Seguridad de la información
¿Cómo es la situación de las empresas chilenas en torno a la seguridad de la información?
La
situación no es muy distinta a lo que está ocurriendo a nivel global. Las
organizaciones se dieron cuenta de que están operando en un entorno cada más
vez digital e integrado. Un entorno que deja más expuestas a las compañías y,
por ende, incorpora mayores amenazas y vulnerabilidades. Hoy vemos que las
denominadas tecnologías emergentes ya están presentes en casi todas las
organizaciones. El uso de dispositivos móviles inteligentes, la fuerza que
tienen las redes sociales y cómo pueden afectar la reputación de una
organización, el concepto de la nube y cómo las organizaciones pierden de algún
modo el control de la custodia de esa información. Todos esos conceptos han
incrementado los riesgos de ciberseguridad en las empresas, tanto en Chile como
en el mundo en general.
¿Qué
les falta a las compañías nacionales para avanzar en este tema?
En
general, cualquier organización debe entender que cuando hablamos de
ciberseguridad, estamos hablando de que el mundo digital está en todos los
frentes y que es extremadamente dinámico y evolutivo. Por lo tanto, la clave es
que las organizaciones pueden llegar al nivel máximo de madurez donde sean
capaces de anticipar los incidentes de seguridad. Para eso, deben conocer muy
bien cuáles son sus activos más críticos y aplicar una auténtica inteligencia
defensiva.
En
la encuesta, el 88% de los entrevistados estima que su función de seguridad de
la información no cumple plenamente las necesidades de su organización. ¿A qué
adjudica esto?
la
mayoría de las organizaciones van por detrás de lo que está ocurriendo en el
entorno. Los cambios tecnológicos avanzan muy rápido y nuevas vulnerabilidades
aparecen día a día. El estado de vigilancia debe ser constante y en algún
momento incluso las organizaciones sienten una especie de fatiga y se preguntan
“¿Hasta cuándo durará este estado de alerta?”. Es por eso que la clave es
diferenciarse de otras compañías y llegar a un nivel de madurez que permita
anticipase de manera inteligente y predictiva a los distintos ataques que
pueden sufrir.
Un
69% dice que debería tener un presupuesto mayor para proteger los datos de su compañía.
¿En Chile ocurre lo mismo? ¿Esta cifra debería cambiar tanto a nivel
internacional como local?
Sí,
ocurre lo mismo y se debe a lo complejo de este nuevo mundo digital donde
operan las compañías. No obstante, como consejo para un Responsable de Seguridad
de la Información es que el presupuesto debe ser eficiente. No podremos
proteger nunca todos los activos de una organización o empresa. Es clave conocer cuál es
la información crítica de la entidad y en función de eso, aplicar las medidas
de seguridad que se requieran.
¿Pero
porqué es tan importante el Riesgo Reputacional para las compañías?
Definamos
primero el Riesgo Reputacional.
Reputacional
se define como:
“la
posibilidad de pérdida en que incurre una compañía por desprestigio, mala
imagen, publicidad negativa, cierta o no, respecto de la institución y sus
prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o
procesos judiciales.”
Debemos
comprender que la reputación es difícil de construir, pero es más importante,
mantenerla. La percepción pública es un activo frágil que las empresas deben
cultivar todo el tiempo.
Si
revisamos a través de los últimos años, los fraudes contables y corporativos
han generado grandes problemas relacionados con el riesgo reputacional que han
llevado a la quiebra o incluso a su desaparición a firmas tan importantes como:
Enron, Andersen, Merck, Ahold, Vivendi, Xerox, Parmalat, Worldcom, JP Morgan,
Citigroup, HSBC Holdings Plc, Petrobras, FIFA, etc.
Según
Cano y Castro, en el libro Escándalos, Fraudes Contables y Corporativos,
Bogotá, 2003, “la reputación es el activo más valioso de todas las empresas
pero es el más fácil de destruir por la percepción pública”.
“La
pérdida de confianza pública, generada por los manejos fraudulentos de
directivos y administradores ubicados en la cúpula de las organizaciones de
clase mundial hace que el tema del Riesgo Reputacional tome gran importancia.
La transparencia en los
mercados
promueve una competencia saludable y los líderes empresariales con altos
estándares éticos también promueven la lealtad y el compromiso de los
empleados.”
Cuando
se presentan casos de riesgo reputacional, las organizaciones tienen varias
opciones: Las compañías pueden restar importancia a la crisis, quizás
aumentando la publicidad para incrementar la confianza del consumidor o
definiendo la situación como un acto criminal aislado o actuar ética, oportuna
y proactivamente, yendo más allá de lo realmente necesario para fortalecer la
seguridad y confianza del inversionista, del consumidor o del público en
general.
Riesgos
de Ciberseguridad:
cada
vez son más relevantes debido al creciente uso por parte de los clientes, de
canales distintos a los de la oficina tradicional, como por ejemplo internet o
los dispositivos móviles. La aprobación el pasado 13 de marzo de 2014 de la
propuesta de Directiva NIS supone el primer intento serio de la Union Europea para
hacer frente al reto de la ciberseguridad. Su aprobación, prevista para finales
de 2014 o principios de 2015, supondrá una serie de obligaciones muy
relevantes, tanto para los Estados miembros como para los principales agentes
económicos. El objetivo de dicha Directiva es obligar a los Estados miembros a
estar más preparados en cuanto a la garantía de seguridad de sus redes y de la
información contenida en estas.
En
España, la aprobación de la nueva Estrategia de Seguridad Nacional y la
Estrategia de Ciberseguridad Nacional en el año 2013 han supuesto un avance en
este ámbito de la seguridad en el ciberespacio, dentro de un entorno global.
Este riesgo incrementa también por la importante gestión de información de las
entidades necesaria para el conocimiento real de sus clientes y del mercado, de
su operativa, tendencias, conductas, necesidades, etc. para adaptar su oferta
de productos y servicios, pero que puede convertir en mucho más relevante
cualquier fallo o debilidad en la seguridad de la información por el volumen de
información que puede verse afectada y su nivel de criticidad, tanto para las
entidades como para los clientes.
Muchas
personas se preguntan ¿Por qué es tan importante el uso del certificado SSL y
cuál es su verdadera función con respecto a las páginas? Este certificado se
trata de una capa de conexión segura. El SSL tiene varios beneficios tanto para
los dueños de páginas web, así como también para los clientes, quienes estarán
protegidos de los fines maliciosos de la red.
El
certificado SSL es recomendado para cuando se realizan transacciones
financieras y al guardar información personal privada que podría ser robada o
filtrada causando daños financieros o personales. Éste es sólo una especie de
prueba de identificación que reúne el grupo de dominio con el nombre de host o
servidor. Así, permite la verificación cruzada, al momento que el ordenador
sepa que ha llegado al servidor deseado, ha sido verificado por una autoridad
certificada.
Si
tu estas comprando certificados SSL y comenzaste a buscar vendedores en línea,
probablemente ya te encontraste con un amplio espectro de tipos de
certificados, paquetes, soluciones y opciones de otros certificados. Decidir
qué comprar puede ser algo complicado. Mi objetivo en escribir este blog es señalar
algunos costos de usar los certificados SSL y cómo estos costos son cubiertos
por las CAs.
Nivel
Asegurado
La
mayoría de las más grandes Autoridades Certificadoras ofrecen 3 niveles de
aseguramiento para sus certificados SSL.
Validación
Extendida (EV) – chequea el derecho del solicitante a usar el dominio mediante
una estricta investigación sobre los antecedentes de la organización.
Validación
Organizacional (OV) – Chequea el derecho del solicitante a usar el dominio y se
investiga un poco sobre los antecedentes de la organización.
Validación
de Dominio (DV) – chequea el derecho del solicitante a usar el dominio.
A
mayor nivel de seguridad del certificado, más validaciones se deben hacer antes
de implementar el certificado y mayor será la necesidad de recursos del
departamento de veto de la CA. Los certificados EV SSL requieren la mayor
diligencia debida, ya que nuestro equipo de investigación de antecedentes
comprobará que eres el propietario del dominio, que tu organización es real,
que existe la organización en los registros oficiales y tiene una presencia
física y que tiene el derecho de dominio.
Todos
los sitios que permiten transacciones seguras de pago necesitarán y les
exigirán los certificados que den la mayor garantía, que permiten la "barra
verde" (en función del navegador y la versión que está utilizando)
mostrando su nombre de la empresa. visitantes del sitio web ven esto como una
señal de que pueden confiar en el sitio y el sitio se beneficiará de un
incremento en la confianza en marca. En comparación, un certificado SSL DV sólo
requiere una CA para comprobar que se puede demostrar el control administrativo
sobre el dominio y los visitantes del sitio web verán solamente un candado.
Chequeo
de Phishing y Seguridad
Las
autoridades de certificación como Seguridad America se enorgullecen de su
reputación, por lo que gastan tiempo y dinero invirtiendo en herramientas
integrales y en procesos humanos para identificar y rechazar las solicitudes de
certificados de agentes maliciosos. Las CAs que no mantienen altos niveles de
comprobación de datos pueden reducir sus costes a expensas de los certificados
que emiten o a expensas de asegurar sitios de phishing o malware. Esto a su vez
puede tener un impacto negativo en la reputación de la CA y los certificados
que expiden.
Soporte
Los
tipos de soporte ofrecidos por las entidades emisoras varían mucho y pueden
abarcar desde foros (fuentes abiertas), soporte web a través de preguntas
frecuentes, correo electrónico y teléfono. El soporte puede ser proporcionado
solamente en el idioma local o puede estar disponible en varios idiomas. Las
horas de operación también pueden variar en horario de oficina local o hasta
24x7. El coste de la prestación de apoyo depende del tipo, las horas y los
idiomas del servicio de soporte.
Idiomas
Las
CA que permiten ordenar certificados, presentar informes digitales y la
presentación de documentación en línea, también puede querer ofrecer esto en
varios idiomas. Esto incurre en un coste a la CA.
Programas
raíz
Una
de las principales ventajas de comprar un certificado SSL de una CA comercial
es que ofrecen SSL personalizados que son de confianza para una amplia variedad
de navegadores, dispositivos móviles, plataformas de juego SDK y varios otros
dispositivos. Las CA gastan mucho tiempo y dinero asegurando sus certificados
raíz estén incrustados en tantos dispositivos como sea posible para
proporcionar a los clientes un protocolo SSL más ubicuo y ampliamente aceptado
de SSL personalizados.
Auditorías
Otro
factor importante que afecta a los costes, es el costo de cumplir con los
requisitos y mantener el cumplimiento de los criterios de auditoría de la
industria, así como sufragar los costes de auditorías anuales. Todas las
entidades emisoras comerciales con raíces en los principales navegadores tienen
que pasar WebTrust o auditorías ETSI con el fin de mantener sus raíces. Sin sus
raíces en estas grandes plataformas, los certificados emitidos por la CA
tendrían poco valor. Estas auditorías requieren que todas las entidades
emisoras documenten sus procesos y luego hacen una verificación de antecedentes
de los empleados, la oficina local, deberes de las personas en los roles de
confianza y las políticas y procedimientos operacionales de los centros de
datos. La creación de las políticas y el soporte a la auditoría es un
compromiso de largo tiempo por sobre la costosa auditoría de costos.
Este
mismo concepto se aplica a CAs patrocinadas por gobiernos o regiones, que por
lo general tienen sus propias características especializadas, procedimientos de
auditoría y los requisitos de seguridad que se sumarán a sus costes.
Infraestructura
Por
supuesto, con una CA habrán costos de desarrollo de infraestructuras y costos
para crear y operar aplicaciones que permitan pedidos de certificados, gestión
y emisión, así como proporcionar un servicio de revocación fiable.
Las
CAs requieren múltiples centros de datos seguros con bastidores especializadas
de web, bases de datos y servidores de CA, dispositivos de red y los HSM para
apoyar la emisión y gestión de certificados millones de un año.
Las
CAs también necesitan estar constantemente innovando y ofreciendo nuevos
servicios con el fin de satisfacer las necesidades cambiantes de los
consumidores y los rápidos desarrollos en TI y la tecnología. Por cada nueva
plataforma o tecnología puede ser una oportunidad para el cifrado SSL, así como
una base de clientes que tendrá que asegurarse de que su servicio es seguro.
Garantías
Algunas
entidades emisoras proporcionan garantías a sus suscriptores de certificados.
Esto con el fin de cubrir errores en la identificación, la pérdida de
documentos o errores intencionales o accidentales. Esto proporciona un valor
añadido a sus clientes, pero se produce a costa de una póliza de seguro o de
responsabilidad corporativa que funciona de garante.
¿Cómo
cubren las CAs estos costos?
Los
clientes que compren SSL / TLS personalizados necesitan comprender el alcance
total de los costos de las entidades emisoras y entender cómo estas los
solventan. Los costos pueden ser transmitidos en forma de precios de los
certificados, las tarifas de suscripción, costos de instalación, contratos de
soporte, los niveles de patrocinio, empaquetado con otros productos o
servicios, gastos de hosting de la CA, etc. Incluso AC "gratis"
necesitan ingresos para pagar sus costos utilizando uno de los anteriores.
¿Cómo
definir qué comprar?
Antes
de comprar un certificado que vale un peso de todos los factores que he
mencionado arriba y analizar los factores que tendrán importancia para usted.
Pregúntese:
·
¿Cuánto importa
la reputación de la CA a usted o sus clientes / visitantes de la web?
·
¿Qué tipo de
certificado SSL se puede pedir?
·
¿Puede una CA
proveerte de la totalidad de los SSL que necesitas, o será necesario
comprometerse con múltiples CA para satisfacer todas sus necesidades? ¿Qué
nivel de soporte se necesita y en qué idiomas deben ser?
·
¿El certificado
raíz se utiliza para emitir Certificados SSL de confianza para todos los
visitantes de su sitio web anticipadas?
·
¿La CA ofrece el
nivel de garantía y confianza que su empresa necesita?
Si
necesita de mayor información de cómo entregar seguridad adicional o sobre SSL,
consulte con los ingenieros de Seguridad America o con sus Expertos comerciales
que lo asesoraran en la mejor opción para su modelo de negocio.
¿Necesitas
ampliar información y claves sobre seguridad informática? consulte con los
ingenieros de Seguridad America o con sus Expertos comerciales que lo
asesoraran en la mejor opción para su modelo de negocio, tanto a nivel de
usuario como desde el punto de vista de empresa, mejorar la seguridad de tus
equipos y dispositivos móviles.
Contáctanos
en:
Mail: ventas@SeguridadAmerica.com
Fono:
(+56-2) 2307-7330
Visítenos
en: www.seguridadamerica.com
Fuente: http://www.think-progress.com/es/blog/consideration/la-evolucion-del-departamento-de-informatica/
Comentarios
Publicar un comentario