FlagSábado, 20 Abril 2019

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

ciberseg 68 01

En el año 2013 ocurrió uno de los ataques más significativos a la vertical de retail en los Estados Unidos. NBC News1 indicó en su análisis que durante los cuatro años de la investigación por el robo de 40 millones de tarjetas bancarias se determinó una penalización de $18.5 millones de dólares para resolver los reclamos interpuestos en 47 estados y el distrito de Columbia. Sin embargo, el costo total de la violación de datos ascendió a $202 millones de dólares para la empresa Target.

 

ciberseg 68 02“Recordemos que, en 2013, la cadena de tiendas Target en los Estados Unidos fue víctima de un ciberataque; este se dio a través de una Pequeña Empresa proveedora de sistemas de refrigeración y aire acondicionado, la cual monitoreaba el consumo de energía eléctrica y la temperatura en las tiendas para ahorrar costos y aumentar la eficiencia operacional. Hoy en día muchos países de la región están adoptando legislaciones de Protección de Datos similares al GDPR de la Unión Europea, que agregan más responsabilidad y presión a las Pequeñas y Medianas Empresas. Una gran empresa podría sobrevivir al costo financiero de un ciberataque, pero en una PyME, esto puede significar la quiebra”, contextualiza Eduardo Montellano, distribution account manager para Kaspersky Lab México.

A pesar de que el blanco final para los atacantes fue el acceso a 40 mil de los 60 mil puntos de venta del retailer, la raíz de este inesperado desembolso millonario fue que los hackers aprovecharon una vulnerabilidad en el protocolo que conecta a los dispositivos de la red, en este caso los aires acondicionados a cargo de un pequeño proveedor. El evento coincide con las estadísticas de Fortinet donde se detalla que 60 por ciento de las PyMEs que sufrieron un ciberataque debieron cerrar sus puertas dentro de los seis siguientes meses del hecho.

El riesgo es alto para este perfil empresarial y cabe destacar, tampoco es algo desconocido o nuevo; “si bien existe mayor conciencia sobre los riesgos de ciberseguridad, aún hay una barrera cultural que impide la implementación de estrategias masivas de higiene digital, que junto con esa visión de ‘a mí no me va a pasar’, llega a provocar que nos demos cuenta de un incidente de seguridad cuando este ya sucedió. La falta de una verdadera cultura de ciberseguridad, la creciente adopción de dispositivos del Internet de las Cosas (IoT), sistemas de red distribuidos, más la brecha de habilidades en ciberseguridad, combinada con la naturaleza oportunista de los ciberataques actuales, han creado una tormenta perfecta para las PyMEs”, considera Eduardo Zamora, director general de Fortinet México.

ciberseg 68 04Trasladado a cifras objetivas, el ESET Security Report más reciente desglosó un apartado específicamente abordando la problemática que viven las PyMES. Miguel Mendoza, investigador de seguridad para ESET dijo que del total de Pequeñas y Medianas Empresas que participaron de la encuesta, el 25% no cuenta con una solución de seguridad antivirus, que podría considerarse una protección básica; a pesar de que según el estudio se registran diariamente 30 mil nuevas variantes de ataques para el sistema operativo Android.

Otro referente de esta gran problemática se vislumbró en el evento gratuito llamado PymTech dentro del panel Ciberseguridad en tu negocio, donde de acuerdo con El Financiero2 se dio a conocer que los problemas más comunes para el perfil de empresarios PyME son el robo de datos, spoofing y ransomware. “En cuanto se conectan a internet se enfrentan a un ataque que no necesariamente esté en México, puede venir de otra parte del mundo. AT&T ve todos los días millones de ataques a clientes y a nivel global 160 millones”, cita el portal con comentario de Erick Armas, AVP de Seguridad de la Red AT&T.

Estar a la vanguardia

Miguel Mendoza de ESET dijo que, en cuanto a las pymes, la protección no deber ser indistinta de las grandes corporaciones. No obstante, considera observar tres elementos básicos, uno de ellos es hacer conscientes a las personas que son parte de la organización sobre el nivel de riesgo que es la falta de ciberseguridad como parte de sus procesos. Esto conlleva un segundo nivel, que es la educación en seguridad informática, en la cual se debe incluir estar informados de manera constante sobre amenazas y cómo protegerse de ellas.

Una vez que las organizaciones tienen claramente delimitado su perfil de buenas prácticas entra un tercer elemento, la tecnología enfocada en reconocer comportamiento de malware. Ya que las amenazas son cada vez más sofisticadas, y por ende, la tecnología debe avanzar a la par considerando lo que cada perfil de empresa requiera.

Uno de los ejemplos es el modelo integrado, amplio y automatizado que pone en la mesa Fortinet, dentro de Fortinet Security Fabric, el cual plantea una seguridad donde todos los componentes se comunican entre sí. Por tanto la administración es centralizada y la empresa no requiere invertir en diferentes soluciones que agregan complejidad y mayores costos.

Por su lado, Kaspersky Lab despliega varias soluciones que han sido desarrolladas con las Pequeñas y Medianas Empresas en mente. Para empresas entre 5 y 50 equipos o dispositivos, proponen a los canales Kaspersky Small Office Security, la cual es fácil de instalar y de administrar. Ofrece protección para computadoras y laptops, servidores de archivos y para dispositivos móviles, destacando en la protección contra fraudes financieros.

Para Medianas Empresas de hasta 1,000 dispositivos, es recomendado Kaspersky Endpoint Security Cloud, con una consola de administración basada en la nube que permite gestionar la protección de varios endpoints, dispositivos móviles como smartphones y tablets; así mismo la protección de servidores de archivos desde cualquier lugar, simplemente utilizando su navegador de Internet. En ambos casos, se puede agregar un módulo para proteger Office 365 y la solución de correo electrónico de Microsoft.

Mientras tanto, ESET tiene para este segmento del mercado ESET Endpoint Protection Advanced Cloud, una tecnología de múltiples niveles, basado en Machine Learning y experiencia humana de sus ingenieros y los laboratorios de investigación, combinados con la administración automatizada de seguridad que ofrecen protección ante ataques dirigidos y ransomware. Para empresas más demandantes la opción es ESET Secure Business que agrega a la propuesta anterior una protección para servidores de archivos, como los de correo electrónico, que filtra el spam y malware antes de que llegue siquiera a la bandeja de los distintos usuarios. En ambas modalidades se recomienda el módulo ESET Identity & Data Protection que además de la protección de los datos, permite que las PyMEs cumplan las normativas con sus tecnologías de autenticación en dos pasos y cifrado para endpoints.


Opex, un ganar-ganar

Particularmente en el espacio de las PyMEs, es común que el canal se encuentra con la falta de equipos dedicados de TI y ciberseguridad. Esto significa que los recursos técnicos son limitados cuando se trata de seleccionar, implementar y asegurar la infraestructura. Conforme las organizaciones buscan cómo reducir esta complejidad operativa, Fortinet recomienda a los canales insertar su oferta de servicios para ayudar en la selección e integración de herramientas, racionalizar los procesos de seguridad y desarrollar el seguimiento.

ciberseg 68 03“Los socios del canal siempre han sido un elemento crítico. Nuestro objetivo es permitir a nuestros partners transformar la seguridad de sus clientes, permitiéndoles proteger los requisitos de su red en evolución. Eso significa proporcionarles a los integradores la tecnología de seguridad y el soporte que necesitan para ofrecer los servicios de protección y valor agregado líderes en la industria, lo que permita a sus clientes implementar estrategias de transformación digital con éxito y confianza”, indica Eduardo Zamora de Fortinet.

Es importante señalar que en América Latina, las Pequeñas y Medianas Empresas migran paulatinamente hacia un modelo de suscripción porque con pocos fondos pueden adquirir las últimas y más innovadoras tecnologías, es decir, a través de un pago mensual por consumo (Opex). Sobre todo en software tiene mucho sentido este tipo de modelo ya que adicionalmente le permite a la empresa escalar a más elementos de ciberseguridad, pagando solo por lo que usan y tener más flujo de caja disponible para el Capex. No muy alejado del tema, dentro de PymTech, el panel de discusión acotó que los proyectos de este perfil combinan seguridad en entornos de red propios y en la nube, así como también los servicios de seguridad administrada.

“Sin embargo, esto también requiere de Socios de Negocio más responsables con sus clientes y mejor preparados operativamente, pues no es lo mismo facturar a 100 clientes una vez al año -en caso de licenciamientos anuales- que facturar a 100 clientes una vez al mes”, aconseja al respecto Eduardo Montellano de Kaspersky Lab México, quien recomendó adicionalmente Kaspersky IT Security Calculator, tras recopilar datos estadísticos y económicos de la región latina. Esta herramienta ayuda a determinar presupuestos para proyectos de seguridad informática.

De acuerdo con los voceros, un punto ideal de partida para estas PyMEs debería oscilar entre el 20 y 23 por ciento de su presupuesto. Sin embargo, tomando como referencia que el rango de inversión está en el 5 por ciento, el pronóstico de crecimiento hacia un 15 por ciento del presupuesto, luce alentador para la industria en general y sobre todo, la oportunidad comercial que los canales tienen frente de sí.

Fuentes de Consulta:

1. NBC News “Target Settles 2013 Hacked Customer Data Breach For $18.5 Million”, [disponible en] https://www.nbcnews.com/business/business-news/target-settles-2013-hacked-customer-data-breach-18-5-million-n764031 [consultado] 22 de enero 2019.
2. El Financiero “¿Tienes una Pyme? Protégela de los ciberataques”, [disponible en] https://www.elfinanciero.com.mx/tech/tienes-una-pyme-protegela-de-los-ciberataques [consultado] 22 de enero 2019.