FALLAS DEL SECTOR DE LA SEGURIDAD

FALLAS DEL SECTOR DE LA
SEGURIDAD: RESPONSABILIDAD
Y PLAN DE ACCIÓN
Amit Yoran
Presidente, RSA
William Robertson
Profesor auxiliar
Facultad de Ciencias de la Computación, Universidad Northeastern
El sector de la seguridad de la información está perdiendo la ciberguerra, o bien las ciberguerras, en plural. Los “hacktivistas” de
sombrero negro, los sindicatos de crimen organizado, los operativos patrocinados por el Estado y otras amenazas atacan a los
sistemas informáticos y a las infraestructuras fundamentales en diversos frentes alrededor del mundo con aparente impunidad.
Las motivaciones y los objetivos varían. El vínculo que los une es el carácter malintencionado. Estos intrusos del siglo XXI suelen
alcanzar sus objetivos, ya que cuentan con el respaldo de habilidades increíblemente sofisticadas y excelentes recursos. Pero la
sofisticación no basta para tener éxito. A menudo, los perpetradores con más persistencia que perspicacia son capaces de
aprovechar los puntos débiles. Las empresas, sin saberlo, proporcionan amplias superficies de ataque con puntos de entrada que
no son lo suficientemente seguros o que están completamente desprotegidos. Ya sean objetivo de saboteadores cibernéticos
y criminales o debido a su propia falta de preparación e inversión, las víctimas de los ataques cibernéticos sufren daños que van
desde molestias aisladas a daños que son devastadores, extensos y costosos.
El impacto financiero adverso es abrumador. Considere la manera en que el incesante bombardeo de vulneraciones
a la ciberseguridad debilita la seguridad de las naciones soberanas, obstruye la innovación, disminuye la confianza del
consumidor y amenaza a la seguridad pública. Además, la magnitud de este problema es verdaderamente intimidante.
El cibercrimen daña a la economía global.
Informe técnico de RSA
PARADOJA
A pesar de que existe una mayor concientización, una amplia variedad de nuevos productos y servicios, un aumento en las
inversiones y esfuerzos coordinados por parte de las mentes más brillantes en el ámbito gubernamental, académico y de
negocios, el sector de la seguridad tiene que esforzarse para mantenerse al día.
La cantidad de incidentes de seguridad de la información registrados en todo el mundo aumentó un 48 % a 42.8 millones, lo que
equivale a 117,339 ataques por día, según la encuesta The Global State of Information Security® Survey 2015 (1), publicada en
septiembre de 2014 por PwC junto con las revistas CIO y CSO. La encuesta indica que desde el 2009, la detección de incidentes
de seguridad ha aumentado en un 66 % año tras año. El mismo estudio informa que debido a que los incidentes de seguridad
ocurren con mayor frecuencia, los costos asociados a la administración y moderación de las vulnerabilidades también están en
aumento. A nivel mundial, la pérdida financiera promedio estimada declarada a causa de los incidentes de ciberseguridad fue de
US$2.7 millones, un aumento del 34 % con respecto al año 2013. Este año han sido más comunes las grandes pérdidas, ya que
la cantidad de empresas que informó impactos financieros que superan los US$20 millones casi se ha duplicado.
Los costos financieros directos asociados con las actividades de corrección de las vulneraciones de datos y otros tipos de
cibercrímenes, como el análisis forense, la retención para asuntos legales y de auditoría y el monitoreo de crédito para
las víctimas de robo de identidad, entre otras, se combinan con el efecto corrosivo que supone perder la confianza. El estudio
2014 Cost of Data Breach Study: United States(2) realizado por el Instituto Ponemon reveló que el costo promedio de cada
registro de información confidencial perdido o robado aumentó de US$188 a US$201. El costo promedio total para las
organizaciones aumentó de US$5.4 millones a US$5.9 millones. El informe finaliza con la siguiente cita: “El motivo principal de
este aumento es la pérdida de clientes que sigue a la vulneración de datos, debido a los gastos adicionales que se necesitan para
conservar la reputación y la marca de la organización. De hecho, la tasa promedio de reemplazo o rotación de empleados
aumentó en un 15 % desde el año pasado”.
Claramente hay fallas en el sistema. La identificación y corrección de las causas raíz son fundamentales.
¿ERRORES DE OMISIÓN?
¿Es la falla en el sector de la seguridad el resultado de algo que no se ha hecho o que se ha hecho mal?
La falta de inversiones no parece ser un factor. Gartner, Inc. informa en su “Forecast: Information Security, Worldwide,
2012-2018, 2Q14 Update” que el gasto mundial en seguridad de la información alcanzará los US$71,100 millones el 2014,
un aumento del 7.9 % en comparación con el 2013, y el segmento de prevención de pérdida de datos registrará el crecimiento
más rápido equivalente a un 18.9 %. El gasto total en seguridad de la información aumentará un 8.2 % adicional el 2015,
alcanzando los US$76,900 millones(3).
El fuerte gasto en los productos y servicios de seguridad de la información se ve eclipsado por la inversión en investigación
y desarrollo y por un crecimiento sorprendente en la tasa de creación de nuevas empresas de seguridad de la información. Ellen
Messmer, exeditora principal de Network World, escribió: “La disposición para invertir en nuevas empresas de seguridad
continúa a un ritmo tan vertiginoso, que los participantes más establecidos se apoderan de las empresas nuevas que aún
mantienen el bajo perfil, incluso antes de que puedan presentar públicamente sus productos y servicios de seguridad”. (4)
Entonces, ¿por qué el sector colectivo de la seguridad (incluidos profesionales, asesores y proveedores de tecnología) no puede
limitar, ni mucho menos rechazar los ataques cibernéticos? Hay varios factores que contribuyen a esto.
CARENCIA DE CONCIENTIZACIÓN SITUACIONAL
A grandes rasgos, hay una falta de concientización situacional. En un artículo del año 1995 (5) publicado en Human Factors:
The Journal of the Human Factors and Ergonomics Society, la doctora Mica Endsley, científica directora de la Fuerza Aérea de los
Estados Unidos, proporcionó la que hoy se considera la definición más aceptada de concientización situacional. La describe como
“la percepción de elementos en el entorno dentro de un volumen de tiempo y espacio, la comprensión de su significado
y la proyección de su estado en el futuro cercano”.
Si lo aplicamos al estado actual de la ciberseguridad, aquellos que tienen la tarea de proteger los valiosos recursos de
información, los datos personales y la infraestructura confidencial no evalúan los métodos, el significado ni el impacto de los
ataques cibernéticos dentro de un marco de trabajo contemporáneo. Ante la falta de una interpretación clara sobre el panorama
de las amenazas cibernéticas, el negocio y el sector público no pueden defenderse de manera adecuada y proactiva contra ellas.
La mayoría de las respuestas son reactivas y en el momento. Y como resultado, muchas son deficientes y retrógradas.
Una falla mayor que empeora esta situación es que son demasiadas las organizaciones que no evalúan su postura con respecto
a la seguridad de manera objetiva. El resultado es una dependencia en el “statu quo” de las tecnologías de seguridad y no en un
programa de seguridad enfocado en las amenazas. Nunca es sencillo reconocer las carencias, lo cual es a veces riesgoso
y contradictorio a la conveniencia política. Sin embargo, aceptar el riesgo a cambio de una falsa sensación de seguridad resulta
un mal acuerdo.
2
La falta de concientización situacional entre muchos de los profesionales de seguridad de la información es una de las
vulnerabilidades más apremiantes para las ciberdefensas de los Estados Unidos. Esto lo podemos notar en el falso sentido de
seguridad que experimentan algunos profesionales de la seguridad de la información. Confían demasiado en los firewalls y en
otras soluciones que han implementado. Quizás motivados por la publicidad del sector, la necesidad de marcar una casilla en una
lista de pendientes o el miedo, el escepticismo prudente y la lógica son reemplazados por la urgencia de la acción. Se confía en
los productos sin contar con un entendimiento real y una percepción certera de las circunstancias o discriminación. A menudo se
pasa por alto la debida diligencia elemental, como evaluaciones, verificación de referencias y proyectos piloto. Esto fomenta la
autocomplacencia y deja expuestos a los sistemas. Y una vez que se revisan y se implementan las soluciones, es imperativo
vigilar su mantenimiento.
UNA FORTALEZA FRÁGIL
La inversión de la seguridad de la información en tecnologías de prevención basadas en reglas y firmas, como los firewall
y software antivirus, ha sido desproporcionadamente alta en comparación con el gasto en soluciones que pueden detectar
y responder a las incursiones. Durante su charla en la conferencia sobre la administración del riesgo y la seguridad de
2014 organizada por Gartner, Neil MacDonald, vicepresidente y analista distinguido, recomendó: “Las empresas buscan
renegociar los costos de las tecnologías genéricas, como antimalware, direcciones IP y cifrado, para que ese gasto se realice en
el campo de la detección y la respuesta”. (6)
Las barreras más altas y los muros más gruesos se ven formidables, pero los oponentes pueden pasar por debajo, saltar por
encima e incluso rodearlos. Algunos se mezclan con la multitud en los puntos de comprobación, lo que les permite pasar.
La Gran Muralla China es una excelente analogía. Esta estructura icónica, construida hace siglos durante una sucesión de
dinastías, ciertamente fue un logro de ingeniería. Pero aunque es imponente, la muralla ha sido escalada, atravesada, invadida
y eludida muchas veces. Una analogía moderna son los esquemas actuales de protección “crujiente por fuera/suave por dentro”,
en los que un perímetro fortalecido protege un ambiente interior desprotegido y desactualizado de sistemas. Después de todo,
se hacía imposible defender un perímetro de más de 8,000 kilómetros contra enemigos determinados y constantes que utilizaban
tácticas de ataque masivo. Por lo tanto, es en las ciberguerras actuales donde no hay límites reales.
“En las casi dos décadas desde que se iniciaron formalmente las primeras conversaciones sobre política cibernética, la tecnología
ha cambiado inmensamente: el correo electrónico, Internet y los dispositivos móviles son la norma, no algo inusual como ocurría
a mediados de los años noventa. Lamentablemente, los debates sobre políticas no han cambiado”, escribió Jessica R. HerreraFlanigan en el artículo “Cyber Policy Still Stuck in the „90s”, publicado en Nextgov en octubre de 2014 (7). Flanigan es uno de los
partners de Monument Policy Group, una firma de asuntos gubernamentales, y miembro del área de ciberseguridad de
The National Policy Center, un grupo de estudios independiente que ofrece análisis, soporte e información relacionada con la
ciberseguridad y con los problemas asociados a la innovación.
LA BRECHA DE HABILIDADES
Muchas empresas carecen de la experiencia en ciberseguridad interna y de los recursos adecuados para abordar las numerosas
y bien documentadas amenazas a la ciberseguridad en aumento propias de cada aspecto de la vida en el siglo veinte. Este es un
riesgo inaceptable que los equipos de ejecutivos y la junta directiva han moderado lentamente, pero que a menudo se convierte
en una prioridad después de una vulneración.
EY Center for Board Matters enumeró seis prioridades corporativas principales para el 2015 (8), entre las que se incluye la
ciberseguridad. “La responsabilidad se le atribuía cada vez más a los miembros de la junta directiva y, en algunos casos,
provocaba destituciones debido a la administración indebida de los riesgos de ciberseguridad el 2014, riesgos que seguirán
aumentando el 2015”, señala el informe. “Las juntas corporativas deben marcar la pauta para mejorar la ciberseguridad
y determinar la responsabilidad de supervisión, todo esto mientras ofrecen a las organizaciones la flexibilidad adecuada para
adoptar el poder de la tecnología”.
La escasez de profesionales en ciberseguridad es tan crítica en el Reino Unido, que más de la mitad de 300 ejecutivos de
TI y profesionales de RH en empresas con 500 o más empleados, dijeron a KPMG en una encuesta de noviembre de 2014 (9)
que podrían considerar la idea de contratar a hackers de sombrero negro para ir un paso adelante de los cibercriminales.
El ataque a Sony Pictures en noviembre de 2014 es una moraleja. El ataque a la red por parte de desconocidos (posteriormente
se pensó que eran agentes de Corea de Norte) tuvo como consecuencia una amplia distribución al público de información
confidencial que iba desde correos electrónicos infames en los que el copresidente de la empresa se burlaba del presidente
Obama, hasta registros de salud y “metraje sin editar” de películas no publicadas. En un sector que es famoso por los chismes,
esto era como carnada en aguas infestadas de tiburones. Mediante el uso de información que publicaron los hackers Fusion
informó que de los cerca de 7,000 empleados de Sony Pictures, solo 11 eran parte del equipo de seguridad de la información de
la empresa.
Los Gobiernos también han sentido esta necesidad de talentos. Government Technology informó (10) que en un evento reciente
de la Institución Brookings, Michael Daniel, el zar de la ciberseguridad de la Casa Blanca, le dijo a un ejecutivo del Centro
de Ciberseguridad de Florida ubicado en el campus de la Universidad del Sur de Florida que el Gobierno federal contratará
a 6,000 expertos en seguridad informática en los próximos 18 meses.
3
¿Cuál es la razón de esa carencia? Un motivo principal es que, aunque hay muchos profesionales de seguridad de TI,
la ciberseguridad requiere habilidades diferentes, una distinción que suele ignorarse. La ciberseguridad es un subconjunto de la
seguridad de la información. Sin embargo, son disciplinas distintas que están relacionadas, y aunque ambas se enfocan en la
protección de los sistemas de información, el alcance de la ciberseguridad se extiende por redes y sistemas a las diversas clases
de recursos, como la infraestructura estratégica. Las redes eléctricas y los sistemas de navegación son buenos ejemplos de esto
último. La ciberseguridad es también más proactiva. Hay otras calificaciones que deben poseer los profesionales de la
ciberseguridad y que no son necesarias para la TI tradicional. Estas incluyen una comprensión de los procesos de negocios,
la capacidad para reunir, analizar y manipular datos con inteligencia y un amplio conocimiento sobre toda la organización en
la que funcionan”.
Y este tipo de experiencia no se puede reemplazar. Una educación técnica y de negocios es un requisito básico. Es alentador ver
a instituciones de educación superior y universidades lanzar programas de ciberseguridad y ver que las agencias federales tienen
una mayor función en la creación de estos programas a través de esfuerzos como el programa Scholarship for Service (SFS) de
la Fundación Nacional para la Ciencia. El Gobierno de los Estados Unidos reconoció que hay una brecha en la ciberseguridad
y que la capacitación de la siguiente generación de investigadores y profesionales de seguridad es una prioridad principal.
Garantizar la seguridad y el resguardo de Gobiernos, sectores y de toda una sociedad que depende cada vez más de una
infraestructura cibernética requerirá un esfuerzo conjunto en diversos frentes, no solo en el ámbito técnico. Pero la formación de
la siguiente generación de guerreros cibernéticos toma tiempo y, como con cualquier otro soldado, el combate es donde se
demuestran las capacidades y se perfeccionan las habilidades.
Mientras tanto, las organizaciones que carecen de personal y experiencia pueden ponerse a disposición de un creciente número
de servicios de seguridad administrados y basados en la nube para aumentar los recursos internos. Sin embargo, no siempre lo
hacen. MacDonald ofrece una solución viable y aconseja que las organizaciones que no cuentan con el personal interno para
apoyar la tecnología de respuesta con seguridad mejorada deberían considerar seriamente uno de los muchos servicios
administrados de detección de amenazas. (11) Las organizaciones que consideran a un proveedor de servicios de seguridad
administrada (MSSP) deberían investigar cuidadosamente a los posibles candidatos, de la misma manera que a los proveedores
de productos, ya que definitivamente no todos son iguales. De hecho, evaluar adecuadamente un MSSP requiere una debida
diligencia mayor a causa del aumento de los factores de riesgo asociados con la subcontratación, entre los que se incluyen
factores clave como la dotación de personal, la funcionalidad y la infraestructura de tecnología. Los riesgos asociados a la
subcontratación de seguridad de la información pueden ser mayores, ya que en este caso los clientes compran una “caja negra”.
AMENAZAS NUEVAS Y DINÁMICAS; ENFOQUES ANTIGUOS
E INFLEXIBLES
Los profesionales en seguridad y los proveedores de soluciones relacionadas luchan contra los cibercriminales en una superficie
de amenazas mucho más amplia y de forma continua. Las amenazas persistentes avanzadas, como lo indica el término, son
intentos constantes y complejos para vulnerar y dañar los sistemas. Un enfoque de seguridad basado en inteligencia es la única
estrategia eficaz para mantenerse a la par de las legiones de cibercriminales.
La comprensión de las técnicas, los hábitos y las motivaciones de los factores de amenazas es necesaria para evitar un ataque
(cuando sea posible), o mitigar aquellos que no se pueden evitar. Algo que se ha aprendido en el sector de la seguridad es que
los cibercriminales valoran el elemento sorpresa. Repeler ciberguerrillas tenaces y sigilosas requiere una nueva estrategia.
Las barreras estáticas y monolíticas que protegen los valiosos recursos digitales y las redes importantes deberían mejorarse con
campos minados y trampas para que los adversarios no las identifiquen fácilmente sino hasta que sea demasiado tarde.
Los ataques de día cero, denominados así por el tiempo entre la detección de una nueva amenaza y la explotación de
vulnerabilidades, logran cambiar la perspectiva. Piense en el refrán “No se sabe lo que no se sabe”. Por definición, es imposible
prepararse para los ataques de día cero. Las respuestas no deben tardar. Pero este curso de acción requiere la capacidad para
detectar y la habilidad para actuar, inexistentes en muchas organizaciones.
“Con todo lo que sucede en los negocios, en la tecnología y en el panorama de amenazas, la atención se centra en la función
actual de la seguridad de la información, que debe evolucionar para que las organizaciones tengan éxito. Como profesionales,
tenemos una oportunidad única para verdaderamente innovar nuestra seguridad”, declaró Roland Cloutier, vicepresidente
y director de seguridad de Automatic Data Processing, Inc., miembro de Security Business Innovation Council, un grupo
de ejecutivos de seguridad de empresas de la lista Global 1000 convocados por RSA, la División de Seguridad de EMC.
A continuación se presentan recomendaciones que pueden ayudar a los profesionales de seguridad a mejorar la planificación
estratégica y las respuestas tácticas.
RECOMENDACIONES
Siempre listo
El lema de los niños exploradores es inmediatamente reconocible y corresponde a una verdad breve y suprema que el sector de
la seguridad necesita comprender y seguir. Las ciberguerras de hoy son dinámicas, tal como lo ha demostrado este informe.
La vigilancia y la preparación deben ser inherentes en cualquier plan de seguridad de la información. El control de acceso no es
suficiente para protegerse contra los ataques rápidos y cada vez más frecuentes que usan herramientas nuevas para explotar las
debilidades. Adopte y perfeccione un enfoque iterativo para la respuesta ante incidentes. NIST 800-61 o los controles clave que
4
define el Directorio Australiano de Señales ofrecen una gran base sobre la cual seguir mejorando. Se deben implementar
actividades de evaluación y monitoreo constantes de la vulnerabilidad. Se debe establecer un plan de respuesta integral que
incorpore a las personas, los procesos y la tecnología, y que debe ser comprendido y adoptado por todos los ciudadanos. Y el
plan en sí se debe evaluar periódicamente.
Establecimiento de prioridades
No todos los recursos de información e infraestructura son iguales. Hay que decidir cuáles son de misión crítica y cuáles son
fundamentales para el negocio. Identifique los sistemas que no se deben vulnerar ni desactivar por ningún motivo ni bajo
ninguna circunstancia. Un ejemplo de esto son los sistemas de procesamiento de transacciones y la red eléctrica de respaldo de
un centro médico. Es probable que el correo electrónico y las aplicaciones de Business Intelligence sean fundamentales para el
negocio. El tiempo fuera y los ataques serían inconvenientes, pero tolerables y más fáciles de recuperar. Comprenda que los
ciberataques son inevitables. Tiene que aceptar que algunos tendrán éxito. Pero también debe saber que el riesgo se puede
administrar; las pérdidas y los daños se pueden moderar con una planificación avanzada.
Adaptación a los cambios en la infraestructura de TI
La composición de la infraestructura moderna de TI es cada vez más abierta y amorfa. El cómputo en la nube ofrece grandes
beneficios para los negocios, como la agilidad, la preparación para el futuro y una reducción en los requisitos de soporte, además
de costos menores. Los servicios alojados y administrados son los modelos de software dominantes y llegaron para quedarse.
De forma similar, el comercio electrónico, las cadenas de abastecimiento digitales y las redes móviles son elementos
indispensables de comercio y comunicación contemporáneos. Los profesionales de seguridad deben comprenderlos, adoptarlos
y prepararse para defenderlos con planes y tácticas que reflejen los nuevos y singulares desafíos de seguridad que presentan.
Eliminación de los puntos ciegos
En el emergente paradigma de seguridad, la prevención da paso a la detección. La visibilidad granular es primordial para
detectar y detener las amenazas modernas. La seguridad perimetral y el uso de antivirus no es suficiente. Implemente
tecnología, procesos y talentos que brinden una visibilidad total de la red y el host. Optimice completamente los conjuntos de
herramientas y oriéntelos a las amenazas emergentes, además de incorporar inteligencia humana e inteligencia de código
abierto.
Contemplación de la debilidad humana; adecuación del personal moderno
Los humanos no son perfectos. Son el blanco más fácil para los ejecutores de amenazas. El robo de identidad, spyware y otros
ataques se dirigen a los individuos de una organización. Las redes sociales han cambiado el lugar de trabajo y han creado
nuevos puntos de entrada para software malicioso. Muchos empleados usan Facebook, LinkedIn y Twitter para realizar su
trabajo. E incluso cuando esos y otros canales no son un requisito laboral, muchos empleadores permiten que su personal
disfrute de un “descanso mental” en las redes sociales. Un lugar de trabajo cada vez más colaborativo se traduce en personas
que comparten información de manera regular entre oficinas, zonas horarias y geografías, lo que introduce nuevas fuentes de
riesgos que se deben considerar.
La infraestructura de TI ha cambiado radicalmente y de manera irreversible, al igual que lo ha hecho la forma en que las
personas realizan su trabajo. La iniciativa “traiga su propio dispositivo” alcanzó un nivel tan alto de generalización durante los
últimos cinco años, que ahora todos comprenden el acrónimo BYOD. El uso que hacen los empleados de tabletas personales,
teléfonos inteligentes y laptops ya no es un tema de preocupación para las osadas empresas nuevas. Organizaciones de todos
los tamaños y en todos los sectores permiten esta práctica. Muchas empresas fomentan la iniciativa BYOD, ya que reduce los
gastos de capital y mejora la productividad y la confianza de los empleados. Si a esto le sumamos la proliferación del personal
distribuido, empleados que trabajan desde la casa o desde su café favorito, podremos notar que las redes estáticas y bien
definidas son una reliquia de otra época. La gerencia debería desarrollar políticas, procedimientos y un programa de capacitación
y educación coherente en la empresa para garantizar que todos los integrantes de la organización estén al tanto de los
protocolos de seguridad y de las consideraciones para esta nueva infraestructura.
Confianza con verificación
Renunciar a la responsabilidad de los datos y sistemas críticos es un error fatal. Los proveedores de seguridad de la información
lanzan al mercado software y servicios más avanzados que nunca. La confianza en la tecnología de la seguridad está bien
justificada. Sin embargo, un análisis humano insuficiente, incorrecto o ausente de los eventos de seguridad podría hacerla
ineficaz. Las empresas deben mantener un estado de alerta elevado y continuar probando y fortaleciendo los procesos
y la tecnología de seguridad.
CONCLUSIONES
La historia ofrece numerosas pruebas de triunfadores que han sufrido fracasos y contratiempos al principio, pero que luego han
cambiado de táctica para finalmente vencer a los adversarios más formidables. Contar con el conocimiento de la causa raíz de
fallas pasadas ayuda a esclarecer el camino a seguir. Estas recomendaciones revelan un nuevo enfoque para que las
organizaciones puedan cambiar de rumbo y modificar el resultado a fin de convertir las fallas en éxitos futuros del sector.
5
ACERCA DE RSA
Todos los días, durante más de 30 años, la única misión de RSA ha sido ayudar a más de 30,000 clientes en todo el mundo
a proteger sus recursos digitales más valiosos. RSA se basa en su creencia inflexible de que las organizaciones no deberían
aceptar vulneraciones o ataques como consecuencia inevitable de operar en un mundo digital. De hecho, RSA cree que las
organizaciones se deben convertir en defensores enérgicos de su derecho a operar de manera segura y que no hay otras
empresas en una posición mejor para ayudarles.
Las soluciones de seguridad de RSA basadas en inteligencia ayudan a que las organizaciones reduzcan el riesgo de operar en un
mundo digital. A través de la visibilidad, el análisis y la acción, las soluciones de RSA ofrecen a los clientes la capacidad para
detectar, investigar y responder ante las amenazas avanzadas, confirmar y administrar identidades y, finalmente, prevenir el
robo de propiedad intelectual, el fraude y el cibercrimen.
APÉNDICE
1
Cybersecurity Incidents More Frequent and Costly, but Budgets Decline says PwC, CIO and CSO Global State of Information Security ®
Survey 2015
2
2014 Cost of Data Breach Study, Ponemon Institute, mayo de 2014 http://www.ponemon.org/blog/ponemon-institute-releases-2014-cost-ofdata-breach-global-analysis
3
Gartner: http://www.gartner.com/newsroom/id/2828722
4
Network World: 12 hot security start-ups you need to know, 18 de marzo de 2014
http://www.networkworld.com/article/2175279/security/12-hot-security-start-ups-you-need-to-know.html
5
Toward a Theory of Situation Awareness in Dynamic Systems, Human Factors, 1995
http://uwf.edu/skass/documents/HF.37.1995-Endsley-Theory.pdf
6, 12
TechTarget SearchSecurity: On prevention vs. detection, Gartner says to rebalance purchasing
http://searchsecurity.techtarget.com/news/2240223269/On-prevention-vs-detection-Gartner-says-to-rebalance-purchasing
7
“Cyber Policy Still Stuck in the „90s,” Nextgov, 22 de octubre de 2014
http://www.nextgov.com/cybersecurity/cybersecurity-report/2014/10/cyber-policy-still-stuck-90s/97184/?oref=voicesmodule
8
“EY Center for Board Matters Highlights Top Priorities for Corporate Boards in 2015,” EY company news release, 12 de septiembre de 2015
http://www.prnewswire.com/news-releases/ey-center-for-board-matters-highlights-top-priorities-for-corporate-boards-in-2015-300018768.html
9
“Hire a hacker to solve cyber skills crisis‟ say UK companies,” KPMG company news release, 16 de noviembre de 2014
http://www.kpmg.com/uk/en/issuesandinsights/articlespublications/newsreleases/pages/hire-a-hacker-to-solve-cyber-skills-crisis-say-ukcompanies.aspx
10
“Sony Pictures hack was a long time coming, say former employees,” Fusion, 4 de diciembre de 2014 http://fusion.net/story/31469/sonypictures-hack-was-a-long-time-coming-say-former-employees/
11
“Florida Colleges Rush to Create Cybersecurity Soldiers,” Government Technology, 12 de enero de 2015
http://www.govtech.com/education/Colleges-Rush-to-Create-Cybersecurity-Soldiers.html
6
Copyright © 2015 EMC Corporation. Todos los derechos reservados.
RSA considera que la información de este documento es precisa en el momento de su publicación. La información está sujeta
a cambios sin previo aviso.
La información contenida en esta publicación se proporciona “tal como está”. EMC Corporation no se hace responsable ni ofrece
garantía de ningún tipo con respecto a la información de esta publicación y específicamente renuncia a toda garantía implícita de
comerciabilidad o capacidad para un propósito determinado.
El uso, la copia y la distribución de cualquier software de EMC descrito en esta publicación requieren una licencia de software
correspondiente.
Para obtener una lista actualizada de nombres de productos de EMC, consulte las marcas comerciales de EMC Corporation en
mexico.emc.com (visite el sitio web de su país correspondiente).
EMC2, EMC, el logotipo de EMC, RSA y el logotipo de RSA son marcas registradas o marcas comerciales de EMC Corporation en
los Estados Unidos y en otros países. VMware es una marca comercial o una marca registrada de VMware, Inc. en los
Estados Unidos y en otras jurisdicciones. © Copyright 2015 EMC Corporation. Todos los derechos reservados. Publicado en
México. 03/15 Informe técnico H14039
7
mexico.emc.com/rsa
(visite el sitio web de su
país correspondiente)