotografías, portales,
sistemas de registro, etc.)
•
Las aseguradoras manejan información confidencial
de los
clientes (imágenes, bancos de datos, imágenes de siniestros,
información personal de los asegurados, etc.)
– De acuerdo con la Federación Interamericana de Empresas de
Seguros, un tercio de los directivos ven la pérdida de información como la mayor amenaza para sus negocios, por ello se deben tomar medidas para prevenir la pérdida de datos y/o información
Panorama de la
Seguridad en Internet
ISTR 13, Mayo 200812
Symantec™ Global Intelligence Network
> 7,000 Dispositivos Administrados (Seguridad) + 120 Millones de Sistemas en el Mundo + 2 Millones ‘Probe Network’ + Red Avanzada de Cuentas Señuelo Reading, England Alexandria, VA Sydney, Australia Mountain View, CA Culver City, CA Calgary, Canada San Francisco, CA Dublin, Ireland Pune, India Taipei, Taiwan Tokyo, Japan
4 Symantec SOC’s 80 países monitoreados por Symantec Más de 40,000 sensores registrados en más de 180 países 11 Symantec Security Response Centers Austin, TX Chengdu, China Chennai, India
Panorama General de Amenazas
13 • La Web se está convirtiendo rápidamente en punto de distribución
para los códigos maliciosos y para los ataques
• La actividad maliciosa se dirige a los usuarios finales, más que a los equipos
• Consolidación y maduración del mercado negro (economía subterránea)
– Producción especializada y aprovisionamiento
– Outsourcing
– Precios variables
– Modelos de negocio flexibles
• Rápida adaptación de los atacantes y de la actividad de los ataques
14
Tendencias de los ataques
-Actividad maliciosa – América Latina
• En América Latina, Brasil fue el principal país con más actividad
maliciosa en América Latina y el noveno a nivel mundial. Estuvo
Origen de los ataques hacia América
Latina
16
Fugas de información por Sector
• El sector educativo cuenta con la mayoría de las fugas de datos, con 24% • 57% de las fugas de datos se debieron a pérdidas o robos, mientras que las políticas sobre inseguridad
representaron el 21% de las fugas.
17
Causas de las Fugas de información
• Las pérdidas y robos siguen siendo la causa principal de la pérdida de
datos dentro de todas las fugas de datos e identidades expuestas – lo que puede asociarse al uso de dispositivos personalizados.
Phishing - Tendencias
18
• Los sitios de redes sociales son más usados por los phishers
• 66% de los sitios Web conocidos para phishing se localizaron en
Estados Unidos, le siguen China (14%) y Rumania (5%)
• Los principales objetivos en 5 de los principales 10 países que
albergan sitios para phishing fueron sitios de redes sociales
• Las marcas más usadas en
ataques de phishing corresponden al sector financiero (80%)
Symantec Information Foundation: 19
Spam – Por categoría
•
En el segundo semestre de
2007, el spam relacionado
con productos comerciales
fue la primera categoría
(27%), seguido del spam
relacionado con Internet
(20%)
•
México es el 4to. país que
más spam genera en
América Latina
Symantec Information Foundation: 20
¿Y a dónde va la información?
Mercado Negro - Especialización
• Incremento en el número de nuevas amenazas
• Existencia de organizaciones que emplean programadores y autores
especializados dedicados a la producción de este tipo de códigos maliciosos
+50% en
6 meses
Symantec Information Foundation: 21
Mercado Negro – ¿Qué venden?
• Cuentas bancarias y tarjetas de crédito son lo más vendido.
• Los precios se reducen en ventas de bienes en grandes
cantidades y se observan modelos de negocio flexibles y específicos por entorno
Symantec Information Foundation:
¿Cómo evitar las
pérdidas de
información en el
sector asegurador?
… una realidad costosa
Costos Directos e Indirectos de una Fuga de Información que se Reportó y
se Hizo Pública
• Los costos de remediación pueden variar entre USD$100 – USD$300 por cada expediente y/o récord de cliente perdido
– Notificación al cliente
– Oferta de monitoreo de crédito – Acciones de remediación de TI – Honorarios de auditoría
• Costos indirectos significativos
– Pérdida de reputación de marca y confianza de los clientes
– Demandas, caída en precios de la acción, etc.
*Julio 2007, IT Policy Compliance Group
0 2% 4% 6% 8% 10% 12% 14% 100 1,000 10,000 100,000 Pérdidas de clientes e ingresos esperadas Número de empleados
Symantec Information Foundation:
Panorama de los Riesgos de TI
Amenazas internas y externas
Dejar las cosas malas afuera y las buenas adentro
Desastres naturales y fallas de sistemas
Mantener los sistemas funcionando y asegurar una
rápida recuperación
Políticas de TI y Regulaciones Externas
Asegurar controles adecuados y automatizar la recolección de
evidencias
Desempeño de aplicaciones y TI
Optimizar recursos y asegurar configuraciones correctas
IMPORTANCIA DE LOS RIESGOS DE TI POR CATEGORÍA
MITO 1: Los riesgos de TI son iguales a los
riesgos de seguridad
• Antes: “Riesgo” = “Seguridad”
• Hoy: “Riesgo” = Disponibilidad + Seguridad + Compliance + Desempeño
• Los datos del informe indican que los profesionales de las TI están adoptando un punto de vista más amplio sobre los riesgos de las TI, abarcando mucho más que la simple
seguridad. Hace un año, la seguridad era la principal preocupación
78%
MITO 2: La administración de riesgos
de TI es solo un proyecto
• Hoy, la administración de riesgos de TI debe ser un proceso contínuo
y permanente que se ajuste o adapte a los cambios de la organización y el entorno y no un proyecto aislado
¿CUÁNDO O CADA CUÁNDO ESPERA QUE EN SU ORGANIZACIÓN OCURRA UN INCIDENTE RELACIONADO CON UNA PÉRDIDA IMPORTANTE DE INFORMACIÓN?
MITO 3: La tecnología por sí misma
disminuye los riesgos de TI
¿CUÁNDO HA TENIDO UN INCIDENTE DE TI, CUÁL HA SIDO LA CAUSA PRINCIPAL DEL MISMO?
- Aunque la tecnología es fundamental en la administración de riesgos de
TI, las personas y los procesos (apoyados por la tecnología) determinan la efectividad de la estrategia por lo que deben ser analizados y tomarse en cuenta
MITO 4: La administración de riesgos
de TI es una ciencia
•
Antes = Administración de riesgos de TI como un
conjunto de principios y relaciones aplicables en todas
las industrias y países (receta infalible)
•
La administración de riesgos de TI debe ser un ejercicio
“defensivo” o “pro-activo”
•
Symantec ve la Administración de riesgos de TI como
una disciplina empresarial que evoluciona
constantemente– no como una ciencia
•
Hoy = Conciencia sobre la existencia de diferencias en
los riesgos que cada organización enfrenta y sus activos
más valiosos
Más Vale Prevenir …
Mejores Prácticas – IT & Information Risk
Management
• MEDIR RIESGO E IMPACTO: Antes de tomar acción, hay que medir la probabilidad de cada riesgo, lo que ayudará a detectar carencias e
identificar prioridades. Symantec a través de INFORM puede ayudarle en esta actividad y soluciones como Backup Exec y Enterprise Vault pueden ayudarle a reducir ciertos riesgos.
http://www.symantec.com/business/theme.jsp?themeid=inform
• CREAR UNA CULTURA DE RIESGOS: A través de la Administración de Riesgos de TI se debe crear una cultura dentro de la empresa que cubra los objetivos de negocio, los riesgos de TI, los costos de mitigación y sus
relaciones.
• EDUCAR AL PERSONAL: Es importante capacitar al personal y valorarlo. En un estudio separado, IDC y Symantec encontraron que entrenar al
equipo y sus habilidades tienen un fuerte impacto en el desempeño de TI.
• TIEMPO AL TIEMPO: Se debe de hacer una planeación adecuada y tomarse el tiempo necesario para implementar un programa de
Administración de Riesgos de TI. La experiencia de Symantec señala que puede tomar de 3 a 5 años para que la Administración de Riesgos de TI sea completamente efectiva.
Gracias
Jorge Villar, Symantec México
www.symantec.com/la
www.symantec.com/la/informe
Copyright © 2008 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
