Jorge Villar (jorge_villar@symantec.com)Gerente de Ingeniería, Symantec MéxicoJunio 10, 2008

Seguridad de la Información:Cómo evitar pérdidas en el sector asegurador

Agenda

¿Quién es Symantec?11

El Sector Asegurador en México y Por Qué Llamala Atención de los Atacantes22

Panorama Actual de la Seguridad en Internet 33

¿Cómo evitar pérdidas de información?44

¿Quién es Symantec?

¿Quién es Symantec?

• Fundada en 1982• Presencia en 40 países con más de

17,500 empleados• 4ta. mayor compañía independiente de

software en el mundo• Forma parte de la lista FORTUNE 500 en

el lugar 461• Apoya al 99% de las empresas en la

lista de FORTUNE 1000• Más de 50 millones de consumidores

activos• + de 400 patentes registradas• 15% inversión anual en investigación y

desarrollo

Symantec Corporate Overview 5

Los consumidores viven un cambio digital

Las empresas tienen nuevasmaneras de conectarse

Generalidades del Mundo Conectado

Symantec Corporate Overview 6

Los consumidores enfrentan unagran variedad de amenazas

Las empresas necesitanadministrar los riesgos de TI y enfrentar la complejidad de TI

Generalidades del Mundo Conectado

El papel de Symantec es ASEGURAR, ADMINISTRAR Y RECUPERAR

La Infraestructura

La Información

Las Interacciones

El Sector Aseguradoren México

Sector Asegurador en México

• Los seguros ofrecen un servicio valioso a la economía:– Permiten la transferencia de riesgos– Son elementos estabilizadores

• Sector con rápido crecimiento a nivel local – Crecimiento = Mayor número de asegurados y mayores volúmenes en el manejo de

información

• Mayor cultura de prevención entre la población y mayor oferta

• Se estima que para 2015 el sector de seguros en México crecerá 177% y pasará de una participación de 1.8% del PIB a 5% (AMIS)

¿Por qué el Sector Asegurador puede ser de interés para los atacantes?

• Los atacantes y ladrones cibernéticos han cambiado sus intereses, ahora el blanco son los usuarios y buscan robarles información valiosa que después venden en el mercado negro

• Sector con tendencia a la digitalización (fotografías, portales, sistemas de registro, etc.)

• Las aseguradoras manejan información confidencial de los clientes (imágenes, bancos de datos, imágenes de siniestros, información personal de los asegurados, etc.)– De acuerdo con la Federación Interamericana de Empresas de

Seguros, un tercio de los directivos ven la pérdida de información como la mayor amenaza para sus negocios, por ello se deben tomar medidas para prevenir la pérdida de datos y/o información

Panorama de la Seguridad en Internet

ISTR 13, Mayo 2008

12

Symantec™ Global Intelligence Network

> 7,000 Dispositivos Administrados (Seguridad) + 120 Millones de Sistemas en el Mundo + 2 Millones ‘Probe Network’ + Red Avanzada de Cuentas Señuelo

Reading, England

Alexandria, VA

Sydney, Australia

Mountain View, CA

Culver City, CA

Calgary, Canada

San Francisco, CA

Dublin, Ireland

Pune, IndiaTaipei, Taiwan

Tokyo, Japan

4 Symantec SOC’s 80 países monitoreados por Symantec

Más de 40,000 sensores registrados en más de 180

países

11 Symantec Security Response Centers

Austin, TX

Chengdu, China

Chennai, India

Panorama General de Amenazas

13

• La Web se está convirtiendo rápidamente en punto de distribución para los códigos maliciosos y para los ataques

• La actividad maliciosa se dirige a los usuarios finales, más que a los equipos

• Consolidación y maduración del mercado negro (economía subterránea)– Producción especializada y aprovisionamiento

– Outsourcing

– Precios variables

– Modelos de negocio flexibles • Rápida adaptación de los atacantes y de la actividad de los ataques

14

Tendencias de los ataques -Actividad maliciosa – América Latina

• En América Latina, Brasil fue el principal país con más actividad maliciosa en América Latina y el noveno a nivel mundial. Estuvo seguido de Argentina y México

Origen de los ataques hacia América Latina

16

Fugas de información por Sector

• El sector educativo cuenta con la mayoría de las fugas de datos, con 24%

• 57% de las fugas de datos se debieron a pérdidas o robos, mientras que las políticas sobre inseguridad representaron el 21% de las fugas.

17

Causas de las Fugas de información

• Las pérdidas y robos siguen siendo la causa principal de la pérdida de datos dentro de todas las fugas de datos e identidades expuestas – lo que puede asociarse al uso de dispositivos personalizados.

Phishing - Tendencias

18

• Los sitios de redes sociales son más usados por los phishers

• 66% de los sitios Web conocidos para phishing se localizaron en Estados Unidos, le siguen China (14%) y Rumania (5%)

• Los principales objetivos en 5 de los principales 10 países que albergan sitios para phishing fueron sitios de redes sociales

• Las marcas más usadas en ataques de phishing corresponden al sector financiero (80%)

Symantec Information Foundation: 19

Spam – Por categoría

• En el segundo semestre de 2007, el spam relacionado con productos comerciales fue la primera categoría (27%), seguido del spam relacionado con Internet (20%)

• México es el 4to. país que más spam genera en América Latina

Fuente: Symantec ISTR, Abril 2008

Symantec Information Foundation: 20

¿Y a dónde va la información?Mercado Negro - Especialización

• Incremento en el número de nuevas amenazas• Existencia de organizaciones que emplean programadores y autores

especializados dedicados a la producción de este tipo de códigos maliciosos

+50% en6 meses

Symantec Information Foundation: 21

Mercado Negro – ¿Qué venden?

• Cuentas bancarias y tarjetas de crédito son lo más vendido. • Los precios se reducen en ventas de bienes en grandes

cantidades y se observan modelos de negocio flexibles y específicos por entorno

Symantec Information Foundation:

¿Cómo evitar laspérdidas de

información en el sector asegurador?

La pérdida de datos es una realidad

… una realidad costosa

Costos Directos e Indirectos de unaFuga de Información que se Reportó y

se Hizo Pública

• Los costos de remediación pueden variarentre USD$100 – USD$300 por cadaexpediente y/o récord de cliente perdido

– Notificación al cliente– Oferta de monitoreo de crédito– Acciones de remediación de TI– Honorarios de auditoría

• Costos indirectos significativos– Pérdida de reputación de marca y

confianza de los clientes– Demandas, caída en precios de la acción,

etc.

*Julio 2007, IT Policy Compliance Group

0

2%

4%

6%

8%

10%

12%

14%

100 1,000 10,000 100,000

Pér

dida

s de

clie

ntes

e in

gres

oses

pera

das

Número de empleados

Symantec Information Foundation:

Panorama de los Riesgos de TI

Amenazas internas y externas

Dejar las cosas malas afuera y las buenas adentro

Desastres naturales y fallas de sistemas

Mantener los sistemas funcionando y asegurar una

rápida recuperación

Políticas de TI y Regulaciones Externas

Asegurar controles adecuados y automatizar la recolección de

evidencias

Desempeño de aplicaciones y TI

Optimizar recursos y asegurar configuraciones correctas

IMPORTANCIA DE LOS RIESGOS DE TI POR CATEGORÍA

MITO 1: Los riesgos de TI son iguales a los riesgos de seguridad

• Antes: “Riesgo” = “Seguridad”• Hoy: “Riesgo” = Disponibilidad + Seguridad + Compliance + Desempeño• Los datos del informe indican que los profesionales de las TI están adoptando un punto de

vista más amplio sobre los riesgos de las TI, abarcando mucho más que la simple seguridad. Hace un año, la seguridad era la principal preocupación

78%78% 70%70% 68%68%63%63%

MITO 2: La administración de riesgos de TI es solo un proyecto

• Hoy, la administración de riesgos de TI debe ser un proceso contínuoy permanente que se ajuste o adapte a los cambios de la organización y el entorno y no un proyecto aislado

¿CUÁNDO O CADA CUÁNDO ESPERA QUE EN SU ORGANIZACIÓN OCURRA UN INCIDENTE RELACIONADO CON UNA PÉRDIDA IMPORTANTE DE INFORMACIÓN?

62% = al menos una vez al año

MITO 3: La tecnología por sí misma disminuye los riesgos de TI

¿CUÁNDO HA TENIDO UN INCIDENTE DE TI, CUÁL HA SIDO LA CAUSA PRINCIPAL DEL MISMO?

- Aunque la tecnología es fundamental en la administración de riesgos de TI, las personas y los procesos (apoyados por la tecnología) determinan la efectividad de la estrategia por lo que deben ser analizados y tomarse en cuenta

MITO 4: La administración de riesgos de TI es una ciencia

• Antes = Administración de riesgos de TI como un conjunto de principios y relaciones aplicables en todas las industrias y países (receta infalible)

• La administración de riesgos de TI debe ser un ejercicio “defensivo” o “pro-activo”

• Symantec ve la Administración de riesgos de TI como una disciplina empresarial que evoluciona

constantemente– no como una ciencia

• Hoy = Conciencia sobre la existencia de diferencias en los riesgos que cada organización enfrenta y sus activos más valiosos

Más Vale Prevenir …Mejores Prácticas – IT & Information RiskManagement

• MEDIR RIESGO E IMPACTO: Antes de tomar acción, hay que medir la probabilidad de cada riesgo, lo que ayudará a detectar carencias e identificar prioridades. Symantec a través de INFORM puede ayudarle en esta actividad y soluciones como Backup Exec y Enterprise Vault pueden ayudarle a reducir ciertos riesgos.

http://www.symantec.com/business/theme.jsp?themeid=inform• CREAR UNA CULTURA DE RIESGOS: A través de la Administración de

Riesgos de TI se debe crear una cultura dentro de la empresa que cubra los objetivos de negocio, los riesgos de TI, los costos de mitigación y sus relaciones.

• EDUCAR AL PERSONAL: Es importante capacitar al personal y valorarlo. En un estudio separado, IDC y Symantec encontraron que entrenar al equipo y sus habilidades tienen un fuerte impacto en el desempeño de TI.

• TIEMPO AL TIEMPO: Se debe de hacer una planeación adecuada y tomarse el tiempo necesario para implementar un programa de Administración de Riesgos de TI. La experiencia de Symantec señala que puede tomar de 3 a 5 años para que la Administración de Riesgos de TI sea completamente efectiva.

Gracias Jorge Villar, Symantec Méxicojorge_villar@symantec.com

www.symantec.com/lawww.symantec.com/la/informe

Copyright © 2008 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.