Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador

Transcripción

1 Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador Jorge Villar Gerente de Ingeniería, Symantec México Junio 10, 2008

2 Agenda Quién es Symantec? El Sector Asegurador en México y Por Qué Llama la Atención de los Atacantes Panorama Actual de la Seguridad en Internet 4 Cómo evitar pérdidas de información?

3 Quién es Symantec?

4 Quién es Symantec? Fundada en 1982 Presencia en 40 países con más de 17,500 empleados 4ta. mayor compañía independiente de software en el mundo Forma parte de la lista FORTUNE 500 en el lugar 461 Apoya al 99% de las empresas en la lista de FORTUNE 1000 Más de 50 millones de consumidores activos + de 400 patentes registradas 15% inversión anual en investigación y desarrollo

5 Generalidades del Mundo Conectado Los consumidores viven un cambio digital Las empresas tienen nuevas maneras de conectarse Symantec Corporate Overview 5

6 Generalidades del Mundo Conectado Los consumidores enfrentan una gran variedad de amenazas Las empresas necesitan administrar los riesgos de TI y enfrentar la complejidad de TI Symantec Corporate Overview 6

7 El papel de Symantec es ASEGURAR, ADMINISTRAR Y RECUPERAR Las Interacciones La Información La Infraestructura

8 El Sector Asegurador en México

9 Sector Asegurador en México Los seguros ofrecen un servicio valioso a la economía: Permiten la transferencia de riesgos Son elementos estabilizadores Sector con rápido crecimiento a nivel local Crecimiento = Mayor número de asegurados y mayores volúmenes en el manejo de información Mayor cultura de prevención entre la población y mayor oferta Se estima que para 2015 el sector de seguros en México crecerá 177% y pasará de una participación de 1.8% del PIB a 5% (AMIS)

10 Por qué el Sector Asegurador puede ser de interés para los atacantes? Los atacantes y ladrones cibernéticos han cambiado sus intereses, ahora el blanco son los usuarios y buscan robarles información valiosa que después venden en el mercado negro Sector con tendencia a la digitalización (fotografías, portales, sistemas de registro, etc.) Las aseguradoras manejan información confidencial de los clientes (imágenes, bancos de datos, imágenes de siniestros, información personal de los asegurados, etc.) De acuerdo con la Federación Interamericana de Empresas de Seguros, un tercio de los directivos ven la pérdida de información como la mayor amenaza para sus negocios, por ello se deben tomar medidas para prevenir la pérdida de datos y/o información

11 Panorama de la Seguridad en Internet ISTR 13, Mayo 2008

12 Symantec Global Intelligence Network 4 Symantec SOC s 80 países monitoreados por Symantec Más de 40,000 sensores registrados en más de 180 países 11 Symantec Security Response Centers > 7,000 Dispositivos Administrados (Seguridad) Millones de Sistemas en el Mundo + 2 Millones Probe Network + Red Avanzada de Cuentas Señuelo Tokyo, Japan Calgary, Canada Dublin, Ireland San Francisco, CA Mountain View, CA Reading, England Chengdu, China Culver City, CA Austin, TX Alexandria, VA Pune, India Taipei, Taiwan Chennai, India Sydney, Australia 12

13 Panorama General de Amenazas La Web se está convirtiendo rápidamente en punto de distribución para los códigos maliciosos y para los ataques La actividad maliciosa se dirige a los usuarios finales, más que a los equipos Consolidación y maduración del mercado negro (economía subterránea) Producción especializada y aprovisionamiento Outsourcing Precios variables Modelos de negocio flexibles Rápida adaptación de los atacantes y de la actividad de los ataques 13

14 Tendencias de los ataques - Actividad maliciosa América Latina En América Latina, Brasil fue el principal país con más actividad maliciosa en América Latina y el noveno a nivel mundial. Estuvo seguido de Argentina y México 14

15 Origen de los ataques hacia América Latina

16 Fugas de información por Sector El sector educativo cuenta con la mayoría de las fugas de datos, con 24% 57% de las fugas de datos se debieron a pérdidas o robos, mientras que las políticas sobre inseguridad representaron el 21% de las fugas. 16

17 Causas de las Fugas de información Las pérdidas y robos siguen siendo la causa principal de la pérdida de datos dentro de todas las fugas de datos e identidades expuestas lo que puede asociarse al uso de dispositivos personalizados. 17

18 Phishing - Tendencias Los sitios de redes sociales son más usados por los phishers 66% de los sitios Web conocidos para phishing se localizaron en Estados Unidos, le siguen China (14%) y Rumania (5%) Los principales objetivos en 5 de los principales 10 países que albergan sitios para phishing fueron sitios de redes sociales Las marcas más usadas en ataques de phishing corresponden al sector financiero (80%) 18

19 Spam Por categoría En el segundo semestre de 2007, el spam relacionado con productos comerciales fue la primera categoría (27%), seguido del spam relacionado con Internet (20%) México es el 4to. país que más spam genera en América Latina Fuente: Symantec ISTR, Abril 2008 Symantec Information Foundation: 19

20 Y a dónde va la información? Mercado Negro - Especialización Incremento en el número de nuevas amenazas Existencia de organizaciones que emplean programadores y autores especializados dedicados a la producción de este tipo de códigos maliciosos +50% en 6 meses Symantec Information Foundation: 20

21 Mercado Negro Qué venden? Cuentas bancarias y tarjetas de crédito son lo más vendido. Los precios se reducen en ventas de bienes en grandes cantidades y se observan modelos de negocio flexibles y específicos por entorno Symantec Information Foundation: 21

22 Cómo evitar las pérdidas de información en el sector asegurador? Symantec Information Foundation:

23 La pérdida de datos es una realidad

24 una realidad costosa Costos Directos e Indirectos de una Fuga de Información que se Reportó y se Hizo Pública Los costos de remediación pueden variar entre USD$100 USD$300 por cada expediente y/o récord de cliente perdido Notificación al cliente Oferta de monitoreo de crédito Acciones de remediación de TI Honorarios de auditoría Costos indirectos significativos Pérdida de reputación de marca y confianza de los clientes Demandas, caída en precios de la acción, etc. Pérdidas de clientes e ingresos esperadas 14% 12% 10% 8% 6% 4% 2% ,000 10, ,000 Número de empleados *Julio 2007, IT Policy Compliance Group

25 Panorama de los Riesgos de TI Amenazas internas y externas Dejar las cosas malas afuera y las buenas adentro Desastres naturales y fallas de sistemas Mantener los sistemas funcionando y asegurar una rápida recuperación Políticas de TI y Regulaciones Externas Asegurar controles adecuados y automatizar la recolección de evidencias Desempeño de aplicaciones y TI Optimizar recursos y asegurar configuraciones correctas Symantec Information Foundation:

26 MITO 1: Los riesgos de TI son iguales a los riesgos de seguridad IMPORTANCIA DE LOS RIESGOS DE TI POR CATEGORÍA 78% 70% 63% 68% Antes: Riesgo = Seguridad Hoy: Riesgo = Disponibilidad + Seguridad + Compliance + Desempeño Los datos del informe indican que los profesionales de las TI están adoptando un punto de vista más amplio sobre los riesgos de las TI, abarcando mucho más que la simple seguridad. Hace un año, la seguridad era la principal preocupación

27 MITO 2: La administración de riesgos de TI es solo un proyecto CUÁNDO O CADA CUÁNDO ESPERA QUE EN SU ORGANIZACIÓN OCURRA UN INCIDENTE RELACIONADO CON UNA PÉRDIDA IMPORTANTE DE INFORMACIÓN? 62% = al menos una vez al año Hoy, la administración de riesgos de TI debe ser un proceso contínuo y permanente que se ajuste o adapte a los cambios de la organización y el entorno y no un proyecto aislado

28 MITO 3: La tecnología por sí misma disminuye los riesgos de TI CUÁNDO HA TENIDO UN INCIDENTE DE TI, CUÁL HA SIDO LA CAUSA PRINCIPAL DEL MISMO? - Aunque la tecnología es fundamental en la administración de riesgos de TI, las personas y los procesos (apoyados por la tecnología) determinan la efectividad de la estrategia por lo que deben ser analizados y tomarse en cuenta

29 MITO 4: La administración de riesgos de TI es una ciencia Antes = Administración de riesgos de TI como un conjunto de principios y relaciones aplicables en todas las industrias y países (receta infalible) Hoy = Conciencia sobre la existencia de diferencias en los riesgos que cada organización enfrenta y sus activos más valiosos La administración de riesgos de TI debe ser un ejercicio defensivo o pro-activo Symantec ve la Administración de riesgos de TI como una disciplina empresarial que evoluciona constantemente no como una ciencia

30 Más Vale Prevenir Mejores Prácticas IT & Information Risk Management MEDIR RIESGO E IMPACTO: Antes de tomar acción, hay que medir la probabilidad de cada riesgo, lo que ayudará a detectar carencias e identificar prioridades. Symantec a través de INFORM puede ayudarle en esta actividad y soluciones como Backup Exec y Enterprise Vault pueden ayudarle a reducir ciertos riesgos. CREAR UNA CULTURA DE RIESGOS: A través de la Administración de Riesgos de TI se debe crear una cultura dentro de la empresa que cubra los objetivos de negocio, los riesgos de TI, los costos de mitigación y sus relaciones. EDUCAR AL PERSONAL: Es importante capacitar al personal y valorarlo. En un estudio separado, IDC y Symantec encontraron que entrenar al equipo y sus habilidades tienen un fuerte impacto en el desempeño de TI. TIEMPO AL TIEMPO: Se debe de hacer una planeación adecuada y tomarse el tiempo necesario para implementar un programa de Administración de Riesgos de TI. La experiencia de Symantec señala que puede tomar de 3 a 5 años para que la Administración de Riesgos de TI sea completamente efectiva.

31 Gracias Jorge Villar, Symantec México Copyright 2008 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.