La Importancia de la Seguridad Cibernética Corporativa

Tabla de Contenido Expansión de Cibercrimen Estadísticas de Seguridad Cibernética * Ejemplos de Ataques Cibernéticos Servicios de Seguridad de la Información *Algunos de los datos en esta presentación fueron adquiridos del Informe sobre Amenazas a la Seguridad en Internet 2014 de Symantec. 2

Expansión de Cibercrimen El crimen cibernético se ha convertido en una crisis de seguridad global con un costo a la economía mundial de más de 575 mil millones dólares al año. Se espera que este año habrán aproximadamente 42.8 millones de ataques cibernéticos, aproximadamente 117,339 ataques cada día. Una encuesta reciente reveló que el costo promedio del crimen cibernético ha más que duplicado desde 2013 a un promedio anual de 8.6 millones de dólares por empresa afectada en El costo promedio anual para las empresas que son víctimas de los ataques cibernéticos exitosos en el sector financiero aumentó a 20.8 millones de dólares por empresa. El número de organizaciones reportando un incidente que costó 20 millones de dólares o más en 2014 casi se duplicó del año pasado. IBM informa que sus clientes corporativos sufren un promedio de 16,856 ataques al año. Una encuesta reciente de empresas de todo tamaño informó que 90% de las empresas han sufrido al menos un ataque en los últimos 12 meses Expansi ó n de Cibercrimen 3

Violaciones de Datos En 2013, hubieron ocho ataques en dónde atacantes obtuvieron acceso a más de 10 millones de identidades. El más grave fue el ataque dónde 150 millones de identidades fueron expuestas. En comparación, en 2012 solo hubo un ataque en dónde más de 10 millones de identidades fueron expuestas. Hackers siguen siendo la causa principal de violaciones de datos con 783 instancias en 2014, representando un aumento de 27.5% del Un total de 552,018,539 identidades fueron expuestas como resultado. Estadísticas de Seguridad Cibernética 4 Ataques cibernéticos dañan la confianza en empresas afectadas, exponiendo fallas de seguridad en maneras altamente públicas. Esto tiene múltiples consecuencias, desde impacto financiero a daños a la reputación de la empresa.

Violaciones de Datos Con 783 casos de violaciones de datos documentados en 2014, el promedio de identidades expuestas por caso fue 2,181,891. Esto es un aumento de más de 2.5 veces del 2012, cuándo el promedio de identidades expuestas por caso fue solamente 604,826. El número de casos de violaciones de datos documentados desde el 2005 alcanzó 5,029, involucrando más de 675 millones de registros. Consecuencias financieras: Reputación y Daños a la Marca (29%), Pérdida de Productividad (21%), Ingresos Perdidos (19%), Forense (12%), Soporte Técnico (10%), Cumplimiento con Requerimientos por Ley (8%) Estadísticas de Seguridad Cibernética 5

Vulnerabilidades en la Web Atacantes toman control de sitios web legítimos encontrando y explotando vulnerabilidades presentes Varios scans de vulnerabilidad hechos en 2013 demuestran que 77% de sitios web contienen vulnerabilidades. De estas vulnerabilidades,16% eran críticas y podrían permitir acceso a un atacante a datos sentitivos o acceder computadoras de visitantes. Entonces, en 2013, cuando atacantes buscaban sitios web para acceder, en 1 de cada 8 sitios web fue relativamente fácil obtener acceso. Estadísticas de Seguridad Cibernética 6

Ataques Basados en la Web Las vulnerabilidades expuestas más comunes involucraron el protocolo renegociación de SSL y TLS. 73% de los ataques basados en el navegador fueron encontrados en sitios web de proxys para navegar en modo anónimo. 67% de ataques encontrados en blogs involucran ataques basados en el navegador, los cuales incluyen programas que se pueden encontrar en plug-ins o en el mismo navegador. Estadísticas de Seguridad Cibernética 7

Ataques- M óvil Actualmente, la forma más maliciosa de ataque en los dispositivos móviles son troyanos que se plantean en aplicaciones legítimas. Estas aplicaciones se cargan a los teléfonos en los mercados "app", tratando de pasar por aplicaciones legítimos, con la esperanza de que los usuarios los descargen e instalen. Los usuarios de móviles están almacenando cada vez más archivos confidenciales, archivos de trabajo e información personal dentro de las mismas cuentas de almacenamiento. Además, muchos usuarios están compartiendo sus nombres de usuario y contraseñas con amigos y familia, creando vulnerabilidades que pueden poner sus datos en riesgo. Atacantes también han tomado aplicaciones legítimas y agregado código addicional. Estadísticas de Seguridad Cibernética 8

Ejemplos de Ataques Cibernéticos : Target sufrió un ataque que expuso la información de 40 millones de tarjetas de crédito de sus clientes y resultaron pagando más de 150 millones de dólares para manejar el problema. Adicionalment e, hubo una demanda colectiva en la cuál tuvieron que pagar 10 millones de dólares. March 2014: eBay Inc. informó que atacantes obtuvieron acceso a una base de datos conteniendo todos los records de sus usuarios. Este ataque expuso la información de 233 millones de usuarios. La información en la base de datos incluía nombres de usuarios, contraseñas, números de teléfono, y direcciones físicas. April 2014: Home Depot informó que los datos de millones de tarjetas de crédito de sus clientes fueron robadas. Resultó en un costo de 148 millones de dólares para la empresa. July 2014: JPMorgan Chase & Co. informó que las cuentas de 76 millones de clientes fueron accedidos por atacantes extranjeros. November 2014: Sony Corp. sufrió un ataque masivo que expuso toda la información en sus sistemas y resultó costando 100 millones de dólares. Ejemplos de Ataques Cibernéticos 9

Servicios de Seguridad de la Información 10 Seguridad de la Información Evaluaciones de seguridad y pruebas de penetración realizadas regularmente son una necesidad para proteger los datos importantes de empresas y consumidores de amenazas. Evaluación de Aplicación Móvil Dependiendo de la aplicación bajo evaluación, creamos una lista de verificación de cumplimiento seguido por un runtime análisis binario y una revisión completa del código. Auditoría de Código Fuente Revisión de procedimientos de autenticación, autorización, y manejo de sesiones Identificación de problemas de seguridad de memoria Revisión de mecanismos adecuados para asegurar datos sensitivos Validaciones de protocolos criptográficos adecuados Evaluación de Vulnerabilidades Internas Monitoreo de tráfico de paquetes, con enfoque en credenciales e información confidencial transmitido de forma insegura Pólizas de seguridad apropiadas para restringir acceso a información sensitiva como creación y uso de cuentas restringidas Escalamiento de privilegios permitiendo que un usuario restringido acceda a posiciones de más alto nivel Pólizas internas de contraseñas y cumplimiento Evaluación de Aplicación Web Identificar vulnerabilidades de seguridad creadas por fallas de implementación Exponer fallas en software y servicios back end no actualizados Evaluar la probabilidad de diferentes ataques Evaluar impacto potencial si las vulnerabilidades se explotan Pruebas de Penetración Las pruebas de penetración se dividen en las siguientes áreas: Recopilación de datos Explotación Escalamiento de privilegios Documentación Servicios de Seguridad de la Información Para más información, por favor contáctenos al o para agendar una consulta