Ejemplar
#14 -14a Edición-
Martes 02 Abril de 2019 Ciudad de México
PÁGINA
02
Comités
EL RIESGO DE CIBERATAQUES, UNA REALIDAD PALPABLE.
PÁGINA
03
Sponsor
PÁGINA
03
Boletín Mensual
Comités SOLUCIONES INTEGRALES: INDISPENSABLES PARA LA SEGURIDAD ACTUAL
Boletín Mensual
congreso@asis.org.mx 55 5251 0889
¡ A S I S t e !
A nuestra próxima Reunión Mensual el martes 7 de Mayo 2019
Cambiamos de sede, nos vemos en CitiBanamex, salón Montejo, gracias a nuestro patrocinador IKUSI
¡No Faltes!
Confirma tu ASIStencia a info@asis.org.mx
AF I L I AC I Ó N
ASISte a nuestras:
REN OVAC I Ó N RECIBE TODO EL AÑO LOS BENEFICIOS QUE ASIS INTERNACIONAL OFRECE A SUS MIEMBROS
en:
02
Boletín Mensual
COMITÉS
EL RIESGO DE CIBERATAQUES, UNA REALIDAD PALPABLE. Escrito por Gonzalo Herrasti. Miembro del Comité de Information Technology Security Se dice, y con razón, que hay dos tipos de motociclistas: los que ya se cayeron de la moto y los que se van a caer. Así, la delincuencia en el ámbito de la tecnología es tan sofisticado que hoy podríamos igualmente decir que hay dos tipos de empresas, las que sufrieron un ciberataque y las que lo van a sufrir. Tal vez suene exagerado, pero lo cierto es que hay casos recientes, a escala global y a nivel local (Facebook, Marriott, Banco de México… por mencionar algunos), que nos permiten advertir que el riesgo de un ataque cibernético es una realidad inevitable. ¿Cuántos correos del área de Tecnología de la Información de nuestra empresa recibimos cada mes, advirtiendo que no abramos correos electrónicos dudosos? Y sólo pensamos en la “paranoia” de nuestros compañeros ingenieros de Sistemas. Imaginemos un caso concreto, el de una compañía con operaciones en México, que en realidad podría ser cualquier empresa en la que trabajamos. Un colaborador de nivel mando medio no siguió las recomendaciones que enviaba constantemente su área de Tecnología de la Información sobre no abrir correos electrónicos de dudoso remitente. Al abrirlo, sin darse cuenta, automáticamente se contaminó su computadora afectando a muchas de las que estaban conectadas en esa misma red. El colaborador siguió trabajando, y mientras lo hacía, se perpetraba un acto malicioso por terceros, quienes lograron tener acceso a la información de la empresa; Por varios días, los hackers estuvieron grabando las actividades de los colaboradores que se conectaban a esa red, hasta llegar al área de Tesorería, en donde estaba guardada la información de las cuentas bancarias de la empresa. Una semana más tarde los piratas cibernéticos secuestraron los datos y dejaron a la empresa 48 horas sin poder operar, ya que todo el sistema estaba tomado y pedían una cantidad de dinero muy semejante a la que tenía la empresa en inversiones. Lo anterior fue posible porque durante varios días los delincuentes siguieron los movimientos bancarios de la empresa. Después de 24 horas de negociaciones y el pago de una importante suma de dinero para
recuperar sus sistemas y la información, todo parecía que regresaba a la normalidad, hasta que se percataron que la información que tuvieron secuestrada se vendió a la competencia, en donde ésta logró conocer el desarrollo de nuevos proyectos, las campañas que iban a implementar a corto y mediano plazo y la base de datos de los clientes. Pero eso no fue todo, los piratas cibernéticos además pusieron en venta información bancaria de los clientes, por lo cual a varios de ellos les clonaron sus tarjetas de crédito, provocando demandas hacia la empresa por el incumplimiento del Aviso de Privacidad de datos en el cual prometían resguardar y hacer el mejor uso de esta información sensible. Por si fuera poco, esto derivó en una multa por parte del Instituto Nacional de Acceso a la Información y Protección de Datos Personales (INAI). Sin duda la reputación de esta empresa se vio severamente afectada, generando el inicio de un concurso mercantil por las bajas ventas en el último trimestre, dejando sin ingreso a varias familias. El caso aquí detallado, aunque hipotético, bien podría ser uno de los 25 mil millones de intentos reales de intrusión a las empresas que en efecto han ocurrido en el último año, buscando vulnerar los sistemas para poder tener acceso y comprometer la valiosa información que se resguarda en cada uno de los equipos y sus nubes. Ninguna empresa está exenta de padecer este tipo de ciberataques. En lo que va del 2018 los delitos y amenazas de este tipo han aumentado 215% en comparación con el año pasado. México es el tercer país con más ciberataques en el mundo, sólo detrás de Estados Unidos y el Reino Unido. La pérdida estimada en México sólo en 2017 es de 7.7 mil millones de dólares como consecuencia de ciberataques informó la Procuraduría General de la República. Casos recientes… y cercanos ¿Son casos aislados? ¿Difícilmente ocurriría en mi empresa? Error pensar así. Ha habido casos tan recientes como el de abril de este año, cuando cinco entidades bancarias mexicanas fueron hackeadas a través de su
plataforma SPEI, lo que les produjo una pérdida aproximada de 300 millones de pesos, informó Banxico. Como parte de las consecuencias, algunos clientes no pudieron recibir su pago de nómina ni realizar movimientos de SPEI. El 28 de septiembre de 2018 Facebook y 50 millones de sus usuarios fueron víctimas de un ciberataque que comprometió su información sensible, como correos electrónicos y contraseñas según reportó The New York Times. Prevalencia, afectaciones… y multas De acuerdo con los datos del último informe de la firma eslovaca de seguridad cibernética ESET, siete de cada diez empresas mexicanas han experimentado un incidente relacionado con seguridad informática. Del 2012 a 2015, el INAI ha impuesto multas por más de 185 millones de pesos debido a violaciones a la Ley Federal de Protección de Datos Personales en Posesión de Particulares. Los sectores con mayor número de multas son los servicios financieros y seguros, medios masivos de comunicación y el educativo. Datos ofrecidos por Norton (filial de Symantec, líder global en ciber seguridad de última generación), en el Cyber Security Insights Report 2017, señala que en ese año la pérdida fue de 172 billones de dólares a nivel mundial. En 2017 el virus “WannaCry” afectó a más de 200 mil computadoras y 150 países alrededor del mundo. Dmitry Bestuzhev, director del equipo de Investigación y Análisis para Kaspersky Lab (una compañía internacional con sede en Moscú, dedicada a la seguridad informática con presencia en aproximadamente 200 países), informó que el país más afectado en América Latina fue México, seguido por Brasil y Ecuador. Los principales riesgos que existen hoy en día por un ciberataque son: • Robo de datos de usuarios • Pérdida o eliminación de información • Robo de identidad • Fraude o extorsión • Secuestro de información • Robo de Propiedad Intelectual • Interrupción de servicios • Multas por organismos regulatorios • Daño a la Reputación Las compañías, después de un ataque a sus sistemas informáticos
establecen estrategias encaminadas a darle continuidad al negocio, entre las cuales se encuentran recuperar la información, resarcir la pérdida de ingresos por interrupción del negocio, volver a las actividades normales, reemplazar equipos dañados, mejorar en el tiempo la reputación de la empresa para volver a ganar la confianza, hacer frente a las demandas y multas, gastos forenses, etc. Lo anterior genera un costo muy alto que puede representar para algunas empresas la salida del mercado. ¿Cómo prevenir, reaccionar y amortiguar daños? Vistos los daños que puede ocasionar un ataque cibernético a cualquier empresa, la pregunta es, ¿se puede hacer algo ante ello? La respuesta es Sí. Existen seguros que cubren a la empresa ante este tipo de delincuencia, el llamado Cyber Crime. Por ello cada vez más es necesario contar con las medidas preventivas, de seguridad de la información y de continuidad del negocio, pero también contar con la protección financiera suficiente para resarcir los daños causados por un ciberataque. Es recomendable contar con la consultoría adecuada para evaluar las áreas vulnerables de la empresa, construir una estrategia con el área de Tecnología de la Información para que, en el momento de un incidente, se tengan los recursos necesarios para detectar y controlar la fuga de información y proteger datos sensibles, un equipo de abogados especializados para defender a la empresa de cualquier demanda, un equipo de ajustadores expertos en ciberataques para detectar amenazas y especialistas en Relaciones Públicas para limpiar la imagen y tratar de volver a la normalidad. ¿Cuentas con un plan de continuidad de tu negocio? ¿Conoces todas tus vulnerabilidades? ¿Sabes cada cuánto actualizan los niveles de protección de tu empresa? ¿Tu equipo está capacitado ante este tipo de incidentes? Si en alguna de las últimas preguntas respondiste no, acércate con tu Consultor de Seguros, para que te platique sobre las soluciones que existen para poder transferir el riesgo.
03
Boletín Mensual
SPONSOR
International SOS
Se dedica a proteger y salvar vidas, cuando está involucrado en situaciones médicas o de seguridad. International SOS entiende sus necesidades como ningún otro socio; Los más de 30 años de experiencia nos brindan una comprensión incomparable de sus amenazas de salud y seguridad y de sus riesgos de riesgo. Por lo tanto, estamos en una posición única para diseñar soluciones de gestión de riesgos para la salud, la seguridad y el bienestar óptimos de su diversa fuerza de trabajo global, donde sea que se encuentren, incluso en los entornos más remotos y frágiles del mundo: en tierra, mar o en el aire. Juntos podemos centrarnos en la prevención, gracias a la tecnología innovadora y
nuestra experiencia médica y de seguridad. Ofrecemos inteligencia en tiempo real, accionable y entrega de alta calidad en el terreno. En caso de condiciones climáticas extremas, una epidemia o un incidente de seguridad, proporcionamos una respuesta inmediata brindando tranquilidad. Para sus necesidades de rutina o de emergencia, nuestras soluciones a medida pueden ayudarlo a lograr una mayor productividad y capacidad de recuperación de una manera sostenible con un rendimiento de las inversiones medible. Fundado en 1985, el Grupo Internacional de Compañías SOS cuenta con la confianza de más de 11,000 clientes
globales, incluidos gobiernos, clientes corporativos multinacionales, como dos tercios de las empresas Fortune Global 500, empresas medianas, instituciones educativas y ONG. Nuestra empresa ha alcanzado la norma ISO 9001: 2015 e ISO 27000. Más de 11,000 expertos multiculturales médicos, de seguridad y de logística a tiempo completo brindan apoyo y asistencia desde más de 1,000 ubicaciones en 90 países, en más de 95 idiomas, lo que le brinda a usted y su fuerza laboral tranquilidad las 24 horas, todos los días del año, ya sea en línea, de guardia o en
el sitio. Le ayudamos a satisfacer las necesidades de informes de cumplimiento para un buen gobierno. Al asociarse con nosotros, las organizaciones pueden cumplir con sus responsabilidades de Deber de Cuidado, al mismo tiempo que potencian la resiliencia, la continuidad y la sostenibilidad del negocio. Para proteger a su fuerza laboral global. Estamos a su alcance: internationalsos.com Contáctenos: Por correo electrónico Anibal.ascencio@internationalsos.com,
o por teléfono +52 1 55 54510661
COMITÉS
SOLUCIONES INTEGRALES: INDISPENSABLES PARA LA SEGURIDAD ACTUAL Escrito por Sergio Eduardo Loyola Hidalgo. Miembro del Comité de Seguridad en Cadena de Suministro. ¿Cómo saber qué requerimos hoy en día en nuestra cadena de suministro cuando en el mercado hay un mundo de tecnología, un sin fin de propuestas para mostrar ese músculo llamado custodia equipada y la delincuencia trabajando? Requerimos una herramienta, que incluya un mantenimiento continuo, que nos ayude administrar el riesgo, adesarrollar unas estrategias de movimiento, que tenga considerado una renovación con base en nuestro giro de negocio, y cuya inversión se vea
reflejada en forma directa en las utilidades de la empresa. Debemos aprovechar la experiencia de los especialistas en seguridad para presentar propuestas de prevención que superen siempre la reacción, que puedan adaptarse a cada negocio y que no requieran desarrollarse desde cero en cada ocasión. Ahora, ¿ quiénes serán los pioneros en desarrollar una herramienta integral única, apegada a la normatividad y que cumpla con las exigencias del mercado actual?.
Nuevos socios Obdulia González Eduardo González Erika Jiménez Jorge Martínez Anderson Nakamura
Enrique Partida Claudio Patiño Orlando Ramírez R o d r í g o Te n o r i o
Jesús Ortega
04
Boletín Mensual
EVENTOS - REUNIÓN MENSUAL
MARZO El pasado 05 de marzo ASIS Capítulo México realizó su tercera reunión mensual del año. Pedro Sanabria, presidente ejecutivo, dio a conocer los avances y logros durante el mes anterior, entre ellos la realización de la primera reunión de los Comités: Information Technology Security, Enterprise Security Risk Managment, Young Professionals, Protección Ejecutiva, Seguridad en la Cadena Logística, Seguridad Hospitalaria, Gestión de Talentos en la Seguridad, Servicios Armados; así como la realización del Foro “Factores de seguridad en la cadena de suministro”, impartido por Edgar Li Vázquez, CPP (Certified Protection Professional). MARZO 2019 ASIS Capítulo México realizó la firma de convenio con Lus Semper University, uno de los beneficios es una beca al 100% enviando la carta solicitud para el Diplomado de “Construcción del proceso de paz en México”, entre otros aspectos. Dada
la cercanía a la conmemoración del Día Internacional de la Mujer, las integrantes de Women in Security (WIS) estuvieron como invitadas de honor en donde María Teresa Septién, coordinadora de dicho Comité, junto con Lourdes Morales, integrante de WIS, estuvieron en el presídium en representación de todas las mujeres del gremio. Así como Midori Llanes, coordinadora del Comité Académico. Al finalizar el evento, se realizó la toma fotográfica de todas las presentes, agradeciendo la apertura de espacios para lograr la equidad de género. Además más de 40 nuevos socios se integraron al Capítulo y realizaron la toma de protesta, el evento estuvo dirigido por Fernando Polanco, vicepresidente ejecutivo, y en esta ocasión el patrocinador fue Motorola Solutions, reiterando su compromiso con los agremiados y el sector. Bernardo Gómez del Campo, titular de la Policía
de Investigación de la Ciudad de México, fue el encargado de impartir la conferencia de la reunión, la cual llevó el nombre de “La policía de investigación en la CDMX. Su diagnóstico y sus planes”; en donde dio a conocer el estatus de la policía de investigación de esa localidad contando con 3 mil 849 integrantes, de los cuales sólo 434 son del género femenino.. De igual manera dio a conocer diferentes datos que integran a la población de la policía de investigación de la CDMX, entre ellos la escolaridad (con 2 mil 285 policías con universidad); así como el rango de edad que va en su mayoría de los 41 a los 45 años. También dio a conocer la cantidad de patrullas y herramientas con las que cuenta el departamento, pese a la importancia de la realización de estas encuestas, sólo mil 490 policías (42% del estado de fuerza) asistieron de las cuales sólo el 12.8% fueron mujeres.
En esta ocasión, el patrocinadordel evento fue Motorola Solutions México, es proveedor líder de soluciones y servicios de comunicación de misión crítica para gobiernos y empresas, satisfaciendo las necesidades de nuestros clientes a través de una amplia gama de soluciones para la industria y la seguridad pública. Conectan a las personas a través de la tecnología. Las empresas, las instituciones de seguridad y las agencias gubernamentales en México y en todo el mundo recurren a las innovaciones de Motorola Solutions cuando requieren equipos robustos y confiables. Por tal motivo, están presentes en todas las industrias y lugares de trabajo, desde el piso de venta, el almacén, la seguridad de un edificio, la estación de policía de una ciudad pequeña, hasta en oficinas de gobierno de alta seguridad.