FALLAS DEL SECTOR DE LA SEGURIDAD
FALLAS DEL SECTOR DE LA SEGURIDAD: RESPONSABILIDAD Y PLAN DE ACCIÓN Amit Yoran Presidente, RSA William Robertson Profesor auxiliar Facultad de Ciencias de la Computación, Universidad Northeastern El sector de la seguridad de la información está perdiendo la ciberguerra, o bien las ciberguerras, en plural. Los “hacktivistas” de sombrero negro, los sindicatos de crimen organizado, los operativos patrocinados por el Estado y otras amenazas atacan a los sistemas informáticos y a las infraestructuras fundamentales en diversos frentes alrededor del mundo con aparente impunidad. Las motivaciones y los objetivos varían. El vínculo que los une es el carácter malintencionado. Estos intrusos del siglo XXI suelen alcanzar sus objetivos, ya que cuentan con el respaldo de habilidades increíblemente sofisticadas y excelentes recursos. Pero la sofisticación no basta para tener éxito. A menudo, los perpetradores con más persistencia que perspicacia son capaces de aprovechar los puntos débiles. Las empresas, sin saberlo, proporcionan amplias superficies de ataque con puntos de entrada que no son lo suficientemente seguros o que están completamente desprotegidos. Ya sean objetivo de saboteadores cibernéticos y criminales o debido a su propia falta de preparación e inversión, las víctimas de los ataques cibernéticos sufren daños que van desde molestias aisladas a daños que son devastadores, extensos y costosos. El impacto financiero adverso es abrumador. Considere la manera en que el incesante bombardeo de vulneraciones a la ciberseguridad debilita la seguridad de las naciones soberanas, obstruye la innovación, disminuye la confianza del consumidor y amenaza a la seguridad pública. Además, la magnitud de este problema es verdaderamente intimidante. El cibercrimen daña a la economía global. Informe técnico de RSA PARADOJA A pesar de que existe una mayor concientización, una amplia variedad de nuevos productos y servicios, un aumento en las inversiones y esfuerzos coordinados por parte de las mentes más brillantes en el ámbito gubernamental, académico y de negocios, el sector de la seguridad tiene que esforzarse para mantenerse al día. La cantidad de incidentes de seguridad de la información registrados en todo el mundo aumentó un 48 % a 42.8 millones, lo que equivale a 117,339 ataques por día, según la encuesta The Global State of Information Security® Survey 2015 (1), publicada en septiembre de 2014 por PwC junto con las revistas CIO y CSO. La encuesta indica que desde el 2009, la detección de incidentes de seguridad ha aumentado en un 66 % año tras año. El mismo estudio informa que debido a que los incidentes de seguridad ocurren con mayor frecuencia, los costos asociados a la administración y moderación de las vulnerabilidades también están en aumento. A nivel mundial, la pérdida financiera promedio estimada declarada a causa de los incidentes de ciberseguridad fue de US$2.7 millones, un aumento del 34 % con respecto al año 2013. Este año han sido más comunes las grandes pérdidas, ya que la cantidad de empresas que informó impactos financieros que superan los US$20 millones casi se ha duplicado. Los costos financieros directos asociados con las actividades de corrección de las vulneraciones de datos y otros tipos de cibercrímenes, como el análisis forense, la retención para asuntos legales y de auditoría y el monitoreo de crédito para las víctimas de robo de identidad, entre otras, se combinan con el efecto corrosivo que supone perder la confianza. El estudio 2014 Cost of Data Breach Study: United States(2) realizado por el Instituto Ponemon reveló que el costo promedio de cada registro de información confidencial perdido o robado aumentó de US$188 a US$201. El costo promedio total para las organizaciones aumentó de US$5.4 millones a US$5.9 millones. El informe finaliza con la siguiente cita: “El motivo principal de este aumento es la pérdida de clientes que sigue a la vulneración de datos, debido a los gastos adicionales que se necesitan para conservar la reputación y la marca de la organización. De hecho, la tasa promedio de reemplazo o rotación de empleados aumentó en un 15 % desde el año pasado”. Claramente hay fallas en el sistema. La identificación y corrección de las causas raíz son fundamentales. ¿ERRORES DE OMISIÓN? ¿Es la falla en el sector de la seguridad el resultado de algo que no se ha hecho o que se ha hecho mal? La falta de inversiones no parece ser un factor. Gartner, Inc. informa en su “Forecast: Information Security, Worldwide, 2012-2018, 2Q14 Update” que el gasto mundial en seguridad de la información alcanzará los US$71,100 millones el 2014, un aumento del 7.9 % en comparación con el 2013, y el segmento de prevención de pérdida de datos registrará el crecimiento más rápido equivalente a un 18.9 %. El gasto total en seguridad de la información aumentará un 8.2 % adicional el 2015, alcanzando los US$76,900 millones(3). El fuerte gasto en los productos y servicios de seguridad de la información se ve eclipsado por la inversión en investigación y desarrollo y por un crecimiento sorprendente en la tasa de creación de nuevas empresas de seguridad de la información. Ellen Messmer, exeditora principal de Network World, escribió: “La disposición para invertir en nuevas empresas de seguridad continúa a un ritmo tan vertiginoso, que los participantes más establecidos se apoderan de las empresas nuevas que aún mantienen el bajo perfil, incluso antes de que puedan presentar públicamente sus productos y servicios de seguridad”. (4) Entonces, ¿por qué el sector colectivo de la seguridad (incluidos profesionales, asesores y proveedores de tecnología) no puede limitar, ni mucho menos rechazar los ataques cibernéticos? Hay varios factores que contribuyen a esto. CARENCIA DE CONCIENTIZACIÓN SITUACIONAL A grandes rasgos, hay una falta de concientización situacional. En un artículo del año 1995 (5) publicado en Human Factors: The Journal of the Human Factors and Ergonomics Society, la doctora Mica Endsley, científica directora de la Fuerza Aérea de los Estados Unidos, proporcionó la que hoy se considera la definición más aceptada de concientización situacional. La describe como “la percepción de elementos en el entorno dentro de un volumen de tiempo y espacio, la comprensión de su significado y la proyección de su estado en el futuro cercano”. Si lo aplicamos al estado actual de la ciberseguridad, aquellos que tienen la tarea de proteger los valiosos recursos de información, los datos personales y la infraestructura confidencial no evalúan los métodos, el significado ni el impacto de los ataques cibernéticos dentro de un marco de trabajo contemporáneo. Ante la falta de una interpretación clara sobre el panorama de las amenazas cibernéticas, el negocio y el sector público no pueden defenderse de manera adecuada y proactiva contra ellas. La mayoría de las respuestas son reactivas y en el momento. Y como resultado, muchas son deficientes y retrógradas. Una falla mayor que empeora esta situación es que son demasiadas las organizaciones que no evalúan su postura con respecto a la seguridad de manera objetiva. El resultado es una dependencia en el “statu quo” de las tecnologías de seguridad y no en un programa de seguridad enfocado en las amenazas. Nunca es sencillo reconocer las carencias, lo cual es a veces riesgoso y contradictorio a la conveniencia política. Sin embargo, aceptar el riesgo a cambio de una falsa sensación de seguridad resulta un mal acuerdo. 2 La falta de concientización situacional entre muchos de los profesionales de seguridad de la información es una de las vulnerabilidades más apremiantes para las ciberdefensas de los Estados Unidos. Esto lo podemos notar en el falso sentido de seguridad que experimentan algunos profesionales de la seguridad de la información. Confían demasiado en los firewalls y en otras soluciones que han implementado. Quizás motivados por la publicidad del sector, la necesidad de marcar una casilla en una lista de pendientes o el miedo, el escepticismo prudente y la lógica son reemplazados por la urgencia de la acción. Se confía en los productos sin contar con un entendimiento real y una percepción certera de las circunstancias o discriminación. A menudo se pasa por alto la debida diligencia elemental, como evaluaciones, verificación de referencias y proyectos piloto. Esto fomenta la autocomplacencia y deja expuestos a los sistemas. Y una vez que se revisan y se implementan las soluciones, es imperativo vigilar su mantenimiento. UNA FORTALEZA FRÁGIL La inversión de la seguridad de la información en tecnologías de prevención basadas en reglas y firmas, como los firewall y software antivirus, ha sido desproporcionadamente alta en comparación con el gasto en soluciones que pueden detectar y responder a las incursiones. Durante su charla en la conferencia sobre la administración del riesgo y la seguridad de 2014 organizada por Gartner, Neil MacDonald, vicepresidente y analista distinguido, recomendó: “Las empresas buscan renegociar los costos de las tecnologías genéricas, como antimalware, direcciones IP y cifrado, para que ese gasto se realice en el campo de la detección y la respuesta”. (6) Las barreras más altas y los muros más gruesos se ven formidables, pero los oponentes pueden pasar por debajo, saltar por encima e incluso rodearlos. Algunos se mezclan con la multitud en los puntos de comprobación, lo que les permite pasar. La Gran Muralla China es una excelente analogía. Esta estructura icónica, construida hace siglos durante una sucesión de dinastías, ciertamente fue un logro de ingeniería. Pero aunque es imponente, la muralla ha sido escalada, atravesada, invadida y eludida muchas veces. Una analogía moderna son los esquemas actuales de protección “crujiente por fuera/suave por dentro”, en los que un perímetro fortalecido protege un ambiente interior desprotegido y desactualizado de sistemas. Después de todo, se hacía imposible defender un perímetro de más de 8,000 kilómetros contra enemigos determinados y constantes que utilizaban tácticas de ataque masivo. Por lo tanto, es en las ciberguerras actuales donde no hay límites reales. “En las casi dos décadas desde que se iniciaron formalmente las primeras conversaciones sobre política cibernética, la tecnología ha cambiado inmensamente: el correo electrónico, Internet y los dispositivos móviles son la norma, no algo inusual como ocurría a mediados de los años noventa. Lamentablemente, los debates sobre políticas no han cambiado”, escribió Jessica R. HerreraFlanigan en el artículo “Cyber Policy Still Stuck in the „90s”, publicado en Nextgov en octubre de 2014 (7). Flanigan es uno de los partners de Monument Policy Group, una firma de asuntos gubernamentales, y miembro del área de ciberseguridad de The National Policy Center, un grupo de estudios independiente que ofrece análisis, soporte e información relacionada con la ciberseguridad y con los problemas asociados a la innovación. LA BRECHA DE HABILIDADES Muchas empresas carecen de la experiencia en ciberseguridad interna y de los recursos adecuados para abordar las numerosas y bien documentadas amenazas a la ciberseguridad en aumento propias de cada aspecto de la vida en el siglo veinte. Este es un riesgo inaceptable que los equipos de ejecutivos y la junta directiva han moderado lentamente, pero que a menudo se convierte en una prioridad después de una vulneración. EY Center for Board Matters enumeró seis prioridades corporativas principales para el 2015 (8), entre las que se incluye la ciberseguridad. “La responsabilidad se le atribuía cada vez más a los miembros de la junta directiva y, en algunos casos, provocaba destituciones debido a la administración indebida de los riesgos de ciberseguridad el 2014, riesgos que seguirán aumentando el 2015”, señala el informe. “Las juntas corporativas deben marcar la pauta para mejorar la ciberseguridad y determinar la responsabilidad de supervisión, todo esto mientras ofrecen a las organizaciones la flexibilidad adecuada para adoptar el poder de la tecnología”. La escasez de profesionales en ciberseguridad es tan crítica en el Reino Unido, que más de la mitad de 300 ejecutivos de TI y profesionales de RH en empresas con 500 o más empleados, dijeron a KPMG en una encuesta de noviembre de 2014 (9) que podrían considerar la idea de contratar a hackers de sombrero negro para ir un paso adelante de los cibercriminales. El ataque a Sony Pictures en noviembre de 2014 es una moraleja. El ataque a la red por parte de desconocidos (posteriormente se pensó que eran agentes de Corea de Norte) tuvo como consecuencia una amplia distribución al público de información confidencial que iba desde correos electrónicos infames en los que el copresidente de la empresa se burlaba del presidente Obama, hasta registros de salud y “metraje sin editar” de películas no publicadas. En un sector que es famoso por los chismes, esto era como carnada en aguas infestadas de tiburones. Mediante el uso de información que publicaron los hackers Fusion informó que de los cerca de 7,000 empleados de Sony Pictures, solo 11 eran parte del equipo de seguridad de la información de la empresa. Los Gobiernos también han sentido esta necesidad de talentos. Government Technology informó (10) que en un evento reciente de la Institución Brookings, Michael Daniel, el zar de la ciberseguridad de la Casa Blanca, le dijo a un ejecutivo del Centro de Ciberseguridad de Florida ubicado en el campus de la Universidad del Sur de Florida que el Gobierno federal contratará a 6,000 expertos en seguridad informática en los próximos 18 meses. 3 ¿Cuál es la razón de esa carencia? Un motivo principal es que, aunque hay muchos profesionales de seguridad de TI, la ciberseguridad requiere habilidades diferentes, una distinción que suele ignorarse. La ciberseguridad es un subconjunto de la seguridad de la información. Sin embargo, son disciplinas distintas que están relacionadas, y aunque ambas se enfocan en la protección de los sistemas de información, el alcance de la ciberseguridad se extiende por redes y sistemas a las diversas clases de recursos, como la infraestructura estratégica. Las redes eléctricas y los sistemas de navegación son buenos ejemplos de esto último. La ciberseguridad es también más proactiva. Hay otras calificaciones que deben poseer los profesionales de la ciberseguridad y que no son necesarias para la TI tradicional. Estas incluyen una comprensión de los procesos de negocios, la capacidad para reunir, analizar y manipular datos con inteligencia y un amplio conocimiento sobre toda la organización en la que funcionan”. Y este tipo de experiencia no se puede reemplazar. Una educación técnica y de negocios es un requisito básico. Es alentador ver a instituciones de educación superior y universidades lanzar programas de ciberseguridad y ver que las agencias federales tienen una mayor función en la creación de estos programas a través de esfuerzos como el programa Scholarship for Service (SFS) de la Fundación Nacional para la Ciencia. El Gobierno de los Estados Unidos reconoció que hay una brecha en la ciberseguridad y que la capacitación de la siguiente generación de investigadores y profesionales de seguridad es una prioridad principal. Garantizar la seguridad y el resguardo de Gobiernos, sectores y de toda una sociedad que depende cada vez más de una infraestructura cibernética requerirá un esfuerzo conjunto en diversos frentes, no solo en el ámbito técnico. Pero la formación de la siguiente generación de guerreros cibernéticos toma tiempo y, como con cualquier otro soldado, el combate es donde se demuestran las capacidades y se perfeccionan las habilidades. Mientras tanto, las organizaciones que carecen de personal y experiencia pueden ponerse a disposición de un creciente número de servicios de seguridad administrados y basados en la nube para aumentar los recursos internos. Sin embargo, no siempre lo hacen. MacDonald ofrece una solución viable y aconseja que las organizaciones que no cuentan con el personal interno para apoyar la tecnología de respuesta con seguridad mejorada deberían considerar seriamente uno de los muchos servicios administrados de detección de amenazas. (11) Las organizaciones que consideran a un proveedor de servicios de seguridad administrada (MSSP) deberían investigar cuidadosamente a los posibles candidatos, de la misma manera que a los proveedores de productos, ya que definitivamente no todos son iguales. De hecho, evaluar adecuadamente un MSSP requiere una debida diligencia mayor a causa del aumento de los factores de riesgo asociados con la subcontratación, entre los que se incluyen factores clave como la dotación de personal, la funcionalidad y la infraestructura de tecnología. Los riesgos asociados a la subcontratación de seguridad de la información pueden ser mayores, ya que en este caso los clientes compran una “caja negra”. AMENAZAS NUEVAS Y DINÁMICAS; ENFOQUES ANTIGUOS E INFLEXIBLES Los profesionales en seguridad y los proveedores de soluciones relacionadas luchan contra los cibercriminales en una superficie de amenazas mucho más amplia y de forma continua. Las amenazas persistentes avanzadas, como lo indica el término, son intentos constantes y complejos para vulnerar y dañar los sistemas. Un enfoque de seguridad basado en inteligencia es la única estrategia eficaz para mantenerse a la par de las legiones de cibercriminales. La comprensión de las técnicas, los hábitos y las motivaciones de los factores de amenazas es necesaria para evitar un ataque (cuando sea posible), o mitigar aquellos que no se pueden evitar. Algo que se ha aprendido en el sector de la seguridad es que los cibercriminales valoran el elemento sorpresa. Repeler ciberguerrillas tenaces y sigilosas requiere una nueva estrategia. Las barreras estáticas y monolíticas que protegen los valiosos recursos digitales y las redes importantes deberían mejorarse con campos minados y trampas para que los adversarios no las identifiquen fácilmente sino hasta que sea demasiado tarde. Los ataques de día cero, denominados así por el tiempo entre la detección de una nueva amenaza y la explotación de vulnerabilidades, logran cambiar la perspectiva. Piense en el refrán “No se sabe lo que no se sabe”. Por definición, es imposible prepararse para los ataques de día cero. Las respuestas no deben tardar. Pero este curso de acción requiere la capacidad para detectar y la habilidad para actuar, inexistentes en muchas organizaciones. “Con todo lo que sucede en los negocios, en la tecnología y en el panorama de amenazas, la atención se centra en la función actual de la seguridad de la información, que debe evolucionar para que las organizaciones tengan éxito. Como profesionales, tenemos una oportunidad única para verdaderamente innovar nuestra seguridad”, declaró Roland Cloutier, vicepresidente y director de seguridad de Automatic Data Processing, Inc., miembro de Security Business Innovation Council, un grupo de ejecutivos de seguridad de empresas de la lista Global 1000 convocados por RSA, la División de Seguridad de EMC. A continuación se presentan recomendaciones que pueden ayudar a los profesionales de seguridad a mejorar la planificación estratégica y las respuestas tácticas. RECOMENDACIONES Siempre listo El lema de los niños exploradores es inmediatamente reconocible y corresponde a una verdad breve y suprema que el sector de la seguridad necesita comprender y seguir. Las ciberguerras de hoy son dinámicas, tal como lo ha demostrado este informe. La vigilancia y la preparación deben ser inherentes en cualquier plan de seguridad de la información. El control de acceso no es suficiente para protegerse contra los ataques rápidos y cada vez más frecuentes que usan herramientas nuevas para explotar las debilidades. Adopte y perfeccione un enfoque iterativo para la respuesta ante incidentes. NIST 800-61 o los controles clave que 4 define el Directorio Australiano de Señales ofrecen una gran base sobre la cual seguir mejorando. Se deben implementar actividades de evaluación y monitoreo constantes de la vulnerabilidad. Se debe establecer un plan de respuesta integral que incorpore a las personas, los procesos y la tecnología, y que debe ser comprendido y adoptado por todos los ciudadanos. Y el plan en sí se debe evaluar periódicamente. Establecimiento de prioridades No todos los recursos de información e infraestructura son iguales. Hay que decidir cuáles son de misión crítica y cuáles son fundamentales para el negocio. Identifique los sistemas que no se deben vulnerar ni desactivar por ningún motivo ni bajo ninguna circunstancia. Un ejemplo de esto son los sistemas de procesamiento de transacciones y la red eléctrica de respaldo de un centro médico. Es probable que el correo electrónico y las aplicaciones de Business Intelligence sean fundamentales para el negocio. El tiempo fuera y los ataques serían inconvenientes, pero tolerables y más fáciles de recuperar. Comprenda que los ciberataques son inevitables. Tiene que aceptar que algunos tendrán éxito. Pero también debe saber que el riesgo se puede administrar; las pérdidas y los daños se pueden moderar con una planificación avanzada. Adaptación a los cambios en la infraestructura de TI La composición de la infraestructura moderna de TI es cada vez más abierta y amorfa. El cómputo en la nube ofrece grandes beneficios para los negocios, como la agilidad, la preparación para el futuro y una reducción en los requisitos de soporte, además de costos menores. Los servicios alojados y administrados son los modelos de software dominantes y llegaron para quedarse. De forma similar, el comercio electrónico, las cadenas de abastecimiento digitales y las redes móviles son elementos indispensables de comercio y comunicación contemporáneos. Los profesionales de seguridad deben comprenderlos, adoptarlos y prepararse para defenderlos con planes y tácticas que reflejen los nuevos y singulares desafíos de seguridad que presentan. Eliminación de los puntos ciegos En el emergente paradigma de seguridad, la prevención da paso a la detección. La visibilidad granular es primordial para detectar y detener las amenazas modernas. La seguridad perimetral y el uso de antivirus no es suficiente. Implemente tecnología, procesos y talentos que brinden una visibilidad total de la red y el host. Optimice completamente los conjuntos de herramientas y oriéntelos a las amenazas emergentes, además de incorporar inteligencia humana e inteligencia de código abierto. Contemplación de la debilidad humana; adecuación del personal moderno Los humanos no son perfectos. Son el blanco más fácil para los ejecutores de amenazas. El robo de identidad, spyware y otros ataques se dirigen a los individuos de una organización. Las redes sociales han cambiado el lugar de trabajo y han creado nuevos puntos de entrada para software malicioso. Muchos empleados usan Facebook, LinkedIn y Twitter para realizar su trabajo. E incluso cuando esos y otros canales no son un requisito laboral, muchos empleadores permiten que su personal disfrute de un “descanso mental” en las redes sociales. Un lugar de trabajo cada vez más colaborativo se traduce en personas que comparten información de manera regular entre oficinas, zonas horarias y geografías, lo que introduce nuevas fuentes de riesgos que se deben considerar. La infraestructura de TI ha cambiado radicalmente y de manera irreversible, al igual que lo ha hecho la forma en que las personas realizan su trabajo. La iniciativa “traiga su propio dispositivo” alcanzó un nivel tan alto de generalización durante los últimos cinco años, que ahora todos comprenden el acrónimo BYOD. El uso que hacen los empleados de tabletas personales, teléfonos inteligentes y laptops ya no es un tema de preocupación para las osadas empresas nuevas. Organizaciones de todos los tamaños y en todos los sectores permiten esta práctica. Muchas empresas fomentan la iniciativa BYOD, ya que reduce los gastos de capital y mejora la productividad y la confianza de los empleados. Si a esto le sumamos la proliferación del personal distribuido, empleados que trabajan desde la casa o desde su café favorito, podremos notar que las redes estáticas y bien definidas son una reliquia de otra época. La gerencia debería desarrollar políticas, procedimientos y un programa de capacitación y educación coherente en la empresa para garantizar que todos los integrantes de la organización estén al tanto de los protocolos de seguridad y de las consideraciones para esta nueva infraestructura. Confianza con verificación Renunciar a la responsabilidad de los datos y sistemas críticos es un error fatal. Los proveedores de seguridad de la información lanzan al mercado software y servicios más avanzados que nunca. La confianza en la tecnología de la seguridad está bien justificada. Sin embargo, un análisis humano insuficiente, incorrecto o ausente de los eventos de seguridad podría hacerla ineficaz. Las empresas deben mantener un estado de alerta elevado y continuar probando y fortaleciendo los procesos y la tecnología de seguridad. CONCLUSIONES La historia ofrece numerosas pruebas de triunfadores que han sufrido fracasos y contratiempos al principio, pero que luego han cambiado de táctica para finalmente vencer a los adversarios más formidables. Contar con el conocimiento de la causa raíz de fallas pasadas ayuda a esclarecer el camino a seguir. Estas recomendaciones revelan un nuevo enfoque para que las organizaciones puedan cambiar de rumbo y modificar el resultado a fin de convertir las fallas en éxitos futuros del sector. 5 ACERCA DE RSA Todos los días, durante más de 30 años, la única misión de RSA ha sido ayudar a más de 30,000 clientes en todo el mundo a proteger sus recursos digitales más valiosos. RSA se basa en su creencia inflexible de que las organizaciones no deberían aceptar vulneraciones o ataques como consecuencia inevitable de operar en un mundo digital. De hecho, RSA cree que las organizaciones se deben convertir en defensores enérgicos de su derecho a operar de manera segura y que no hay otras empresas en una posición mejor para ayudarles. Las soluciones de seguridad de RSA basadas en inteligencia ayudan a que las organizaciones reduzcan el riesgo de operar en un mundo digital. A través de la visibilidad, el análisis y la acción, las soluciones de RSA ofrecen a los clientes la capacidad para detectar, investigar y responder ante las amenazas avanzadas, confirmar y administrar identidades y, finalmente, prevenir el robo de propiedad intelectual, el fraude y el cibercrimen. APÉNDICE 1 Cybersecurity Incidents More Frequent and Costly, but Budgets Decline says PwC, CIO and CSO Global State of Information Security ® Survey 2015 2 2014 Cost of Data Breach Study, Ponemon Institute, mayo de 2014 http://www.ponemon.org/blog/ponemon-institute-releases-2014-cost-ofdata-breach-global-analysis 3 Gartner: http://www.gartner.com/newsroom/id/2828722 4 Network World: 12 hot security start-ups you need to know, 18 de marzo de 2014 http://www.networkworld.com/article/2175279/security/12-hot-security-start-ups-you-need-to-know.html 5 Toward a Theory of Situation Awareness in Dynamic Systems, Human Factors, 1995 http://uwf.edu/skass/documents/HF.37.1995-Endsley-Theory.pdf 6, 12 TechTarget SearchSecurity: On prevention vs. detection, Gartner says to rebalance purchasing http://searchsecurity.techtarget.com/news/2240223269/On-prevention-vs-detection-Gartner-says-to-rebalance-purchasing 7 “Cyber Policy Still Stuck in the „90s,” Nextgov, 22 de octubre de 2014 http://www.nextgov.com/cybersecurity/cybersecurity-report/2014/10/cyber-policy-still-stuck-90s/97184/?oref=voicesmodule 8 “EY Center for Board Matters Highlights Top Priorities for Corporate Boards in 2015,” EY company news release, 12 de septiembre de 2015 http://www.prnewswire.com/news-releases/ey-center-for-board-matters-highlights-top-priorities-for-corporate-boards-in-2015-300018768.html 9 “Hire a hacker to solve cyber skills crisis‟ say UK companies,” KPMG company news release, 16 de noviembre de 2014 http://www.kpmg.com/uk/en/issuesandinsights/articlespublications/newsreleases/pages/hire-a-hacker-to-solve-cyber-skills-crisis-say-ukcompanies.aspx 10 “Sony Pictures hack was a long time coming, say former employees,” Fusion, 4 de diciembre de 2014 http://fusion.net/story/31469/sonypictures-hack-was-a-long-time-coming-say-former-employees/ 11 “Florida Colleges Rush to Create Cybersecurity Soldiers,” Government Technology, 12 de enero de 2015 http://www.govtech.com/education/Colleges-Rush-to-Create-Cybersecurity-Soldiers.html 6 Copyright © 2015 EMC Corporation. Todos los derechos reservados. RSA considera que la información de este documento es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso. La información contenida en esta publicación se proporciona “tal como está”. EMC Corporation no se hace responsable ni ofrece garantía de ningún tipo con respecto a la información de esta publicación y específicamente renuncia a toda garantía implícita de comerciabilidad o capacidad para un propósito determinado. El uso, la copia y la distribución de cualquier software de EMC descrito en esta publicación requieren una licencia de software correspondiente. Para obtener una lista actualizada de nombres de productos de EMC, consulte las marcas comerciales de EMC Corporation en mexico.emc.com (visite el sitio web de su país correspondiente). EMC2, EMC, el logotipo de EMC, RSA y el logotipo de RSA son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. VMware es una marca comercial o una marca registrada de VMware, Inc. en los Estados Unidos y en otras jurisdicciones. © Copyright 2015 EMC Corporation. Todos los derechos reservados. Publicado en México. 03/15 Informe técnico H14039 7 mexico.emc.com/rsa (visite el sitio web de su país correspondiente)
© Copyright 2024