Entradas
UNA VISION PARTICULAR PARA EL AÑO 2015
SOBRE LA SEGURIDAD EN LOS ACTIVOS DE INFORMACION (baje pdf)
Contenido: El rol del CIO y CISO es más estratégico que nunca en las organizaciones- La nube se aleja de lo seguro?- Cibercrimen & Fraude / Privacidad, Regulación & Compliance - Reputación Corporativa - Brechas en las redes de proveedores - Análisis de Seguridad - Las estrategias de Awareness & Concientización en desarrollo - La seguridad de la información ya es tema de todas las áreas de la organización - Desarrollo de Capacidades en Seguridad de la Información - Impacto de Vulnerabilidades - Impacto de Incidentes de Seguridad - Soluciones de Seguridad.
Claves 2015: CIO+CISO estratégicos – Análisis de Seguridad – BYOD – Reputación – Fraude – Ciberdelincuencia – Normas de Seguridad – Compliance – Awareness – Guerra Fría – Awareness – Autenticación – Cloud – Móviles.
En base al análisis de la información, de origen heterogéneo, informes de análisis públicos, opinión de expertos, de colaboradores y previsiones propias de SIMETRICA para 2015; elaboramos el presente informe con el objetivo de sumar una opinión a lo que podría verse en 2015 en relación a la seguridad en los activos de información, local y globalmente. Consideramos que casi la totalidad del análisis global aplica a las consideraciones locales y regionales.
En Sudamérica, paradójicamente, los activos de información de los gobiernos serán en 2015, los más vulnerables; las entidades financieras serán las más atacadas y se prevé que mejoren su sistema de respuesta ante incidentes. Se ve un desarrollo sostenido en cuanto a normativa y controles de seguridad especialmente en Chile, Argentina y Brasil; adicionalmente se ven un desarrollo incipiente en Perú, Colombia y América central. Se espera para 2015 que la mayoría de ataques provengan de Colombia, Argentina y México. Se considera que mejorará la inversión en capacidades para la seguridad de la información, especialmente en empresas medianas y grandes, rompiendo la tendencia de los últimos años. Se estima que en Sudamérica, más del 60% de las organizaciones son muy vulnerables; especialmente a las tácticas de ingeniería social.
En Argentina crece el interés, desde 2012, por implementar controles de seguridad y adecuarse a normas específicas como una imposición corporativa, pero cada vez más con el objetivo de mejorar la gestión de la seguridad. El análisis de seguridad se ha generalizado en las empresas grandes y medianas considerándose una necesidad periódica, al margen de la disponibilidad de presupuesto y/o recursos para su realización. Se ve un desarrollo sostenido de capacidades para la administracion de la seguridad en dispositivos móviles y en la inversión en soluciones de seguridad en general, para organizaciones grandes. Existe una tendencia clara por mejorar la capacitación del personal especializado; existe un claro déficit de personal especializado. Creemos que en Argentina la tendencia es positiva en general en cuanto a la mejora de las capacidades en seguridad en empresas medianas y grandes, se mantendrá la tendencia en 2015.
El rol del CIO y CISO es más estratégico que nunca en las organizaciones:
En 2015 se verá más que nunca a los directivos consultar a sus responsables de sistemas, tecnología y de seguridad, sobre la forma de soportar sus negocios con las tecnologías más eficaces, eficientes y seguras, esto tiene cada vez más impacto en el retorno de todas las inversiones que hace la organización.
Serán muy escasos los recursos de personal calificado para el manejo estratégico de la tecnología y seguridad en 2015, esta tendencia se acentuó en 2014, se prevé que este será un problema grave en 2016 en todo el mundo.
La nube se aleja de lo seguro?
Dadas las tendencias que se ven a nivel global, en cuanto a incidentes y objetivos, la nube empieza a preocupar seriamente a los responsables de seguridad de los activos de información (ver impacto de vulnerabilidades y de incidentes).
La nube siempre planteo dudas en cuanto a la seguridad pero en 2015 pueden ser especialmente un objetivo global, los grandes volúmenes de datos.
Nuevos e importantes eventos se esperan sobre grandes volúmenes de datos en 2015, 2014 marco records.
Cibercrimen & Fraude / Privacidad, Regulación & Compliance:
Se espera más extorsión y ataques con la estrategia de desacreditar a personas y/u organizaciones; se utilizará al ciber-activismo como carta de presentación para ataques con otros fines reales.
El tema fraude y cibercrimen se instala definitivamente en la agenda de los directivos de las organizaciones en todos los países del mundo; las pérdidas fueron record en 2014 y se esperan acciones desde los gobiernos y desde los privados.
Se cambia definitivamente el concepto, desde “seguridad de la información” al de manejo de riesgos en activos, esto desde la perspectiva de los directivos de las organizaciones.
Se esperan espectaculares novedades (eventos de magnitud, más espectaculares que dañinos) en la guerra fría entre los estados, hay consenso sobre que el caso “norcoreano” es solo la punta del iceberg.
En 2015 se verán demostraciones de fuerza entre las grandes potencias, especialmente ESTE-OESTE.
Se mantiene la tendencia a la cooperación entre los grupos principales de cibercrimen a nivel global.
Muy lamentablemente se verá un crecimiento del abuso de menores en internet, especialmente en Sudamérica y Asia.
Se prevé un nuevo capítulo en la historia de los estados avanzando sobre la privacidad en nombre de la seguridad, sea esto justificado o no.
Las personas seguirán sufriendo ataques a su privacidad en niveles mayores a 2014.
Se prevé que la capacidad de encripción de datos privados será vulnerada por las potencias estatales.
Se mantiene la tendencia de desarrollo mantenido en novedad y sofisticación técnica para las nuevas tácticas de ataque en 2015.
Los incidentes de seguridad, que crecerán en originalidad y cantidad, más los eventos por ciber-activismo van a provocar un incremento en el costo del compliance y los estados y entidades de regulación, van a exigir más capacidades y controles.
Las organizaciones globales van a ser multadas por pérdida de información, por no poder demostrar identidades y/o privacidad y/o propiedad de determinados activos de información; esto va a impactar también en las organizaciones subsidiarias.
Se prevé un aumento de la litigiosidad debida al manejo de activos de información en las organizaciones medianas y grandes en todas las regiones.
Los estados y entidades globales pondrán presión en 2015 como nunca sobre sus exigencias regulatorias.
Se espera un gran impacto sobre muchas organizaciones, la mayoría no comprenden aun, en detalle, la magnitud y profundidad de las exigencias.
Los marcos regulatorios son ya de aplicación práctica en todas las regiones, en 2015 se harán sentir las exigencias especialmente en organizaciones grandes y medianas.
Reputación Corporativa:
En 2015 más que nunca, las organizaciones van a tratar, por todos los medios, de mantener su reputación mostrando que puede proteger sus activos de información, información propia y de terceros o al menos van a tratar de impedir que se evidencie lo contrario.
Será tendencia demostrar a socios y clientes que se cuenta con un perímetro seguro donde sus activos esta fuera de peligro.
Sera tendencia mostrar certificaciones, controles de seguridad, etc.
En 2015 va a verse más activismo, real o no, con fines varios y persiguiendo la reputación de personas, organizaciones y estados-sectores políticos.
La reputación será un objetivo en sí mismo, más que en 2014.
La reputación, sobre la organización, en sus dimensiones, sobre su capacidad para proteger sus activos de información y sobre la reputación de sus nombres propios y marcas on-line.
Brechas en las redes de proveedores:
Dado el progresivo crecimiento de las cadenas de proveedores de las que depende casi cualquier organización, estas crecen en cantidad y manejan cada vez más activos de información de terceros sin disponer de las capacidades y controles adecuados.
Se verán más ataques sobre activos de información bajo el control de proveedores de las organizaciones que son el objetivo real en la mayoría de los casos.
El análisis de riesgos sobre los activos corporativos y el BCP empezará a ser pensado desde esta problemática.
Análisis de Seguridad:
Se prevé un desarrollo importante en el uso de servicios y soluciones para el análisis de seguridad en todas las organizaciones, de todo tipo y tamaño.
Las soluciones seguirán siendo complementarias a los proyectos de análisis de seguridad.
Existe un consenso generalizado en que la metodología para el análisis de seguridad en general no han sido lo suficientemente efectiva; se prevé más presión gubernamental y de privados para que las revisiones de seguridad sean completas y profundas.
Se verán avances metodológicos originales y orientados a la calidad en el desarrollo de los servicios y soluciones para el análisis de seguridad.
Las estrategias de Awareness & Concientización en desarrollo:
Las capacidades de la organización para hacer que las personas que la componen sean claves en las defensa de los activos de información, serán cada vez más importantes.
Estas capacidades se desarrollaran para ser cada vez más efectivas en sintonía con el desarrollo cultural de la organización.
Aumentará el uso de la estrategia de Awareness periódica para los niveles directivas de las organizaciones.
Hay consenso en pensar que las personas en la organización, van a dejar de ser “riesgos” para la seguridad de los activos de información para convertirse en guardianes de la seguridad.
La seguridad de la información ya es tema de todas las áreas de la organización:
Primero fue un tema de sistemas, después de los encargados de la seguridad de los sistemas, a partir de 2010 los niveles directivos se preocuparon; luego quizás en 2013, los CFO’s vieron los riesgos en sus activos; hoy toda la organización considera y tiene como mínimo un conocimiento básico de la problemática de las seguridad en los activos de información., En 2015 esto se instala definitivamente.
Desarrollo de Capacidades en Seguridad de la Información:
En 2014 los presupuestos crecieron más en Europa y USA, la tendencia continuara en 2015.
Se acelera la exigencia de compliance y controles en los países centrales, son cada vez más exigentes, esto desarrolla nuevas capacidades.
En Sudamérica se han recortado capacidades en seguridad en contrario a lo esperado en 2014, se cree que esta tendencia cambiara en 2015.
Habrá interés como nunca antes en tratar de cuantificar de manera efectiva y exacta, los riesgos en los activos de información (risk assessment).
Se espera que los directivos de las organizaciones se preocupen cada vez más por la pérdida de datos, especialmente desde el punto interno de la organización.
En 2015; se avanzara más de lo previsto, en la encripción del tráfico en internet.
Se estableció que a nivel global solo el 38% de las organizaciones tienen capacidades adecuadas para enfrentar los desafíos de 2015.
En Sudamérica solo el 18% de las organizaciones confía en sus capacidades a partir de lo ocurrido en 2014 y años anteriores.
La carencia de especialistas en seguridad e la información, en todas las áreas, se acentuará en 2015 como nunca, se estima que se necesitaran muchos años para cubrir el déficit de personal idóneo y con experiencia.
Se verá un desarrollo en las soluciones de respuesta ente incidentes, a través de distintas herramientas, esto es más acentuado en los países centrales.
Como en 2014 se espera una desarrollo constante sobre capacidades en seguridad para los dispositivos móviles especialmente en organizaciones grandes; MDM-MAM liderando la lista.
Se espera un crecimiento en las capacidades internas de las organizaciones en cuando a políticas y controles para el desarrollo seguro de aplicaciones.
Impacto de Vulnerabilidades:
Se acelera la tendencia en el uso de exploits para impactar código malicioso, se mantendrá esto a pesar lo los esfuerzos de vendors importantes.
La capa de proveedores y terceros a la organización objetivo, crecerá como superficie de ataque conceptual.
Se espera un particular crecimiento en las vulnerabilidades sobre los múltiples y diversos devices (IoT) y la explotación de esto como medio para un objetivo final o ataques masivos a una clase específica.
En 2015 se espera un crecimiento importante la explotación de vulnerabilidades sobre aplicaciones de código abierto, esto puede ser grave.
Se espera un crecimiento, que se mantiene desde hace 5 años en los incidentes con tácticas de ingeniería social.
BYOD y sus derivados es una tendencia que se mantendrá y exigirá a las organizaciones lidiar con los problemas de seguridad, se prevén evidentemente más incidentes desde esta área de ataque.
Se esperan más devices vulnerables en cantidad y variedad, ofreciendo nuevas opciones para ataques intermedios con otros fines como objetivo.
En 2015 se seguirá imponiendo, como desde hace años, el concepto de correr riesgos de seguridad en pos de innovar en soluciones de negocio y de concepto tecnológico
Se seguirá prefiriendo la usabilidad a la seguridad; la comodidad y sofisticación a la seguridad, esto tendrá impacto más que nunca en 2015.
El concepto, aún vigente de “la seguridad en segundo plano” para aplicaciones de negocios, presentará nuevas superficies de ataque en 2015.
En 2015 el uso del concepto “sandboxing” será tendencia sin duda como método valido para la seguridad de las aplicaciones.
Se esperan nuevos descubrimientos de código inseguro en desarrollos viejos, esto hace imprevisible el impacto de algunas sorpresas para 2015.
Existe consenso global sobre que esto se acelerara en los próximos años.
Se ve una tendencia que se desarrolla en 2015 para el ataque sobre sistemas de control industrial, ICS SCADA; tecnológicamente viejos en cuanto a capacidades propias para la seguridad.
Impacto de Incidentes de Seguridad:
En 2014 los incidentes de seguridad crecieron un 34 % interanual a nivel global ymás del 55% de las organizaciones grandes y medianas se preocuparon seriamente por algún incidente de seguridad grave, esta tendencia se mantendrá en 2015.
Se espera que en 2015 se mantenga este crecimiento.
Se espera un crecimiento de los ataques persistentes a las redes sociales.
Se ve un especial crecimiento en los incidentes a medios de pago POS y otros, la industria de retail será un objetivo en 2015.
A nivel global se espera un incremento notable de incidentes sobre productos APPLE ™; especialmente sobre compradores on-line.
Se acelera la cantidad de eventos sobre medios de pago y especialmente sobre aplicaciones móviles.
Los móviles seguirán siendo top en incidentes, primero Android y se espera que el segundo lugar los ocupe IOS en 2015.
El phishing y malware a través de email serán tendencia en 2015 para los móviles.
En Sudamérica más del 60% de las organizaciones cree que los incidentes no se podrán evitar a tiempo y las medidas o controles con lo que cuenta no son suficientemente efectivos.
En 2015 habrá un claro interés por mejorar la capacidad para controlar y anticiparse a los incidentes que marcaron 2014.
En 2015, las organizaciones más grandes y globales son las que tienen mayor impacto económico y financiero a causa de los incidentes de seguridad.
En 2015 será comparativamente menos costoso proteger activos de información en organizaciones medianas.
El foco interno es claro primer lugar en cantidad de incidentes, esta tendencia se mantendrá en 2015.
Se espera un desarrollo importante de los ataques dirigidos a la nube, con la intención de conseguir múltiples objetivos con un solo ataque.
La concentración de volúmenes de datos será un atractivo clave en 2015.
Las pérdidas económicas, a nivel global, nunca fueron tan grandes como en 2014, se espera que se mantenga la tendencia en 2015.
Se mantiene el crecimiento sostenido de incidentes de seguridad sobre dispositivos móviles, en 2015 será una marcada tendencia.
Se estima que el 40% de las organizaciones a nivel global sufrirá algún incidente de seguridad en sus activos sobre dispositivos móviles.
Se verá en 2015, una tendencia a los ataques a los eslabones débiles, sea el objetivo una organización o una persona, como medio para llegar a un objetivo mejor protegido.
El ataque a devices será un complemento para la reunión de medios a ser usados en ataques al objetivo real.
Soluciones de Seguridad:
Se espera una generalización a nivel global en el uso de la encripción de datos, como una medida de seguridad estándar.
Se espera un crecimiento en el uso de soluciones para mantener y demostrar el compliance y para la administracion y correlación de logs.
Las soluciones para la administracion de la seguridad en dispositivos móviles serán un foco de análisis en 2015.
Se verán en 2015 soluciones complementarias a la “password” como complemento para la autenticación, básicamente debido al enorme robo de cuentas de usuario en 2014.
Se van a considerar soluciones que incluyan “multifactor”; uso revisado de certificados y soluciones de IAM.
Va a renovarse dicotomía: usabilidad vs. seguridad.
Se ve alguna tendencia definida en el uso de honeypots como herramienta para la seguridad, especialmente en USA.
En 2015 se verán atractivas opciones de soluciones de seguridad software-as-a-service.
Las soluciones de seguridad en la nube (software-as-a-service) aumentaran su atractivo y serán tendencia a partir de 2015.
