Previsiones de Seguridad Cibernética para El 2018 - aon.com€¦ · ver más quejas provistas con...

Previsiones de Seguridad Cibernética para El 2018El Creciente Impacto de los Ataques Cibernéticos en Organizaciones

Publicado en: enero de 2018

Aon’s Cyber Solutions

2 Previsiones de seguridad cibernética 2018 Cyber Solutions 1

Prefacio

Preparación de los profesionales de seguridad y líderes de negocios para cambiar su pensamiento en como lidiar con la ciber-tecnología como un riesgo empresarial en 2018.

Desde que hicimos nuestras previsiones para el 2017, vimos un aumento dramático en la sofisticación, escala e impacto de los ataques cibernéticos. Conforme las empresas buscan enriquecer las experiencias de sus clientes a través de una gama de parámetros, desde dispositivos móviles hasta automóviles, el tipo de ataques ha aumentado dramáticamente. Junto a este escenario de amenaza constantemente creciente surge un aumento proporcional en el impacto que los ataques cibernéticos tienen en las empresas y en sus clientes. Este informe muestra nuestra experiencia trabajando con consejos y los ejecutivos, así como con profesionales de seguridad y el riesgo para planificar, mitigar y administrar el impacto creciente de los ataques cibernéticos por toda la empresa.

Introducción

Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Scorecard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Previsiones

Previsión 1: Despertar a la responsabilidad cibernética . . . . . . . . . . . . . . 6

Previsión 2: Gestión de la cibernética como un riesgo empresarial . . . . . 8

Previsión 3: Expansión del objetivo regulatorio . . . . . . . . . . . . . . . . . . . 10

Previsión 4: Piratas atacan empresas que adoptan la IoT . . . . . . . . . . . . 12

Previsión 5: Empresas implementan la autenticación multifactor . . . . . 14

Previsión 6: Popularización de los programas de identificación de bugs 16

Previsión 7: La atención en los ataques de ransomware . . . . . . . . . . . . . 18

Previsión 8: Ataques internos no detectables . . . . . . . . . . . . . . . . . . . . . 20

Contactos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

Índice

En nuestras previsiones para el 2018, examinamos cómo estas y otras dinámicas harán que las empresas cambien sus enfoques con relación a la gestión del riesgo cibernético. La creciente confianza de las empresas en tecnología, el enfoque del regulador en proteger los datos del consumidor y el valor de los activos no físicos están causando una convergencia de exposiciones cibernéticas que exigirán que la seguridad sea integrada tanto en la cultura de negocios como en las estructuras de gestión de riesgo.

Las presiones regulatorias en todo el mundo continuaran intensificándose en 2018 con la renovada aplicación de la conformidad y de las necesidades de certificado de auditoría, a medida en que los reguladores de vanguardia persiguen sus misiones para protegerse contra el impacto de los ataques cibernéticos . La creciente complejidad reguladora provocará pedidos para armonizar este escenario .

Mientras las reclamaciones de responsabilidad de antiguos consejeros y directores (D&Os) con respecto a incidentes cibernéticos fueron ampliamente dispensadas, esperamos ver más quejas provistas con éxito contra los D&Os, manteniéndolos personalmente responsables de lidiar con los incidentes cibernéticos . En nuestras predicciones, examinamos cómo los eventos de 2017 cambiaron este escenario . Con los eventos cibernéticos ahora clasificados entre los tres mayores gatillos para acciones derivativas de los D&Os6, esperamos una intensificación de estas quejas en 2018 . La preocupación aumentada entre los ejecutivos sobre la responsabilidad y el impacto financiero y operativo del riesgo cibernético orientarán los cambios en el mercado de seguros . Conforme los negocios demanden una cobertura cibernética más amplia, esta cobertura alcanzará más allá de las provisiones en otras políticas, como políticas de propiedad, errores y omisiones, y responsabilidad general .

También anticipamos que el 2018 será un año de mayor responsabilización con respecto a los ataques cibernéticos . Organizaciones que enfrentan riesgos de amenazas internas,

seguridad de IoT, ataques de ransomware y otros, tendrán que demostrar que siguieron las mejores prácticas para proteger a consumidores y funcionarios . Esto llevará a un enfoque mayor en medidas proactivas, como una mejor higiene de datos, programas de recompensa para bugs y con la autenticación multi-factor (MFA) pasando a ser una práctica estándar para un conjunto más amplio y diverso de empresas .

El enfoque actual orientado por silo para la gestión de riesgo cibernético comenzará a desaparecer en 2018, sustituido por un enfoque ejecutivo dirigido y coordinado, conforme las empresas líderes comienzan a percibir el impacto, holísticamente, del riesgo cibernético por todas las funciones de la empresa .

Esperamos que las previsiones de este año sirvan como un buen inicio para cambiar el pensamiento y tomar acciones para mitigar y administrar los riesgos cibernéticos.

Jason J. Hogg Director Ejecutivo, Aon Cyber Solutions

Nuestras previsiones de 2017: Un año de ataques cibernéticos de larga escala con impacto significativo para organizaciones en diversos sectores

Nuestras previsiones para el 2018: Un cambio para lidiar con la cibernética como un riesgo empresarial

Los ataques cibernéticos rápidos, públicos y amplios en 2017 mostraron cómo el riesgo cibernético no puede ser administrado de forma eficaz solamente como un problema de la tecnología de la infor-mación (TI) El ataque del ransomware WannaCry afectó a más de 200 mil computadoras en 150 países1, desconectando empresas de Internet, afectando ventas y operaciones. Indiscutiblemente, la falla de datos más significativa en la historia de los EE.UU. afectó a Equifax, exponiendo datos confidenciales de 143 millones de personas,2 lo que sometió a la empresa a acciones judiciales resultando en una pérdida dramática de su valor accionario y despidos de ejecutivos.3

Además de esto, conforme previmos, criminales invadieron centenas de miles de dispositivos de la Internet de las Cosas (IoT) por todo el mundo para atacar a terceros, y también mejoraron su ingeniería social y sus tácticas de spear-phishing .

Además de las interrupciones de larga escala al comercio mundial,4 el año 2017 fue testigo de la influencia de los ataques cibernéticos sobre los políticos y la política . Hackers rusos intentaron influenciar el resultado de las elecciones en todo el mundo, y grupos de hackers chinos, conocidos por atacar empresas, las agencias aeroespaciales y de defensa de los EE .UU ., llamaron la atención para la infraestructura crítica en Asia .5

Ataques a la integridad de datos, en los cuales los criminales buscan diseminar la duda sobre la exactitud y confiabilidad de las informaciones, se convirtieron en un gran problema en las esferas públicas y privadas conforme golpistas (bad

actors) atacan con falsos relatos de media y otras campañas de desinformación . Las principales empresas de tecnología y redes sociales se convirtieron en blanco como facilitadoras que desconocían o niegan estos ataques .

Conforme anticipamos, la presión regulatoria para instituciones de servicios financieros para conducir pruebas de equipos de emergencias aumentó en los principales mercados, incluyendo Hong Kong, Unión Europea (UE) y otros . En nuestra propia experiencia trabajando con clientes, mientras algunas empresas comenzaron a tomar medidas proactivas para probar y remediar la exposición, nosotros continuamos viendo una deficiencia significativa con relación a la conducción de la debida diligencia con respecto a la seguridad cibernética, especialmente en operaciones de fusiones y adquisiciones

“El actual abordaje de gestión de riesgo cibernético, basado en un plano local, deberá decaer en 2018, siendo gradualmente sustituido por un abordaje ejecutivo y coordinado en la medida en que las empresas líderes percibieren el impacto del riesgo cibernético de forma holística en todas las actividades corporativas”


2017 Scorecard

1. Uso de dispositivos IoT como botnets para ataques a infraestructuras

4. Evolución de las tácticas de spear phishing e ingeniería social, se vuelven más direccionadas y más avanzadas

2. Impacto político global causado por actos de espionaje cibernético y guerra de informaciones.

5. Presiones normativas transformaron a la estrategia de “equipo rojo” como el modelo de excelencia global, reconociendo el desarrollo de talentos en seguridad cibernética como uno de los principales desafíos

6. Líderes de la Industria adoptan diligencia en seguridad cibernética pre-M&A

3. Aumento de los ataques contra la integridad de datos

Uso de dispositivos IoT como botnets, causando mayor preocupación sobre un posible ataque de DDoS en la infraestructura crítica. Investigadores de seguridad identificaron el crecimiento rápido de nuevos botnets que invadieron a millones de dispositivos, entre ellos, el “Hajime” y el “IoT_reaper” . La operación “Hidden Cobra”, de Corea del Norte, tuvo como objetivo utilizar redes de dispositivos para atacar a la infraestructura de los EE . UU .

Los piratas emplean nuevas tácticas de spear phishing contra organizaciones en varios sectores, incluyendo grandes empresas de tecnología y agencias gubernamentales. Hackers engañaron a empleados de empresas multinacionales de energía para ingresar a documentos y nombres de usuarios y contraseñas, así como también a circuitos electrónicos y redes de computadoras . También abordaron a estudiantes del Reino Unido con un e-mail fraudulento para robarles informaciones personales y bancarias .

Hackers atacan procesos electorales e infraestructuras críticas, además de realizar espionaje cibernético, impactando políticas internas y relaciones internacionales. La investigación de los EE . UU . sobre la interferencia rusa en la elección de 2016 continúa . Qatar alegó publicaciones falsas por parte de Abu Dabi en su sitio estatal de noticias, por motivaciones políticas . Los EE . UU . iniciaron un estudio formal sobre el espionaje cibernético del gobierno chino .

Reguladores globales en centros financieros de todo el mundo adoptaron reglamentos para pruebas del equipo rojo, causando escasez de talentos de seguridad. Las infraestructuras del mercado financiero de la Unión Europea serán probadas por medio de pruebas de equipo rojo de la Unión Europea . La Autoridad Monetaria de Hong Kong implementó la Iniciativa de Fortificación de la Seguridad Cibernética (CFI), incluyendo el programa de pruebas de simulación de ataque cibernético de su Departamento de Inteligencia .

El proceso de diligencia de seguridad cibernética pre-M&A está reconocido como la mejor práctica en todas las industrias, pero adoptado solo por las principales empresas. American Bar Association y otras empresas publicaron recomendaciones para ayudar a las comunidades jurídicas y empresariales a comprender los principales requisitos de diligencia en seguridad cibernética, que deberían formar parte de todas las transacciones de M&A .

Continúa la propagación de informaciones falsas; aumento de ataques a la integridad de datos. La divulgación de informaciones imprecisas y no confirmadas sobre catástrofes naturales impactó el valor de mercado de las empresas e influyó sobre la opinión pública . Piratas cibernéticos armaron plataformas tecnológicas y de redes, lo que llevó a las empresas de tecnología a tratar, de forma activa, el problema de posteos, bots y anuncios manipulados .

FalsoVerdadero Mixto


24%En 2017, ejecutivos

de alto nivel pidieron desvinculaciones después de

violaciones masivas de datos.

87%de los profesionales de gestión

de riesgo consideran la responsabilidad cibernética

como uno de los diez principales riesgos empresariales

1. Las empresas deben adquirir pólizas de seguro cibernéticas independientes conforme los consejos y los ejecutivos reconocen la responsabilidad cibernética.Conforme los consejos y los ejecutivos son testigos del impacto material de ataques cibernéticos, incluyendo reducción de ganancias, interrupción opera-tiva y reclamos contra consejeros y directores, las empresas contratarán pólizas de seguros cibernéticas personalizadas para su empresa. Al mismo tiempo, las aseguradoras limitarán su cobertura de pérdidas relacionadas a la cibernética en propiedad tradicional, casualidad y otras pólizas relacionadas a negocios.

En 2017, los negocios vivenciaron un impacto financiero y material significativo causado por los ataques cibernéticos con, por lo menos, seis ataques exigiendo que fuesen divulgados de acuerdo con las directrices de la Comisión de Valores Mobiliarios y Cambio de los EE .UU .7 Los ejecutivos renunciaron y las capitalizaciones del mercado cayeron después de grandes robos de datos de consumidores . Las empresas enfrentaron acciones judiciales e investigaciones regulatorias sobre el tratamiento dado a las violaciones,8 ahora, con los eventos cibernéticos clasificados entre los tres mayores desencadenadores para acciones derivativas de los D&Os .9 Los ataques del ransomware WannaCry y del malware NotPetya hicieron que diversas empresas e industrias relatasen una disminución de los ingresos y beneficios debidos a problemas operativos .10 Estas tendencias enfatizaron la responsabilidad de los consejos y de los ejecutivos en garantizar que los controles de seguridad cibernética eficaces estén implantados .

Conclusión: En respuesta al impacto creciente de los riesgos cibernéticos en los negocios en diversos sectores y regiones y al aumento de la preocupación de ejecutivos con relación a la responsabilidad, la industria de seguros desarrollará nuevas pólizas cibernéticas mientras restringirá “silenciosamente” la cobertura cibernética de otras pólizas. Además de esto, tanto aseguradoras, como reaseguradoras buscarán un mayor escrutinio y una mejor adecuación para entender mejor el potencial correlacionado y los peligros cibernéticos sistémicos que pueden agregar pérdidas catastróficas en diversas industrias y regiones.

CEO

C-SuitesManagement

Officers

CEO

En 2017, ejecutivos de alto nivel pidieron

desvinculaciones después de violaciones

masivas de datos.

En 2018, más empresas divulgarán graves pérdidas cibernéticas en informes financieros o en análisis, una vez que las empresas enfrentan un mayor escrutinio sobre el tratamiento de los incidentes cibernéticos . Conforme los ataques cibernéticos disminuyen las ganancias, interrumpen las operaciones, exponen datos y afectan los precios de las acciones, los reguladores, accionistas y público estarán más satisfechos y exigirán que un director ejecutivo (CEO) o un miembro del consejo sea responsabilizado por un compromiso mayor con la empresa . Acciones judiciales y reivindicando la responsabilidad tendrán éxito contra los D&Os, que serán considerados como responsables de fallar en mantener su responsabilidad fiduciaria de proteger a los accionistas y consumidores de los efectos de una violación .

El mercado de seguro cibernético responderá a las preocupaciones de los consejos y de los ejecutivos, por medio de la oferta de pólizas que reflejen el creciente impacto de los ataques . Una investigación de 2017 del Instituto Ponemon descubrió que solo el 24% de los profesionales de gestión de riesgo afirmaron que sus empresas poseen seguridad cibernética, a pesar del 87% que ven la responsabilidad cibernética como uno de los diez principales riesgos al negocio .11 Las empresas citaron la cobertura inadecuada entre las principales razones para no adquirir un seguro de seguridad cibernética, así como por tener pólizas de seguro de propiedad y sectores elementales, que siempre suministran elementos limitados de la protección de transferencia de riesgo de exposiciones cibernéticas como un componente “silencioso” .

Esto cambiará en 2018 conforme las empresas demanden una cobertura completa para el riesgo cibernético, y los aseguradores explícitamente excluyan la cobertura de pérdidas cibernéticas en otras pólizas de seguros de negocios . Como resultado, los aseguradores crearán pólizas de seguro cibernético empresariales que cubrirán una amplia gama de exposiciones cibernéticas . La adopción se esparcirá más allá de los compradores tradicionales de seguridad cibernética, como los sectores minoristas, financiero y servicios de salud, y llegará a otros negocios vulnerables a la interrupción del negocio cibernético, especialmente porque veremos importantes incidentes cibernéticos causados por fallas de sistema e interrupciones de energía impactando aeropuertos, compañías aéreas, redes eléctricas, fábricas, empresas de petróleo y gas, empresas de servicios públicos y otros . Los ataques cibernéticos a escala mundial como WannaCry impulsarán una mayor adopción, generalmente entre los primeros compradores, en América Latina, Europa y otras regiones fuera de los EE . UU ., donde la mayor parte de la cobertura es tradicionalmente comprada .12

2 0 1 8 P R E D I C T I O N S


2. A medida que los mundos físico y cibernético chocan, los principales directores de riesgos toman las riendas para administrar el área cibernética como un riesgo de la empresa.

Había varios sistemas locales no integrados en la gestión de riesgo de seguridad cibernética, y los piratas explotaban esas fallas.

Una vez que los ataques cibernéticos sofisticados generan consecuencias en el mundo real que impactan cada vez más las operaciones de negocios, los ejecu-tivos serán sorprendidos por la naturaleza empresarial del riesgo cibernético. Los Directores de Riesgo (CROs) tomarán las riendas, trabajando con los equi-pos de seguridad de la información, tesoreros, directores financieros (CFOs) y la asesoría jurídica general (GCs) para mejorar el modelo de riesgo y crear una imagen más holística de la exposición del negocio.

En 2017, los ataques cibernéticos en larga escala alertaron a las empresas sobre los impactos operativos de las vulnerabilidades técnicas, que van más allá de las violaciones de datos . Las empresas fabricantes fueron cerradas, hospitales extorsionados por golpistas (bad actors) pidieron rescate por sistemas y pusieron las vidas de pacientes en peligro; y los criminales cibernéticos lograron causar un apagón en la energía eléctrica de los EE .UU .13 Estos y otros ataques ocurrieron a pesar del hecho de que el gasto con seguridad haya aumentado el 7% ($86,4 mil millones) en 2017 .14 A pesar de que el impacto del riesgo cibernético se extiende a los departamentos de conformidad, técnico, financiero, recursos humanos, jurídico y otros, las organizaciones continuaron administrándolo como si fuese solamente un problema de TI . Los silos tenían abundancia en gestión de riesgo de seguridad cibernética y los criminales explotaban las fallas .

En 2018, los ejecutivos de las industrias, además de los minoristas, servicios financieros y del sector de salud reaccionarán al impacto que las vulnerabilidades cibernéticas explotadas pueden tener en la habilidad operativa de sus negocios, implantando la seguridad cibernética en todas las áreas de riesgo del negocio y aislando la administración de riesgo organizativa . Por ejemplo, los sistemas de red conectados, infraestructura, control de supervisión y de adquisición de datos (SCADA) y sistemas de control industrial expandieron las exposiciones cibernéticas más allá de los riesgos de informaciones de identificación personal (PII) en prácticamente todas las industrias . Los ejecutivos de organizaciones más antiguas le darán poder al Director de Riesgo para entrar en el enfoque de la seguridad cibernética, alineándolos de cerca con los equipos de seguridad de la información . En 2018, los Directores de Riesgos y los Directores de Seguridad de la Información (CISOs) se convertirán en colaboradores de riesgo para entender mejor las exposiciones de riesgo cibernético de sus empresas y potenciales consecuencias operativas en el “mundo real” . Por ejemplo, las empresas de logística globales reunirán equipos multidisciplinarios para anticipar vulnerabilidades

cibernéticas en aplicaciones en los celulares de los chóferes; empresas de servicios de marketing globales percibirán cómo las vulnerabilidades cibernéticas afectan la gestión de crisis y la planificación de la continuidad de los negocios; empresas de transporte abordarán cómo el área cibernética impacta en las operaciones, como petroleros y mercancías siendo remotamente desviados . Las empresas de transporte continuarán evaluando los potenciales beneficios de contratos inteligentes y bloqueando las principales tecnologías con relación al rastreo de mercancías y al rastreo de inventario y verificación de manifiesto .

Conforme el impacto del riesgo digital y las vulnerabilidades técnicas en los resultados de las empresas crecen a través de ventas perdidas, tiempo de inactividad del negocio o preocupaciones con la seguridad del producto, la visibilidad de los Directores de Seguridad de la Información en la postura de la seguridad cibernética de la empresa se convertirá en un componente importante en la forma cómo los Directores de Riesgo trabajan con los Directores Financieros y la Asesoría Jurídica General para evaluar el riesgo y asignar recursos para soluciones de seguros . En 2018, se espera que los Directores de Riesgo articulen cómo afectarán las operaciones digitales de los negocios a la exposición financiera . Usando el conocimiento especializado de los Directores de Seguridad de la Información sobre la postura de seguridad de la información de una empresa, en conjunto con herramientas de modelado sofisticadas aprovechando grandes datos, los Directores de Riesgo mejorarán la capacidad de una organización de modelar cómo el riesgo cibernético puede propagarse en toda la empresa . Esto también ofrecerá a los ejecutivos y a los consejos una visión más amplia del impacto del riesgo en los negocios como un todo .

Conclusión: En 2018, el papel del Director de Riesgo será redefinido, conforme trabajan más de cerca con los Directores de Seguridad de la Información para ayudar al liderazgo de la empresa a entender el impacto holístico del riesgo cibernético en el negocio. Esta perspectiva única hará del Director de Riesgo uno de los activos más valiosos del Director Ejecutivo, una vez que suministran un histórico del riesgo más significativo para los consejos y los liderazgos ejecutivos, permitiendo una inversión más eficaz en medidas de seguridad cibernética y seguro cibernético.

$86.4Bise gastaron en seguridad en

2017, un 7 % más que el año anterior

Consultor/Director Jurídico

Seguridad

IT

Consultor/Director Jurídico

ConformidadSeguridadComunicación

ITHR

OperacionesFinanciero

Financiero

Risk Manager


3. Enfoque regulador se amplía y se hace más complejo, provocando harmonización. La UE mantiene una empresa global responsable de violación GDPR; grandes agregadores de datos bajo escrutinio en los EE.UU. En 2018, los reguladores en los niveles internacional, nacional y local harán cumplir con más rigor los reglamentos de seguridad cibernética existentes y aumentarán las presiones por conformidad al intro-ducir nuevos reglamentos. Las empresas, sobrecargadas por diversas reglas y reglamentos, montarán una campaña para armonizar el escenario regulador complejo de la seguridad cibernética.

En 2017, nuevas reglamentaciones cibernéticas fueron introducidas para abordar el amplio impacto del riesgo cibernético en las actividades de negocios, sectores y jurisdicciones . El enfoque de la UE en establecer un estándar universal para la privacidad de datos del consumidor, hoy en día, tiene significancia mundial con el Reglamento Global de Protección de Datos (GDPR), que rige todas las empresas que recolectan datos de ciudadanos de la UE . Gobiernos de la región Asia-Pacífico, como Australia, Japón y Corea del Sur están ampliamente alineados con el enfoque de la UE, aunque con aplicabilidad y penalidades más moderadas . En los EE .UU ., las reglamentaciones de seguridad cibernética del Departamento de Servicios Financieros de Nueva York (NYDFS) tuvieron grandes implicaciones para la industria de servicios financieros de todo el mundo .

En 2018, esperamos que la Comisión Europea responsabilice a las principales empresas de los EE .UU . y mundiales por la violación al GDPR, por medio de una o más acciones grandes de ejecutabilidad demostrando su seriedad al reforzar la reglamentación internacional, incluyendo multas – un máximo de 4% de los ingresos anuales globales o €20 millones (US$23,8 millones)15 – que son valores no

asegurables ante las leyes de la mayoría de los países . Mientras históricamente hay menos litigios fuera de los EE .UU ., los negocios del consumidor, especialmente, también pueden enfrentar el prospecto de acciones judiciales relacionadas al GDPR y otros impactos como daños a la reputación .

En los EE .UU ., cómo impactará el resultado de la Comisión de Comercio Federal (FTC) con relación al litigio de la LabMD si el alcance de la autoridad de la Comisión se extiende hasta la aplicabilidad de los estándares de seguridad cibernética16, en 2018, veremos a otros órganos regulatorios, como el NYDFS, aplicando las reglamentaciones existentes y lanzando intervenciones puntuales en respuesta a preocupaciones sobre las principales violaciones . Por ejemplo, las organizaciones de grandes datos (agregadores y revendedores) serán sometidas a una nueva evaluación sobre la forma como están recolectando, usando y protegiendo los datos . Nuevas reglamentaciones significarán que las empresas en sectores más allá del minorista, servicios financieros y servicios de salud— por ejemplo, educación—serán obligadas a abordar las exigencias de la seguridad cibernética .

Bajo el gravamen de presiones reguladoras significativas y siempre crecientes, las organizaciones de la industria rechazarán a los reguladores, pidiendo el alineamiento de las reglamentaciones cibernéticas . Órganos de negocios, como la Cámara de Comercio de los EE .UU ., ya comenzaron a presionar al gobierno de los EE .UU . para que armonicen las reglamentaciones con el cuadro voluntario desarrollado en colaboración público-privada en el Instituto Nacional de Estándares y Estructuras de Tecnología de Seguridad Cibernética (NIST CSF) .17 La asociación comercial DigitalEurope también solicitó “total consistencia” entre el GDPR y otras legislaciones en Europa .18 No obstante, en general, el gravamen de la conformidad para empresas de los sectores se pondrá más difícil en 2018 antes de mejorar .

Las empresas de los diversos sectores deberán, por lo tanto, perfeccionar sus programas de conformidad aprovechando experts externos, automación, análisis y otras herramientas para generar mejorías de seguridad cibernética basadas en riesgos reales .

Conclusión: A medida que los reguladores intentan protegerse contra el impacto de fallas de datos y ataques cibernéticos de larga escala, con la implementación del GDPR, nosotros veremos una aplicación rigurosa de las reglamentaciones existentes y multas, así como nuevas reglas y directrices introducidas. Las empresas, entre los diversos sectores son forzadas a examinar los controles actuales implantados para estar en conformidad con las diversas reglamentaciones, solicitarán mayor alineamiento para facilitar el gravamen regulador.

4%del ingreso anual mundial o € 20 millones (US$ 23,8

millones) – la multa máxima por no cumplimiento del

GDPR

GDPR


4. Los criminales intentan atacar empresas que adoptan la IoT, enfocándose en una empresa de pequeño a mediano porte que esté ofreciendo servicios para una organización global.

En 2018, las organizaciones globales tendrán que incluir en la gestión de riesgos de terceros las com-plejidades crecientes relacionadas a sus colaboradores de negocios que estén utilizando la IoT. No ob-stante, no veremos esto ocurrir, y consecuentemente, prevemos que una empresa grande será afectada por un ataque realizado en un proveedor o contratada de pequeño porte, cuyo enfoque es la IoT, como una vía de acceso a los mismos. Esto incitará a las grandes organizaciones, que pasarán a actualizar su enfoque dirigido para la gestión de riesgos de terceros, y las empresas de pequeño y mediano porte (PyMEs), que pasarán a implementar medidas de seguridad más eficientes o a invertir en actividades que evitan pérdidas como consecuencia de riesgos.

Las empresas continúan interconectando fines, objetos y plataformas a sus redes, eliminando perímetros tradicionales de redes, convergiendo los mundos digital y físico, y creando nuevos desafíos de seguridad . Se espera que las empresas hayan empleado 3,1 mil millones de recursos conectados en 201719 . Además de dispositivos, las empresas están asociando más procesos empresariales a Internet para recolectar datos, proporcionar más eficiencia y automatizar, monitorear y controlar operaciones .

Esta expansión en el uso puede generar hasta $11,1 mil millones por año en valor económico hasta el 2025 .20 Aún así, los dispositivos de IoT están, como todos saben, desprotegidos, y los programas adecuados de gestión de patches continuarán siendo ignorados en 2018 . Las vulnerabilidades de seguridad introducidas por la forma como las empresas están utilizando la IoT, por tanto, representan riesgos considerables, y aunque el ecosistema de IoT de la propia empresa sea relativamente seguro, el impacto en la forma como los terceros están implantando la IoT es pasado por alto . En un estudio de Ponemon en 201721, solamente el 25% de los participantes afirmaron que la dirección pide garantías de que los riesgos de IoT entre terceros están siendo evaluados, administrados y monitoreados correctamente .

Esto constituye una preocupación específica para las grandes organizaciones que están actuando con PyMEs, dado que la seguridad cibernética es muy poco priorizada por estas empresas . Otro estudio reciente de Ponemon identificó que el 55% de las empresas de pequeño porte informaron que fueron atacadas en un período de 12 meses, entre 2015 y 201622, aún así, una minoría, afirmó que este es el problema más crítico que ellas enfrentan .23 Las empresas pretenden generar más eficiencia a partir de la actuación con PyMEs en 2018, lo que significa que los hackers localizarán empresas de pequeño porte que utilizan plataformas y dispositivos de IoT, para acceder a las grandes empresas . Por ejemplo, es muy probable que veamos criminales enfocándose en fabricantes ATM y proveedores de servicios de mantenimiento que actúan en conjunto con grandes bancos . Además de esto, las organizaciones enfrentan riesgos oriundos de prestadores de servicios de pequeño porte relacionados a impresoras o copiadoras, sistemas que hacen uso de cámaras de seguridad y otros puntos de acceso conectados, a través de los cuales, las informaciones de clientes pueden ser expuestas, en el caso que sufran ataques de hackers . Consecuentemente, la demanda por visualizar la seguridad de terceros aumentará, y proveedores menores que busquen propuestas de contratos serán forzados a demostrar la implementación de medidas de seguridad más eficientes, en lo que se refiere a IoT .

Conclusión: En 2018, seremos testigos de ataques en PyMEs que no hayan integrado correctamente las medidas de seguridad en sus ecosistemas de IoT, y estos ataques se expandirán para la red de las grandes organizaciones, causando más daños exponencialmente. En respuesta a esto, las grandes organizaciones ampliarán los programas de gestión de riesgos de terceros y los procesos de debida diligencia, para que sea posible tener en consideración las deficiencias existentes en la seguridad de IoT de proveedores. Las PyMEs que busquen actuar en conjunto con estas organizaciones serán forzadas a mejorar y documentar sus medidas de seguridad cibernética implementadas.

Las vulnerabilidades de seguridad generadas por la manera de cómo las empresas utilizan la IoT presentan riesgos importantes. Aunque el propio ecosistema de IoT de una empresa sea relativamente seguro, el impacto de la forma cómo terceros implementan la IoT es negligente.

55%de las pequeñas empresas

reportaron casos de violación en un periodo de 12

meses entre 2015 y 2016

...mientras tanto, una pequeña minoría afirmó que esta es la cuestión

más crítica que enfrentaron.


A pesar de que el uso de contraseñas, por si sólo, no proporcione niveles de seguridad adecuados, su conveniencia hace que aún sean ampliamente utilizadas. A pesar de que ellas ya no sean utilizadas como el principal método de autenti-cación en dispositivos móviles y de IoT en 2018, es improbable que ellas desaparezcan completamente. Una vez que las empresas implementan el uso de la biometría para autenticar la identidad, los criminales encontrarán formas de mejorar sus ataques, buscando superar estas nuevas tecnologías. En 2018, a medida que más credenciales de acceso son comprometidas, y el uso de la biometría es superado por los hackers, seremos testigos de la ascensión del MFA.

En 2017, vimos empresas siendo víctimas de fuerza bruta y ataques de phishing . Un estudio reciente identificó que el 81% de las infracciones relacionadas a ataques de hackers ocurrieron debido a contraseñas robadas o de bajo nivel de seguridad .24 A medida que los hackers continúan violando contraseñas, empresas innovadoras, tales como fabricantes de dispositivos móviles y de IoT, están implantando el uso de la biometría, como una forma alternativa de autenticar la identidad . Por ejemplo, el iPhone X de Apple utiliza tecnología de reconocimiento facial en lugar del uso de contraseñas y los bancos de centros financieros, incluyendo el del Reino Unido y Hong Kong, están implantando el uso de la biometría en situaciones específicas, tales como el reconocimiento de voz para autenticar llamadas de atención al cliente, en el caso de usuarios importantes que utilizan las redes .

En 2018, estos métodos de autenticación, que antes eran solamente requisito obligatorio para usuarios que poseían permisos de seguridad, serán ampliados para el público en general . El uso de la biometría física, tal como para el reconocimiento facial, de estándares del iris o de huellas dactilares será ampliado más allá de los dispositivos móviles de uso diario, por ejemplo, sustituyendo el uso de credenciales de acceso a oficinas . No obstante, incluso el uso de la biometría avanzada no será completamente invulnerable, en el caso que sea utilizado como el único nivel de autenticación . Incluso el uso de huellas dactilares en un dispositivo puede ser superado por hackers, que pueden utilizar copias físicas forjadas de una impresión digital para atacar sistemas . En 2018, seremos testigos del robo de informaciones de biometría que expondrá a los consumidores, trayendo a la luz los desafíos intrínsecos existentes en la biometría, que no pueden ser redefinidos .

Para combatir ataques de hackers a contraseñas e institucio-nes financieras que hacen uso de la biometría, además de las empresas de FinTech, otros pasarán a adoptar tecnologías de

MFA cuanto antes, por ejemplo, utilizando reconocimiento de voz más un PIN o contraseña para autenticar todas las lla-madas de atención al cliente . Las personas deberán informar, por lo menos, dos de las informaciones a continuación para realizar la autenticación en un instrumento: conocimiento (alguna información que sea de conocimiento de ellas), posesión (algo que ellas poseen), e inherencia (algo que ellas son) . Los bancos ejecutarán tecnologías de autenticación de biometría del comportamiento como procesos secundarios en sitios web de transacciones bancarias, recolectando continuamente informaciones al respecto de interacciones de un usuario, tales como la digitación y el movimiento del mouse, para crear un modelo de usuario exclusivo en este dispositivo - y solicitar más informaciones, en el caso que el comportamiento identificado no corresponda al modelo, proveedores de servicios en la nube exigirán que los usuarios de sus plataformas pongan en práctica el MFA .

Aunque las empresas adopten el MFA, los hackers elaborarán nuevas técnicas para superar nuevas tecnologías de autenticación, así como ellos elaboraron formas de violar la autenticación de dos factores, por medio de ataques de “cambio de SIM” . En 2018, seremos testigos de nuevos malwares, cuyo objetivo son los smartphones, buscando atacar aplicaciones de MFA en celulares .

5. Las contraseñas continúan siendo violadas por ataques de hackers, que burlan el uso de la biometría física; la autenticación que tiene en consideración a varios factores nunca fue tan importante como ahora.

Aunque el uso de contraseñas, por sí solo, no proporcione niveles de seguridad adecuados, su practicidad hace que todavía sean ampliamente utilizadas.

81%de las violaciones

relacionadas a ataques de hackers fueron causadas por

contraseñas robadas o débiles

Conclusión: Las empresas implantarán, en gran escala, el MFA, a medida que los criminales enfoquen sus ataques en la autenticación de factor único, tal como nombres de usuarios y contraseñas y el uso de la biometría. Incluso con el MFA, las empresas tendrán que realizar un proceso continuo y proactivo de pruebas y de perfeccionamiento de sus defensas, a medida que los hackers continuarán evolucionando sus métodos.


6. Los criminales enfocarán sus ataques en transacciones que utilizan puntos como moneda, lo que estimulará la adopción, por parte del público en general, de programas de identificación de bugs. En 2018, las empresas de los sectores de tecnología, del gobierno, automotriz y de servicios financieros implantarán las plataformas de identificación de bugs en los programas de seguridad. Las empresas que poseen programas de fidelidad, premios y recompensas, tales como compañías aéreas, distribuidores y prestadores de servicios hoteleros serán los próximos a adoptar tales plataformas, a medida que los criminales enfoquen sus ataques en transacciones que utilizan puntos como moneda.

En 2016 y 2017, vimos organizaciones de los sectores de tecnología,25 del gobierno,26 automotriz,27 y de servicios financieros28 liderar el grupo de empresas que están implantando programas de identificación de bugs, buscando la experiencia de investigadores de seguridad experimentados para identificar las vulnerabilidades existentes en el intercambio de dinero y reconocimiento . Un poco después de que Apple lanzara el iOS 11 .1 en 2017, los investigadores del Laboratorio de Seguridad de Tencent Keen identificaron rápidamente dos bugs,29 y recibieron $70 .000 en recompensas - valor mucho menor del que Apple tendría que pagar, en el caso que tal vulnerabilidad hubiese sido explotada por un hacker malintencionado .

Las empresas que poseen más de 5 .000 empleados presentaron el crecimiento más rápido, en lo que se refiere a lanzamientos de programas en la plataforma Bugcrowd,

a lo largo de los últimos doce meses . En 2018, veremos a otras empresas, además de las pocas que adoptaron tales programas en el sector de compañías aéreas, así como distribuidores y prestadores de servicios hoteleros y empresas de otros sectores que poseen programas de recompensas, adoptando los programas de identificación de bugs, buscando proteger los “puntos utilizados como moneda” . A medida que el uso de tarjetas de crédito se hace más seguro, y los criminales enfoquen sus ataques en transacciones del tipo “sin tarjeta”, tales como tarjetas regalos y puntos para obtener recompensas, los programas de identificación de bugs serán implementados para fortalecer la protección suministrada .

Los investigadores

recibieron

$70Kpara explorar los bugs en el

iOS 11.1 de Apple

de las violaciones relacionadas a ataques de hackers fueron causadas por contraseñas robadas o débiles

A medida que las amenazas crecen, exigiendo la ampliación de la implantación, los programas de identificación de bugs se convertirán en parte de los procedimientos de seguridad estándar . Se espera que las empresas de todos los sectores implementen programas de identificación de bugs, para probar que hicieron todo lo que era posible para protegerse de ataques cibernéticos . A medida que el proceso de identificación de bugs es ampliado para el público en general, más empresas recurrirán a proveedores externos de programas privados de identificación de bugs y especialistas en seguridad cibernética implementarán sus mejores prácticas, tales como definir pagos, definir el alcance del programa, cuantificar y solucionar vulnerabilidades y administrar el programa, con relación a la ejecución, simultáneamente, de pruebas de seguridad . Para satisfacer la demanda, los prestadores de servicios más importantes de seguridad de informaciones y de seguridad cibernética crearán colaboraciones, o adquirirán, proveedores de programas privados de identificación de bugs para ofrecer tales recursos .

Conclusión: En 2018, los programas de identificación de bugs serán ampliados para el sector de las compañías aéreas, de distribución y hotelería, buscando proteger los puntos utilizados como moneda. A medida que más organizaciones implanten programas de identificación de bugs, ellas recurrirán a especialistas externos para evitar introducir nuevos riesgos, derivados de programas configurados incorrectamente.

Vulnerabilidades en el Mercado MinoristaVulnerabilidades

en Farmacias

Vulnerabilidades en Empresas Aéreas

Vulnerabilidades

en Hoteles


7. El enfoque ahora son los criminales que realizan ataques de ransomware; las crypto-monedas ayudan a diseminar ataques de ransomware.

$5Bifue el costo global estimado de ataques de ransonware a las organizaciones en 2017 -

un aumento de 400 % con relación a 2016

Conclusión: Con los criminales realizando ataques a gran escala, más lucrativos y perjudiciales en 2016 y 2017, el núme-ro de hackers, de tipos de ataques de ransomware y de infecciones aumentó dramáticamente. En 2018, veremos la continuidad de ataques a gran escala realizados por hackers, pero estos últimos también evolu-cionarán sus tácticas para implementar ataques enfocados, pasando a exigir pagos más elevados, proporcio-nales al valor de los bienes. Esta actividad será beneficiada por el aumento continuo de las cripto-monedas. La capacidad de una empresa de protegerse y recuperarse de ataques de ransomware, en 2018, dependerá de la implementación de medidas técnicas proactivas y de planes de continuidad de negocios.

Antes de finalizar 2017, el costo global para las organizaciones que sufrieron ataques de ransomware fue estimado en $5 mil millones, un aumento del 400% con relación al 2016. El ataque del ransomware WannaCry afectó a más de 300.000 personas en 150 países, en menos de dos días. En 2018, los crimina-les evolucionarán sus tácticas, incluyendo el lanzamiento de ataques bien investigados y enfocados que buscan infectar bienes específicos de alto valor, que contienen informaciones fundamentales.

En los últimos años, los ataques de ransomware buscaban infectar sistemas, sacando ventaja de vulnerabilidades existentes . No obstante, a mediados de 2017, los criminales responsables del ataque del ransomware NotPetya cambiaron este escenario . Los hackers obtuvieron credenciales de administrador que, a su vez, les permitieron acceder e infectar los sistemas no vulnerables de la empresa de la víctima, afectando, así, casi todos los sistemas accesibles en la red . En 2018, continuaremos siendo testigos de ataques de ransomware en gran escala que se enfoquen en la obtención de credenciales de administrador para acceder e infectar redes mayores . Con el aumento esperado en los ataques de ransomware que buscan esparcirse por una red, las empresas, en 2018, tendrán que segmentar, urgentemente, sus redes . Las empresas que no hagan esto serán afectadas por ataques de ransomware a una escala mucho mayor .

Los hackers también evolucionarán sus tácticas en 2018, utilizando formas de malware benigno - tales como el software desarrollado para causar ataques de negación de servicio distribuidos (DDoS), o exhibir anuncios en pantallas de miles de sistemas - buscando desencadenar ataques gigantescos de ransomware . Operadores de botnets concederán a hackers de ataques de ransomware acceso a nodos de botnets, a cambio de pagos, permitiendo a ellos amplíen, considerablemente, la extensión de un ataque de ransomware .

Mientras los criminales cibernéticos continuarán lanzando ataques esparcidos, que buscan afectar el máximo posible de sistemas, también seremos testigos del aumento de hackers dirigiendo sus ataques a empresas específicas, y exigiendo pagos proporcionales al valor de los bienes cifrados . Para que estos ataques sean más lucrativos, los criminales los enfocarán en ambientes, donde el acceso a informaciones y sistemas es de “carácter fundamental a las metas”, tales como hospitales, empresas de transporte y fabricantes . También esperamos constatar un aumento en el uso de ransomware para infectar dispositivos de IoT, que son suministrados, por defecto, con un conjunto menor de recursos de seguridad, buscando facilitar la “funcionalidad inmediata”, y los usuarios tienden a mantener tales configuraciones originales, después de iniciar el uso de tales dispositivos . Ya fuimos testigos del Mirai botnet que obtuvo ventaja de dispositivos de IoT para lanzar ataques de DDoS y anticipamos que termostatos inteligentes y otros dispositivos inteligentes serán afectados por ransomware en 2018 .

Además de esto, las cripto-monedas continuarán contribuyendo, de forma general, con la realización de ataques de ransomware, a pesar de que las autoridades hayan modernizado aún más sus recursos para rastrear ataques, por ejemplo, a través de carteras de bitcoins .

Para que puedan protegerse en 2018, las empresas tendrán que ir mucho más allá de la etapa esencial de crear backups . Las empresas tendrán que utilizar sistemas capaces de crear snapshots en el tiempo, o mantener múltiples versiones de archivos creados a lo largo del día, para facilitar la restauración para un punto específico en el tiempo, anterior al backup con pérdida mínima de productividad . Los profesionales de seguridad tendrán que probar, frecuentemente, si sus backups permiten restaurar las informaciones y los archivos en un período de tiempo específico, para determinar el nivel de inactividad que la empresa puede soportar, en el caso que ocurra un ataque de ransomware .

En 2018, también veremos más empresas reconociendo la necesidad de implementar el Principio de Menor Privilegio — limitando los derechos de acceso a archivos de usuarios hasta los permisos mínimos, que ellos necesitan para desempeñar sus funciones, buscando reducir el número de archivos que pueden ser cifrados en caso de un ataque de ransomware . Las empresas más avanzadas concederán a los funcionarios solamente el acceso necesario para realizar las actividades empresariales de una función específica, en lugar de proporcionar acceso automático a todo .


Desde que fue prevista la ascensión de los “riesgos internos” en 2016, hemos visto organizaciones ser afectadas gravemente por acciones ejecutadas por empleados, contratados, personas que salen de empresas, consultores y otras personas malintencionadas, descuidadas, negligentes y/o desprevenidas, que poseen acceso a informa-ciones, sistemas y redes. A pesar de esto, en 2017, vimos empresas invertir muy poco en estrategias proactivas de mitigación de riesgos internos y, en 2018, no será diferente. Con la inexistencia continua de entrenamiento de seguridad y controles técnicos, asociada a las dinámicas mutantes de la mano de obra moderna, la extensión total de ataques cibernéticos y de incidentes causados por riesgos internos no será ni siquiera hecha pública.

La implantación de tecnologías revolucionarias y los cambios en la relación entre empleado-empleador están desafiando la seguridad de las organizaciones de forma nunca vista . La ascensión de la economía gig, de consultoría y freelance32 significa que la definición de un “riesgo interno” cambió, y los límites entre empleados internos y externos ya no son fácilmente delimitados . Las empresas, despersonalizando la mano de obra y creando ecosistemas más virtualmente conectados, afectaron el nivel de inversión y el compromiso psicológico de los empleados con relación a sus organizaciones .33 Los medios de comunicación sedientos por documentos privados, tales como aquellos publicados en los ataques de Panamá y Paradise Papers, está aumentando la motivación de aquellos que desean exponer o filtrar informaciones de fuentes internas . Estos factores contribuyen para garantizar la razón por la cual las empresas continuarán siendo afectadas por acciones - intencionales y no intencionales - realizadas por empleados de estas empresas en el próximo año .

En 2018, muchas organizaciones continuarán administrando riesgos internos de forma reactiva, y tales riesgos internos causarán incidentes cibernéticos graves, tales como apropiación indebida de propiedad intelectual (IP) o suministrar a criminales acceso a informaciones y sistemas fundamentales, buscando acceder a los controles de seguridad e infiltrarse en el perímetro de una organización . Los empleados buscarán formas de burlar las políticas de seguridad o serán víctimas, involuntariamente, de ingeniería social y ataques de phishing . Los criminales enfocarán sus esfuerzos en profesionales esenciales en sectores importantes, que son necesarios y considerados de confianza para garantizar que informaciones y datos permanezcan en carácter privado, tales como servicios de profesionales, servicios de salud,

servicios financieros, automotrices, de entretenimiento y tecnología . Las personas que salen de empresas de forma malintencionada, muchas de las cuales creen que tienen derecho a productos de trabajo, accederán intencionalmente a una red o a informaciones de una organización .

Sin embargo, solamente una pequeña parte de estos incidentes será informada públicamente, y mucho de aquello que fue robado será difícil de identificar - dado que muchos de los bienes más valiosos de empresas, hoy, se encuentran en forma de IP34, secretos comerciales, investigación y desarrollo, o estrategias empresariales - que pueden ser copiados sin ser hurtados físicamente . La dark web, criptografía y las monedas virtuales continuarán facilitando las transacciones ocultas, las comunicaciones y el almacenamiento de informaciones robadas .

A pesar de que la extensión total de estos ataques, y el verdadero costo de la seguridad cibernética que las amenazas internas representan, continuarán sin ser informados en su totalidad, en el caso de los ataques que son informados públicamente, comenzamos a ver más empresas siendo consideradas legalmente responsables del tratamiento insatisfactorio de incidentes causados por riesgos internos, como en el caso destacado, en 2017, de los Supermercados Morrisons en el Tribunal Superior en el Reino Unido .35

8. Los riesgos internos atormentan a las organizaciones, a medida que subestiman su vulnerabilidad y responsabilidad, y graves ataques continúan siendo realizados sin ser evitados.

Conclusión: Las empresas no pueden eliminar los riesgos cibernéticos causados por, incluso, empleados bienintencionados, y a pesar de que sea difícil medir el impacto total de los riesgos internos, ellas ya no pueden desconsiderar estos riesgos en comparación a aquellos oriundos de factores externos. Las organizaciones tendrán que lidiar con esta vulnerabilidad e implementar programas eficaces de gestión de riesgos internos. En el caso que sean ignorados, ellas pueden ser consideradas responsables, en 2018, por no garantizar la protección de empleados y consumidores, en el caso que ocurra algún incidente.

Empleados

Riesgo

Empleado de Local Remoto

Consultor / Freelancer

En 2018, muchas organizaciones continuaron gestionando el riesgo

interno de forma reactiva, y esos riesgos causaron grandes incidentes cibernéticos. No obstante, solo una

fracción de esos incidentes será divulgada públicamente.

??%La extensión total y los

verdaderos costos de seguridad cibernética de

los ataques internos no serán totalmente

reportados


Contactos

Jason J. HoggCEO, Aon Cyber SolutionsE: jason .j .hogg@aon .com

Eric FriedbergCopresidenteStroz Friedberg, an Aon companyE: efriedberg@strozfriedberg .comT +1 212 .981 .6536

Edward StrozCopresidenteStroz Friedberg, an Aon companyE: estroz@strozfriedberg .comT: +1 212 981 6541

Referencias

1. https://www.reuters.com/article/us-cyber-attack-europol/cyber-attack-hits-200000-in-at-least-150-countries-europol-idUSKCN18A0FX

2. https://www.washingtonpost.com/business/technology/equifax-hack-hits-credit-histories-of-up-to-143-million-americans/2017/09/07/a4ae6f82-941a-11e7-b9bc-b2f7903bab0d_story.html?utm_term=.7eba7c991ffd

3. https://investor.equifax.com/news-and-events/news/2017/09-26-2017-140531280

4. https://www.programbusiness.com/News/Shipping-Giant-Maersk-Could-Lose-Nearly-450M-Due-to-Recent-Cyber-Attack

5. https://www.ft.com/content/c8e634fa-2a31-11e7-9ec8-168383da43b7

6. http://riskandinsurance.com/ponemon-go/

7. Securities and Exchange Commission, Cybersecurity Disclosure Guidance, October 13, 2011.

8. The Washington Post, Equifax faces hundreds of class-action lawsuits and an SEC subpoena over the way it handled its data breach, November 9, 2017. https://www.washingtonpost.com/news/the-switch/wp/2017/11/09/equifax-faces-hundreds-of-class-action-lawsuits-and-an-sec-subpoena-over-the-way-it-handled-its-data-breach

9. http://riskandinsurance.com/ponemon-go/

10. Infosecurity Magazine, Pharma Giant Merck Sees Petya Profit Hit for Rest of 2017, https://www.infosecurity-magazine.com/news/pharma-giant-merck-petya-profits/

11. Ponemon Institute, 2017 Global Cyber Risk Transfer Comparison Report, April 2017. http://www.aon.com/risk-services/thought-leadership/2017-global-cyber-risk-transfer-comparison-report.jsp

12. http://www.aon.com/risk-services/thought-leadership/2017-global-cyber-risk-transfer-comparison-report.jsp

13. Wired, Hackers Gain Direct Access to US Power Grid Controls, September 6, 2017, https://www.wired.com/story/hackers-gain-switch-flipping-access-to-us-power-systems/

14. Techcrunch, Global cybersecurity spending to grow 7% to $86.4BN in 2017, says Gartner, August 16, 2017 https://techcrunch.com/2017/08/16/global-cybersecurity-sending-to-grow-7-to-86-4bn-in-2017-says-gartner/

15. “Questions and Answers – Data Protection Reform Package,” European Commission; http://europa.eu/rapid/press-release_MEMO-17-1441_en.html

16. https://www.bna.com/oral-argument-labmd-n73014453538/

17. “2017 Cybersecurity Policy Priorities,” U.S. Chamber of Commerce; https://www.uschamber.com/2017cyberpriorities

18. “DigitalEurope urges MEPs to Bring ePrivacy Closer to Digital Reality,” DigitalEurope; http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2549&language=en-US&PortalId=0&TabId=353

19. https://www.gartner.com/newsroom/id/3598917

20. https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/the-internet-of-things-the-value-of-digitizing-the-physical-world

21. www.ponemon.org/library/the-internet-of-things-iot-a-new-era-of-third-party-risk

22. Ponemon Institute, “2016 State of Cybersecurity in Small & Medium-Sized Businesses (SMB),” June 2016, https://signup.keepersecurity.com/state-of-smb-cybersecurity-report/.

23. CNBC Small Business Survey, April 2017. https://www.cnbc.com/2017/07/25/14-million-us-businesses-are-at-risk-of-a-hacker-threat.html

24. 2017 Data Breach Investigations Report (DBIR), Verizon, July 2017. http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017

25. https://www.facebook.com/whitehat

26. https://www.defense.gov/News/Article/Article/710033/hack-the-pentagon-pilot-program-opens-for-registration/

27. https://bugcrowd.com/tesla

28. 2017 State of Bug Bounty Report, June 2017, Bugcrowd. https://www.bugcrowd.com/resource/2017-state-of-bug-bounty/

29. ios11 Hacked by Security Researchers Day After Release, Zach Whittaker, Zero Day, November 2, 2017, ZDNet. http://www.zdnet.com/article/ios-11-hacked-by-security-researchers-day-after-release/?utm_source=hs_email&utm_medium=email&utm_content=2&_hsenc=p2ANqtz-88NIeQpAvpVDiDqbehjhWYOuq-

30. 2017 State of Bug Bounty Report, June 2017, Bugcrowd. https://www.bugcrowd.com/resource/2017-state-of-bug-bounty/

31. https://go.druva.com/2017-Survey-Ransomware-Report-SEM.html?utm_medium=cpc&utm_source=paid-search&utm_campaign=US-inSyncRansomware-Ransomware&utm_content=&utm_adgroup=General&utm_term=ransomware&gclid=Cj0KCQjwsZHPBRClARIsAC-VMPD9UVi_IC780BzYjlBAYk

32. https://s3.amazonaws.com/fuwt-prod-storage/content/FreelancingInAmericaReport-2017.pdf

33. http://www.aon.com/unitedkingdom/attachments/trp/2017-Trends-in-Global-Employee-Engagement.pdf

34. http://www.aon.com/risk-services/thought-leadership/2017-global-cyber-risk-transfer-comparison-report.jsp

35. http://www.telegraph.co.uk/business/2017/12/01/victory-morrisons-workers-data-leak-compensation-claim/

Estados Unidos

Rocco GrilloLíder de Resiliencia CibernéticaStroz Friedberg, una empresa AonE: rgrillo@strozfriedberg .comT: +1 212 981 2674

Kevin KalinichLíder de Práctica Global, Riesgo Cibernético/RedAon Professional Risk SolutionsE: Kevin .Kalinich@aon .comT: +1 312 381 4203

CJ Dietzman Vicepresidente, Líder en Prácticas de Asesoramiento en SeguridadStroz Friedberg, una empresa AonE: cdietzman@strozfriedberg .comT:+1 347 .283 .4861

Cassio GoldschmidtVicepresidente, Servicios ProactivosStroz Friedberg, una empresa AonE: cgoldschmidt@strozfriedberg .comT:+1 310 .623 .3270

Christian E. HoffmanAon Risk Solutions, Grupo de Servicios Financieros, Soluciones en Riesgos Corporativos, Líder en Prácticas NacionalesE: christian .hoffman@aon .com T: +1 484 343 3740

Jibran IlyasDirectora General, Respuesta a IncidentesStroz Friedberg, una empresa AonE: jilyas@strozfriedberg .comT:+1 312 .216 .8107

Stephanie Snyder Líder del Dpto . Ventas Nacionales, Seguro CibernéticoAon Professional Risk SolutionsT: +1 312 402 6038

Carolyn VadinoDirector de Comunicación y Líder de Marketing Stroz Friedberg, una empresa AonE: cvadino@strozfriedberg .com T: +1 646 524 8454

Reino Unido

Justin Clarke-SaltJustin Clarke-SaltCofundador, Gotham Digital Science, Una empresa Stroz FriedbergE: justin@gdssecurity .com T: +44 330 660 0720

Alex CarteDirector General,Gestión de IntegraciónStroz Friedberg, una empresa AonE: acarte@strozfriedberg .co .uk T: +44 20 .7061 .2302


Sobre Aon Aon plc (NYSE: AON) es una empresa líder global de servicios profesionales que brinda una amplia gama de soluciones en materia de riesgos, retiro y salud. Nuestros 50.000 empleados y colegas distribuidos en 120 países empoderan los resultados para nuestros clientes mediante el uso de datos y sistemas analíticos propios, aportando conocimientos que reducen la volatilidad y mejoran el desempeño.

Sobre Stroz Friedberg Stroz Friedberg, una empresa de Aon, se especializa en gestión de riesgos, creada para ayudar a los clientes en la resolución de los desafíos complejos que prevalecen en el actual mundo de los negocios digital, conectado y reglamentado. Líder global en el campo de la seguridad cibernética, con especialistas en tecnología forense digital, respuesta a incidentes, seguridad proactiva, investigaciones, propiedad intelectual y eDiscovery, Stroz Friedberg trabaja para maximizar la salud de las organizaciones, garantizando longevidad, protección y resiliencia. Fundada en el 2000 y adquirida por Aon en 2016, Stroz Friedberg cuenta con trece oficinas en nueve ciudades de los EE. UU., Londres, Zúrich, Dubái y Hong Kong. Stroz Friedberg atiende las empresas Fortune 100, 80 % de las empresas AmLaw 100 y los 20 mejores estudios de abogacía del Reino Unido. Sepa más en https://www.strozfriedberg.com/.

© Aon plc 2018 . Todos los derechos reservados .Las informaciones contenidas aquí y las declaraciones expresadas son de naturaleza general y no se destinan a abordar las circunstancias de ningún individuo o entidad en particular. A pesar de nuestros esfuerzos en proporcionar informaciones precisas y consultar fuentes que consideramos confiables, no podemos garantizar que dichas informaciones estén actualizadas a la fecha en que fueron recibidas o que permanezcan válidas en el futuro. No utilice dichas informaciones sin un asesoramiento profesional adecuado o sin un análisis profundo de la situación.

www.aon.com | www.strozfriedberg.com

Previsiones de Seguridad Cibernética para El 2018 - aon.com€¦ · ver más quejas provistas con...

Documents

Transcript of Previsiones de Seguridad Cibernética para El 2018 - aon.com€¦ · ver más quejas provistas con...