Identidad digital
Y Ciberseguridad
Es posible que en algunas ocasiones la premura de contener ciertos riesgos en seguridad obligue a los expertos en IT a concentrar sus esfuerzos en flancos operativos de la infraestructura olvidando a los usuarios y su incidencia en la ciberseguridad, y en otras oportunidades, dadas las circunstancias de transformación digital acelerada que demanda la coyuntura actual, se concentran en iniciativas de escalamiento de seguridad en la nube debido a preocupaciones sobre esta sin contexto previo e indicios, descuidando a veces la red, las aplicaciones, las bases de datos locales y los accesos.
La atención sobre lo inmediato puede dar lugar a la pérdida de oportunidades de escalamiento crítico necesario, prevención y a un gasto inapropiado desde su gestión.
Sobre este sesgo a solucionar se puede traer a colación un dato interesante: las vulnerabilidades de día cero representaron aproximadamente el 0,4% de los incidentes de la última década, pero incluso, la cantidad gastada en tratar de detectarlos está desequilibrada con los riesgos reales que plantean aún, insólito y sorprendente.
Los expertos en Seguridad de la organización (CISO, por sus siglas en inglés), deben encontrar un equilibrio entre lo que se necesita en un programa de seguridad y los riesgos que deben asumir para que el negocio avance, y están esperando desde las áreas no especializadas en IT de la organización. Sin este equilibrio, las organizaciones pierden oportunidades y el CISO puede verse como una costosa distracción en la mente de los líderes empresariales. Claro, eso puede ser más fácil de decir que de hacer.
La transformación digital puede estar avanzando a una velocidad cada vez mayor, por lo que abordajes tradicionales de los riesgos de seguridad en el andamiaje IT y dejar al margen los comportamientos de los usuarios desde la forma en que se administra y gestiona su identidad a menudo no ayudan. Cambiar el punto de vista conceptual y/ o emocional con el que se ve una situación de riesgo, hacia un nuevo marco de referencia que se ajuste a los “hechos” de la realidad que hoy son tendencia y definen las necesidades de ciberseguridad, es nuestra invitación principal desde INFOMEDIA SERVICE.
Como contexto podemos aportar que los aspectos críticos de ataques a la identidad digital, luego de la coyuntura sanitaria y la digitalización récord de 2020, son un escenario en el que los CISO y sus CEO deben moverse con
En este sentido, y evidenciando la tendencia se pronostica que el mercado global de biometría móvil crecerá a un impresionante 31,14%, agregando $28,45 mil millones por año en crecimiento incremental entre 2018 y 2023. Las previsiones de crecimiento del último conjunto de informes de analistas de mercado que indican una adopción generalizada de la
En otro campo, el mercado de la tecnología de huellas dactilares en la banca y las finanzas podría crecer a un ritmo del 16,2%, según el nuevo informe “Biometría para la banca y los servicios financieros” de Global Industry Analysts.
El informe prevé un mercado total de más de $7.000 millones de dólares para 2025, con un crecimiento anual del 15,5% durante el periodo previsto. Por su parte, el informe “Global Mobile Biometrics Market 2019-2023” sugiere que los sensores 3D y los sensores de huellas dactilares integrados en la pantalla son un motor de
En los siguientes capítulos, encontrará conceptos e información clave de ciberseguridad e identidad digital que le ayudarán a entender el tema. Un asesor de Infomedia puede ayudarle a configurar la solución que su organización necesita
Tabla de contenidos
Amenazas de ciberseguridad
Una analista global, BioCatch, dice entre las predicciones que ha compartido para el periodo 2020-2022 que los datos biométricos de selfies generarán dinero en la web oscura, lo que es una llamada de atención para usuarios y empresas que ahora están más interconectados que nunca, para que
Es un hecho que cada vez más sitios web y aplicaciones están recurriendo a la verificación basada en selfies y más flujos de apertura de cuentas en línea están pasando de controles obsoletos, como
Los cambios demográficos impulsarán la adopción de la IA en la industria financiera, predicen expertos internacionales. Y destacan que la experiencia del cliente y la detección de fraudes irán de la mano en la forma en que la industria financiera fideliza y da soporte a sus clientes, ya que según estudios, los Millennials tienen 2.5 veces más probabilidades que los Baby Boomers y 1.5 veces más probabilidades que los Gen X, de cambiar de banco ante amenazas de seguridad. El
Ahora, es muy claro que la
Entonces, las organizaciones deben ser conscientes de que cada vez que eso sucede, los datos biométricos deben estar encriptados y los activos detrás de la autenticación son seguros, por lo que es importante siempre contar con la asesoría y acompañamiento de expertos como INFOMEDIA SERVICE para que esto sea así en los sistemas que implementan.
Detectar, responder y reportar
Aunque la probabilidad de que los
Para esto pensemos en un personaje hipotético: Miguel, CISO de un gran sistema hospitalario. Trabaja en una industria altamente regulada. Es responsable de los datos de cientos de miles de pacientes, y la protección de esos datos y el cumplimiento de las regulaciones es su principal prioridad.
Una mañana, Miguel descubre que su hospital fue blanco de un ataque de phishing dirigido. Los sistemas están caídos y el cuidado de los pacientes está paralizado. Está aturdido. ¿Cómo, se pregunta, podrían él y su equipo, todos profesionales de seguridad experimentados, ser engañados por el método más común de ciberataque? ¿Y cómo podrían dejar que eso paralizara su organización?
A la mañana siguiente, varios miembros del equipo de junta y administración del hospital hicieron estas preguntas. Miguel explica que su equipo de seguridad de la información estaba corto de personal y bajo presión para introducir varias nuevas tecnologías con plazos comprimidos, sin embargo, propuso un marco de trabajo a corto y mediano plazo que había consultado con amigos expertos en ciberseguridad, quienes le recomendaron esta triada de acciones que requiere de alinear a toda la organización:
DETECTAR
(PREVENIR PRIMERO)
En la mayoría de los casos, se puede
Evaluar los riesgos actuales, ojalá apoyarse en un tercero que haga su propia verificación para contrastar hallazgos.
RESPONDER
Esta planificación no es solo para empresas expansivas y complejas, de grandes operaciones y oficinas.
Enfrentar y sortear un incidente de manera segura y exitosa, requiere de
Es indispensable
Hay que
REPORTAR
Hay muchos
Sin embargo, sin importar lo que la organización considere, cualquier ataque o incidente que implique o se relacione con datos personales,
La mayoría de las legislaciones establecen que dentro de las
Por esto es tan importante la Prevención-Detección y la Respuesta, y en estos pilares de ciberseguridad, con redes y plataformas cada vez más interactivas y extendidas, la
¿Qué son los datos biométricos?
La biometría es el proceso mediante el cual los rasgos físicos únicos y otros rasgos de una persona son detectados y registrados por un dispositivo o sistema electrónico como un medio para confirmar la identidad. El término “biometría” se refiere al análisis estadístico de observaciones y fenómenos biológicos.
Dado que los identificadores biométricos son exclusivos de las personas, son más confiables para verificar la identidad que los métodos basados en tokens y conocimientos, como tarjetas de identidad y contraseñas, de acuerdo al concepto de expertos en ciberseguridad. Los identificadores biométricos, o modalidades, a menudo se clasifican como “fisiológicos” o “conductuales”.
Los identificadores biométricos fisiológicos están relacionados con partes físicas de una persona e incluyen: reconocimiento de huellas dactilares, geometría de la mano, olor/ olor, escaneos de iris, ADN, huella de la palma y reconocimiento facial.
Las tecnologías biométricas son sistemas o aplicaciones que están diseñados para emplear datos biométricos derivados de identificadores o modalidades biométricas. Un sistema biométrico es un proceso automatizado que:
Las tecnologías biométricas también pueden clasificarse según el tipo de biometría que se utiliza en el sistema. Las tecnologías se utilizan típicamente para identificar a las personas y sus características en una base de datos, como antecedentes penales, o para autenticar la identidad de las personas para otorgarles acceso a recursos, dispositivos o instalaciones informáticas.
Tecnología de escaneo de retina
Desarrollado en la década de 1980, el escaneo de retina es una de las
Los escáneres de retina mapean los patrones únicos de la retina de una persona. Los vasos sanguíneos dentro de la retina absorben la luz más fácilmente que el tejido circundante y se identifican fácilmente con la iluminación adecuada.
Una vez que el dispositivo de escaneo captura una imagen de la retina, un
Los dispositivos de escaneo de retina se usan principalmente para aplicaciones de acceso físico y generalmente se usan en entornos que
¿Qué hacer en caso de un ciberataque?
A medida que los miembros de la junta se dan cuenta de lo crítico que es la seguridad y la gestión de riesgos, están haciendo a los líderes preguntas más complejas y menos matizadas. Están cada vez más informados y más preparados para desafiar la eficacia de los programas de seguridad de sus empresas.
En el capítulo 2 abordamos el caso de Miguel, CISO de un gran sistema hospitalario. Trabaja en una industria altamente regulada. Es responsable de los datos de cientos de miles de pacientes, y la protección de esos datos y el cumplimiento de las regulaciones es su principal prioridad.
Fue el encargado de responder ante la junta y la gerencia por un ataque que paralizó las operaciones del hospital. Miguel trabajó con expertos y diseñó una estrategia de ciberseguridad que se centró en una triada de acciones: Detectar-Prevenir, Responder y Reportar, que tienen como uno de sus ejes críticos la identidad digital frente a incidentes de ciberseguridad y atacantes.
Al presentar su estrategia, Miguel fue abordado con varios interrogantes por el cuadro directivo de su organización, de las que extraemos 5 preguntas que a cualquier CISO seguro le harán en un escenario de ataque y reacción en ciberseguridad.
Ante el ataque actuar,
¿Está preparado para las preguntas de seguridad que plantee su jefe?
A medida que los miembros de la junta se dan cuenta de lo crítico que es la seguridad y la gestión de riesgos, están haciendo a los líderes preguntas más complejas y menos matizadas. Están cada vez más informados y más preparados para desafiar la eficacia de los programas de seguridad de sus empresas.
Supongamos que usted trabaja en un sector altamente regulado como lo es el de la salud . Es responsable de los datos de cientos de miles de pacientes, y la protección de esos datos y el cumplimiento de las regulaciones es su principal prioridad.
Es el encargado de responder ante la junta y la gerencia por un ataque que paralizó las operaciones del hospital. Usted trabajó con expertos y diseñó una estrategia de ciberseguridad que se centró en una triada de acciones: Detectar-Prevenir, Responder y Reportar, que tienen como uno de sus ejes críticos la identidad digital frente a incidentes de ciberseguridad y atacantes.
Al presentar su estrategia, el CEO le aborda con varios interrogantes planteados por el cuadro directivo de su organización, de las que extraemos 5 preguntas probables que se deben responder con certeza:
1. ¿Estamos 100% seguros?
¿Está seguro el sistema?
Por qué se pregunta: Preguntas como esta son hechas a menudo por miembros de la junta directiva que no entienden realmente la seguridad y el impacto en el negocio. Es imposible estar 100% seguro o protegido. El papel del CISO es identificar las áreas de mayor riesgo y asignar recursos finitos para manejarlas en base al apetito del negocio.
Cómo responder: Puede ser algo como: “Considerando la naturaleza siempre cambiante del panorama de amenazas, es imposible eliminar todas las fuentes de información de riesgo. Mi papel es implementar controles para manejar el riesgo. A medida que nuestro negocio crece, tenemos que reevaluar continuamente cuánto riesgo es apropiado. Nuestro objetivo es construir un programa sostenible que equilibre la necesidad de protegerse contra la necesidad de dirigir nuestro negocio”.
2. ¿Qué tan malo es el escenario que enfrentamos?
¿Qué hay de lo que pasó en la compañía X?
¿Cómo nos comparan con otras compañías?
Por qué se pregunta: Los miembros de la junta se encontrarán con informes de amenazas, artículos, blogs y presión regulatoria para entender los riesgos. Siempre preguntarán sobre lo que hacen los demás, especialmente las organizaciones de pares. Quieren saber cómo es el “clima” que vive la organización y la percepción del público.
Cómo responder: Lo primero es que hay que evitar adivinar la causa de un problema de seguridad en otra empresa: “No quiero especular sobre el incidente en la empresa XYZ hasta que haya más información disponible, pero estaré encantado de hacer un seguimiento con ustedes cuando tenga más datos concretos”. Considere la posibilidad de discutir una serie de respuestas de seguridad más amplias, como la identificación de una debilidad similar en el sector y cómo se está arreglando o la actualización de los planes de continuidad de la empresa con base en recomendaciones generales.
3. ¿Sabemos cuáles son nuestros riesgos?
¿Qué debe quitarnos el sueño?
Por qué se pregunta: La junta sabe que aceptar el riesgo es una elección (si no lo hacen, es un desafío que el CISO debe resolver). Quieren saber que los riesgos de la compañía están siendo manejados. Los CISO deben estar preparados para explicar la tolerancia al riesgo de la organización para defender las decisiones de gestión de riesgos y la no existencia del 100% seguros.
Cómo responder: Explique el impacto empresarial de las decisiones de gestión de riesgos y asegúrese de que sus puntos de argumentación están respaldados por pruebas. Cualquier riesgo que esté fuera del nivel de tolerancia requiere un remedio para ponerlo dentro de la tolerancia en términos de impacto en el negocio, la reputación o lo legal. Esto no requiere necesariamente cambios drásticos en períodos cortos de tiempo, hay que tener cuidado de que esto quede claro para no afectar la percepción de costos. La junta buscará garantías de que los riesgos materiales se están gestionando adecuadamente, y de que los enfoques sutiles y a largo plazo pueden ser apropiados en algunos casos, por eso es importante tener siempre un plan listo con implementación en curso antes de dar solo respuestas.
4. ¿Estamos asignando los recursos apropiadamente?
¿Estamos gastando lo suficiente?
¿Por qué estamos gastando tanto?
Por qué se pregunta: La junta querrá asegurarse de que los líderes de seguridad y gestión de riesgos no se queden quietos. Los miembros de la junta querrán saber acerca de las métricas y el retorno de la inversión.
Cómo responder: Utilice un enfoque de cuadro de mando integral en el que la capa superior exprese las aspiraciones empresariales y el rendimiento de la organización frente a esas aspiraciones se ilustre mediante un sencillo mecanismo de semáforo. En la medida de lo posible, explique las aspiraciones en términos de rendimiento empresarial, no de tecnología. El rendimiento se sustenta en una serie de medidas de seguridad que se evalúan utilizando un conjunto de criterios objetivos. Hay que hablar de impactos y costos tangibles.
5. ¿Cómo sucedió esto? Pensamos que los responsables
tenían esto bajo control. ¿Qué salió mal?
Por qué se pregunta: Se pregunta cuando un incidente o evento ha ocurrido y la junta ya lo sabe o el CISO les informa de ello.
Cómo responder: Hay que compartir lo que sabe y lo que está haciendo para averiguar más. Sobre todo lo que ya se está implementando. Sin duda, es indispensable reconocer el incidente, proporcionar detalles sobre el impacto comercial, describir los puntos débiles o las lagunas que deben resolverse y proporcionar un plan de mitigación y una de corrección. La responsabilidad de la supervisión de la seguridad y el riesgo sigue recayendo en el líder de la seguridad, pero la rendición de cuentas del negocio siempre tiene que definirse a nivel de la junta/ejecutivo, así que no todo es responsabilidad de una área.
Es altamente recomendable, que en un escenario de estos se llegue con acciones de implementación rápida y acciones de largo plazo. Entre las primeras, el control de acceso y uso de redes y plataformas críticas para un negocio o la operación de una organización es primordial, y para esto la adopción de distintas tecnologías de seguridad de la identidad digital es un buen principio.