Inversiones en seguridad, un desperdicio?

mayo 10, 2010 1 comentario

Interesante noticia leamos y discutamos la semana pasada aqu con el equipo de investigacin de ESET Latinoamrica. La empresa
internacional Verizon, a travs de Peter Tippett, vicepresidente de tecnologa e innovacin, asegura quems de dos tercios de las
inversiones en seguridad son un desperdicio.
Algunos fragmentos de la noticia publicada en Computer Weekly, en traduccin libre:
Ms del 40% del dinero invertido en seguridad es un desperdicio, dijo Peter Tippett.
Muchas organizaciones estn aumentando la inversin en la proteccin contra amenazas internas, cuando en realidad slo el 11% de las
vulnerabilidades explotadas exitosamente en los ltimos aos han sido de este tipo, segn el ltimo Business Data Breach Investigations
Report.
La mayora de las brechas de seguridad involucran mltiples orgenes, pero la investigacin indica que slo el 20% son de origen
interno.
En base a estos resultados, parece poco aconsejable minimizar la amenaza que representan los ataques externos (outsiders), dice el
reporte.
Las organizaciones terminan desperdiciando los presupuestos en seguridad, gastando mucho donde se percibe que estn las amenazas
, en lugar de dnde verdaderamente estn.
Este informe da lugar a un interesante debate sobre las inversiones en seguridad, tema que ya hemos estado tratando antes en TCO:
Cmo evaluar una inversin en seguridad? y Retorno de inversin en seguridad.
Respecto a lo afirmado por el informe de Verizon, son dos los aspectos a analizar.
En primer lugar, si la afirmacin respecto al desperdicio de la inversin es correcta, y eso depender de la apreciacin de cada lector.
S es importante remarcar que, por un lado, los nmeros indicados son contundentes y se condicen con los que manejamos desde ESET
Latinoamrica. Sin embargo, al momento de sacar las conclusiones, las mismas quedan sujetas a la interpretacin de cada uno, ya que no
se analiza el impacto de los incidentes en trminos econmicos. Es decir, a pesar de que slo el 11% de los incidentes son internos,
quizs el impacto de dicha amenaza en trminos monetarios sea mayor al de los ataques externos, lo cual es probable dado que los
ataques internos suelen ser ms graves una vez consumados por la naturaleza de los mismos tanto del conocimiento por parte del
atacante de la organizacin, como de los privilegios que este puede contar por su ubicacin en la empresa. Como ya mencion, el
anlisis es interesante aunque queda a criterio de cada lector sacar sus propias conclusiones con los nmeros aqu planteados.
En segundo lugar, aparece un debate menos concreto pero a la vez ms profundo: cmo estamos decidiendo nuestras inversiones en
seguridad? Aqu aparece un tema que hemos venido tratando aqu mismo y en varios congresos a dnde hemos asistido en los ltimos
aos. En las empresas, decidir cmo invertir el dinero en la proteccin de la informacin es un proceso que no debe tomarse a la
ligera, sin ser evaluado como un simple concurso de precios. Existen diversas metodologas para medir, cuantificar, comparar y decidir
respecto a las inversiones en seguridad, y la utilizacin de estas hace al profesionalismo con el que se est considerando el dinero que
se dedica a esta materia. Cuando se trata de una inversin corporativa, lo que debe quedar claro es que la misma debe realizarse de la
misma forma que se analizan otras asignaciones monetarias en la empresa, y no como si se estuviera haciendo una inversin hogarea.
Involucrados a todos los actores necesarios en el proceso es un factor fundamental para el xito del mismo.
A modo de conclusin, luego de muchos aos en dnde se fue afianzando la importancia de la seguridad de la informacin en la
empresa, ahora que la misma ya est clara comienzan a aparecer estos asuntos en primera plana, y aquellos que respectan a cmo
medir, definir y asignar la inversin en seguridad ser un tema de amplio debate en el futuro cercano, conforme aquellos que hacen la
seguridad en las empresas vayan definiendo y acostumbrndose a los estndares recomendados.

Costos del negocio delictivo encabezado por

el crimeware
abril 6, 2010 Deja un comentario
La motivacin que antiguamente tenan los primeros creadores de malware ha cambiado en los ltimos tiempos. Hoy en da el objetivo
de los cdigos maliciosos no slo se centra en generarles problemas a los equipos, sino que tambin buscan obtener un beneficio
econmico. Esto ltimo ha hecho que se presenten una diversidad de amenazas que suponen diferentes modalidades de negocios para
los creadores de malware. El siguiente artculo se ocupa de las opciones y costos que tienen los desarrolladores de programas
maliciosos en la actualidad.
Dentro de la evolucin de los cdigos maliciosos, en la actualidad se asiste a una poca en la cual el malware es utilizado para lograr un
beneficio econmico. En el informe Costos del negocio delictivo encabezado por el crimeware se exploran las diferentes modalidades de
negocios y los costos que suponen para los creadores de malware.