gestionar las amenazas en la era digital - www … · estos fallos en la seguridad no solo han...
TRANSCRIPT
IBM Global Business ServicesInforme ejecutivo
Estrategia y transformación
IBM Institute for Business Value
Gestionar las amenazas en la era digitalAbordar la seguridad, el riesgo y el cumplimiento desde la alta dirección
IBM Institute for Business ValueIBM Global Business Services, por medio del IBM Institute for Business Value, desarrolla enfoques estratégicos basados en hechos para altos directivos sobre cuestiones esenciales para el sector público y privado. El presente informe ejecutivo forma parte del compromiso constante de IBM Global Business Services por ofrecer análisis y puntos de vista que ayuden a las empresas a obtener valor empresarial. Si desea más información, puede ponerse en contacto con los autores o enviar un correo electrónico a [email protected] . Puede encontrar otros estudios del IBM Institute for Business Value en ibm.com/iibv
Introducción
Los medios de comunicación se han hecho eco recientemente de la proliferación de vulneraciones en la seguridad que afectan a empresas de numerosos sectores. Estos fallos en la seguridad no solo han supuesto un importante gasto para las empresas afectadas, sino que han dañado de forma significativa la confianza de los clientes y la reputación de la marca. La cuestión de la seguridad ha dejado de estar relegada al ámbito de la organización de las Tecnologías de la Información y la Comunicación (TIC); ahora es, indudablemente, una prioridad de la alta dirección. Las organizaciones tienen que adoptar un enfoque más sistemático y activo a la hora de hacer frente a las amenazas de seguridad y de gestionar los requisitos de cumplimiento en la economía actual, en la que tanto peso tiene la información.
A medida que el mundo se digitaliza e interconecta, aumenta el riesgo que suponen las amenazas y filtraciones. Hoy por hoy, existen miles de millones de etiquetas RFID aplicables a múltiples usos, como pueden ser productos, pasaportes, edificios o incluso animales. Con más de dos mil millones de usuarios de Internet y suscripciones de teléfonos móviles, superando los cinco mil millones a finales de 2010, se puede decir que casi una de cada tres personas en todo el mundo navega por Internet.1 Y se espera que más de 50 mil millones de objetos se conecten digitalmente en 2020, incluidos vehículos, dispositivos y cámaras.2 Intensificando esta compleja mezcla, la cantidad de información digital creada y duplicada en el mundo aumentará hasta llegar a unos casi inconcebibles 35 billones de gigabytes en 2020.3
No solo ha aumentado la cantidad de información, sino también el correspondiente valor de los activos digitales. Información crítica del cliente, propiedad intelectual e incluso el control de maquinaria clave, todos ellos se encuentran cada vez con más frecuencia en formatos electrónicos. Así pues, los ataques que afectan a estos activos es más probable que tengan
John Lainhart, Steve Robinson y Marc van Zadelhoff
un impacto material en toda la organización, y no solo en el departamento de TI. Pongamos como ejemplo el virus Stuxnet, que consiguió alterar los procesos de control responsables de enriquecer uranio y degradar la capacidad de procesar y controlar de forma segura este peligroso material.4 Este incidente demuestra que una acción estratégica contra la infraestructura tecnológica de una organización puede afectar claramente a operaciones cruciales.
Incluso de manera más apremiante que la innegable proliferación de datos, dispositivos y conexiones, existen otros factores que están obligando a empresas y organizaciones gubernamentales a cambiar el modo en que gestionan la seguridad y el cumplimiento de normativas. Los valiosos datos alojados en las organizaciones son objetivo de quienes atacan a los sistemas, ya sea por motivos delictivos (como el beneficio económico), por motivos personales (como la venganza o la frustración) o por motivos políticos (como el terrorismo). El daño ocasionado a la información y a la infraestructura que procesa la información es cada vez más frecuente, más “profesional” y cada vez adopta formas más organizadas.
2 Gestionar las amenazas en la era digital
Así pues, cada vez es más importante, aunque más difícil, proteger y garantizar la seguridad de la información importante y los activos relacionados. La seguridad está acaparando más y más atención y no cabe duda de que se está convirtiendo en una cuestión clave para la alta dirección, bien se trate del director de marketing (CMO) evaluando el posible riesgo para la marca, del director financiero (CFO) intentando comprender las implicaciones financieras de fenómenos adversos, o del director de operaciones (COO) evaluando el impacto de las alteraciones de los sistemas de TI en las operaciones en curso. El desarrollo de la seguridad inteligente – la capacidad de predecir, identificar y reaccionar de forma proactiva ante posibles amenazas – constituirá una nueva prioridad en la era digital.
Las amenazas de seguridad son mayores que nuncaCon el incremento de datos, dispositivos y conexiones aumentan las amenazas a la seguridad, tanto en número como en alcance. Podemos clasificarlas en tres categorías principales: amenazas externas, amenazas internas y requisitos de cumplimiento.
Amenazas externas Recientemente hemos asistido a una proliferación de ataques externos contra importantes compañías y organizaciones gubernamentales. En el pasado, estas amenazas provenían de individuos que trabajaban de forma independiente. Sin embargo, estos ataques están cada vez más coordinados y vienen impulsados por grupos que van desde organizaciones criminales hasta colectivos organizados de hackers o “hacktivistas”, pasando incluso por entidades subvencionadas por el Estado. Las motivaciones de los atacantes ya no se limitan únicamente a obtener beneficios, sino que en ocasiones tienen que ver con el prestigio o con el espionaje. Estos ataques tienen como objetivo activos organizativos cada vez más críticos, incluidas bases de datos de clientes, propiedad intelectual e incluso activos físicos controlados por sistemas de información.
No cabe duda de que estos ataques externos tienen consecuencias financieras significativas. Por ejemplo, la divulgación de datos de clientes de Epsilon comprometió las
direcciones de correo electrónico de millones de consumidores y afectó directamente a numerosos clientes corporativos. El coste del saneamiento inicial y de los riesgos de litigio a más largo plazo se estima en cientos de millones de dólares.5 Muchas otras compañías del sector de los servicios financieros, de los medios de comunicación y del entretenimiento, así como del comercio al por menor y de las telecomunicaciones, han informado recientemente de vulneraciones similares de la información personal y financiera de sus clientes, generando todas ellas importantes costes administrativos, jurídicos y de TI.
Amenazas internasEn muchas situaciones, las vulneraciones en la seguridad de la información no proceden de agentes externos, sino de actores internos con determinados privilegios de accesos a información, como pueden ser trabajadores, contratistas, consultores e incluso socios y proveedores de servicios. Estas vulneraciones van desde comportamientos imprudentes y errores administrativos (como revelar contraseñas a terceros, perder cintas de seguridad u ordenadores portátiles o divulgar información crítica de forma involuntaria) hasta acciones deliberadas por parte de trabajadores descontentos.
Estas acciones pueden ser tan peligrosas como los ataques externos. Véase como ejemplo el incidente de Wikileaks, que tras la divulgación no autorizada de informes clasificados ha supuesto un coste para el gobierno norteamericano de millones de dólares y ha deteriorado las relaciones con gobiernos extranjeros de todo el mundo.6
Requisitos de cumplimientoA las empresas se les exige el cumplimiento de un número cada vez mayor de normativas nacionales, locales y sectoriales relacionadas con la seguridad, cada una de ellas con sus propios estándares y requerimientos de información. Entre los muchos ejemplos encontramos la Ley Sarbanes-Oxley (SOX) de Estados Unidos, J-SOX, COSO, COBIT, diversas normas internacionales ISO/IEC, las normativas norteamericanas HIPAA/HITECH, la Directiva sobre privacidad de la Unión Europea, los estándares sobre Seguridad y Privacidad de Datos de India, PCI DSS y BASEL II. Cumplir estas normativas a menudo implica una inversión de mucho tiempo y esfuerzo para priorizar problemas, desarrollar políticas y controles
IBM Global Business Services 3
adecuados y supervisar el cumplimiento.
Las prioridades de la dirección se están viendo afectadasLas amenazas y los requisitos de cumplimiento tendrán un impacto significativo en la capacidad de los miembros directivos para cumplir sus principales prioridades. Dado que la tecnología juega un papel cada vez más importante, los retos relacionados con la seguridad de la información traspasan ampliamente las competencias del director de Tecnología de la Información (CIO). Nuestras conversaciones con más de 13.000 directivos desde 2008 revelan que todos los miembros del equipo directivo se ven afectados por problemas relativos a la seguridad (véase Ilustración 1).
Aunque es cierto que algunos miembros directivos deben tener mayores prioridades que otros en ciertos retos relativos a la seguridad, las empresas no pueden permitirse ignorar la necesidad de actuar de forma coherente para abordar los riesgos para la seguridad existentes en la actualidad. Las responsabilidades por los problemas de seguridad, que quizás estaban más claramente delimitadas en el pasado, ahora recaen
sobre distintas áreas de la organización, como también lo hacen los daños sufridos en caso de una agresión.
Por ejemplo, los directores de marketing (CMO), muy centrados en mejorar la imagen de marca, podrían verse en la encrucijada de perder la confianza de los clientes y la reputación de la marca si las vulneraciones de la seguridad provocan la pérdida de información personal. Indudablemente, este sería un riesgo de vital importancia para cualquier empresa y una reputación perjudicada requeriría la intervención de todo el equipo directivo.
Existen otros ejemplos de riesgos de seguridad gestionados principalmente por otros miembros de la dirección:
• Los directores generales (CEO) deben preocuparse por saber si los datos sensibles o la propiedad intelectual de la organización pueden ser objeto de apropiación indebida por parte de personal de la empresa o de personas ajenas a ella. Este tipo de intrusiones pueden tener un fuerte impacto en cuanto a la posible pérdida de cuota de mercado y reputación, riesgos operativos relacionados con cierres reglamentarios y posibles imputaciones penales.
Fuente: Más de 13.000 entrevistas personales con directivos realizadas como parte de los estudios a nivel de alta dirección del IBM Institute for Business Value.
Ilustración 1: Gestionar las necesidades de seguridad y cumplimiento es una prioridad de toda la dirección.
CEO CFO/COO CIO CHRO CMOCxOprioridad del
• Mantener la diferenciación competitiva
• Cumplir la normativa
• Extender el uso de dispositivos móviles
• Fomentar la flexibilidaddelaplantilla
• Mejorar la marca
Riesgos para la seguridad
• Apropiación indebidadepropiedad intelectual
• Apropiación indebidadedatoscríticos para la empresa
• Imposibilidaddecumplir las exigencias normativas
• Proliferación de
datos• Sistemas no
seguros y acceso inapropiado
• Divulgación de datos críticos
• Comportamientos imprudentes en la custodia de información sensible
• Información personal de clientes otrabajadoressustraída
Posible impacto • Pérdida de cuota de mercado y
reputación• Consecuencias
penales
• Incumplimiento de
auditorías• Sanciones,
indemnizaciones e imputaciones penales
• Pérdida de confidencialidad,integridad y/o disponibilidaddedatos
• Vulneración de la privacidad de los trabajadores
• Pérdida de la confianzadelosclientes
• Pérdida de reputación de la marca
4 Gestionar las amenazas en la era digital
• Los directores financieros (CFO) deben cumplir, en concreto, las directrices regulatorias. El incumplimiento de las disposiciones sobre seguridad de estas normativas podría suponer la no superación de una auditoría y, por consiguiente, sanciones para las organizaciones, así como consecuencias penales para ellos mismos y para sus empresas.
• Los directores de Tecnología de la Información (CIO), en su afán por incrementar la flexibilidad y la movilidad organizativa, tienen que afrontar retos relacionados con la proliferación de datos, con el aumento del número de sistemas y dispositivos no seguros y con el acceso inapropiado a la información. Cualquiera de estas cuestiones podría implicar la pérdida de la confidencialidad, integridad o disponibilidad de los datos.
• Los directores de Recursos Humanos (CHRO), en su intento por aumentar la flexibilidad de su plantilla, tienen que ser conscientes del potencial de divulgación de datos críticos, así como de posibles comportamientos imprudentes por parte de quienes disponen de acceso a información sensible que pudieran vulnerar la privacidad de los trabajadores.
En breve, los problemas de seguridad dejarán de ser solo responsabilidad del CIO y no podrán delegarse únicamente a un director de TI responsable de la seguridad, sino que requerirán la atención y la intervención de toda la gerencia.
Crear “seguridad inteligente” por etapasPara afrontar tanto la proliferación como la magnitud de los riesgos, las organizaciones deben adoptar un enfoque de la seguridad más automatizado y activo. Dentro de poco tendrán que incorporar la seguridad inteligente como parte esencial del negocio. Ello requiere un exhaustivo enfoque que implique una serie de cuestiones como la seguridad física, la clasificación de información, la sensibilización de los trabajadores y el control.
En muchas organizaciones, la seguridad inteligente se desarrolla en tres etapas que representan una transición desde enfoques manuales hacia el uso de procesos cada vez más automatizados para identificar, rastrear y abordar amenazas.
Reactivo Activo
Man
ual
Au
tom
atiz
ado
Básico
Avanzado
Optimizado
Seguridad
inteligente
Fuente: Análisis IBM.
Ilustración 2: Un enfoque estructurado en tres etapas para progresar en la seguridad inteligente.
La tendencia apunta hacia una anticipación más activa de los problemas de seguridad, dejando de lado enfoques reactivos (véase Ilustración 2).
• Básico – Las organizaciones se centran en contratar protección perimetral, que regula tanto el acceso físico como el virtual. La protección del perímetro representa empezar a elaborar informes manuales de incidencias y vulneraciones. Las empresas de la etapa básica implementan firewalls, antivirus, controles de acceso e informes manuales, un primer paso que tiene su importancia. Sin embargo, funcionan de forma reactiva y manual, con un escaso conocimiento de su actual estado en materia de seguridad.
IBM Global Business Services 5
• Avanzado – La seguridad se estratifica en el entramado de las aplicaciones de TI y de las operaciones empresariales. Este nivel abarca la incorporación de la seguridad en aplicaciones, bases de datos y procesos empresariales clave. En la etapa Avanzada, la seguridad se hace más exhaustiva, pero al mismo tiempo se añade complejidad a los esfuerzos de seguridad de la organización. Como consecuencia, las empresas siguen quedándose cortas por lo que respecta a la seguridad inteligente, ya que la seguridad resulta más difusa y está menos coordinada.
• Optimizado – Las organizaciones utilizan análisis predictivos y automatizados de la seguridad para impulsar la seguridad inteligente. La seguridad se optimiza, dado que este nivel incluye el análisis de intrusiones anteriores, de la actividad de los trabajadores y de otras fuentes de datos para anticipar dónde podrían producirse posibles vulneraciones y evitar que se produzcan.
Cada una de estas tres etapas añade una capa adicional de preparación frente a incidencias de seguridad involuntarias o deliberadas. Para identificar y rectificar lagunas de seguridad dentro del ecosistema de la empresa, las organizaciones
deberán investigar y explotar capacidades analíticas para satisfacer las necesidades más apremiantes. Una evaluación en profundidad de cuatro “dominios de seguridad” puede guiar a las organizaciones hacia la seguridad inteligente mejorando sistemáticamente la gestión del servicio, la gestión de riesgos y el cumplimiento (véase Ilustración 3).
• Personas – Pase de controlar el acceso aplicación por aplicación mediante contraseñas a un enfoque basado en roles que controle el acceso de los usuarios mediante paneles y controles de usuario privilegiado.
• Datos – Vaya más allá de los controles de acceso básicos y de los métodos de cifrado para proteger datos mejorando el gobierno de los datos y administrando el uso y el flujo de información.
• Aplicaciones –Deje de depender de la búsqueda de vulnerabilidades en aplicaciones existentes y pase a detectar fraudes e integrar la seguridad en las aplicaciones nuevas.
• Infraestructura – Sustituya los métodos reactivos, como el bloqueo de accesos no autorizados y virus, por métodos activos que protejan los sistemas con un control avanzado de las redes y el análisis de intrusiones.
Fuente: Análisis IBM.
Fuente: Análisis IBM.
Ilustración 3: Se requiere un enfoque equilibrado para gestionar los activos físicos, tecnológicos y humanos.
Reactivo
Dominios de seguridad
Hoy Mañana: Seguridad inteligente
Personas Gestionar identidades por aplicaciones Utilizarlagestiónbasadaenrolesdeusuariosprivilegiados y paneles
Aplicar correlacio-nes avanzadas y análisis exhausti-vos
Datos Implantar controles de acceso y cifrado
Supervisarelusoycontrolarfiltraciones
Aplicaciones Buscarvulnerabilidades Crear de forma segura desde el primer día
Infraestructura Bloquear accesos a la red no deseados y virus
Aplicar una detección avanzada de las amenazas en tiempo real y análisis de intrusionesLa
gun
as
de
seg
urid
ad
Activo
6 Gestionar las amenazas en la era digital
Un plan de tres medidas para la dirección Los miembros directivos deben adoptar tres importantes medidas para crear seguridad inteligente:
• Mantenerse informados. Adoptar un enfoque estructurado para evaluar los riesgos para la empresa y para lasTIC.
• Trabajar conjuntamente. Implementar y aplicar la excelencia en seguridad en toda la empresa.
• Anticiparse de forma inteligente. Utilizar análisis para destacar los riesgos de forma activa e identificar, controlar y abordar amenazas.
1. Mantenerse informados.Mantenerse informados implica abordar el riesgo para la seguridad de la TI como parte del amplio marco para la gestión de riesgos empresariales (véase Ilustración 4).
Gestión del riesgo
operativo
1Identificar el
peligro
2Evaluar el riesgo
3Analizar
medidas de control de
riesgos
4Tomar decisiones
de control
5Implementación
de control de riesgos
6Supervisar y revisar
Fuente:IBMInstituteforBusinessValue.“2010IBMGlobalITRiskStudy.”Septiembrede2010.
Ilustración 4: Principales medidas para abordar la gestión de riesgos operativos.
Garantiza la continuidad empresarial
Mejora la reputación de la marca
Incrementa la agilidad
Reduce los costes operativos
Crea nuevas oportunidades de crecimiento
Reduce la complejidad
Ilustración 5: Ventajas de mejorar la gestión de riesgos de TI.
74%
32%
19%
18%
17%
16%
Fuente:IBMInstituteforBusinessValue.“2010IBMGlobalITRiskStudy.”Septiembrede2010.
Este enfoque estructurado para evaluar los riesgos de la empresa y de la TI incluye la identificación de amenazas y normativas de cumplimiento clave, la revisión de los riesgos y retos de seguridad existentes, la implementación y aplicación de procesos de gestión de riesgos y marcos de control comunes y la ejecución de procesos de gestión de incidencias cuando se producen crisis. Otra medida importante es habilitar a un director de riesgos para que mantenga un contacto periódico con el comité de dirección sobre cuestiones relacionadas con la seguridad y que fomente las conversaciones sobre riesgos para la TI en la empresa.
Los participantes en el IBM Global IT Risk Study coincidieron en que invertir en la gestión de riesgos para la TI puede suponer grandes beneficios para la empresa, sobre todo en lo que se refiere a la continuidad empresarial (74 por ciento) y la protección de la reputación de la compañía (32 por ciento, véase Ilustración 5). Según los encuestados, gestionar el riesgo de la TI debería considerarse como algo más que una táctica defensiva. También mencionaron una mayor agilidad, menores costes, nuevas oportunidades de crecimiento y menor complejidad como ventajas obtenidas gracias a una mejor gestión de los riesgos de la TI.7
IBM Global Business Services 7
Caso de ejemplo: Los retos de las auditorías relacionados con los riesgos del control de la seguridad en TI impulsan la modernización de la gestión de la TI
Una importante institución financiera norteamericana tenía que hacer frente a controles significativos de negocio y gestión de TI, tanto dentro como fuera de la compañía. Su auditor externo había detectado importantes deficiencias, por ejemplo en la aplicación de la Ley Sarbanes-Oxley (SOX), al tiempo que las auditorías internas generaban numerosos informes desfavorables sobre la seguridad de la TI.
La compañía planeaba implementar un exhaustivo y sólido programa de gestión, basado en las mejores prácticas del sector, así como un sistema que ayudara a garantizar que los nuevos controles se actualizaran y mejoraran periódicamente. El proceso dio comienzo con una exhaustiva evaluación de la seguridad de la compañía y del sistema de controles al completo, incluidos los controles generales de TI, los controles de las aplicaciones y la gestión de la TI. Se evaluó la gestión de la seguridad de la información corporativa, incluida la revisión de los procesos
de seguridad y la elaboración o actualización de políticas, estándares y procedimientos.
Las carencias detectadas se cubrieron estableciendo cuatro comités de gestión de la TI con políticas, estándares y procedimientos bien definidos. Además, la compañía implementó un marco de gestión de la TI y un conjunto de herramientas de apoyo que solucionaban con éxito problemas y deficiencias relacionadas con los informes financieros en los ámbitos de la seguridad, de la integridad de los datos, de la gestión de cambios y de las operaciones.
Los esfuerzos dieron sus frutos y dicha institución financiera obtuvo una auditoría de su estado financiero limpia y una opinión SOX satisfactoria de su auditor externo, algo de lo que no habían sido capaces en los tres años anteriores. Esto permitió a la compañía registrar una nueva oferta de acciones comunes con la Comisión Nacional del Mercado de Valores (SEC) que aumentó la confianza de los inversores e incrementó su valor bursátil. Además, pudo institucionalizar el programa del ciclo de vida de la gestión de la TI para facilitar la mejora continua de sus procesos y prácticas de seguridad y gestión de la TI.
2. Trabajar conjuntamente La seguridad no se detiene en los límites organizativos. Las empresas de éxito necesitan implementar y aplicar la excelencia en seguridad en toda la empresa. Ello supone involucrar a todas las partes implicadas, incluidos:
• Clientes – Desarrollar y comunicar políticas de tratamiento de los datos personales. Ser siempre transparente y solucionar rápidamente las vulneraciones en la privacidad.
• Trabajadores – Establecer expectativas claras sobre seguridad y privacidad. Ofrecer formación para identificar y abordar riesgos para la seguridad. Gestionar el acceso y el uso de sistemas y datos.
• Socios – Trabajar con las organizaciones en toda la cadena de suministro para desarrollar e implementar estándares de seguridad. Informar sobre los riesgos y gestionarlos, incluidas la incidencias de seguridad, como una parte más de las operaciones de la empresa.
• Auditores – Adecuar la empresa al riesgo para la TI. Contribuir a los sistemas de control. Realizar revisiones periódicas de políticas normativas y empresariales.
• Organismos reguladores – Gestionar los riesgos regulatorios y demostrar el cumplimiento de las disposiciones existentes. Revisar y modificar los controles existentes en función de requisitos cambiantes.
8 Gestionar las amenazas en la era digital
Caso de ejemplo: Una gestión eficaz facilita el cumplimiento y mejora la capacidad de respuesta ante auditorías
En vista de la multitud de auditorías a las que tenía que hacer frente cada año, una compañía norteamericana de seguros de salud buscaba gestionar el riesgo e implementar y mantener controles prudentes en lugar de tener que reaccionar a cada informe de las auditorías. Además, pretendía reducir el impacto que tenían dichas auditorías en la actividad de la empresa. Al mismo tiempo, la empresa necesitaba cumplir nuevas disposiciones reglamentarias del sector de los seguros, como las relacionadas con la Health Insurance Portability and Accountability Act (HIPAA) y la National Association of Insurance Commissioners (NAIC) Model Audit Rule.
La solución implicaba una revisión a fondo de la estructura de gestión de los procesos de TI de la aseguradora. Como
parte de este cometido, la compañía estableció controles de gestión de la TI de referencia en el sector que abarcaban todas sus operaciones y unidades de negocio, incluida la gestión de 15 procesos esenciales de TI. Para cada uno de ellos se utilizó un proceso cíclico que identificaba el riesgo y definía el marco de control estableciendo, implementando y aplicando los procedimientos de gestión, sometiéndolos a prueba y, por último, supervisando los resultados y elaborando informes sobre ellos.
Los nuevos controles no solo ayudaron a la compañía a supervisar el cumplimiento de las normativas y disposiciones del sector, sino que también le permitieron adecuar el negocio a la TI, gestionar el riesgo e incrementar la seguridad. Hoy en día, esta empresa puede reaccionar a las auditorías de forma más eficiente y coherente – y ha reducido en torno a la mitad los esfuerzos necesarios para responder a las auditorías.
3. Anticiparse de forma inteligenteUtilice herramientas analíticas para detectar los riesgos de forma activa e identificar, controlar y abordar amenazas. Dado que las empresas necesitan reforzar sus defensas de seguridad, el uso de los análisis predictivos cada vez juega un papel más importante (véase Ilustración 6). Son capaces de establecer una sofisticada correlación para detectar amenazas avanzadas y persistentes, poseen un sentido de la gestión y aplican procesos automatizados para los riesgos empresariales, en definitiva, constituyen la base para fomentar la seguridad inteligente.
Ello implica la capacidad de:
• Identificar patrones en vulneraciones anteriores y amenazas externas para predecir posibles zonas de ataque
• Detectar comportamientos en los sistemas de los trabajadores para identificar patrones de posibles malos usos
• Controlar el entorno externo para detectar posibles amenazas para la seguridad.
Fuente: Análisis IBM.
Ilustración 6: Utilización de análisis para destacar los riesgos de forma activa e identificar, controlar y abordar amenazas.
Personas Datos Aplicaciones InfraestructuraOpti-mizado
• Gestión del servicio, riesgo y cumplimiento• Correlaciones avanzadas y análisis exhaustivos
• Análisisbasadosenroles
• Controles de usuario privilegiado
• Análisisdelflujodedatos
• Gestión de datos
• Desarrollo seguro de aplicaciones
• Detección de fraudes
• Control avanzado de redes y análisis de intrusiones
• Sistemas seguros
Avanzado • Gestión de identidades• Autenticación sólida
• Supervisión de actividades
• Prevención de pérdida de datos
• Firewall para aplicaciones
• Escaneo del código fuente
• Gestión de activos• Gestión de la seguridad
relativa a los puntos finalesyalared
Básico • Contraseñas e identificacionesdeusuario
• Cifrado• Control de accesos
• Exploración de vulnerabilidades
• Seguridad perimetral• AntivirusIn
telig
enci
a d
e se
gu
rid
ad
IBM Global Business Services 9
Caso de ejemplo: Los procesos analíticos permiten actualizar las capacidades frente a riesgos de seguridad
Además de buscar una forma “más inteligente” de hacer frente a las amenazas, una compañía farmacéutica global pretendía reducir el coste y la complejidad de su entorno de seguridad, basado en múltiples distribuidores. La falta de correlación entre las amenazas detectadas y los datos de vulnerabilidades de su antigua infraestructura de seguridad dificultaban la identificación de incidencias verdaderamente críticas. Además, se necesitaban recursos cualificados para supervisar activamente las alertas de múltiples dispositivos de seguridad en tiempo real y emprender acciones antes de que se produjera alguna vulneración.
Utilizando soluciones de software de seguridad, asesoramiento especializado y servicios gestionados, la empresa pudo ampliar la protección y reducir el coste y la
complejidad. Hoy en día se analizan millones de incidencias de seguridad de múltiples distribuidores en todo el entorno de computación de la empresa y una sofisticada tecnología analítica procesa datos de incidencias de seguridad en tiempo real. Además, se utiliza conocimiento experto para corregir rápidamente los problemas y reducir las ventanas de vulnerabilidad. Los informes permiten a la organización hacer un seguimiento y observar tendencias en los datos de vulnerabilidades y amenazas a lo largo del tiempo para obtener una visión más amplia de su estado de seguridad.
Como parte de esta transformación en materia de seguridad, la empresa fue capaz de consolidar cinco entornos de diferentes proveedores en uno. Y lo que es más importante, al adoptar un enfoque activo la compañía redujo sus costes de gestión de la seguridad en un 57 por ciento, al tiempo que las incidencias de seguridad críticas cayeron de 10.000 al día a 15.
¿Dispone su empresa de seguridad inteligente?Basándose en las posibles amenazas y en las posibilidades de mitigar estos riesgos utilizando seguridad inteligente más avanzada, las organizaciones deberían considerar sus respuestas a las siguientes preguntas:
Dominios de seguridad• ¿Cuál es su plan para evaluar sus riesgos de seguridad?• ¿De qué manera detecta las amenazas y crea informes sobre el
cumplimiento en todos los dominios?• ¿Dispone de alguna funcionalidad para conservar registros y
realizar auditorías?• ¿Qué procesos utiliza para gestionar la respuesta ante
incidencias y la recuperación tras desastres?• ¿De qué manera involucra al personal interno y externo clave
en las cuestiones de seguridad?
Personas• ¿En qué medida ha desarrollado un programa de identidades?• ¿Cómo sabe lo que hacen los usuarios autorizados?• ¿Cuál es su plan para automatizar la gestión de identidades y la
gestión basada en roles?
Datos• ¿De qué manera ha clasificado y cifrado los datos críticos?• ¿Cómo sabe si hay datos críticos que salen de su red?• ¿Cómo controla el acceso a los datos, incluido el acceso
privilegiado?
Aplicaciones• ¿De qué manera integra la seguridad en el proceso de
desarrollo de aplicaciones desde el primer día?• ¿Cómo comprueba periódicamente su página web para
detectar vulnerabilidades?• ¿Cuál es su enfoque para probar aplicaciones heredadas en
busca de posibles exposiciones al riesgo?
Infraestructura• ¿Cómo aplica parches rápidamente a dispositivos conectados?• ¿De qué manera supervisa el tráfico de red entrante y saliente?• ¿Cómo está integrando la seguridad en las nuevas iniciativas
(como la nube, los móviles, etc.)?
�� Gestionar las amenazas en la era digital
Conclusión: Los riesgos reales requieren una gestión integradaEn el mundo actual, cada vez más complejo e interconectado, los riesgos son reales y se van incrementando exponencialmente. Una empresa que delega las cuestiones de seguridad únicamente en los CIO está agravando sus factores de riesgo. Más que nunca, cada miembro directivo de la empresa es responsable de una parte considerable – y juega un papel sumamente importante – a la hora de garantizar la seguridad de los datos y el capital intelectual que fluye a través de la organización (véase Ilustración 7). Y es que existe un denominador común: la seguridad, hoy por hoy, es algo más que una mera cuestión técnica, por lo que requiere un debate sincero sobre el riesgo, la inversión y la adopción de un enfoque preventivo ante los problemas de seguridad.
Pero seamos claros, no todos los posibles riesgos y contingencias pueden abordarse de forma rentable. Las organizaciones deben priorizar el impacto en la empresa de los posibles riesgos en lugar de intentar protegerse de toda
amenaza posible. Sin embargo, esta priorización depende de la información que aporten los diversos directivos de la organización, quienes ofrecen una perspectiva única de sus disciplinas concretas.
Si desea más información sobre este estudio del IBM Institute for Business Value, póngase en contacto con nosotros en la dirección [email protected]. Para solicitar un catálogo completo de nuestras investigaciones, visite la página:
ibm.com/iibv
Sea el primero en recibir las últimas novedades del IBM Institute for Business Value. Suscríbase a IdeaWatch, un boletín electrónico mensual con informes ejecutivos que ofrecen recomendaciones y conocimientos estratégicos basados en nuestras investigaciones:
ibm.com/gbs/ideawatch/subscribe
Fuente: Análisis IBM.
Ilustración 7: La seguridad es una responsabilidad de la dirección.
CEO CFO COO CIO CHRO CMOEvitar que los riesgos para la seguridad afecten al valor y a la confianzadelosaccionistas
Conocer las implicaciones financierasdelasincidencias adversas para la seguridad
Evaluar el impacto de las alteraciones de los sistemas de TIenlasoperaciones en curso
Comprender los efectos que se producensobreelnegocio derivados de los fallos en la seguridad de la información
Determinar los riesgos asociados a la divulgación injustificadadedatos de los trabajadores
Abordarproblemascon la marca relacionados con las vulneraciones en la seguridad
IBM Global Business Services ����
El socio ideal para un mundo en constante cambioEn IBM colaboramos con nuestros clientes aunando conocimientos empresariales, avanzadas investigaciones y tecnología para ofrecerles una ventaja que los haga destacar en el cambiante entorno actual. A través de nuestro enfoque integrado entre empresa y ejecución, le ayudamos a que sus estrategias entren en acción. Además, gracias a nuestra experiencia en 17 sectores y a nuestras capacidades globales que abarcan 170 países, podemos conseguir que los clientes se anticipen al cambio de forma global y se beneficien de nuevas oportunidades.
Acerca de los autoresJohn Lainhart es Global Security & Privacy Service Area Leader y U.S. Public Sector Cybersecurity & Privacy Service Area Leader de IBM Global Business Services. Representa a IBM como miembro de la Data Integrity Task Force del Assurance Services Executive Committee en el American Institute of Certified Public Accountant (AICPA) y en el Strategic Advisory Council del Center for Internet Security. Ha ocupado numerosos cargos en la Information Systems Audit and Control Association/IT Governance Institute, entre ellos Presidente Internacional. En la actualidad es miembro del Framework Committee y Presidente conjunto de la CobiT® 5 Task Force, así como Asesor voluntario principal de las iniciativas relacionadas con la gestión de la TI, CobiT®, ValIT®
y RiskIT®. Puede contactar con él en la dirección [email protected].
Steve Robinson es Director General de IBM Security Solutions, con responsabilidad a escala mundial sobre las iniciativas de seguridad de IBM en las divisiones de productos de seguridad y servicios. Como líder estratégico, dirige a los equipos de desarrollo de software, hardware y servicios, así como a los equipos de marketing y venta de seguridad. Desde 2005, antes de ocupar este cargo, Steve fue Vicepresidente en la división mundial de ventas de IBM Rational Software y asumió la responsabilidad de la estrategia de ventas y su implantación para la marca Rational, liderando una plantilla a escala mundial de más de 1.000 profesionales de ventas, equipos de canales y una amplia comunidad de relaciones estratégicas, incluidos socios comerciales, integradores de sistemas y proveedores de software independientes. Steve pasó a formar parte de IBM en 1984 y ha ocupado numerosos cargos directivos en las divisiones de ventas, servicios técnicos y gestión de productos. Puede contactar con él en la dirección [email protected].
Marc van Zadelhoff es el Director de estrategia mundial de IBM Security Solutions, responsable de la gestión, el presupuesto y el posicionamiento global de las soluciones de toda la gama de software y servicios de IBM a escala mundial. Como tal, dirige el Consejo Asesor de clientes de IBM y se reúne con clientes en todo el mundo para desarrollar las directrices de IBM. Anteriormente en IBM, Marc se ha encargado de las fusiones y adquisiciones de seguridad para Tivoli, del equipo de marketing para Internet Security Systems (ISS) y, más recientemente, del desarrollo empresarial, estratégico y de carteras para IBM Security Services en la división Global Technology Services. Marc inició su carrera como consultor estratégico. Puede contactar con él en la dirección [email protected].
�2 Gestionar las amenazas en la era digital
ColaboradoresLinda Ban, Directora Global del estudio CIO, Estudios AIS, IBM Institute for Business Value, IBM Global Business Services
Hans A.T. Dekkers, Asociado, IBM Global Business Services
Peter Korsten, Socio y Vicepresidente, Global Leader, IBM Institute for Business Value, IBM Global Business Services
Eric Lesser, Research Director and North American Leader, IBM Institute for Business Value, IBM Global Business Services
Kristin Lovejoy, Vicepresidenta, Riesgo TI, organización IBM BT/CIO
Wolfram Stein, Socio y Vicepresidente, Global Strategy & Transformation Service Line Leader Executive, Servicios de asesoramiento, IBM Global Business Services
Nichola Tiesenga, Socia, Public Sector, Cybersecurity and Privacy, IBM Global Business Services
Marisa Viveros, Vicepresidenta, IBM Security Services, IBM Global Technology Services
Referencias1 International Telecommunications Union. “Global Number
of Internet Users, total and per 100 Inhabitants, 2000-2010.” United Nations. http://www.itu.int/ITU-D/ict/statistics/material/excel/2010/Internet_users_00-10_2.xls
2 Ericsson. “More than 50 billion connected devices – taking connected devices to mass market and profitability.” 14 de febrero de 2011. http://www.ericsson.com/news/110214_more_than_50_billion_244188811_c
3 IDC “Digital Universe Study,” subvencionado por EMC. Mayo de 2010.
4 McMillan, Robert. “Siemens: Stuxnet worm hit industrial systems.” ComputerWorld. 14 de septiembre de 2010. http://www.computerworld.com/s/article/print/9185419/Siemens_Stuxnet_worm_hit_industrial_systems?taxonomyName=Network+Security&taxonomyId=142
5 Greene, Tim. “Worst-case projected cost of Epsilon breach: $4B.” NetworkWorld. 1 de mayo de 2011. http://www.networkworld.com/news/2011/050111-epsilon-breach-costs.html
6 Fildes, Jonathan. “What is Wikileaks?” BBC. 7 de diciembre de 2010. http://www.bbc.co.uk/news/technology-10757263
7 Ban, Linda B., Richard Cocchiara, Kristin Lovejoy, Ric Telford y Mark Ernest. “The evolving role of IT managers and CIOs.” IBM Institute for Business Value. Septiembre de 2010. http://www-935.ibm.com/services/us/gbs/thoughtleadership/ibv-global-it-risk-study.html
Por favor, recicle.
© Copyright IBM Corporation 2011
IBM Global Services Route 100 Somers, NY 10589 U.S.A.
Elaborado en los Estados Unidos de América Agosto de 2011 Todos los derechos reservados
IBM, el logotipo de IBM e ibm.com son marcas comerciales o marcas comerciales registradas de International Business Machines Corporation en los Estados Unidos y/o en otros países. Si estos u otros términos registrados de IBM son señalados en su primera aparición en la presente información con un símbolo de marca registrada (® o ™), estos son símbolos que indican marcas comerciales registradas en los Estados Unidos o adquiridas por derecho consuetudinario que son propiedad de IBM en el momento de la publicación de la presente información. Dichas marcas registradas también pueden ser marcas registradas o adquiridas por derecho consuetudinario en otros países. Se encuentra disponible, en el apartado “Información sobre derechos de autor y marcas registradas”, una lista actualizada de las marcas registradas de IBM en ibm.com/legal/copytrade.shtml
El resto de nombres de empresas, productos y servicios pueden ser marcas comerciales, marcas de servicio o de otro tipo.
Las referencias hechas en la presente publicación a productos y servicios de IBM no implican que IBM tenga la intención de comercializar dichos productos o servicios en todos los países en los que opera.
GBE03423-ESES-01