Categoría: Cybersecurity

21 Jun 2019

Pensando Dentro De La Caja: Abordar Cibervulnerabilidades Internas

En ciberseguridad, es fácil obsesionarse con los factores maliciosos externos y perder de vista el panorama completo, el cual incluye también a las vulnerabilidades internas. Cuando se trata de ciberseguridad, la mejor defensa incluye apuntalar sus defensas internas porque muchas vulnerabilidades críticas se encuentran demasiado cerca como para estar tranquilos.

¿Qué es una cibervulnerabilidad interna?

Una vulnerabilidad es una falla en un sistema que lo expone a un riesgo de ataque. En ciberseguridad, estas vulnerabilidades pueden estar relacionadas a los procesos y sistemas computarizados que usted utiliza. Aunque usted pueda conocer famosas vulnerabilidades de software como Heartbleed y WannaCry, las vulnerabilidades internas pueden ser mucho más triviales. Por ejemplo, dejar la contraseña por defecto en un router o asumir que sus empleados saben reconocer ataques de spear phishing puede derivar en mucho pesar para un Oficial de Seguridad Informática.

Como dicen en los deportes, “La Mejor Defensa Es Un Buen Ataque.” En este caso, un buen ataque incluye tomar un enfoque proactiva para identificar y arreglar las vulnerabilidades, de lo cual hablaremos a continuación.

Cómo identificar cibervulnerabilidades en organizaciones de nivel empresarial

Antes de poder identificar cibervulnerabilidades, debe tener una idea clara acerca de los activos de su organización, incluyendo la propiedad intelectual. Frédéric Virmont, un experto especializado en ciberseguridad dice, “Tiene que identificar que es crucial para el negocio: servidores, aplicaciones, todo. Una vez que ha identificado esos activos cruciales, entonces puede hacer un plan para asegurarlos y garantizar que estén mantenidos con parches de seguridad.”

Luego de identificar los activos cruciales para su negocio, usted puede exponer y clasificar cualquier vulnerabilidad a través de varias herramientas de seguridad — y luego emparcharlas.

Ponga personal en su lista de activos organizacionales ya que las cibervulnerabilidades incluyen ataques por agentes internos accidentales e intencionales de empleados.

Seis formas de reducir cibervulnerabilidades internas con medidas preventivas

 

1) Encripte la información y las comunicaciones – Proteja su información mientras esta en tránsito y en reposo con una solución de encriptación amigable con el usuario. Billones de emails son enviados todos los días sin encriptación y cada uno representa un riesgo de seguridad. Y en 2018, 4.8 billones de registros fueron robados durante vulneraciones y menos del 3 por ciento de esos registros estaba encriptado.

2) Enséñeles a sus empleados acerca de ciberseguridad– Un informe reciente de PwC en los Estados Unidos encontró que el 32 por ciento de los encuestados considera que las amenazas internas son más costosas y dañinas que los incidentes externos. Ya que los empleados están en la primera línea de la ciberseguridad, es esencial educarlos acerca de la importancia de utilizar programas y procesos de seguridad y sobre como identificar y reportar incidentes sospechosos. El cibercrimen es cada vez más sofisticado — en especial la ingeniería social y el spear phishing — razón por la cual una formación regular y efectiva en ciberseguridad es necesaria para todo el personal.

3) Refuerce sus políticas de seguridad – Asegúrese de que sus políticas apoyen sus esfuerzos en seguridad. Algunas de las mejores prácticas incluyen:

 

  • Limitar el acceso de los usuarios al asignar los permisos adecuados a los empleados que no sean de TI
  • Establecer pautas adecuadas para crear contraseñas fuertes o aplicar autenticación de doble factor
  • Limitar el uso de internet al definir o controlar que tipo de contenido puede ser visualizado
  • Definir ubicaciones de almacenado de archivos para empleados y denegar el uso de memorias USB o almacenamiento en la nube de particulares
  • Elegir una encriptación basada en políticas con métodos de entrega flexibles para las comunicaciones
  • Escrutinio efectivo de proveedores terciarizados

 

4) Tenga un plan de recuperación de desastres actualizado – Un plan de recuperación de desastres permite a todo el personal actuar rápidamente —utilizando una estrategia preparada — cuando el desastre golpee. De esta manera, los esfuerzos organizacionales pueden enfocarse en cerrar la vulnerabilidad y monitorearla, en vez de en tratar de averiguar qué hacer en el medio de una crisis.

5) No migre sus vulnerabilidades a la nube – Si bien existen muchos beneficios en transferir servidores y aplicaciones locales a la nube, las organizaciones deben evitar migrar sus vulnerabilidades existentes con ellos. Implementar herramientas de seguridad antes de la migración a la nube es esencial.

6) Comuníquese de forma efectiva con la Junta Directiva – Ya que puede que ellos no siempre entiendan los activos técnicos, muchas Juntas le huyen a la gestión de riesgos de ciberseguridad. En lugar de comunicar acerca de especificaciones técnicas, hable con la Junta acerca del costo de no implementar medidas de seguridad, tendencias de rentabilidad y manejo de reputación con los clientes. Raphael Narezzi sugiere hablar con la Junta de Directivos así, “Puede ser un costo hoy, pero les garantizo, el escenario que vemos cuando una Junta actúa antes de un evento, es un escenario completamente distinto del que vemos cuando no actúa en absoluto.”

 

Los beneficios de cerrar vulnerabilidades internas

Cerrar vulnerabilidades internas lleva tiempo, requiere recursos y experiencia y ahora es parte del costo de hacer negocios. Pero tiene sus beneficios. Como mencionamos arriba, la seguridad informática se traduce directamente en beneficios cliente centristas tales como la construcción de reputación y confianza digital y ayuda a preparar el camino para diferenciadores competitivos.

Cerrar vulnerabilidades lleva tiempo, requiere recursos y experiencia y ahora es parte del costo de hacer negocios. Pero hay beneficios con un sólido rendimiento de la inversión. Un estudio reciente de Impacto Económico Total™ de Forrester, reveló que una organización promedio de nivel empresarial puede esperar un periodo de amortización de siete meses y eliminar hasta $2.7 millones de sus costos totales al emplear nuestra flexible solución de encriptación OneWorld. Obtenga el completo estudio de Impacto Económico Total™ de Forrester acerca de OneWorld ahora.

Con tanto en riesgo, ¿acaso no es tiempo ya de apuntalar sus vulnerabilidades?

En Echoworx, encriptar es todo lo que hacemos. Nuestra plataforma de encriptación OneWorld y nuestros servicios de seguridad en la nube son extensiones naturales de los programas de seguridad existentes y ofrecen una amplia gama de opciones flexibles para entrega de mensajes seguros. Puede conocer más cerca de la rentabilidad la encriptación OneWorld de Echoworx aquí.

Por: Randy Yu, Gerente Senior de Operaciones Técnicas y Soporte, Echoworx

05 Jun 2019

El Mosaico de la Encriptación: El Nuevo y Diverso Mundo de las Comunicaciones Seguras

Retrocedan el reloj varios millones de años y encontrarán un océano de criaturas en exuberantes tierras verdes carentes de la actividad de vida vertebrada. Entonces un pez salió del mar y cambió nuestro rumbo terrestre para siempre. ¿Pero tenía este pez una intención revolucionaria? Desde luego que no – estaba enfocado en necesidades más inmediatas de alimentación y de nuevo territorio.

Lo mismo puede decirse acerca de las demandas contemporáneas de comunicaciones digitales seguras. Si bien las comunicaciones digitales permiten trascender el mundo del correo de papel, hacienda que el envío y la recepción sean instantáneas, también exponen y abren, inadvertidamente, nuestros más preciados detalles personales. Y, al no haber manera de retroceder el tiempo, el argumento a favor de la protección de encriptación para información sensible crece – y evoluciona.

Pero, a medida que más y más industrias migran online, estamos comenzando a ver que este nuevo mundo digital no es de una talla que les quepa a todos – en especial cuando se trata de comunicaciones digitales seguras. Desde clientes distintos a regulaciones jurisdiccionales protegiéndolos, una solución de encriptación necesita ser tan flexible como es diverso el conjunto de organizaciones a las que sirve.

He aquí los puntos clave a considerar cuando se determinan los factores afectando comunicaciones seguras, porque las necesidades son tan diversas y exactamente dónde podría comenzar a ubicar a su organización en el gran mosaico de la organización:

1) Multas regulatorias con dientes afilados

La ubicación de una organización puede influenciar cuanto se espera que esta proteja su información. En Dinamarca, por ejemplo, la encriptación es ahora obligatoria para todas las comunicaciones que contengan información personal de ciudadanos daneses bajo su jurisdicción, según su propia interpretación del Reglamento General de Protección de Datos (RGPD) afectando a países miembros de la UE. El incumplimiento con el RGPD, y otros cuerpos regulatorios y leyes similares, como la recientemente actualizada Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA), por ejemplo, puede derivar en multas devastadoras y en daños a la imagen de la marca aún más devastadores.

Echoworx reconoce que no todos los países protegen los datos personales y la privacidad de sus ciudadanos de la misma manera. Para evitar ojos burocráticos entrometidos e incumplimientos con regulaciones jurisdiccionales, las soluciones de encriptación basadas en la nube de Echoworx están disponibles en AWS Cloud en 13 países. También tenemos centros de datos certificados con SOC2 e ISO en los Estados Unidos, el Reino Unido, Alemania, Irlanda, México y Canadá, garantizando que toda la información sensible permanezca cercana al hogar.

2) Industrias diferentes – casos comerciales diferentes

Si bien las organizaciones que operan en el ámbito bancario, financiero y de seguros (BFSI) fueron las primeras en adoptar realmente comunicaciones encriptadas, la tecnología se propago exponencialmente hacia otras industrias. Según un estudio reciente de Ponemon, por ejemplo, las organizaciones de servicios y manufactura están comenzando a adentrarse en el mercado de la encriptación – representando el 11 y 12 por ciento respectivamente.

Y, a medida que nuevas industrias comienzan a implementar comunicaciones seguras encriptadas, también aumenta la demanda de soluciones de encriptación flexibles que de adapten a distintos casos de uso comerciales. En Echoworx, por ejemplo, ofrecemos una solución de encriptación escalable basada en la nube con múltiples métodos de entrega seguros y amigables con el usuario para satisfacer cualquier proceso comercial.

Conozca más acerca de las distintas formas en las que usted puede enviar información segura con Echoworx.

3) Los usuarios están cambiando

Desde banca móvil hasta la Generación Z, como los usuarios envían información y que exactamente están dispuestos a enviar está cambiando rápidamente. Los usuarios de hoy son conocedores de la tecnología y rápidos en divulgar sus detalles personales, pero son aún más rápidos en cambiar de organización si sienten que su información personal está siendo mal manejada. Ellos les exigen comunicación instantánea y una experiencia de usuario optimizada a las organizaciones con las que trabajan. Para no terminar como el pájaro dodo, usted necesita superar e ir más allá para garantizar que ellos siempre estén primero – todo mientras se asegura de que su información personal se encuentre protegida.

Con Echoworx, usted puede adaptar cada aspecto de su experiencia de encriptación para poner a sus clientes primero – desde la forma en la que acceden a un mensaje seguro hasta algo tan simple como la habilidad de darle su marca. Y, para evitar cualquier otra posible situación negativa que afecte la experiencia de usuario, Echoworx ofrece servicios en 22 idiomas para todos nuestros flexibles métodos de entrega – garantizando que nada se pierda en la traducción.

Explore estos distintos métodos de entrega aquí.

4) La encriptación ya no es solamente un asunto informático

Desde filtraciones mundialmente famosas hasta algo tan simple como la experiencia de usuario, la encriptación ya no es una cuestión específicamente informática – es un asunto comercial. Pero implementar un programa de encriptación no es tan simple como adoptar una solución y apretar un botón. Debe haber un cambio universal interno de cultura en la mayoría de las organizaciones. Por ejemplo, según datos de Echoworx, si bien el 50 por ciento de los CEOs está más preocupado por los posibles impactos negativos a la experiencia de usuario al adoptar una solución de seguridad, el 88 por ciento de los profesionales de la informática ven la encriptación como algo costoso, difícil y restrictivo para la productividad comercial.

Echoworx trabaja con las compañías para garantizar que las soluciones sean lo menos invasivas y más optimizadas posible – desde el despliegue hasta el usuario final. En nuestra capacidad de proveedor de encriptación tercerizado, apoyamos a nuestros clientes, reduciendo el estrés adicional de las consultas de ayuda de los

Por Nicholas Sawarna, Especialista Sr. de Marketing de Contenido, Echoworx

 

Sources:

  • Estudio de Tendencias Globales de Encriptación de Ponemon – Abril 2018
06 May 2019
how to make a business case for encryption

Cómo presentar el caso de la encriptación como estrategia de negocios

Más de 290 billones de emails son enviados cada día en todo el mundo. En las organizaciones de nivel empresarial, la comunicación digital es una ventaja competitiva sobre el correo normal porque es más rápido, más barato y fácil de implementar. Pero el ahorro de costos puede desaparecer al instante que una organización experimenta una vulneración de datos o privacidad, lo cual es muy común. En 2018, 4.8 billones de registros fueron robados durante vulneraciones — eso es más de 9,000 por minuto — y menos del tres por ciento de esos registros estaban encriptados.

Hoy, haremos un rápido análisis de 2 razones por las que la encriptación de emails es crucial para un negocio y que buscar en un proveedor de encriptación si su organización quiere minimizar los riesgos y los costos asociados con la seguridad de los emails.

Porqué la encriptación de emails es crucial para los negocios: el alto costo de perder confianza

Si su organización recolecta, administra y dispersa información personal, es esencial implementar una encriptación amigable para el usuario para asegurar esa información a medida que fluye a través de emails. Por supuesto, es lo correcto, pero también es lo que los clientes quieren y esperan. Por ejemplo, el 87 por ciento de los CEOs invierte en ciberseguridad específicamente para construir confianza — porque una vez que se pierde la confianza, se pierde al cliente. Cuando la confianza y la satisfacción del cliente están atadas a la seguridad de la información, es fácil ver que la encriptación ya no entra en la categoría “algo que sería bueno tener”. Ahora es esencial.

Porqué la encriptación de emails es crucial para los negocios: cumplimiento y cómo evitar multas

Implementar una solución de encriptación también le ayuda a mantener las manos del gobierno —ordenadas por la legislación — fuera de sus bolsillos.

Si su organización no protege los datos para que no sean interceptados en tránsito, las multas pueden ser sustanciales. Ha pasado tan solo un año desde el lanzamiento del Reglamento General de Protección de Datos (RGP) en la UE, por ejemplo, y ya estamos viendo multas enormes – como la multa de €50 millones que Google tuvo que pagar a comienzos de 2018 por violaciones al RGPD.

En Canadá, bajo la recientemente actualizada Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA), ahora es obligatorio informar de vulneraciones de datos, siendo las multas por incumplimiento de hasta $100,000.

Con la legislación de privacidad expandiéndose — California, Nueva York e incluso Qatar, entre muchos otros, han creado sus propias normas — las organizaciones ya no pueden darse el lujo de ignorar la encriptación de emails para información privada. La legislación de privacidad ahora tiene dientes y las multas son elevadas.

No cabe duda de que ocuparse de su negocio es sinónimo de encriptación. Lo siguiente es trabajar con un proveedor de encriptación que entienda sus necesidades y sea efectivo para satisfacerlas.

Encontrar un proveedor de encriptación que funcione para Usted

Se estima que el gasto global en seguridad de la información, como un todo, supere los $124 billones en 2019, según un informe reciente de Gartner — lo que significa que su organización tiene muchas opciones para elegir cuando se trata de soluciones de encriptación. Esta libertad de elección es buena pero también puede abrumar y conducir a malas decisiones. Por ejemplo, si una organización tiene instaurada una solución de encriptación, pero no es ampliamente utilizada, puede significar que no eligieron un proveedor de encriptación a la altura de sus necesidades que los guie a través del proceso. No queremos que eso le suceda a Usted, por eso elaboramos una lista de cosas a considerar a la hora de elegir un proveedor de encriptación de email.

Siete cosas que considerar en la elección de un proveedor de encriptación de nivel empresarial:

  1. Antecedentes comprobables – Pregunte cuanto tiempo el proveedor ha estado trabajando en encriptación. En Echoworx, por ejemplo, entendemos los riesgos de la gestión de emails porque hemos estado proveyendo soluciones por casi dos décadas.
  2. Soluciones que vayan más allá que una encriptación lista para usar – Si bien una encriptación genérica es mucho mejor que cero encriptación, busque un proveedor que le pueda asesorar acerca de soluciones basadas en sus necesidades. Muchas organizaciones de nivel empresarial requieren entrega flexible y opciones de encriptación basadas en políticas específicas —las cuales van más allá que algo genérico.
  3. Soluciones en la Nube que reduzcan gastos generales – Enviar mensajes encriptados solo puede costar más si se utiliza una solución de encriptación local y anticuada. Los costos incluyen hardware, servidores locales físicos y el staff necesario para hacerlos funcionar. Busque un proveedor de encriptación tercerizado que le permita cargar sus comunicaciones seguras a la nube, delegar consultas de soporte, obtener acceso a expertos en encriptación, ahorrar dinero y poner menos carga sobre sus recursos informáticos.
  4. Centros de datos alrededor del mundo – Los centros de datos mundiales permiten a los usuarios implementar comunicaciones dentro de sus jurisdicciones y conformidad con las regulaciones. Por ejemplo, en Echoworx, tenemos centros de datos en seis países: Alemania, Irlanda, el Reino Unido, Canadá, México y los Estados Unidos. Esto ayuda a reducir costos, mantener la conformidad y reducir los tiempos de implementación.
  5. Administración de reputación – Cada vez que un dato deja el perímetro digital de una organización, pone en riesgo la reputación de la compañía. Un proveedor de encriptación debería entender este riesgo y ofrecer soluciones como alineamiento completo de marca en múltiples idiomas para proporcionar una experiencia de usuario impecable.
  6. Sistemas que soporten escalado dinámico – ¿Puede su proveedor ofrecerle una solución de encriptación que escale dinámicamente a medida que fluctúa la demanda de emails en el sistema día a día o incluso hora tras hora — y acomodar esa creciente demanda sin sufrir demoras? ¿Se encuentra su sistema disponible en AWS Cloud en 13 países?
  7. Socios aprobados para su tranquilidad – ¿Confía en su proveedor para encargarse de sus datos de forma segura y responsable? En Echoworx, sometemos nuestro negocio a auditorias regularmente. Estamos orgullosos de: estar certificados en SOC2, Web Trust y ser miembros del Certificado Raíz de Microsoft y del Certificado Raíz de Apple.

Una última cosa que considerar a la hora de elegir un proveedor de encriptación: un historial positivo de rentabilidad.

Un reciente estudio de Impacto Económico Total™ realizado por Forrester reveló, por ejemplo, que una organización de nivel empresarial promedio, utilizando la plataforma de encriptación OneWorld de Echoworx puede esperar un retorno del 155 por ciento — con alzas de $2.7 millones en costos mitigados. Este mismo estudio mostro que, utilizando las opciones de soporte de autoservicio de OneWorld — como reinicios de contraseña automáticos — incrementa la productividad de los call center, elimina la necesidad de gastos adicionales y puede ahorrarle a cualquier organización de nivel empresarial casi $320 mil en un periodo de tres años.

Acceda al estudio completo de Impacto Económico Total™ de Forrester sobre OneWorld ahora.

Como puede ver, el costo de las comunicaciones de email desencriptadas es alto y el riesgo es demasiado grande. ¿Acaso no es hora ya de que encuentre un proveedor de encriptación confiable que pueda satisfacer las necesidades de su negocio y de sus clientes?

Y en Echoworx, encriptar es todo lo que hacemos. Siendo proveedores especializados en encriptación, ofrecemos extensiones naturales para cualquier programa de seguridad existente con el fin de proporcionar múltiples métodos de entrega de mensajes seguros para sus usuarios.

Puede conocer más acerca de los beneficios de la encriptación OneWorld de Echoworx aquí.

Por: Beverly Barrett, Directora de Gestión de Canales, Echoworx

Sources:
02 May 2019
Five ways to minimize the risk of insider threats

¿Ciberamenazas internas? ¡Más cerca de lo que piensa!

Para las organizaciones de nivel empresarial, ya no es suficiente proteger los datos y los sistemas de infames agentes externos. Las organizaciones también deben implementar medidas defensivas para protegerse a sí mismas de algo mucho más cercano a casa: las amenazas internas.

Los ciberataques internos suceden inadvertidamente o a propósito. Queremos compartir los cuatro tipos de amenazas internas y algunas medidas defensivas que ayudan a las organizaciones a reducir el riesgo de estas amenazas.

Dos tipos de ataques internos accidentales

En vez de instaurar un entorno de confianza cero que sea tan restrictivo que obstaculice la productividad y la experiencia de usuario, recuerde que la mayoría de sus empleados y socios de confianza no tienen intenciones maliciosas. Los ataques internos no intencionales o inadvertidos ocurren porque el responsable es inconsciente o negligente.

Un ataque por descuido es cuando alguien con acceso a la información de la compañía se ve afectado por un agente externo sin saberlos. Esto puede ocurrir cuando alguien descuida un dispositivo de la compañía o utiliza Wi-Fi desencriptado en un dispositivo de la compañía.

Un ataque por negligencia es cuando alguien evita un protocolo de seguridad, a menudo para apresurar un proceso de trabajo o por falta de conocimiento acerca del protocolo de seguridad. Cuando los empleados carecen de la capacitación adecuada en seguridad, son más vulnerables a ataques de “phishing” o “spear phishing.”

Dos tipos de ataques internos intencionales

Los dos principales tipos de ataques internos intencionales provienen de atacantes maliciosos profesionales.

Un ataque malicioso proviene de alguien de adentro que al sentirse descontento se vuelve deshonesto para vengarse de la compañía por una ofensa real o imaginaria. Esto puede incluir el robo de datos o sabotear la red o el sistema de una compañía.

Un ataque profesional proviene de alguien de adentro que es un ladrón de carrera. Esto involucra la explotación de las vulnerabilidades de un sistema para sacar provecho.

Ataques externos desde el interior

Si bien los ataques de fuerza bruta continúan siendo una amenaza común en las puertas de cualquier cortafuegos, también existen en las que los agentes maliciosos ataquen su compañía desde el interior. También llamados ataques de ingeniería social, donde un hacker podría hacerse pasar por alguien en una organización a través de credenciales robadas, información robada o de un ataque a la cadena de distribución. Una unidad inteligente de aire acondicionado, por ejemplo, podría estar conectada a la red de una organización, creando una vulnerabilidad de puerta trasera de terceros que circunvala completamente las defensas de primera línea.

Cinco maneras de minimizar el riesgo de amenazas internas

Con tantos zorros en el gallinero, las organizaciones serian prudentes al adoptar un enfoque defensivo antes estas amenazas internas.

  1. Haga que la Junta esté de acuerdo – Aun en 2019, es común que las Juntas de Directivos no pregunten o no entiendan de ciberseguridad. Rafael Narezzi, un prominente Estratega de Ciberseguridad, sugiere que todos en la Junta de Directivos deben “entender que es la [ciberseguridad]. No a un nivel técnico y profundo pero lo suficiente para comprender las consecuencias para el negocio si no actúan.” Cuando la Junta y el personal directivo superior comprendan el costo y las consecuencias de los ciberataques, habrá más apoyo para las iniciativas de ciberseguridad.Esta falta de atención es más común de lo que usted podría suponer. La encuesta de Crimen y Fraude Económico Global de PwC de 2018 encontró que menos de la mitad de las organizaciones encuestadas han realizado una evaluación de riesgo de cibercrímenes. ¡A pesar de que el cibercrimen sea uno de los tres tipos de fraudes más reportados!
  2. Utilice una solución de encriptación efectiva y amigable para el usuario – Es fundamental que los datos de una organización estén seguros porque muchas personas dentro de la organización tienen acceso a ellos y enviar esa información sensible a clientes, proveedores y socios es una parte común de hacer negocios.Funciones que buscar en una solución de encriptación para una organización de nivel empresarial:
    • Las políticas de encriptación automática que aplican encriptación bajo circunstancias definidas (tales como cuando cierta información o palabras clave aparecen en un email).
    • Múltiples métodos de entrega flexibles para distintos tipos comunicaciones encriptadas que permiten al remitente controlar como un mensaje es enviado y decidir si desea incluir características como un tiempo límite.
    • Una experiencia de usuario fácil y expeditiva para empleados y clientes.

    Con una experiencia de usuario ágil — con la plataforma de encriptación OneWorld de Echoworx, por ejemplo — los empleados son menos propensos a evitar protocolos de seguridad porque estos se encuentran incorporados en los flujos de trabajo regulares y no hacen que la seguridad sea una carga para los remitentes o destinatarios.

    Además de reducir los riesgos de amenazas internas, existen beneficios financieros en adoptar una solución de encriptación ágil y flexible. Un estudio reciente de Impacto Económico Total™ realizado por Forrester, revelo que una organización promedio puede disfrutar de hasta $2.7 millones en beneficios mitigantes de costos al emplear nuestra solución de encriptación flexible OneWorld. Obtenga el estudio completo de Impacto Económico Total™ de Forrester acerca de OneWorld ahora.

  3. Capacite a su personal en materia de ciberseguridad – Aunque los empleados sepan por qué no deben abrir archivos adjuntos y cliquear hipervínculos de emails extraños o utilizar “contr@seña” como contraseña, siguen siendo vulnerables a ataques porque el cibercrimen es cada vez más sofisticado. Para cambiar eso, asegúrese de que todos sus empleados participen en capacitaciones regulares y efectivas en ciberseguridad que les ayude a entender porque es importante, como implementar medidas de seguridad en el trabajo y como detectar sofisticados engaños de “phishing” y “spear phishing”.La capacitación puede incluir pruebas y trucos. Un buen truco involucra realizar un falso intento de phishing al personal para reforzar las lecciones del mundo real de la capacitación en ciberseguridad.
  4. Incorpore seguridad en todos los productos y procesos desde el inicio – Capacite a los equipos de desarrolladores para crear productos que sean seguros desde su diseño. Frédéric Virmont, experto en la industria de la ciberseguridad dice, “La seguridad es como la calidad; debe ser desde el comienzo hasta el final del ciclo de vida. Para los desarrolladores, ahora tenemos herramientas donde pueden escribir código y comprobar la seguridad al mismo tiempo. Si se espera hasta el final del producto, ya es demasiado tarde. Una vez que la casa fue construida, ya es demasiado tarde para agregar salidas de emergencia.”Esta idea incluye arquitectura de permisos. Un diseño no seguro les da acceso a todos los usuarios a más información de la necesaria. Para pensar en pos de la seguridad, cree una arquitectura de permisos que conceda acceso basado en necesidades y roles. Por ejemplo, el director de marketing no tendrá los mismos permisos que un agente de atención al cliente.
  5. Haga que la ciberseguridad sea el camino de menor resistencia para todos los usuarios – Le guste o no, solemos hacer lo más fácil. Para las organizaciones, esto significa que los protocolos de seguridad demasiado complejos obstaculizan la adopción. Porque los métodos de ciberseguridad solo funcionan cuando el staff y los clientes los utilizan, la experiencia de usuario siempre debe ser considerada y priorizada.Volviendo al ejemplo de encriptación anterior, hemos encontrado que muchos usuarios internos son reacios a enviar emails encriptados porque no saben cómo encriptarlos o porque no les gusta que se asemejen al spam cuando el destinatario los vea. Estas son dos barreras innecesarias que se interponen en el camino de una seguridad libre de fricción y preparan el camino perfecto para ataques internos por negligencia.

Las amenazas internas son reales y un informe reciente de PwC en los Estados Unidos reveló que el 32 por ciento de los encuestados consideran que las amenazas internas son más costosas y dañinas que los incidentes externos.

Al adoptar un enfoque de seguridad que involucre una solución de encriptación ágil y sin fricción, la seguridad por diseño (el camino de menor resistencia) y capacitación efectiva para el personal y la Junta Directiva, su organización puede minimizar los riesgos asociados con intención maliciosa y con ataques internos no intencionales.

La Diferencia Echoworx

En Echoworx, encriptar es todo lo que hacemos. Nuestra plataforma de encriptación OneWorld es una extensión natural para la mayoría de los sistemas existentes y ofrece una amplia gama métodos de entrega encriptados flexibles, adaptables y confiables para ser utilizados en corporaciones de nivel empresarial.

Conozca más acerca de la rentabilidad de la encriptación OneWorld de Echoworx aquí.

Por: Brian Au, especialista en TI, Echoworx

22 Feb 2019
cyber security your competitive advantage

¿Puede la ciberseguridad ser una ventaja competitiva?

Antiguamente, antes que las organizaciones se obsesionaran con los clientes y realizaran eventos de liderazgo fuera de sus instalaciones para volverse más específicas en sus puestas en valor, la seguridad de la información era más simple. Estaban el CIO y algunos administradores del cuarto de servidores con aire acondicionado, los cuales eran invisibles para todo aquel ajeno al área de sistemas. En ese entonces, la ciberseguridad operaba en las sombras y funcionaba lo más bien… hasta que no funcionaba más.

Adelantando rápido al día de hoy donde la ciberseguridad es fundamental para el personal ejecutivo, para las juntas directivas, para los clientes y los socios. Todas estas partes interesadas podrán decirle porque es famosa Target ahora: una filtración de datos de clientes que le costó más de 200 $ millones a la compañía.

Y en un panorama de negocios cada vez más competitivo, las organizaciones progresistas están integrando la seguridad informática en sus procesos de negocios para evitar convertirse en la próxima historia de falta de precaución en el noticiero de las seis.

Suficiente como para que las organizaciones ‘quieran llorar’ (WannaCry): Amenazas de ciberseguridad en evolución

Las amenazas de ciberseguridad en continua evolución que las organizaciones enfrentan incluyen violaciones de seguridad y ataques maliciosos, vulneraciones accidentales originadas por empleados bienintencionados y la conocida vigilancia gubernamental. Irónicamente, así como los negocios se benefician de redes de infraestructura interconectadas (piense en los avances en la gestión de cadena de suministros, por ejemplo) esa interconectividad también incrementa los riesgos de amenazas de seguridad – porque los ataques pueden propagarse a través de redes interconectadas muy rápidamente.

Los CIOs y los jefes de seguridad ya no se encuentran solos en las mesas abogando por mejor privacidad y mejores medidas de seguridad de datos, pero aún hay lugar para mejoría. El reporte de la Encuesta del Estado Global de la Seguridad de la Información de 2018 encontró que solo el 40 por ciento de las juntas directivas participan en la estrategia de seguridad de una organización.[i]

Pero quizás la amenaza más grande de todas sea la noción persistente de que la ciberseguridad es un problema de TI. No es un problema de TI. Es un problema de negocios. Lamentablemente, la mayoría de los líderes de negocios no entienden los pormenores de la seguridad informática y las amenazas digitales lo cual puede dificultar abordar el tema.

Los especialistas en seguridad pueden encontrar mejor recepción entre los líderes y las juntas directivas al presentar el asunto de la ciberseguridad como una ventaja competitiva. Y no es un eufemismo, teniendo en cuenta que el 88 por ciento de las organizaciones sondeadas por la Encuesta Global de Seguridad de la Información de 2015 de EY, dijo que su seguridad informática era insuficiente.[ii] ¡88 por ciento!

Cuatro formas en las que invertir en ciberseguridad ayuda a las organizaciones a obtener una ventaja competitiva:

 

  1. Reduces los riesgos de incumplimiento y las multas–Leyes como el RGPD, la LTRSM, y PIPEDA afectan el modo en que las compañías hacen negocios y las multas pueden ser sustanciales. ¿Sabía usted que las violaciones del RGPD pueden costar hasta $20 millones o el equivalente al cuatro por ciento de la facturación anual (la que sea mayor)?[iii] Desde que los ciudadanos de la UE están protegidos por el RGPD, aun cuando se encuentren fuera de la UE, las compañías internacionales pueden mantenerse en cumplimiento al utilizar medidas proactivas de encriptación basadas en políticas que automáticamente aplican protección a grupos predeterminados de usuarios (por ejemplo, ciudadanos de la UE).
  2. Reduce costos innecesarios– El costo promedio de una sola vulneración de datos es de $3.6 millones (USD).[iv] Pero la vulneración de Target costo 55 veces más y es por eso que una estrategia de ciberseguridad es tan valiosa. Por ejemplo, invertir en una plataforma de encriptación flexible significa que la encriptación puede automatizarse para acomodar cualquier situación de negocios y mantener los datos seguros—sin ninguna molestia.
  1. Protege la marca de la compañía– Permitir de forma involuntaria que los hackers o entidades maliciosas accedan a los datos personales de sus clientes es una manera rápida de reducir o eliminar su confianza en usted. Imagine cuanto tiempo le tomara a Equifax recuperar la confianza de 147 millones de americanos luego de la filtración de 2017. Invertir en medidas de seguridad proactivas, como encriptación, le ayudara a preservar la frágil relación que es la realidad de la confianza digital.
  1. Es valor agregado para sus clientes– Puede que sus clientes no puedan mantenerse al día con el cambiante mundo de la ciberseguridad, pero esperan que la protección sea una característica incluida en el servicio cuando hacen negocios con usted. Las medidas de ciberseguridad proactivas hacen que las actividades comerciales en línea sean más seguras y confiables lo cual les ahorra tiempo a sus clientes, agiliza sus experiencias de usuario y les da valor real.

 

Un consejo rápido: Haga que su ventaja competitiva sea fácil de usar

Un programa de seguridad de la información probablemente tenga varias líneas de defensa, incluyendo encriptación, medidas de autorización e integridad de datos, pero estos sistemas y procesos solo funcionan si la gente los usa. Lo alentamos a implementar sistemas y procesos de ciberseguridad que sean fáciles de usar para empleados y clientes. Porque, aunque la ciberseguridad sea una prioridad para usted, la mayoría de los empleados y los clientes no se tomaran una molestia en pos de la seguridad.

Por: Alex Loo, VP de Operaciones, Echoworx

[i] https://www.pwc.com/us/en/cybersecurity/assets/pwc-2018-gsiss-strengthening-digital-society-against-cyber-shocks.pdf

[ii] https://www.ey.com/en_gl/digital/cybercrime_challenges21stcentury

[iii] https://www.echoworx.com/wp-content/uploads/2018/05/echoworx_web-infographic_encryption-in-gdpr.pdf?pdf=encryption-in-gdpr-InfoGraph

[iv] https://www.ey.com/en_gl/advisory/global-information-security-survey-2018-2019

28 Dic 2018

¿Año Nuevo? ¡Nuevos Desafíos de Seguridad de la Información!

A medida que nos vamos acercando al Año Nuevo, reflexionamos sobre las pruebas, tribulaciones y desafíos que se enfrentaron el año pasado – antes de esbozar las resoluciones específicas para estos problemas. En el mundo de la seguridad de la información, estas mejoras normalmente se encuentran dentro de los dominios de identificar las amenazas, prevenir los problemas de ciberseguridad y mantenerse al día con lo último y mejor de la tecnología de protección de datos.

¡Y qué año tan ocupado ha sido este! Desde la introducción de nueva legislación para construir privacidad como la GDPR o la AB 375 de California, hasta la introducción de leyes que destruyen la privacidad como las nuevas leyes de encriptación de Australia que exigen puertas traseras para los datos, ha sido una verdadera montaña rusa. También hemos visto cómo las brechas de datos y las instancias de ransomware hacen que incluso los conglomerados masivos como Marriot se pongas de rodillas.

Así que, ¿qué es lo que tiene que hacerse en el 2019?

La desafortunada realidad del mundo de la seguridad de la información es que parece que las nuevas amenazas y estafas, y los nuevos y preocupantes actores maliciosos aparecen de la nada todos los días. Mantenerse al día con esta información que constantemente cambia es suficiente para hacer que alguien se vuelva loco. Y las consecuencias de quedarse atrás pueden ser perjudiciales para su negocio,  su reputación y finalmente, sus clientes.

Este último año, nuestro Distinguido Ingeniero de Software en Echoworx, Slava Ivanov, ha hecho de su misión reunir y coagular los últimos trucos y consejos en ciberseguridad en un conciso documento serial 101 de definiciones. Desde temas más livianos como la nueva tecnología japonesa emergente de ‘autenticación posterior’, que otorga acceso a un sistema o máquina por medio de ‘huellas de trasero’, a problemas de seguridad de la información más serios como el spearfishing o problemas de protección de datos como la criptografía pez globo que se usa en la encriptación, el índice de términos de Slava le ofrece un excelente manual básico a cualquiera que esté empezando a investigar un término.

Así que, antes de formalizar las resoluciones de Año Nuevo de su organización este año, ¡considere echarle un vistazo rápido al ‘Information Security 101’ de Slava para ver si hay algo de lo que se perdió en el 2018!

Haga clic aquí para buscar los términos y definiciones de la seguridad de la información con mayor tendencia el año pasado.

Por Nicholas Sawarna, Especialista en Contenido de Marketing Sr. Echoworx

18 Dic 2018
Australia demands encryption backdoors

Problemas en la Tierra de Oz: Las nuevas y controversiales puertas traseras de la información en Australia

Poderosas amenazas a nuestro derecho a la privacidad se están creando en Australia – una nación tradicionalmente conocida por su dedicación a los valores democráticos del Commonwealth. A partir de diciembre de 2018, Australia tiene una nueva legislación que permite que los servicios de inteligencia estatales y los organismos de seguridad y de orden público exijan tener acceso información sensible encriptada perteneciente a organizaciones específicas.

A medida que otros gobiernos simpatizantes vayan tomando nota de estos sucesos, esta legislación podría significar el comienzo de tiempos difíciles para la privacidad digital y para el modo en que almacenamos y compartimos información sensible.

Pero antes – un poco de contexto:

Desde su creación, los miembros del colectivo de organizaciones de inteligencia y orden público denominado ‘Five Eyes’, provenientes del Reino Unido, Estados Unidos, Canadá, Nueva Zelanda y Australia, han estado cabildeando por años para tener más acceso a sus ciudadanos. Obtener acceso a los datos privados de los ciudadanos representa no solo la oportunidad de vigilar a aquellos pocos entre nosotros que poseen intenciones maliciosas – sino también la oportunidad de controlar a sus poblaciones.

En tiempos recientes, esto se ha manifestado en el ámbito digital – desde la creación de legislación, como la Ley PATRIÓTICA del gobierno de los Estados Unidos o la Ley de Regulación de Poderes de Investigación del Reino Unido, al uso de peligrosos eufemismos como “encriptación responsable”. La información digital sensible es un tesoro rico para los “Five Eyes”, quienes por años han estado impacientes ante la idea de hacerse con ella.

Las puertas traseras siguen siendo puertas

En términos simples, la nueva legislación de privacidad aprobada por el Parlamento Australiano exige que los proveedores tercerizados de servicios digitales creen puertas traseras, con las que los organismos estatales puedan acceder a información completamente encriptada cuando sea solicitado. Si bien es cierto que pueden hacer estos requerimientos de manera formal a las distintas organizaciones, cabe señalar que ahora también tienen el poder de dirigirse a individuos dentro de organizaciones específicas, desde Sally la CEO hasta Bill el empleado de TI, para que estos provean el acceso de puerta trasera cuando les sea pedido.

Y estas demandas tienen serias consecuencias.

Si una organización rechaza una solicitud de un organismo estatal australiano, como una agencia de seguridad y orden público, enfrentarán multas de millones de dólares. Los individuos que no cumplan con estas normativas enfrentarán la posibilidad de pasar tiempo en prisión.

¿Suena atemorizante?

Se pone peor.

El impacto global de estas nuevas leyes de privacidad

Como miembro de los “Five Eyes”, Australia es un actor importante en la comunidad global de inteligencia. Este país y su legislación no solo ayudan a sentar una parte considerable del estándar en cuanto a lo que es aceptable que hagan los organismos de inteligencia de los gobiernos – sino que también han creado un peligroso precedente que podría servir de ejemplo para otros miembros del colectivo “Five Eyes”.

El peligro de medir la profundidad de un río con ambos pies

Una consecuencia no deseada de crear estas puertas traseras son las nuevas potenciales vulnerabilidades que representan para las organizaciones del gobierno australiano que las solicitan. Aunque alegan haber resuelto problemas de seguridad nacional importantes, con su nueva habilidad para espiar a sus propios ciudadanos, irónicamente el gobierno australiano ha creado peligrosas vulnerabilidades en sus propios sistemas, listas para ser explotadas por agentes maliciosos.

¿Qué puede hacerse al respecto?

En Echoworx, así como en toda la comunidad de ciberseguridad, creemos firmemente en la protección de la información encriptada. Sin la posibilidad de enviar y recibir información confidencial a través de plataformas digitales, la privacidad de todos está en riesgo, y lo que es peor, podríamos estar abriendo puertas para los mismos criminales que intentamos detener.

Por Derek Christiansen, Gerente de Compromiso, Echoworx

25 Oct 2018
Moving PGP to the cloud

¿ESTÁ MOVIENDO SU PGP A LA NUBE? HE AQUÍ LO QUE NECESITA SABER

¿Es la encriptación PGP parte de su estrategia de mensajería segura? ¿Está usted alojando este sistema en sus instalaciones en la actualidad? ¿Ha pensado alguna vez en mudar su encriptación PGP de emails a la nube? Puede sonar desalentador, pero, con las herramientas y servicios correctos, moverlos a la nube es una inversión para que usted y  sus clientes consideren.

Un sistema PGP alojado localmente consume muchos recursos y requiere que un software esté instalado en su estación de trabajo y en sus servidores. La demanda en su departamento de informática puede ser considerable – migrarlo todo a la nube puede quitarle mucha tensión a su personal.

He aquí algunos puntos a considerar si usted está pensando en hacer el cambio:

La encriptación de emails debería ser más que adecuada

Tenemos la responsabilidad de proteger los mensajes confidenciales que enviamos, y necesitamos hacerlo de una forma que no se interponga con hacer negocios.

Una solución de encriptación de email efectiva tiene cinco cualidades principales:

  • Es fácil de implementar
  • Puede escalar para mantenerse al ritmo de las crecientes demandas y los súbitos aumentos en volúmenes de emails
  • Es rica en funciones, y basada en los estándares actuales, compatible con tecnologías de encriptación ampliamente utilizadas en la actualidad
  • Es jurisdiccionalmente consciente, por lo que los mensajes enviados desde la UE, por ejemplo, no son almacenados o enviados a través de los Estados Unidos u otras jurisdicciones que puedan comprometer el cumplimiento de las normas de la RGPD
  • Se opera de forma segura por un proveedor confiable que se dedica a la seguridad

Tener sistemas heredados o antiguos no debe ser un impedimento para migrar a la nube

Mover un sistema PGP local a la nube no solo es posible, sino que estos sistemas heredados o antiguos pueden migrarse sin disrupciones, una consideración crucial desde el punto de vista del negocio si su organización envía grandes números de mensajes seguros diariamente. Y usted obtiene acceso a métodos de envío seguro adicionales, como la habilidad de enviar mensajes vía portal web y demás funciones, como la habilidad de personalizar mensajes encriptados con su marca.

Gestión de claves sin la gestión

De acuerdo al decimotercer estudio de encriptación encomendado por Thales al Ponemon Institute, la gestión de claves continúa siendo uno de los principales temas sensibles para el 57 por ciento de las organizaciones. Y muchas de estas organizaciones reportan que continúan gestionando sus procesos de claves de forma manual. Esta no es una estadística nueva. De hecho, ¡la gestión de claves se mantenido como un tema sensible de forma consistente año tras año! Migrar a la nube le permitirá simplificar su proceso de gestión de claves – y automatizarlo.

¿Por qué utilizar la Seguridad como un Servicio?

En el clima de hoy, los negocios deben escalar rápidamente para poder alcanzar las demandas que cambian constantemente. Las amenazas de seguridad evolucionan constantemente, y la tecnología continúa transformándose a un paso acelerado. Nuevos desarrollos como la informática móvil, la Internet de las Cosas, Software como Servicio e Infraestructura como Servicio están conduciéndonos a cambios fundamentales en la manera en la que operan los negocios.

Trabajar con una Seguridad en la nube como proveedor de servicios puede aportar muchos beneficios. Sheila Jordan, CIO en Symantec, señala, por ejemplo, que mientras las inversiones en Informática y tecnología pueden usarse para operar y hacer crecer a una compañía, la lista de tareas a llevar a cabo siempre será mayor que los recursos y fondos disponibles. A menudo, la informática es vista como un rubro fácil donde acortar gastos, y en respuesta, los CIOs “deben priorizar las demandas que afectan de forma más directa la rentabilidad y las metas financieras de la compañía”. Los CIOs son responsables no solo de proteger la información, sino también de ayudar a las compañías a usar esa información para generar conocimiento práctico y viable. Migrar a la nube les permite a las organizaciones rastrear y reportar en tiempo real.[1]

¿Está pensando en la Seguridad como un Servicio? He aquí algunas preguntas a considerar:

  • ¿Cuál es su perfil de riesgo?
  • ¿Está respondiendo a una crisis especifica?
  • ¿Tiene un plan claro implementado?

 

Una vez que la decisión de migrar a la nube ha sido tomada, elija cuidadosamente su proveedor. No busque una solución única: si lo hace, podría encontrar que la solución que eligió se ha vuelto rápidamente obsoleta o que no es el único foco para abarcar un producto más grande. Contacte a su nuevo socio para capacitar y entrenar a sus equipos y guiar a su compañía a través del proceso. Y más importante aún, familiarícese con el equipo con el que trabajará ya que tener una buena relación puede hacer la diferencia a la hora de lidiar con una crisis.

Sheila Jordan de Symantec lo dice mejor: “Cuando uno trabaja con un socio que entiende su negocio y hacia donde uno se dirige, este puede ofrecerle soporte global y soluciones que crecerán con su organización. Los socios indicados siempre estarán enfocados en el cliente, haciendo todo lo que esté a su alcance para impulsar su compañía hacia adelante”.

Vea que tan fácil es migrar sus PGP a la nube.

Por Christian Peel, VP de Ingeniería, Echoworx

———

[1] Sheila Jordan, “Security as a Service,” en Canadian Cybersecurity 2018: An Anthology of CIO/CISO Enterprise-Level Perspectives, editorial. Ajay K. Sood (Toronto: Foro CLX, 2018), 23-45.

27 Sep 2018
cybersecurity audits

¿Por qué son importantes las auditorías de ciberseguridad?

El ambiente de la ciberseguridad está cambiando. Las tasas de emails maliciosos, spam y malware siguen aumentando, y nuevas amenazas, como la minería de criptomonedas, están surgiendo. Mientras tanto, los ataques de ransomware se han vuelto tan comunes que ciertos grupos de ataque los usan como señuelos para cubrir otros tipos de ataque más serios.

En un mar de ciberamenazas en constante evolución, ¿podrá tu empresa mantenerse a flote?

Si crees que un firewall es todo lo que debes tener en cuenta al evaluar la ciberseguridad de tu perímetro digital, probablemente te equivoques. Después de todo, los ciberataques modernos son cuestión de tiempo, y no existe una solución universal a todos los problemas. Es aquí donde tener una segunda opinión puede hacer una diferencia en entender el panorama contemporáneo de amenazas a la ciberseguridad, entender las defensas disponibles, terceros riesgos y nuevas regulaciones.

Introduciendo las auditorías de seguridad.

De acuerdo a asesores de Ritcher, hoy en día, “un firewall es solo la punta del iceberg de la seguridad”. Hoy más que nunca, necesitas saber a qué amenazas se enfrenta tu empresa, pues los ciberataques son cuestión de tiempo. En lugar de preguntarte si tu empresa sufrirá un ciberataque, pregúntate cuándo.

¿Por qué realizar auditorías de ciberseguridad de terceros?

La ciberseguridad es una compleja red de sistemas y procesos que deben evolucionar en respuesta a las amenazas. Las auditorías de ciberseguridad de terceros externos ayudan a brindar claridad y entendimiento. En algunas organizaciones, puede que exista una falta de conciencia sobre cuán a menudo se deben revisar las políticas de seguridad y por qué. Es posible que los departamentos de TI carezcan de las herramientas necesarias para garantizar que sus sistemas estén seguros. Peor aún, a veces ni siquiera se dan cuenta de esto. Incluso cuando la ciberseguridad es un elemento clave en la cultura organizativa,  concentrarse en tablas de resultados y en métricas de negocios solo mantiene la atención en amenazas ya enfrentadas en el pasado. Al contrario, las empresas deben mirar al futuro para anticipar las amenazas que no hayan surgido tomando medidas proactivas de ciberseguridad para la privacidad desde el diseño. Este concepto es conocido como privacidad desde el diseño.

¿Cómo te ayudarán las auditorías de ciberseguridad?

Hay cuatro razones principales por las que tu empresa se beneficiará de las auditorías de ciberseguridad.

  1. Brindan conocimiento y validación. Los auditores cuentan con una extensa experiencia, y ofrecen las mejores prácticas para fortalecer los programas de las empresas. Los auditores estudian las nuevas regulaciones (como la GDPR). Pueden asegurar que los sistemas y procesos cumplan con los estándares regulatorios actuales. Además, los auditores pueden señalar problemas potenciales y sugerir mejoras.
  2. Ofrecen evaluaciones neutras y objetivas de los programas. Estas evaluaciones objetivas muestran además una mejor visión de cuán atractiva puede ser una empresa para los hackers.
  3. Las auditorías de terceros pueden ser más precisas. Ya que los auditores no están asociados directamente a la empresa, pueden tener una visión más precisa de toda la estructura organizativa, incluyendo políticas de BYOD (trae tu propio dispositivo) y equipos móviles que no sean oficialmente parte del flujo de trabajo de la organización.
  4. Ayudan a validar tus políticas de privacidad ante posibles terceros aliados, y viceversa.

¿Qué busca un tercero auditor de ciberseguridad?

Evaluar la ciberseguridad requiere un conjunto de habilidades específicas. Los auditores deben examinar la configuración de servidores, realizar pruebas de penetración y revisar el reglamento de gestión de eventos de seguridad. No todos los departamentos de TI tienen al personal con la capacidad y el conocimiento para realizar estas tareas.

Adicionalmente, existen regulaciones complejas en lo referente a la protección y privacidad de los datos, y tu organización debe seguir dichas regulaciones en cada jurisdicción en la que haga negocios.  Por ejemplo, la recién aprobada GDPR, requiere que cualquier filtración de información que involucre datos de residentes de la Unión Europea sea revelada públicamente en menos de 72 horas. ¿Reconocería tu empresa una filtración así en caso de ocurrir? ¿Qué tan segura está la información personal de identificación (PII) que guarda tu empresa? ¿La información que almacena tu empresa es accesible a sus aliados, proveedores o clientes? ¿Especifican tus contratos cómo los proveedores y distribuidores manejarán esta información? ¿Tienen estas organizaciones los sistemas adecuados para mantener tu información segura? Una auditoría de terceros observa todas las relaciones de negocios y ofrece una evaluación completa de amenazas y riesgos.

¿Por qué son importantes las auditorías de ciberseguridad?

Un informe reciente de PWC indica que 87% de los CEO globales creen que invertir en ciberseguridad es importante para generar confianza en los clientes. Aun así, menos de la mitad de todos los negocios del mundo cuentan con auditorías de los terceros que manejan su información personal recolectada. Dicho de otro modo, hay un 54% de posibilidades de que una organización que recolecte información personal no esté segura de si su esta información está protegida adecuadamente, sin importar que sus CEO reafirmen la importancia de hacerlo.

Si una empresa cree en la protección de la información personal, o al menos desea evitar una costosa filtración de información, deberá hacer las diligencias pertinentes al momento de elegir a sus terceros proveedores. Es por esto que llevar a cabo auditorías de ciberseguridad es tan importante. Una organización necesita saber dónde y cómo se almacena su información, pues al final del día, cualquier organización que recolecte información personal es responsable de cualquier reclamación de protección de datos, y estas reclamaciones pasan a ser responsabilidad de los terceros.

¡Practicamos lo que predicamos!

En Echoworx respiramos encriptación, y trabajamos cada día para ayudar a organizaciones a proteger su información delicada en tránsito. Lógicamente, invertimos en los más altos niveles de ciberseguridad. Es por esto que toda nuestra organización, de arriba a abajo, es examinada regularmente por terceros auditores para asegurar la hermeticidad de la información. ¡Nos enorgullecemos de nuestras certificaciones SOC2 y Web Trust!

Comprueba por ti mismo nuestras calificaciones en ciberseguridad.

Por Alex Loo, VP de Operaciones, Echoworx

14 Sep 2018
Is your business vulnerable to cybersecurity threats?

¿Es vulnerable su negocio contra amenazas de ciberseguridad?

En 2017, Deloitte fue calificada la mejor consultora de ciberseguridad en el mundo por quinto año consecutivo. Pero más tarde ese mismo año, surgieron noticias de que la misma Deloitte estaba siendo víctima de un hackeo que duro casi un año entero[1].

¿Como pudo revertirse esto tan dramática y rápidamente?

Cualquier compañía es vulnerable a un ciberataque. Mientras más grande la compañía, más grande el blanco. Para la mayoría de las compañías es solo cuestión de tiempo.

Los hackers apuntan a robar datos sensibles tales como secretos corporativos, datos personales y propiedad intelectual. También lanzan ataques de sabotaje. El daño financiero a la economía mundial excede los $575 billones anualmente—más que el PBI de muchos países.

¿Cuán vulnerable es su negocio?

Ciberseguridad = vigilancia constante

He aquí algunas vulnerabilidades de ciberseguridad para notar:

  • Desconfiguración de seguridad. Esta es la más común y peligrosa falla porque reside en aprovechar simples errores informáticos, tales como correr software desactualizado, utilizar parámetros de configuración y contraseñas de fábrica , y cuentas por defecto.
  • Desbordamientos de buffer. Cuando una aplicación intenta poner más datos en un buffer de los que este puede manejar, el buffer se desborda. Esto puede permitir que un atacante sobrescriba bloques de memoria para corromper datos, hacer que fallen programas, o instalar código malicioso. Estos ataques son comunes y difíciles de detectar, pero también son más difíciles de realizar que un ataque de vulnerabilidad de inyección.
  • Exposición de datos sensibles. Esto hace referencia a cualquier instancia en la que un hacker obtiene acceso a datos sensibles, ya sea directamente desde un sistema, o mientras están en tránsito entre un usuario y un servidor. La falla más directa que puede ser aprovechada es la falta de encriptación, o encriptación que esté en peligro por contraseñas débiles o falta de autenticación de multifactor. Cualquier organización que maneje datos sensibles puede ser vulnerable a este tipo de ataque.
  • Autenticación dañada y manejo de sesiones. Cuentas expuestas, contraseñas, IDs de sesión representan filtraciones o fallas en los procedimientos de autenticación. Los hackers las usan para para hacerse con cuentas y hacerse pasar por usuarios legítimos.
  • Infraestructura o software de seguridad anticuado. El equipo más Viejo no soporta adecuadamente las aplicaciones modernas, y no es fácil de proteger contra las amenazas actuales.

La amenaza de hackers continúa creciendo a medida que las técnicas más sofisticadas de vuelven más comunes. Una encuesta reciente ha mostrado que 7 de cada 10 organizaciones dijeron que su riesgo de seguridad a ciber amenazas aumento en 2017 con respecto al año anterior. El 54% de las compañías fue víctima de uno o más hackeos exitosos en 2017. Y el 77% de esos ataques aprovecho vulnerabilidades como las mencionadas previamente (también llamadas técnicas “sin archivo”) sin adjuntos maliciosos o archivos .exe.

La forma más reciente de ciberataque es el crypto-jacking. También conocido como minería de criptomoneda, esto es el uso no autorizado de computadoras para minar criptomonedas. Los hackers implantan código en una computadora usando hipervínculos maliciosos en emails o sitios web infectados. Symantec advierte que la actividad de minar criptomoneda se incrementó en un 34,000% durante 2017, y que la detección de mineros de criptomonedas aumento un 8,500%. Para fines de 2017 la actividad de minería de criptomoneda también fue detectada en dispositivos móviles, y probablemente crecerá en este ámbito también.

Defender su negocio

Aunque ningún sistema está 100% seguro de un ataque, una encriptación fuerte es una herramienta de defensa efectiva contra el hackeo.

Tenga estos tips en mente:

  • Encripte toda la información sensible que los hackers o criminales puedan obtener.
  • Mantenga sus credenciales de ingreso confidenciales y protegidas con contraseñas.
  • Utilice autenticaciones de multifactor siempre que sea posible.
  • Emplear hasheo fuerte de contraseñas.

Nosotros usamos la nube. Es segura, ¿verdad?

Los servicios en la nube no lo protegen de un riesgo. Tal y como lo señala Sandra Liepkalns, CISO en LoyaltyOne, la información aún debe ser almacenada físicamente, y “la nube” solo significa que usted está usando servidores externos. ¿Sabe usted donde se encuentran esos servidores? ¿Si sus servidores se encuentran en los Estados Unidos, tienen las credenciales necesarias para manejar información con protección GDPR de Europa? ¿Y qué sucede con las amenazas físicas? ¿Están los servidores ubicados en lugares vulnerables a inundaciones o incendios forestales? ¿Y qué hay de huracanes? ¿O terremotos?

Al final del día, cada organización es responsable de proteger la información de sus clientes. Después de todo, no se trata sobre si su organización será violada o no, si no cuando. ¡No se deje atrapar desprevenido! Minimice los riesgos y haga que su seguridad sea integral a todos sus sistemas y procesos.

Por Randy Yu, Gerente de Implementación en Echoworx

———–

[1] https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails

25 Ene 2018
Cyber Threat

¿Qué tan malo es malo? El actual panorama de amenazas en México

México es una de las economías de más rápido crecimiento en el mundo, enfocada en emplear tecnología para impulsar las empresas hacia adelante. Pero esta dependencia en la tecnología viene con un lado oscuro: las empresas son significativamente más vulnerables a las amenazas cibernéticas y las filtraciones de datos.

México ha estado atrayendo la atención de maliciosos ejecutores de amenazas cibernéticas. La atracción se debe en gran medida a su creciente importancia geoestratégica regional y global, junto con la creciente riqueza económica y financiera de la nación.

Según estudios recientes, las organizaciones mexicanas están enfrentando amenazas similares a las que operan en las economías más desarrolladas del mundo. México ocupa el segundo lugar en América Latina, justo detrás de Brasil, para la mayor parte de los ciberataques, con los sectores bancarios, de ventas al por menor y de telecomunicaciones como los más afectados.

Tiempo serio de hacer ajustes

La ocurrencia de la actividad cibercriminal en México, la diversidad de instituciones financieras y el creciente valor de capital del sector, son todos factores de riesgo. Grupos criminales, claramente capaces, asediaron el sector financiero mexicano al comprometer los cajeros automáticos y defraudar a los clientes de los bancos en una escala significativa. Ataques menos sofisticados, como el uso de Troyanos bancarios, ransomware y Puntos de Venta de malware, están bien extendidos y representan una amenaza significativa.

Las vulnerabilidades claves observadas en el panorama cibernético de México son la falta de una cultura de seguridad cibernética, las configuraciones anticuadas de sistemas y versiones obsoletas de las aplicaciones de software. El derecho a la privacidad junto con la protección de información personal, tanto para individuos como para corporaciones, es un tema extremadamente relevante para las organizaciones internacionales y el sector público. Si la seguridad cibernética no es fortalecida, más empresas en México quedarán expuestas.

Si México quiere ser un pionero de derechos de datos, la nueva infraestructura debe adaptarse efectivamente a los cambios en la forma en que la información es transmitida alrededor del mundo y deben cumplir no solo con las directivas nacionales y regionales, sino también con la protección internacional de las prácticas de información.

Surge la Pregunta

¿Está su negocio en una encrucijada? ¡Asuma los costos de aumentar las defensas o conviértase en alguien cada vez más susceptible al riesgo de ataques!

La elección correcta sería migrar hacia un modelo proactivo incorporando puntos de control de seguridad opuestos a un modelo reactivo. El tener las medidas de seguridad correctas podría resultar ser un diferenciador para superar a los competidores.

Una desviación positiva

Según PwC Mexico, “El 91% de las empresas mexicanas han priorizado la seguridad cibernética en sus organizaciones y México es el país con mayor inversión en seguridad cibernética en América Latina». El sector financiero ha liderado el camino en esta área, seguido por las telecomunicaciones, y estos, ambos, son los sectores económicos más globalizados de México.

Aquí es donde el Gobierno de México debería trabajar de cerca en colaboración con firmas privadas. Los beneficios de fomentar la investigación sobre el tema de la protección de datos serían mutuamente beneficiosos, manteniendo el enfoque en la creación de una economía sostenible y creciendo de manera segura.

Echoworx ha respondido a las demandas de seguridad de datos de México mediante la configuración de nuestra avanzada plataforma de cifrado OneWorld dentro de un centro de datos local cerca de la Ciudad de México. Esta expansión ha sido impulsada por la creciente demanda de empresas multinacionales operando en México para procesar y proteger su información sensible de manera local.

Con nuestra ágil plataforma de cifrado de correo electrónico, es más fácil que nunca que las organizaciones puedan cumplir, mantengan la reputación de la marca, generen confianza entre los clientes y ganen una ventaja competitiva, mientras maximizan la protección de sus comunicaciones confidenciales, la propiedad intelectual y otros datos sensibles.

México se está perfilando para estar entre los líderes mundiales en transacciones digitales, y ya que la seguridad es una preocupación primordial, salvaguardar las comunicaciones debe ser una principal prioridad. Como líder en el cifrado de correo electrónico, Echoworx está enfocado en fortalecer la seguridad cibernética colaborando con varias partes interesadas igualmente apasionadas para salvaguardar la colaboración y comunicación de información sensible en todo México.

 

Por Christian Peel, ‎ Vicepresidente de Ingeniería de Clientes, Echoworx

05 Ene 2018
Microprocessor attacks

Ataques Spectre y Meltdown, ¿crees que el cielo se está cayendo?

Al igual que la mayoría de las empresas, Echoworx es consciente de las vulnerabilidades anunciadas recientemente que afectan a los microprocesadores más modernos.  Queríamos tomarnos un minuto para proporcionar la siguiente guía sobre los ataques Spectre y Meltdown para garantizar la conciencia de los problemas y para informarte sobre los pasos que Echoworx está tomando para abordarlos.

¿Cuáles son estos ataques?

Spectre en realidad son dos vulnerabilidades diferentes, y Meltdown es una.  Ambos ataques explotan características de microprocesadores ‘modernos’ llamados ‘ejecución especulativa’.   La Ejecución Especulativa es una técnica de captación previa de datos e instrucciones previas a la ejecución en caso de que se necesiten.   Básicamente, si no se necesitan, aún quedan restos de los datos en la memoria que pueden leerse en otros procesos.

El ataque Meltdown es el peor de los dos, ya que puede revelar toda la memoria de la computadora, no solo algunas partes de la misma.  El Meltdown también es más fácil de realizar.  Afortunadamente, el Meltdown también es más fácil de parchear.  Spectre por otro lado es más difícil de realizar, revela menos, pero es más difícil de tratar a través de parches.  Hay parches para casos conocidos específicos.

¿Qué se ve afectado por estos ataques?

“Moderno” no es tan moderno… Al menos no en términos informáticos.   Básicamente cualquier procesador Intel construido desde aproximadamente 1995 se vería afectado.  Intel, AMD, ARM, procesadores y otros también se ven afectados en diversos grados.  Hay algunos informes de que ciertos procesadores no están expuestos a todas las vulnerabilidades, pero no está claro si se ha demostrado que es así o si aún no se ha logrado. Sería mejor errar por el lado de la precaución.

¿Qué deberías hacer como individuo en tus dispositivos personales?

Siempre debes mantenerte actualizado con parches, y este caso no es diferente.   Existen parches para Linux, Microsoft (Windows, Edge, IE), Apple (MacOS, iOS, TVOS, Safari), Android, Firefox, Chrome y probablemente muchas otras aplicaciones.  Aplicar estos te ayudará a protegerte.

También debes asegurarte de que tu software antivirus/seguridad de Internet esté actualizado.   Microsoft ha anunciado que sus correcciones pueden tener problemas de compatibilidad con algunos software antivirus.   El parche para Windows no se instalará si tienes un antivirus obsoleto o incompatible.  Yo primero actualizaría el software antivirus y luego aplicaría el parche MS.

Ten en cuenta que algunas de las soluciones a este problema podrían causar un impacto en el rendimiento.  Hay algunas estimaciones bastante desagradables de cuán grave impacto podría haber, pero los proveedores que he visto hasta ahora han reportado impactos mínimos.  Por ejemplo, Apple informa un máximo de 2.5% contra 1 punto de referencia para estas correcciones.

 

By David Broad CISSP, Information Security and Audit Lead, Echoworx

08 Sep 2017
privacy by design

Privacidad por diseño, o por desastre

¿Tienes algún negocio europeo? Si es el caso, el RGPD podría dispararte multas de 20 millones de euros después del 25 de mayo de 2018, a menos que hayas construido los niveles más altos de protección de privacidad en tus sistemas.

El Reglamento General de Protección de Datos (RGPD) protege la privacidad y los derechos humanos de las personas y entra en vigencia en mayo. Aplica a las empresas con sede en la UE, además de las empresas extranjeras que realizan negocios en la UE. El alcance abarca una amplia gama de datos personales, por ejemplo, nombres, direcciones de correo electrónico, redes sociales, detalles bancarios o direcciones IP de la computadora.

Para las empresas que no cumplen con el RGPD, hay multas de hasta 20 millones de euros o hasta el 4 por ciento de sus ganancias anuales en todo el mundo , un gran mordisco en su balance final. La buena noticia es que hay una directiva para guiarlo, conocida como Privacidad por Diseño, o «PbD, por sus siglas en inglés».

Privacidad por Diseño
Cumplir con el RGPD significa seguir los siete principios de PbD que se incluyen casi literalmente en la regulación.

  1. Proactivo no reactivo; preventivo no correctivo
    Piensa en esto como «privacidad por diseño o desastre». Si creas privacidad, cifrado y ciberseguridad general adecuadas en tus productos y servicios, es menos probable que tengas una infracción en el lado del desastre que implica multas, demandas colectivas y daños a tu reputación.
  2. Privacidad como configuración predeterminada
    La mayoría de las personas no lee los contratos de licencia de usuario final ni los extensos documentos legales de las instituciones financieras. Haz que tus ofertas sean más fáciles de usar, de forma predeterminada con los niveles más altos de privacidad y cifrado, y pide claramente permiso específico para usar los datos del cliente para cualquier otra cosa que no sea la que pretenden. Por ejemplo, mantén vacías las casillas de opción para que el usuario final distraído no otorgue el permiso por accidente.
  3. Privacidad integrada en el diseño
    ¿Qué tan bien están cifradas tus aplicaciones y sistemas de administración de datos? Esto debe ser un hecho predeterminado, sin elección, incorporado a toda tu arquitectura de datos.
  4. Funcionalidad completa – suma positiva, no suma cero
    Existe el argumento de que la seguridad total y la privacidad total no son compatibles, pero está mal: un cifrado fuerte te permite tener ambas cosas. Además, cuando tus clientes sepan que lo estás usando, tendrán un mayor nivel de confianza en ti y estarán más dispuestos a compartir sus datos.
  5. Seguridad de extremo a extremo: protección completa del ciclo de vida Con tu sistema diseñado para respetar y mantener la privacidad en cada contacto, ¿qué sucede cuando terminas de usar los datos? Desde el momento en que un cliente da su nombre, hasta el cierre de la cuenta, debes asegurarte de que sus datos se administren de forma segura y, finalmente, se destruyan.
  6. Visibilidad y transparencia: mantenlo abierto
    Ser capaz de demostrar que estás usando los datos como está previsto en cada paso. Pero también debes estar dispuesto a compartir todos los datos que ha recopilado sobre alguien con esa persona, porque los datos les pertenecen. Y poder verlo significa que pueden corregir las imprecisiones, haciéndolo mucho más útil para ti.
  7. Respeto a la privacidad del usuario: mantenlo centrado en el usuario
    Estar centrado en el usuario significa que tu empresa y tus arquitectos de datos son proactivos a la hora de proteger la privacidad del cliente. Pero la incorporación de un cifrado de datos sólido y la ciberseguridad en general no se trata solo de estar seguro. La inversión en estas tecnologías y prácticas fomentará el respeto y la confianza de tus clientes, lo cual es bueno sin importar dónde hagas negocios.

 

By Alex Loo, VP Operations, Echoworx 

[Reference links]

19 Jul 2017
cyber criminals

Objetivos principales para delincuentes cibernéticos

Los ciberdelincuentes de hoy en día ahora tienen acceso a herramientas avanzadas y estrategias sofisticadas. Sin embargo, podría decirse que sus armas más poderosas son paciencia y persistencia a montar un ataque sostenido en su organización si terminas en su punto de mira. Si quieren acceder a los datos en tu red, encontrarán la manera. Su motivación, en la mayoría de los casos, es el ingreso que pueden generar a partir de tu información confidencial. ¿Pero quiénes son sus principales objetivos y qué los hace tan atractivos para los cibercriminales?

Conversations That Matter presenta a Dominic Vogel
«Los hackers van donde está el dinero, centran su atención en las cinco aplicaciones principales en uso».
Según Vogel, el programa #1 bajo amenaza es el correo electrónico.

Tres objetivos comunes para el delito cibernético son: Firmas de abogados, Servicios financieros y Empresas físicas. Dentro de cada una de estas categorías, esto es lo que persiguen los ciberdelincuentes:

BUFETES DE ABOGADOS
Los ciberdelincuentes buscan detalles ocultos valiosos y jugosos dentro de los archivos del cliente. Si logran acceder a la red de un bufete de abogados, no se van a decepcionar. Obtendrán datos que pueden monetizar directamente o que luego pueden usar para una campaña más amplia de ingeniería social. Los bufetes de abogados tienen todo tipo de información financiera confidencial (números de cuenta y otra información confidencial de la cuenta, información de tarjetas de crédito), información personal sobre ellos mismos y sus clientes, e información privilegiada del negocio. Los ciberdelincuentes pueden averiguar sobre un trato comercial pendiente y luego: a) hacerse pasar por una parte en un trato con otra parte o, b) chantajear a una persona o compañía con esa información. Los ciberdelincuentes pueden monetizar cualquier dato confidencial, ya sea directa o indirectamente, de forma específica.

PROVEEDORES DE SERVICIOS FINANCIEROS
Es casi innecesario decirlo (pero nosotros nos encargamos de decirlo) que cuando los clientes de los proveedores de servicios financieros brindan sus datos personales a sus asesores, esperan que la información sea salvaguardada al más alto grado. ¿Quién de nosotros no insistiría en tener el más alto estándar de seguridad cibernética para una inversión privada o información de cuenta bancaria? Los servicios profesionales reciben información financiera, números de seguro social, información confidencial de empresas e información privada sobre la familia y la salud. Los ciberdelincuentes pueden monetizar directamente esta información si la venden en el mercado negro o si obtienen acceso a esas cuentas. Alternativamente, pueden enviar correos electrónicos de phishing haciéndose pasar por instituciones financieras y compañías de administración de inversiones diciendo que necesitan ‘restablecer su contraseña’. Así, los ciberdelincuentes obtienen acceso a su cuenta. De una forma menos directa, la información se puede agregar para decir más acerca de una persona y esa información puede usarse posteriormente en un ataque. La creatividad de un adversario determinado no tiene fin para poner sus manos sobre su valiosa información, ya sea directa o indirectamente.

NEGOCIOS FÍSICOS
Para los ciberdelincuentes que apuntan a los negocios físicos, cosas como la información financiera de sus clientes, listas de clientes, información de cuentas de empresas, procesos y planes comerciales, listas de proveedores de empresas y propiedad intelectual les son particularmente de interés. Los proveedores y socios comerciales pueden tener credenciales de inicio de sesión en sus redes que pueden abrir un punto de entrada significativo para un ciberataque cuidadosamente diseñado. Incluso datos aparentemente inofensivos puede ser usado en contra de la compañía. Estos atacantes cibernéticos profesionales bucan algo que puedan usar en un ataque de phishing para hacer que el ataque suene más legítimo y luego, después de ingresar a la red de una organización, monetizarán los datos indirectamente.

Las tres categorías que hemos explorado en este artículo son solo la punta del iceberg. La lista de servicios profesionales, desde corredores de hipotecas hasta consultores de negocios, es extensa. Las empresas de contabilidad, por ejemplo, tienen amplios registros financieros comerciales y personales, y tienen información similar a los bufetes de abogados. Los negocios físicos son otra categoría amplia que podría ser cualquier cosa, desde cadenas de restaurantes , fabricantes , hasta tiendas minoristas. Desde hoteles hasta corretaje de seguros, la lista de objetivos principales para los ciberdelincuentes es larga y con muchas subcategorías. Nos sumergiremos más en estos y otros blancos cibernéticos clave en futuros artículos y videos.

CONSEJO PRACTICO
Si te preocupa la posibilidad de un ciberataque en tu organización, aquí hay seis pasos fundamentalmente importantes que puedes tomar:

Haz un inventario de todos tus activos valiosos (activos intangibles que necesitas proteger)
Crea tu registro de riesgo
Selecciona qué riesgos deberían tratarse y en qué orden los riesgos deben ser tratados
Selecciona opciones de tratamiento de riesgo (controles) para cada riesgo en las siguientes categorías:
a. Gente
b. Procesos
c. Tecnología
Implementa los controles
Regularmente monitorea y revisa la efectividad de tus controles
Implementa estas medidas para comenzar a construir tu marco de gestión de riesgos cibernéticos y endurecer tu posición de seguridad cibernética. Con el fin de gestionar con éxito tus ciberamenazas, debes hacer bien las cosas básicas.

«Prime Targets for Cyber Criminals» es un artículo del autor invitado Dominic Vogel

07 Jun 2017
cybersecurity

Definiendo el futuro de la Ciberseguridad, juntos

La ciberseguridad es uno de los principales problemas que enfrentan las empresas en el entorno electrónico actual. En todas sus facetas, los delitos cibernéticos continúan aumentando y los correos electrónicos son, y se espera que sigan siendo, el blanco #1 para los ciberdelincuentes. Muchas organizaciones enfocan la seguridad cibernética a la protección contra ataques externos, pero ignoran las posibles amenazas a, y por medio de correos electrónicos, que pueden ser mucho más destructivas.

El robo de datos confidenciales para espionaje corporativo, la revelación de secretos comerciales a un competidor y/o la divulgación de información privada de salud al público se pueden obtener por correo electrónico. Se estima que para el 2019, las cuentas de correo electrónico corporativas en todo el mundo superarán los 1,300 millones. Con el gran volumen de correos electrónicos que entran y salen de la empresa, el riesgo de infracciones que las organizaciones deben mitigar es grande. Por otra parte, de acuerdo con la investigación hecha por Echoworx, las industrias altamente reguladas, como el petróleo y el gas, la salud y las finanzas son los principales objetivos de las amenazas de seguridad del correo electrónico.

Existe una necesidad urgente de que los responsables de la toma de decisiones corporativas adopten una mentalidad que tenga en cuenta la realidad de las vulnerabilidades del correo electrónico… O que se enfrenten a las posibles consecuencias.

Toma el pirateo de DNC por ejemplo. Si se hubiera utilizado el cifrado de correo electrónico y las políticas se aplicaron efectivamente para activar la mensajería segura, la gravedad de la infracción podría haberse minimizado. Hubo un momento en que el cifrado de correo electrónico era muy complicado de implementar para una empresa en toda su organización. Pero los tiempos han cambiado. A través del cifrado de correo electrónico, las empresas ahora pueden:

  • Asegurar las comunicaciones digitales mientras crece su marca corporativa
  • Mejorar el servicio al cliente
  • Aumentar las eficiencias y reducir costos operativos
  • Aumentar la velocidad, rendimiento y función
  • Hacer cumplir la normativa
  • Prevenir la pérdida de datos, mitigar el riesgo

Mirando hacia atrás: Cybercon 2016
Echoworx, siendo un ferviente creyente del cifrado de correo electrónico de calidad mundial, participó en Cybercon 2016, que se celebró en la ciudad de Atlanta, para analizar los cambiantes problemas que afectan a la ciberseguridad y el papel que todos desempeñamos en la seguridad de datos.

De hecho, Echoworx fue una de las doce compañías seleccionadas de todo el mundo para participar en una sesión de lanzamiento de producto solo por invitación en Cybercon 2016.

«Estamos encantados de tener un grupo tan fuerte y diverso de compañías de seguridad cibernética tanto nacionales como extranjeras que participan en esta oportunidad única de contar sus historias a los principales profesionales de la industria de la seguridad», dijo Justin Daniels, director del Grupo de Compañías Emergentes de Atlanta de Baker Donelson y del acelerador de ciberseguridad Baker Donelson. «Dado que la mayoría de las empresas que presentan provienen de fuera de los Estados Unidos, este es realmente un evento internacional y destaca el reconocimiento internacional del robusto ecosistema de seguridad cibernética del área de Metro Atlanta».

Espero Cybercon 2017, que está programado para octubre de este año como parte de la Atlanta Cyber Week.  Puedes obtener los detalles aquí: http://www.cybercon.us

Esta publicación de blog fue publicada originalmente en inglés

By Kael Harden, Territory Director – East, Echoworx