Número 141-2016
LA REVISTA ESPECIALIZADA EN TIC
Los 6 principios de una defensa integrada ante amenazas 14
8 tecnologías que transformarán al mundo [Pag. 4] La movilidad y el teletrabajo ya son una obligación [Pag. 10] 4 desafíos de ciberseguridad en el sector financiero [Pag. 20] 4 pasos hacia la transformación digital [Pag. 26]
Editorial La seguridad cibernética: una misión corporativa y una responsabilidad de TI Las pérdidas y daños por crímenes cibernéticos son cada vez mayores y más frecuentes; baste leer las noticias que cotidianamente inquietan a las organizaciones y gobiernos respecto a los ataques de toda índole que provienen del crimen cibernético. Frente a un mundo hiperconectado y una oferta de sistemas, aplicaciones y dispositivos, los responsables de TI son cada vez más exigidos para prevenir y resolver ataques de toda índole que afectan de alguna manera a toda el organización. Este alcance corporativo de la seguridad supondría una misión y una atención también corporativa que se comprometa y apoye no sólo en la atención de hechos aislados con respuestas parciales y soluciones puntuales. Esta postura inmediatista no responde a la magnitud y urgencia de enfrentar los múltiples frentes de ataque, con una visión integral e integradora que perciba la seguridad como un todo que involucra y compromete a toda la estructura de organización, si bien las tácticas, la gestión y las acciones se focalicen en las áreas de TI. Ante un esquema reactivo, las empresas no tienen condiciones para detectar ataques, incluso internos. Tan es así, que se estima que el 47% de las empresas no pueden anticiparse a los ataques y que el tiempo de respuesta ante agresiones cibernéticas es hasta de una semana. Frente a esta situación, se ha planteado la necesidad de incorporar soluciones integrales que brinden una visibilidad corporativa, con controles y herramientas de seguridad que sean gestionables y sencillas, así como un monitoreo que atienda las áreas y funciones críticas en un orden de prioridades y dentro de un verdadero ecosistema tecnológico. De acuerdo con un dato duro de Fortinet, en 2014 se presentaron más de 6 millones de nuevos virus y se registraron más de 6 millones de ataques cibernéticos. En el presente número de nuestra revista señalamos seis principios de una defensa integrada ante las amenazas cibernéticas.
El Consejo Editorial
8 tecnologías que transformarán al mundo
Inteligencia artificial, Blockchain, impresoras 3D y vehículos autónomos, son algunas de las innovaciones que irrumpirán en el escenario tecnológico hacia el 2020.
Cada día surgen nuevas tecnologías, y mientras que algunas son adoptadas a gran escala para que lleguen al mercado, otras pasan por un período de maduración. Independientemente del camino seguido por la adopción de estas herramientas, existe la certeza que transformarán la vida cotidiana de los individuos y las empresas mediante la simplificación de las rutinas o su transformación por completo. Ante este escenario de cambios, TOTVS Labs ha enumerado ocho tecnologías disruptivas que transformarán a las industrias y por lo tanto, el comportamiento de los seres humanos hasta el año 2020. 1. Inteligencia Artificial. Es la primera gran apuesta, por lo que muchos esfuerzos de laboratorio se han dirigido a desarrollar soluciones relacionadas con ella. El futuro va a estar formado por la combinación de software (aplicaciones), los datos y la inteligencia artificial, que cambiará todos los segmentos del mercado y simplificará la toma de decisiones. Industrias como salud, servicios financieros, manufactura, comercio minorista y otros segmentos serán profundamente transformados por esta combinación. 2. Bitcoins y Blockchain. Similar a un libro de registro virtual, el Blockchain es una base de datos de transacciones creadas para asegurar el uso de monedas virtuales, como los Bitcoins. La tecnología detrás del Blockchain impide el uso de una moneda más de una vez, asegurando con ello la transparencia y la seguridad de las transacciones, independientemente del valor de la moneda utilizada. La herramienta resuelve un viejo problema del mercado financiero: los activos se registran, se mantienen al día y se ponen a disposición de los reguladores, con lo que se debe modificar toda la industria. El Nasdaq, por ejemplo, ya utiliza Blockchain para almacenar información sobre los activos de algunas empresas que cotizan en la bolsa de valores, como Amazon y Apple. 3. Impresoras 3D. Surgida en 1984, la impresora 3D ha sido fuertemente adoptada en los últimos años. Además de imprimir artículos de uso personal, la herramienta modifica los procesos de los diferentes sectores, tales como la medicina. Entre los aspectos más destacados se encuentra la bioprinting de los miembros del cuerpo humano para prótesis o trasplantes. Otro segmento prometedor es la manufactura. Algunas compañías, lideradas por las industrias aeronáutica y maquinaria, ya están desarrollando partes mediante la adición de material capa por capa. El proceso conocido como aditivo de fabricación permite, por ejemplo, la fabricación de piezas con geometría extremadamente compleja, siendo una opción para etapas complicadas de producción. Empresas como Nike y Adidas han anunciado la producción de tenis utilizando impresoras 3D. 4. Vehículos autónomos. Además de modificar la experiencia y cambiar la movilidad de los consumidores, los autos sin conductor tendrán un impacto en el rendimiento de los fabricantes de automóviles y la planificación del tráfico en las ciudades y carreteras. En la
actualidad hay una loca carrera entre los fabricantes de automóviles para ver quién lanza el primer vehículo autónomo. El plazo propuesto por ellos es el año 2020, sin embargo, la producción masiva de vehículos sólo podría tener lugar a partir de 2025, cuando la tecnología tendrá un precio accesible. El futuro es tan prometedor que el IHS Automotive, consultora de mercado del sector automotriz, cree que en 2050 nadie tendrá que poner sus manos en el volante de un coche. Actualmente empresas como Tesla y Google ya tienen tecnología que permite conducir un coche de forma automática, sin intervención humana. 5. Robótica. La robótica abarca diferentes formas de automatización, incluyendo tareas físicas, intelectuales y servicios de atención al cliente. De acuerdo con Forrester, en 2019, el 25% de los puestos de trabajo en todos los sectores será transformado por el avance de los robots. Por otra parte, contribuyen a la aparición de nuevas categorías profesionales, cada vez más estratégicas. Un buen ejemplo actual es el servicio al cliente automatizado en los centros de contacto. 6. Realidad Virtual y Realidad Aumentada. Estas tecnologías permiten al usuario interactuar en tiempo real con un entorno tridimensional generado por las computadoras a través de dispositivos multisensoriales. Actualmente, ya están en simuladores de vuelo y dirección en las escuelas de conducción. Pronto, estos simuladores llegarán a muchos otros mercados, proporcionando una mejor experiencia de usuario y simplificando, por ejemplo, el mantenimiento de plantas industriales, las visitas a lugares de interés histórico y turístico, así como el aprendizaje de ciertos procedimientos quirúrgicos. Los sectores del turismo y la educación deben estar fuertemente transformados con el uso de la Realidad Virtual y Aumentada. 7. Biotecnología. Representa una gran promesa para hacer frente a los desafíos globales, ofreciendo nuevas posibilidades para satisfacer la demanda mundial de alimentos, nutrición animal, combustible y materiales, entre otros, y al mismo tiempo, reducir el impacto sobre el medio ambiente. La adopción de esta tecnología en la industria farmacéutica ha permitido el desarrollo de fármacos más eficaces y apropiados para cada paciente y, en breve, permitirá nuevos enfoques en el tratamiento, diagnóstico y prevención de enfermedades. En el sector textil, permite la creación de tejidos inteligentes, tales como fieltro, que no se inflame y alfombras para eliminar el polvo. 8. Computación, Redes e Internet de las cosas. El número de computadoras en red y la posibilidad de intercambiar información entre ellas ya ha comenzado a cambiar las rutinas en las organizaciones. El Internet de las cosas, por ejemplo, conecta los dispositivos y máquinas a los sistemas de gestión centralizados, lo que permite un intercambio de datos entre ellos y facilitar, por ejemplo, el control de la entrega de la logística. Además, esta tecnología va a simplificar el mapeo de las zonas agrícolas de las plantaciones a través de dispositivos móviles tales como aviones no tripulados.
Cada una de estas tecnologías y la combinación de dos o más de ellas, tendrán un impacto en el mundo en los próximos años. Algunos ya se utilizan a gran escala, incluso en el año 2016, pero la mayoría de ellas modificará en gran medida las rutinas de las personas y empresas en los próximos cinco años. El impacto en ciertas industrias ocurrirá más rápidamente porque una de las características comunes de estas tecnologías es su progreso exponencial. Se estima que en Estados Unidos, el 47% de los puestos de trabajo actuales no existirá en los próximos 10 años. En América Latina, algo muy similar debe ocurrir. Por otra parte, surgirán nuevos puestos de trabajo. Lo más importante ante todos estos cambios es prepararse para los avances que vienen, porque tarde o temprano una de estas tecnologías, o varias de ellas, tendrá un alto impacto en nuestro negocio o incluso en nuestra rutina personal. Fuente: TOTVS
La movilidad y el teletrabajo ya son una obligaci贸n La movilidad y el teletrabajo son fundamentales para retener el talento, mejorar la calidad de vida de los empleados y el aumento de la productividad.
Un asunto prioritario para las áreas de Tecnologías de Información en las empresas es la movilidad, y adaptarse a este nuevo mundo móvil ya es una obligación. El entorno empresarial ha cambiado y la demanda de comunicación requiere interacción en tiempo real, en cualquier lugar y con cualquier dispositivo. En sitios como la Ciudad de México se pierden en promedio de 2 a 4 horas al día en el tráfico, y en una empresa promedio, aproximadamente el 30% de los empleados tiene una función que le exige estar parte de su tiempo fuera de la oficina. El trabajo flexible es un imperativo Las estadísticas del mercado muestran que el teletrabajo en México apenas ha sido adoptado por una minoría de las empresas, y esta lejos de convertirse en un beneficio real en la práctica, debido a que representa un obstáculo por las costumbres culturales de las empresas. El teletrabajo en México ha sido adoptado en su mayoría por multinacionales extranjeras que cuentan con culturas organizacionales más avanzadas. Una investigación de SAP Consulting muestra que el 83% de empresas todavía no piensa en incorporar esta práctica. Además, un estudio de Regus –proveedor global de espacios de trabajo flexible- revela que medir a los empleados por resultados y no por el tiempo que pasan en una oficina es vital para que éstos se sientan más apreciados. Esta investigación, realizada a 44,000 empresarios de más de 100 países incluido México, muestra que a nivel mundial el 61% de las empresas está utilizando prácticas de trabajo flexible como herramientas para atraer y retener talento local. A pesar de que el 63% de las empresas está implementando el trabajo a distancia, sólo el 43% se ha preocupado por aplicar esquemas medibles del trabajo remoto. Al considerar la adopción de movilidad empresarial, existen varios elementos a tomar en cuenta en un análisis de reducción de costos. Por ejemplo, alquiler de oficinas y salas de reuniones, consumo de energía eléctrica, espacio para los activos, gastos de viaje, alojamiento, boletos de avión, etc., además de otros factores intangibles, como la satisfacción, la productividad y la calidad de vida del empleado. En la práctica, según el estudio de SAP Consulting, las empresas que han adoptado el teletrabajo se han dado cuenta del beneficio real, que básicamente es retener el talento, mejorar la calidad de vida de los empleados y el aumento de la productividad. Algunas investigaciones muestran que las relaciones se vuelven cada vez más profesionales, el trabajador goza de una mejor calidad de vida, hay mayor concentración, se reduce el estrés y se vuelve más orientado a resultados, pues se reconoce solo por su rendimiento medible y no por factores emocionales. En tanto, el reporte de Regus señala que el 76% de los encuestados considera que la alta
dirección puede beneficiarse con más productividad de sus empleados si les permite la flexibilidad, y el 67% afirma que el trabajo a distancia puede ser productivo. Sin embargo las relaciones interpersonales no pueden extinguirse. Se debe buscar un punto de equilibrio para compensar las distancias, una solución es la adopción de tecnologías para ampliar el ambiente de trabajo fuera de los límites de la oficina. Ello implica habilitar ‘oficinas accesibles’, es decir, un escritorio físico y virtual al mismo tiempo, la combinación de una infraestructura de red para satisfacer la oficina y acceso remoto también en internet de forma segura, en cualquier lugar ya través de cualquier dispositivo. La ‘oficina accesible’ La ‘oficina accesible’ que propone Alcatel-Lucent, se basa en una combinación de tecnologías de red y conexión inalámbrica integrada (LAN y Wireless LAN), preparadas para autenticar a usuarios internos y externos a través de Internet. Los servicios de telefonía atienden a teléfonos IP de escritorio para oficina (usuarios internos), así como teléfonos virtuales y aplicaciones en computadoras, smartphones y tablets (usuarios móviles). En estas aplicaciones, la comunicación se realiza a través de voz y video y grupos de trabajo que interactúan a través del chat y el estado de presencia. Los empleados pueden colaborar y editar archivos durante una reunión virtual, además de usar un repositorio común. Este conjunto de servicios es conocido como comunicaciones unificadas y colaboración. En la ‘oficina accesible’ todos los servicios son corporativos, con políticas de uso y normas de seguridad bien definidos. El área de TI tiene un monitoreo en tiempo real, informes de análisis para la toma de decisiones y herramientas de instalación automatizada para servicios de red que se puede aplicar a la calidad de servicio (QoS) de acuerdo con el perfil de usuario, sin ninguna intervención humana. Cuando la empresa no adopta una herramienta corporativa y no da a sus empleados acceso a la tecnología adecuada, se abre la posibilidad de que los usuarios adopten sus propias herramientas, por ejemplo, las redes sociales o aplicaciones de mensajería instantánea. Es decir, el contenido de la empresa se convierte en tráfico por medios no seguros y sin ningún tipo de control; un riesgo inminente para el capital intelectual de la misma. En conclusión, siendo la movilidad un camino sin retorno, las empresas tienen que adaptarse y ofrecer tecnologías de comunicación y de red. Así, podrán retener su talento y reducir sus costos. La adopción del teletrabajo puede ser gradual y de acuerdo a las necesidades de negocio. Por último, está comprobado que la práctica tiene sus ventajas y puede ser una herramienta poderosa para atender a una nueva generación de empleados. Por Rodrigo Pistori Pivetti, communications sales developer de Alcatel-Lucent Enterprise
Los 6 principios de una defensa integrada ante amenazas
Existen seis principios de defensa integrada ante amenazas para ayudar a las organizaciones a comprender mejor la intenci贸n y los posibles beneficios de esta arquitectura. Por Laura Sarmiento
Proteger a la empresa de amenazas puede determinar su posible éxito o fracaso, ya que a medida que las organizaciones se digitalizan, su crecimiento depende cada vez más de la capacidad de asegurar su plataforma digital. Actualmente, los ciberdelincuentes aprovechan todos los recursos en línea —sean legítimos o no— para realizar sus ataques, que van desde la capacidad de los servidores, la suplantación de identidad, el robo de información y la exigencia de rescates a las víctimas, cuya información fue secuestrada. Si los atacantes encuentran más lugares en línea dónde operar, su impacto puede crecer exponencialmente. Para muestra el caso del kit de arranque Angler, el cual en una sola campaña afectó a 90,000 víctimas en un día y dejó a los delincuentes una ganancia neta de más de 30 millones de dólares al año. Su forma de operar fue así: los usuarios recibían la cadena de redireccionamiento y enviaban una solicitud GET para una página de acceso, que entraba al servidor proxy, el cual enrutaba el tráfico a un servidor de ataque —en un país diferente, con un proveedor diferente— asociado con diversos servidores proxy. En una investigación realizada por Cisco se descubrió que, en realidad, los servidores a los que los usuarios estaban conectados no alojaban ninguna de las actividades maliciosas de Angler y solo servían como conductos. Según el Informe Anual de Seguridad Cisco 2016, para el 68% de los encuestados, todos ellos responsables de la ciberseguridad empresarial, el malware constituye el principal desafío de seguridad externo que enfrentan y más del 85% de las organizaciones estudiadas fueron afectadas por éste; le siguen la suplantación de identidad y las amenazas persistentes avanzadas (APT), con un 54% y 43%, respectivamente. Con frecuencia, las tecnologías integradas de defensa ante amenazas pueden detener ataques importantes antes de que afecten las redes empresariales, sin embargo, en muchos casos, no solo se requieren defensas tecnológicas, sino también coordinación entre los proveedores de servicios de seguridad y la empresa. A medida que los delincuentes toman cada vez más en serio la rentabilización de sus actividades y perfeccionan su infraestructura interna (back-end) para realizar ataques con eficacia y mayores ganancias, los expertos recomiendan que el sector tecnológico realice un mejor trabajo de asociación para anular las campañas delictivas. Por su parte, las organizaciones deben planificar actualizaciones periódicas y reconocer el valor de controlar su infraestructura crítica de forma proactiva. Cabe señalar que las infecciones de navegadores se expanden y son también una fuente importante de filtración de datos, no obstante, los equipos de seguridad ven los complementos de navegador como una riesgo de poca gravedad.
Otra amenaza muy popular es el ransomware, ya que representa una operación de bajo mantenimiento para los artífices de amenazas y ofrece una forma rápida de rentabilización, porque los usuarios les pagan a los atacantes directamente en criptomonedas. Los botnets conocidos como Bedep, Gamarue y Miuref son redes de computadoras infectadas con malware. Los atacantes pueden controlarlas en grupo y ordenarles que realicen una tarea específica, como enviar correo electrónico no deseado o iniciar un ataque DDoS; éstas han estado creciendo en tamaño y en cantidad por años. Para comprender mejor el panorama actual de las amenazas a escala global, en su estudio Cisco analizó las redes de 121 empresas de abril a octubre de 2015 en busca de pruebas de uno o más de los ocho botnets. El análisis logró detectar también que los ciberdelicuentes pueden controlar vía WordPress —la conocida plataforma de desarrollo de sitios web y blogs— el flujo continuo de servidores comprometidos, para crear una infraestructura que respalde el ransomware, el fraude bancario o los ataques de suplantación de identidad. El número de dominios de WordPress utilizados por los delincuentes aumentó un 221% entre febrero y octubre de 2015. Estos son algunos de los tipos de archivo y de software alojados con frecuencia en sitios WordPress comprometidos: • Archivos ejecutables que son cargas útiles para los kits de ataque. • Archivos de configuración de malware, como Dridex y Dyre. • Código proxy que transmite comunicación de comando y control para ocultar la infraestructura de comando y control. • Sitios web de suplantación de identidad para recopilar nombres de usuario y contraseñas. • Scripts HTML que redireccionan el tráfico a los servidores de los kits de ataque. Cisco también pudo detectar a través de un análisis de malware que el 91.3% usa el servicio de nombre de dominio DNS ‘no autorizado’ para realizar campañas, y los clientes no estaban al tanto de que sus empleados estaban usando los solucionadores como parte de su infraestructura de DNS. Otra de las vulnerabilidades detectadas en este Informe Anual de Seguridad Cisco 2016 descansa en Adobe Flash, aunque los proveedores de software están reduciendo el riesgo de que los usuarios se expongan a malware, a través de la tecnología Flash. El desafío frente a estas amenazas Las empresas parecen tener una idea clara de los desafíos que enfrentan en torno a la ciberseguridad, ya que el 65% de los encuestados cree que su organización enfrenta
un nivel de riesgo de seguridad considerable, que surge concretamente por el uso de movilidad, seguridad de TI y soluciones basadas en la nube. Alrededor de un tercio de los ejecutivos también está preocupado por su capacidad para proteger datos críticos, el 32% seleccionó ‘información financiera confidencial’, seguida de la ‘información del cliente’ e ‘información comercial confidencial’. Sin embargo, al observar las tendencias de 2015, los autores del estudio destacan que el tráfico cifrado HTTPS ha llegado a un punto de inflexión y pronto se convertirá en la forma dominante de tráfico de Internet, por lo que si bien puede proteger a los consumidores, también puede poner en riesgo la eficacia de los productos de seguridad, lo que dificulta el seguimiento de las amenazas. Sumado al desafío, algunos tipos de malware pueden iniciar comunicaciones cifradas a través de un conjunto diverso de puertos. Los investigadores destacan también que la infraestructura obsoleta está creciendo y deja a las organizaciones cada vez más vulnerables al riesgo. El 92% de los dispositivos de la muestra estaba ejecutando software con vulnerabilidades conocidas: además, el 31% están en la etapa ‘fin de venta’ y el 8%, en el ‘fin de vida útil’. En este punto, destacan el caso de las pymes, las cuales muestran indicios de que sus defensas contra atacantes son muy débiles: el 48% de ellas utiliza seguridad web, lo que puede poner en riesgo a sus clientes. Si los atacantes pueden violar la red de una pyme, también pueden encontrar una vía hacia una red empresarial. Además, una cuarta parte de las pymes encuestadas no tiene un ejecutivo a cargo de la seguridad, al no creer que sus empresas sean objetivos de gran valor para los delincuentes en línea, es decir, existe un exceso de confianza en la capacidad de la empresa para frustrar los sofisticados ataques en línea de hoy, o lo que es más probable, que se tenga la idea de que nunca será atacada. Una infraestructura de TI desactualizada y obsoleta constituye una vulnerabilidad para las organizaciones. A medida que avanzamos al Internet de las Cosas se torna cada vez más importante que las empresas se aseguren de contar con una infraestructura de red segura para garantizar la integridad de los datos y las comunicaciones que atraviesan la red. Las organizaciones suelen evitar hacer actualizaciones de infraestructura porque son costosas y requieren tiempo de inactividad de la red. En algunos casos, una simple actualización no bastará. Algunos productos son tan antiguos que no se pueden actualizar a fin de incorporar las últimas soluciones de seguridad necesarias para proteger a la empresa. Finalmente, los equipos de seguridad deben dedicar tiempo y recursos a la supervisión de este riesgo y que consideren un aumento del uso de la automatización para priorizar las amenazas.
Los seis principios de una defensa integrada ante amenazas En el Informe semestral de seguridad 2015 de Cisco, los expertos afirman que la necesidad de soluciones adaptables e integradas dará lugar a cambios importantes en el sector de seguridad en los próximos cinco años. A continuación, los seis principios de defensa integrada ante amenaza para ayudar a las organizaciones —y a sus proveedores de seguridad— para comprender mejor la intención y los posibles beneficios de esta arquitectura: 1. Se necesita una arquitectura de red integrada y seguridad más eficiente para manejar el volumen y la sofisticación en aumento de los artífices de amenazas. 2. Contar con la mejor tecnología de su clase no alcanza para hacer frente al panorama de amenazas actual o futuro; simplemente aumenta la complejidad del entorno de red. 3. Para un mayor tráfico cifrado hay que tener una defensa ante amenazas integrada capaz de reunir la actividad maliciosa que hace que determinados productos puntuales se vuelvan ineficientes. 4. Las API abiertas son fundamentales para una arquitectura de defensa ante amenazas integrada. 5. Una arquitectura de defensa ante amenazas integrada requiere menos equipos y software para instalar y administrar. 6. Los aspectos de automatización y coordinación de una defensa ante amenazas integrada ayudan a reducir el tiempo de detección, contención y corrección.
4 desafíos de ciberseguridad en el sector financiero Solo el 26% de los encuestados en América Latina confía plenamente en su institución bancaria en cuanto a la protección de su información, lo cual plantea desafíos de ciberseguridad en el sector financiero.
Las pérdidas por crímenes cibernéticos a nivel mundial son de 300 mil millones a 1 trillón de dólares. En América Latina solo el 26% confía plenamente en su institución bancaria en cuanto a la protección de su información. Las nuevas tecnologías se integran cada vez más en nuestra vida diaria, y el manejo de las finanzas no es una excepción. Como usuarios finales, tenemos expectativas de un nivel de servicio rápido y de calidad. Eso se logra con la adopción de nuevas aplicaciones que, aunque traen grandes beneficios, también generan desafíos interesantes para los encargados de la tecnología y ciberseguridad de las instituciones financieras. Un ejecutivo de TI en el sector financiero tiene que responder rápidamente a los requerimientos del negocio con nuevos recursos y soluciones tecnológicas, sin sacrificar la ciberseguridad. Por esta razón, estos profesionales son habilitadores de negocio y son clave para que sus empresas continúen creciendo.
Tendencias de TI aplicadas al sector financiero Ofertas de servicios en dispositivos móviles. Cada vez más instituciones buscan acercar la bancarización al usuario final, sobre todo a nichos que antes no usaban servicios financieros. Acercar la banca al usuario final exige habilitar la apertura de productos de captación y colocación, llevando la fuerza comercial de la sucursal bancaria al usuario final, para lo cual es imprescindible habilitar el uso de aplicaciones y dispositivos móviles. Acceso a WiFi en las sucursales. Varias instituciones financieras están incursionando en ofrecer acceso a Internet a través de una red WiFi para que los usuarios que visitan sus sucursales aprendan cómo acceder a soluciones para que no tengan que trasladarse hasta el banco, pudiendo realizar estas transacciones desde el dispositivo móvil o desde el portal de la entidad financiera. Habilitación de dispositivos móviles como medio de pago. Diversos bancos han trabajado con negocios y compañías de tarjetas de crédito para ofrecer a sus usuarios nuevas herramientas que le faciliten su vida diaria, incluyendo el presentar su teléfono inteligente como un medio de pago, en vez de pasar una tarjeta física. Estas tendencias de nuevos servicios han sido posibles gracias a la adopción de nuevas tecnologías y la visión de empresas y sus equipos de TI y de ciberseguridad, para buscar mejores maneras de servir a su publico. Sin embargo, esto conlleva desafíos interesantes, por ejemplo: 1. Soluciones integradas: Los equipos de TI han encontrado que, para ofrecer estos nuevos servicios, se necesitan cada vez más controles de seguridad. Proveedores tradicionales que ofrecen soluciones específicas por separado no son la vía mas
eficiente ni viable económicamente. Nuevos jugadores han llamado la atención de estas instituciones financieras al ofrecer soluciones integradas que ofrecen mayor visibilidad y control de las herramientas de seguridad y monitoreo de las acciones en el área de ciberseguridad. 2. Visibilidad: Recientes estudios del Information Security Forum (ISF) indican que las empresas buscan que la función de seguridad de TI tenga visibilidad y análisis para grandes cantidades de datos como un elemento fundamental de la gestión estratégica de la seguridad. Las tecnologías y controles deberían proveer la capacidad de presentar una postura de seguridad, al igual que visibilidad sobre la efectividad de la gestión. 3. Servicios en la nube: Las empresas del sector financiero están optando por utilizar servicios en la nube. Esto trae el reto de tener la capacidad de contar con tecnologías y esquemas de protección que faciliten la adopción de estos servicios de manera segura. Constituye un reto para los proveedores de tecnologías de seguridad en cuanto a la capacidad de integración. 4. Cumplimiento regulatorio: Es clave mantenerse al tanto de nuevas decisiones y otras medidas dentro del marco regulatorio para asegurar que las nuevas tendencias y ofertas de nuevos servicios y tecnologías sean viables.
Ciberataques más comunes El entorno regulatorio alrededor de la ciberseguridad y el sector financiero definitivamente ha evolucionado y merece prácticamente ser tratado por separado. Sin embargo, es importante mencionar que estas instituciones no enfrentan los desafíos de ciberseguridad solas, ya que muchas asociaciones de profesionales a través de la región están colaborando para concientizar acerca de las regulaciones, los nuevos retos y los riesgos de estos avances. Esto demuestra como el tema se ha convertido en núcleo importante de las conversaciones estratégicas del sector En términos de los ciberataques más comunes cabe destacar que el ultimo año ha marcado el regreso del Ransomware. Es un estilo de ciberataque que se conoce como secuestro de información, donde el cibercriminal utiliza un código malicioso para acceder al servidor de la institución y luego exige un pago para dar acceso nuevamente a los datos. Si no se emite el pago, los archivos son destruidos o quedan encriptados y no se pueden acceder. Esto implica un gran impacto monetario y operacional para cualquier organización. De hecho, en términos de impacto económico, las pérdidas por crímenes cibernéticos a nivel mundial son de 300 mil millones a 1 trillón de dólares. Otros ataques cada vez más comunes son aquellos dirigidos a los sistemas operativos de los dispositivos móviles, con aplicaciones que se ven muy similares a las oficiales, pero que están configuradas con un código malicioso que abre puertas a credenciales y otros datos. Si los bancos invitan a sus usuarios a usar sus dispositivos móviles para hacer transacciones y estos están infectados, eventualmente podrían poner en riesgo los datos de los clientes.
A estos ataques se suman las APT (amenazas persistentes avanzadas) que se pueden mantener al interior de las redes informáticas de las empresas, accediendo y extrayendo información sin que los controles tradicionales, como los antivirus o los IPS (sistemas de prevención de intrusos) puedan detectarlos y eliminarlos, obligando a las organizaciones de ciberseguridad y de TI a implementar tecnologías anti-APT para hacerles frente. A pesar del trabajo que el sector ha realizado para manejar los más altos estándares de ciberseguridad, un estudio de Fortinet en 2015, reveló que solo el 26% de los encuestados en América Latina confía plenamente en su institución bancaria en cuanto a la protección de su información. El 64% indicó que no haría negocios con compañías que han sufrido fugas de datos o hackeos. Esto demuestra que las expectativas son altas y que esperan que las organizaciones puedan ofrecer servicios con adecuados niveles de seguridad. Pero los consumidores también deben adoptar medidas adecuadas para proteger sus dispositivos y datos personales, como, por ejemplo: • Medidas clásicas ya conocidas. Hay usuarios que todavía no las ponen en práctica, como utilizar una contraseña robusta, no acceder a enlaces sospechosos, no instalar aplicaciones que no sean reconocidas y no compartir datos personales con desconocidos. • Invertir en la protección de sus datos. Los usuarios también deben estar conscientes de la importancia de implementar controles en sus dispositivos y estar dispuestos a invertir por soluciones más robustas y seguras en vez de tratar de ahorrar usando aplicaciones gratis que a veces son usadas como herramientas cibercriminales.
Aunque existen nuevos retos, definitivamente la tecnología ha permitido a las instituciones financieras agilizar sus servicios y ofrecer soluciones que facilitan la vida de sus usuarios. Este nuevo paradigma provee una gran oportunidad a los profesionales de TI para ofrecer más valor a su empresa al suministrar información oportuna y relevante que ayude a tener una visión general y un análisis integral de riesgos. Por Milton Rodríguez, Major Account Manager Finanzas, Fortinet
4 pasos hacia la transformación d
La tecnología disminuye las barreras para crear nuevos negocios, reduce la inversión de capital y permite a las pymes competir a nivel global a la par de compañías más grandes y consolidadas.
digital
Actualmente se vive en un mundo digital, que no sólo transforma a la sociedad, sino también cambia a la economía. La interacción entre humanos y máquinas está cambiando la forma en la que se vive y se trabaja. La mayoría de las actividades practicadas a diario habrán cambiado radicalmente para el 2020, pero ¿estamos preparados para estos cambios? ¿Las empresas están preparadas para hacer negocios de una manera totalmente nueva? De acuerdo con numerosas encuestas y estudios, para el 2020 habrá más de 75 mil millones de dispositivos conectados. Los coches, electrodomésticos, ropa, animales domésticos, empresas, etc., estarán todos conectados a Internet de alguna manera. La mayor parte de la información que se utiliza todos los días se almacenará en la nube y se podrá acceder a ella a través de teléfonos, relojes, computadoras y dispositivos móviles. En este contexto, está claro que la tecnología es fundamental para adaptarse a la transformación digital. Hoy en día, ésta disminuye las barreras para crear nuevos negocios, reduce la inversión de capital y permite que las pequeñas y medianas empresas puedan competir a nivel global a la par de compañías más grandes y consolidadas. Actualmente, las pymes están adoptando nuevas y mejores tecnologías con el objetivo de adaptarse a la transformación digital en la que estamos sumergidos. Es así como estas pequeñas y medianas empresas son capaces de competir con negocios más grandes a medida que crecen y prosperan. A continuación se muestran cuatro pasos que deben tomarse en cuenta para preparar a las organizaciones hacia la transformación digital:
1. Contratar al mejor equipo para el futuro: Un estudio de Oxford Economics y SAP muestra que sólo el 39% de los encuestados usa indicadores cuantificables y la evaluación comparativa como parte de su estrategia de desarrollo de la fuerza laboral. Es importante trabajar de la mano del equipo de recursos humanos y TI para construir un modelo de evaluación para la contratación de los mejores empleados. 2. Encontrar a los mejores socios: La mayoría de los casos de éxito de negocios se deben a que se cuenta con el mejor equipo y la búsqueda de los mejores socios. Es fundamental buscar socios de negocio que se alineen con los objetivos de la empresa y que impulsen su crecimiento. 3. Establecer metas que puedan medirse: La mejor manera de mejorar en algo es creando objetivos medibles para trazar un progreso. De esta manera se podría desarrollar un conocimiento profundo de cada uno de los pasos que lleven a la transformación digital. Es importante integrar periódicamente la información de los procesos internos y externos para estar al tanto del progreso que se tiene.
4. Ver los indicadores económicos: Las aplicaciones de inteligencia de negocios y gestión de rendimiento pueden proporcionar una manera para analizar la información en tiempo real y apoyar las decisiones de negocios con el análisis estadístico, el pronóstico y otros datos corporativos. La conectividad seguirá beneficiando a las economías, sin embargo la hiperconectividad es la nueva tecnología para las empresas de todo el mundo. Asimismo, es fundamental el uso de herramientas que ayuden a reducir el tiempo de respuesta. Esto dará la posibilidad de actuar rápidamente ante los problemas inesperados. Independientemente del enfoque digital adoptado al transformar su empresa, la única constante en su día a día será el cambio. La flexibilidad y el ingenio ayudarán a su organización en el camino al éxito y a ser líder en tendencias. Por Ángel Morfín, Director de Innovación para SAP México