document37

Inversiones en seguridad, un desperdicio? mayo 10, 2010 1 comentario Interesante noticia leamos y discutamos la semana pasada aqu con el equipo de investigacin de ESET Latinoamrica. La empresa

internacional Verizon, a travs de Peter Tippett, vicepresidente de tecnologa e innovacin, asegura quems de dos tercios de las

inversiones en seguridad son un desperdicio.

Algunos fragmentos de la noticia publicada en Computer Weekly, en traduccin libre:

Ms del 40% del dinero invertido en seguridad es un desperdicio, dijo Peter Tippett.

Muchas organizaciones estn aumentando la inversin en la proteccin contra amenazas internas, cuando en realidad slo el 11% de las

vulnerabilidades explotadas exitosamente en los ltimos aos han sido de este tipo, segn el ltimo Business Data Breach Investigations

Report.

La mayora de las brechas de seguridad involucran mltiples orgenes, pero la investigacin indica que slo el 20% son de origen

interno.

En base a estos resultados, parece poco aconsejable minimizar la amenaza que representan los ataques externos (outsiders), dice el

reporte.

Las organizaciones terminan desperdiciando los presupuestos en seguridad, gastando mucho donde se percibe que estn las amenazas

, en lugar de dnde verdaderamente estn.

Este informe da lugar a un interesante debate sobre las inversiones en seguridad, tema que ya hemos estado tratando antes en TCO:

Cmo evaluar una inversin en seguridad? y Retorno de inversin en seguridad.

Respecto a lo afirmado por el informe de Verizon, son dos los aspectos a analizar.

En primer lugar, si la afirmacin respecto al desperdicio de la inversin es correcta, y eso depender de la apreciacin de cada lector.

S es importante remarcar que, por un lado, los nmeros indicados son contundentes y se condicen con los que manejamos desde ESET

Latinoamrica. Sin embargo, al momento de sacar las conclusiones, las mismas quedan sujetas a la interpretacin de cada uno, ya que no

se analiza el impacto de los incidentes en trminos econmicos. Es decir, a pesar de que slo el 11% de los incidentes son internos,

quizs el impacto de dicha amenaza en trminos monetarios sea mayor al de los ataques externos, lo cual es probable dado que los

ataques internos suelen ser ms graves una vez consumados por la naturaleza de los mismos tanto del conocimiento por parte del

atacante de la organizacin, como de los privilegios que este puede contar por su ubicacin en la empresa. Como ya mencion, el

anlisis es interesante aunque queda a criterio de cada lector sacar sus propias conclusiones con los nmeros aqu planteados.

En segundo lugar, aparece un debate menos concreto pero a la vez ms profundo: cmo estamos decidiendo nuestras inversiones en

seguridad? Aqu aparece un tema que hemos venido tratando aqu mismo y en varios congresos a dnde hemos asistido en los ltimos

aos. En las empresas, decidir cmo invertir el dinero en la proteccin de la informacin es un proceso que no debe tomarse a la

ligera, sin ser evaluado como un simple concurso de precios. Existen diversas metodologas para medir, cuantificar, comparar y decidir

respecto a las inversiones en seguridad, y la utilizacin de estas hace al profesionalismo con el que se est considerando el dinero que

se dedica a esta materia. Cuando se trata de una inversin corporativa, lo que debe quedar claro es que la misma debe realizarse de la

misma forma que se analizan otras asignaciones monetarias en la empresa, y no como si se estuviera haciendo una inversin hogarea.

Involucrados a todos los actores necesarios en el proceso es un factor fundamental para el xito del mismo.

A modo de conclusin, luego de muchos aos en dnde se fue afianzando la importancia de la seguridad de la informacin en la

empresa, ahora que la misma ya est clara comienzan a aparecer estos asuntos en primera plana, y aquellos que respectan a cmo

medir, definir y asignar la inversin en seguridad ser un tema de amplio debate en el futuro cercano, conforme aquellos que hacen la

seguridad en las empresas vayan definiendo y acostumbrndose a los estndares recomendados.

Costos del negocio delictivo encabezado por

el crimeware abril 6, 2010 Deja un comentario La motivacin que antiguamente tenan los primeros creadores de malware ha cambiado en los ltimos tiempos. Hoy en da el objetivo

de los cdigos maliciosos no slo se centra en generarles problemas a los equipos, sino que tambin buscan obtener un beneficio

econmico. Esto ltimo ha hecho que se presenten una diversidad de amenazas que suponen diferentes modalidades de negocios para

los creadores de malware. El siguiente artculo se ocupa de las opciones y costos que tienen los desarrolladores de programas

maliciosos en la actualidad.

Dentro de la evolucin de los cdigos maliciosos, en la actualidad se asiste a una poca en la cual el malware es utilizado para lograr un

beneficio econmico. En el informe Costos del negocio delictivo encabezado por el crimeware se exploran las diferentes modalidades de

negocios y los costos que suponen para los creadores de malware.