lunes, 6 de febrero de 2017

Seguridad de la información

¿Cómo es la situación de las empresas chilenas en torno a la seguridad de la información?






La situación no es muy distinta a lo que está ocurriendo a nivel global. Las organizaciones se dieron cuenta de que están operando en un entorno cada más vez digital e integrado. Un entorno que deja más expuestas a las compañías y, por ende, incorpora mayores amenazas y vulnerabilidades. Hoy vemos que las denominadas tecnologías emergentes ya están presentes en casi todas las organizaciones. El uso de dispositivos móviles inteligentes, la fuerza que tienen las redes sociales y cómo pueden afectar la reputación de una organización, el concepto de la nube y cómo las organizaciones pierden de algún modo el control de la custodia de esa información. Todos esos conceptos han incrementado los riesgos de ciberseguridad en las empresas, tanto en Chile como en el mundo en general.
                         
¿Qué les falta a las compañías nacionales para avanzar en este tema?

En general, cualquier organización debe entender que cuando hablamos de ciberseguridad, estamos hablando de que el mundo digital está en todos los frentes y que es extremadamente dinámico y evolutivo. Por lo tanto, la clave es que las organizaciones pueden llegar al nivel máximo de madurez donde sean capaces de anticipar los incidentes de seguridad. Para eso, deben conocer muy bien cuáles son sus activos más críticos y aplicar una auténtica inteligencia defensiva.

En la encuesta, el 88% de los entrevistados estima que su función de seguridad de la información no cumple plenamente las necesidades de su organización. ¿A qué adjudica esto?

la mayoría de las organizaciones van por detrás de lo que está ocurriendo en el entorno. Los cambios tecnológicos avanzan muy rápido y nuevas vulnerabilidades aparecen día a día. El estado de vigilancia debe ser constante y en algún momento incluso las organizaciones sienten una especie de fatiga y se preguntan “¿Hasta cuándo durará este estado de alerta?”. Es por eso que la clave es diferenciarse de otras compañías y llegar a un nivel de madurez que permita anticipase de manera inteligente y predictiva a los distintos ataques que pueden sufrir.

Un 69% dice que debería tener un presupuesto mayor para proteger los datos de su compañía. ¿En Chile ocurre lo mismo? ¿Esta cifra debería cambiar tanto a nivel internacional como local?

Sí, ocurre lo mismo y se debe a lo complejo de este nuevo mundo digital donde operan las compañías. No obstante, como consejo para un Responsable de Seguridad de la Información es que el presupuesto debe ser eficiente. No podremos proteger nunca todos los activos de una organización o empresa. Es clave conocer cuál es la información crítica de la entidad y en función de eso, aplicar las medidas de seguridad que se requieran. 

¿Pero porqué es tan importante el Riesgo Reputacional para las compañías?

Definamos primero el Riesgo Reputacional.

Reputacional se define como:

“la posibilidad de pérdida en que incurre una compañía por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.”

Debemos comprender que la reputación es difícil de construir, pero es más importante, mantenerla. La percepción pública es un activo frágil que las empresas deben cultivar todo el tiempo.
Si revisamos a través de los últimos años, los fraudes contables y corporativos han generado grandes problemas relacionados con el riesgo reputacional que han llevado a la quiebra o incluso a su desaparición a firmas tan importantes como: Enron, Andersen, Merck, Ahold, Vivendi, Xerox, Parmalat, Worldcom, JP Morgan, Citigroup, HSBC Holdings Plc, Petrobras, FIFA, etc.

Según Cano y Castro, en el libro Escándalos, Fraudes Contables y Corporativos, Bogotá, 2003, “la reputación es el activo más valioso de todas las empresas pero es el más fácil de destruir por la percepción pública”.

“La pérdida de confianza pública, generada por los manejos fraudulentos de directivos y administradores ubicados en la cúpula de las organizaciones de clase mundial hace que el tema del Riesgo Reputacional tome gran importancia. La transparencia en los
mercados promueve una competencia saludable y los líderes empresariales con altos estándares éticos también promueven la lealtad y el compromiso de los empleados.”

Cuando se presentan casos de riesgo reputacional, las organizaciones tienen varias opciones: Las compañías pueden restar importancia a la crisis, quizás aumentando la publicidad para incrementar la confianza del consumidor o definiendo la situación como un acto criminal aislado o actuar ética, oportuna y proactivamente, yendo más allá de lo realmente necesario para fortalecer la seguridad y confianza del inversionista, del consumidor o del público en general.

Riesgos de Ciberseguridad:

cada vez son más relevantes debido al creciente uso por parte de los clientes, de canales distintos a los de la oficina tradicional, como por ejemplo internet o los dispositivos móviles. La aprobación el pasado 13 de marzo de 2014 de la propuesta de Directiva NIS supone el primer intento serio de la Union Europea para hacer frente al reto de la ciberseguridad. Su aprobación, prevista para finales de 2014 o principios de 2015, supondrá una serie de obligaciones muy relevantes, tanto para los Estados miembros como para los principales agentes económicos. El objetivo de dicha Directiva es obligar a los Estados miembros a estar más preparados en cuanto a la garantía de seguridad de sus redes y de la información contenida en estas.

En España, la aprobación de la nueva Estrategia de Seguridad Nacional y la Estrategia de Ciberseguridad Nacional en el año 2013 han supuesto un avance en este ámbito de la seguridad en el ciberespacio, dentro de un entorno global. Este riesgo incrementa también por la importante gestión de información de las entidades necesaria para el conocimiento real de sus clientes y del mercado, de su operativa, tendencias, conductas, necesidades, etc. para adaptar su oferta de productos y servicios, pero que puede convertir en mucho más relevante cualquier fallo o debilidad en la seguridad de la información por el volumen de información que puede verse afectada y su nivel de criticidad, tanto para las entidades como para los clientes.

Muchas personas se preguntan ¿Por qué es tan importante el uso del certificado SSL y cuál es su verdadera función con respecto a las páginas? Este certificado se trata de una capa de conexión segura. El SSL tiene varios beneficios tanto para los dueños de páginas web, así como también para los clientes, quienes estarán protegidos de los fines maliciosos de la red.

El certificado SSL es recomendado para cuando se realizan transacciones financieras y al guardar información personal privada que podría ser robada o filtrada causando daños financieros o personales. Éste es sólo una especie de prueba de identificación que reúne el grupo de dominio con el nombre de host o servidor. Así, permite la verificación cruzada, al momento que el ordenador sepa que ha llegado al servidor deseado, ha sido verificado por una autoridad certificada.

Si tu estas comprando certificados SSL y comenzaste a buscar vendedores en línea, probablemente ya te encontraste con un amplio espectro de tipos de certificados, paquetes, soluciones y opciones de otros certificados. Decidir qué comprar puede ser algo complicado. Mi objetivo en escribir este blog es señalar algunos costos de usar los certificados SSL y cómo estos costos son cubiertos por las CAs.


Nivel Asegurado
La mayoría de las más grandes Autoridades Certificadoras ofrecen 3 niveles de aseguramiento para sus certificados SSL.

Validación Extendida (EV) – chequea el derecho del solicitante a usar el dominio mediante una estricta investigación sobre los antecedentes de la organización.
Validación Organizacional (OV) – Chequea el derecho del solicitante a usar el dominio y se investiga un poco sobre los antecedentes de la organización.
Validación de Dominio (DV) – chequea el derecho del solicitante a usar el dominio.


A mayor nivel de seguridad del certificado, más validaciones se deben hacer antes de implementar el certificado y mayor será la necesidad de recursos del departamento de veto de la CA. Los certificados EV SSL requieren la mayor diligencia debida, ya que nuestro equipo de investigación de antecedentes comprobará que eres el propietario del dominio, que tu organización es real, que existe la organización en los registros oficiales y tiene una presencia física y que tiene el derecho de dominio.

Todos los sitios que permiten transacciones seguras de pago necesitarán y les exigirán los certificados que den la mayor garantía, que permiten la "barra verde" (en función del navegador y la versión que está utilizando) mostrando su nombre de la empresa. visitantes del sitio web ven esto como una señal de que pueden confiar en el sitio y el sitio se beneficiará de un incremento en la confianza en marca. En comparación, un certificado SSL DV sólo requiere una CA para comprobar que se puede demostrar el control administrativo sobre el dominio y los visitantes del sitio web verán solamente un candado.

Chequeo de Phishing y Seguridad

Las autoridades de certificación como Seguridad America se enorgullecen de su reputación, por lo que gastan tiempo y dinero invirtiendo en herramientas integrales y en procesos humanos para identificar y rechazar las solicitudes de certificados de agentes maliciosos. Las CAs que no mantienen altos niveles de comprobación de datos pueden reducir sus costes a expensas de los certificados que emiten o a expensas de asegurar sitios de phishing o malware. Esto a su vez puede tener un impacto negativo en la reputación de la CA y los certificados que expiden.

Soporte

Los tipos de soporte ofrecidos por las entidades emisoras varían mucho y pueden abarcar desde foros (fuentes abiertas), soporte web a través de preguntas frecuentes, correo electrónico y teléfono. El soporte puede ser proporcionado solamente en el idioma local o puede estar disponible en varios idiomas. Las horas de operación también pueden variar en horario de oficina local o hasta 24x7. El coste de la prestación de apoyo depende del tipo, las horas y los idiomas del servicio de soporte.


Idiomas

Las CA que permiten ordenar certificados, presentar informes digitales y la presentación de documentación en línea, también puede querer ofrecer esto en varios idiomas. Esto incurre en un coste a la CA.


Programas raíz

Una de las principales ventajas de comprar un certificado SSL de una CA comercial es que ofrecen SSL personalizados que son de confianza para una amplia variedad de navegadores, dispositivos móviles, plataformas de juego SDK y varios otros dispositivos. Las CA gastan mucho tiempo y dinero asegurando sus certificados raíz estén incrustados en tantos dispositivos como sea posible para proporcionar a los clientes un protocolo SSL más ubicuo y ampliamente aceptado de SSL personalizados.

Auditorías

Otro factor importante que afecta a los costes, es el costo de cumplir con los requisitos y mantener el cumplimiento de los criterios de auditoría de la industria, así como sufragar los costes de auditorías anuales. Todas las entidades emisoras comerciales con raíces en los principales navegadores tienen que pasar WebTrust o auditorías ETSI con el fin de mantener sus raíces. Sin sus raíces en estas grandes plataformas, los certificados emitidos por la CA tendrían poco valor. Estas auditorías requieren que todas las entidades emisoras documenten sus procesos y luego hacen una verificación de antecedentes de los empleados, la oficina local, deberes de las personas en los roles de confianza y las políticas y procedimientos operacionales de los centros de datos. La creación de las políticas y el soporte a la auditoría es un compromiso de largo tiempo por sobre la costosa auditoría de costos.

Este mismo concepto se aplica a CAs patrocinadas por gobiernos o regiones, que por lo general tienen sus propias características especializadas, procedimientos de auditoría y los requisitos de seguridad que se sumarán a sus costes.



Infraestructura

Por supuesto, con una CA habrán costos de desarrollo de infraestructuras y costos para crear y operar aplicaciones que permitan pedidos de certificados, gestión y emisión, así como proporcionar un servicio de revocación fiable.

Las CAs requieren múltiples centros de datos seguros con bastidores especializadas de web, bases de datos y servidores de CA, dispositivos de red y los HSM para apoyar la emisión y gestión de certificados millones de un año.

Las CAs también necesitan estar constantemente innovando y ofreciendo nuevos servicios con el fin de satisfacer las necesidades cambiantes de los consumidores y los rápidos desarrollos en TI y la tecnología. Por cada nueva plataforma o tecnología puede ser una oportunidad para el cifrado SSL, así como una base de clientes que tendrá que asegurarse de que su servicio es seguro.

Garantías

Algunas entidades emisoras proporcionan garantías a sus suscriptores de certificados. Esto con el fin de cubrir errores en la identificación, la pérdida de documentos o errores intencionales o accidentales. Esto proporciona un valor añadido a sus clientes, pero se produce a costa de una póliza de seguro o de responsabilidad corporativa que funciona de garante.

¿Cómo cubren las CAs estos costos?

Los clientes que compren SSL / TLS personalizados necesitan comprender el alcance total de los costos de las entidades emisoras y entender cómo estas los solventan. Los costos pueden ser transmitidos en forma de precios de los certificados, las tarifas de suscripción, costos de instalación, contratos de soporte, los niveles de patrocinio, empaquetado con otros productos o servicios, gastos de hosting de la CA, etc. Incluso AC "gratis" necesitan ingresos para pagar sus costos utilizando uno de los anteriores.

¿Cómo definir qué comprar?

Antes de comprar un certificado que vale un peso de todos los factores que he mencionado arriba y analizar los factores que tendrán importancia para usted. Pregúntese:

·      ¿Cuánto importa la reputación de la CA a usted o sus clientes / visitantes de la web?
·      ¿Qué tipo de certificado SSL se puede pedir?
·      ¿Puede una CA proveerte de la totalidad de los SSL que necesitas, o será necesario comprometerse con múltiples CA para satisfacer todas sus necesidades? ¿Qué nivel de soporte se necesita y en qué idiomas deben ser?
·      ¿El certificado raíz se utiliza para emitir Certificados SSL de confianza para todos los visitantes de su sitio web anticipadas?
·      ¿La CA ofrece el nivel de garantía y confianza que su empresa necesita?




Si necesita de mayor información de cómo entregar seguridad adicional o sobre SSL, consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio.




¿Necesitas ampliar información y claves sobre seguridad informática? consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio, tanto a nivel de usuario como desde el punto de vista de empresa, mejorar la seguridad de tus equipos y dispositivos móviles.


Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330
Visítenos en: www.seguridadamerica.com

























Fuente: http://www.think-progress.com/es/blog/consideration/la-evolucion-del-departamento-de-informatica/ 
             http://www.sdatos.com/directiva-nis/


No hay comentarios.:

Publicar un comentario

Populares