Nuevo reglamento europeo de protección de datos
El vicepresidente de Seguridad en Europa de BT alerta de que la nueva normativa europea alienta a los ciberdelincuentes dado que el riesgo de pérdidas para empresas se dispara
Así formulada, pocos creerían que la tercera ley de Newton pudiera tener una aplicación práctica en un campo tan reciente como la ciberseguridad. Pues nada más lejos de la realidad, puesto que algunas de las normas más destacadas en la lucha contra el crimen digital pueden volverse, literalmente, en nuestra contra. Es el caso del tan comentado GDPR (General Data Protection Regulation) (Wikipedia), una regulación europea que -cuando entre en vigor, en mayo de 2018- obligará a las empresas a garantizar la confidencialidad de toda la información y notificar cualquier fallo en su seguridad a las autoridades regulatorias, bajo amenaza de severa multa económica.
"No creemos que las empresas estén listas para el GDPR. Pero, lo que es más grave, la regulación está provocando también un incentivo para los atacantes, porque serán conscientes de que una empresa puede perder mucho dinero si sufre un ataque, tanto por la multa económica como por el daño reputacional y la pérdida de confianza con sus clientes", explica Ramy Houssaini. "En esos casos, los hackers pueden simplemente acceder a algunos datos o tan sólo vulnerar la red corporativa, obligando a notificar la amenaza y aprovechar los cambios bursátiles que se produzcan".
Y es que, como defiende Houssaini, "cualquier movimiento regulatorio o político crea una oportunidad para los ciberatacantes". No es de extrañar, por tanto, que la seguridad informática haya sido un elemento esencial en el debate electoral de Estados Unidos o que, cada vez más, veamos ataques prácticamente diarios contra todo tipo de compañías en cualquier rincón del planeta. «Estamos viendo una notable aceleración de los ataques dirigidos contra bancos, firmas de retail u operadores de telecomunicaciones», añade el experto. «Eso se debe principalmente a la bajada sustancial en el coste de un ciberataque: ahora lanzar un ataque DDoS (denegación de servicio) de 650 Gb por segundo apenas cuesta cinco dólares».
Aquí es donde entra en juego el término de 'cibercrimen-as-a-service': "El crimen informático se está commoditizando, convirtiéndose en un 'cibercrime-as-a-service', y eso hace que sea más difícil defendernos. Tenemos que cambiar nuestra aproximación y ser más ofensivos, disrruptirlos y dotar de más inteligencia a los sistemas de seguridad", concluye Houssaini.
¿Y cómo se puede vencer en esta particular guerra? «Hay que poner a tu propia compañía en los pies de un delincuente y pensar cómo él: cómo entraría, en qué datos estaría interesado y cómo minimizar el impacto de un ataque», detalla el directivo. «Es como los accidentes de coche: nunca va a haber cero incidentes, lo que hay que hacer es prevenirlos y reducir sus consecuencias»
Para Houssaini, no hay nada aleatorio en el mundo de la ciberdelincuencia. "Los atacantes no son aleatorios para nada, están muy focalizados en determinadas empresas. Crean casos de negocio, analizan su objetivo y determinan el beneficio que van a obtener con su operación".
Uno de sus ejemplos favoritos es el ransomware que afecta a los ordenadores Mac: hasta febrero de este año no se había registrado ningún virus de este tipo, principalmente porque estos equipos ostentan una cuota de mercado de menos de dos dígitos. Pero, al no haber competencia, un cibercriminal encontró en esta laguna su hueco para hacer negocio. "Nada pasa aleatoriamente, todo está calculado, optimizado y orientado a ganar dinero, al menos entre los grupos organizados que se dedican a estas actividades", admite Ramy. "Los hackers analizan riesgos y recompensas de cada ataque, para ver si les compensa burlar sistemas más complejos a cambio de una mayor recompensa o focalizarse en empresas menos seguras pero con datos menos valiosas. Aunque, si tenemos en cuenta que los ataques pueden industrializarse y en una misma campaña se puede atacar a 500 organizaciones a la vez de forma muy sencilla, muchas veces compensa ir a las más débiles porque las grandes llevan tiempo de analizar y entender sus sistemas".
Fuente: El Mundo
Con toda acción ocurre siempre una reacción igual y contraria.
Así formulada, pocos creerían que la tercera ley de Newton pudiera tener una aplicación práctica en un campo tan reciente como la ciberseguridad. Pues nada más lejos de la realidad, puesto que algunas de las normas más destacadas en la lucha contra el crimen digital pueden volverse, literalmente, en nuestra contra. Es el caso del tan comentado GDPR (General Data Protection Regulation) (Wikipedia), una regulación europea que -cuando entre en vigor, en mayo de 2018- obligará a las empresas a garantizar la confidencialidad de toda la información y notificar cualquier fallo en su seguridad a las autoridades regulatorias, bajo amenaza de severa multa económica."No creemos que las empresas estén listas para el GDPR. Pero, lo que es más grave, la regulación está provocando también un incentivo para los atacantes, porque serán conscientes de que una empresa puede perder mucho dinero si sufre un ataque, tanto por la multa económica como por el daño reputacional y la pérdida de confianza con sus clientes", explica Ramy Houssaini. "En esos casos, los hackers pueden simplemente acceder a algunos datos o tan sólo vulnerar la red corporativa, obligando a notificar la amenaza y aprovechar los cambios bursátiles que se produzcan".
Y es que, como defiende Houssaini, "cualquier movimiento regulatorio o político crea una oportunidad para los ciberatacantes". No es de extrañar, por tanto, que la seguridad informática haya sido un elemento esencial en el debate electoral de Estados Unidos o que, cada vez más, veamos ataques prácticamente diarios contra todo tipo de compañías en cualquier rincón del planeta. «Estamos viendo una notable aceleración de los ataques dirigidos contra bancos, firmas de retail u operadores de telecomunicaciones», añade el experto. «Eso se debe principalmente a la bajada sustancial en el coste de un ciberataque: ahora lanzar un ataque DDoS (denegación de servicio) de 650 Gb por segundo apenas cuesta cinco dólares».
Aquí es donde entra en juego el término de 'cibercrimen-as-a-service': "El crimen informático se está commoditizando, convirtiéndose en un 'cibercrime-as-a-service', y eso hace que sea más difícil defendernos. Tenemos que cambiar nuestra aproximación y ser más ofensivos, disrruptirlos y dotar de más inteligencia a los sistemas de seguridad", concluye Houssaini.
¿Y cómo se puede vencer en esta particular guerra? «Hay que poner a tu propia compañía en los pies de un delincuente y pensar cómo él: cómo entraría, en qué datos estaría interesado y cómo minimizar el impacto de un ataque», detalla el directivo. «Es como los accidentes de coche: nunca va a haber cero incidentes, lo que hay que hacer es prevenirlos y reducir sus consecuencias»
Para Houssaini, no hay nada aleatorio en el mundo de la ciberdelincuencia. "Los atacantes no son aleatorios para nada, están muy focalizados en determinadas empresas. Crean casos de negocio, analizan su objetivo y determinan el beneficio que van a obtener con su operación".
Uno de sus ejemplos favoritos es el ransomware que afecta a los ordenadores Mac: hasta febrero de este año no se había registrado ningún virus de este tipo, principalmente porque estos equipos ostentan una cuota de mercado de menos de dos dígitos. Pero, al no haber competencia, un cibercriminal encontró en esta laguna su hueco para hacer negocio. "Nada pasa aleatoriamente, todo está calculado, optimizado y orientado a ganar dinero, al menos entre los grupos organizados que se dedican a estas actividades", admite Ramy. "Los hackers analizan riesgos y recompensas de cada ataque, para ver si les compensa burlar sistemas más complejos a cambio de una mayor recompensa o focalizarse en empresas menos seguras pero con datos menos valiosas. Aunque, si tenemos en cuenta que los ataques pueden industrializarse y en una misma campaña se puede atacar a 500 organizaciones a la vez de forma muy sencilla, muchas veces compensa ir a las más débiles porque las grandes llevan tiempo de analizar y entender sus sistemas".
El fin del perímetro
La llegada de nuevas tendencias tecnológicas, como el cloud computing o el Internet de las Cosas, está provocando que el perímetro de seguridad de las empresas desaparezca y se multiplique su superficie de ataque. La respuesta ahora, afirma Houssaini, debe ser ofensiva, basada en la inteligencia y la gestión de identidades.Fuente: El Mundo
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!