KPMG Blogs

open

Entradas del tag: ciberseguridad

Aún queda tarea para los Bancos

Por Francisco Uría
on 21. 12. 2016

Un año más, los resultados obtenidos por los bancos españoles en el ejercicio SREP realizado por el Banco Central Europeo han sido genéricamente positivos. Podríamos clasificar los desafíos para los bancos españoles en aquellos que tienen que ver con su pasado, los que les ocupan en el presente y aquellos que, aunque probablemente ya les están ocupando hoy, constituyen claves para su éxito futuro.

Los retos que proceden del pasado tienen que ver con la gestión de los efectos de la profunda crisis que sufrió el sector financiero español y el conjunto de nuestra economía a partir del año 2008. El efecto más tangible guarda relación con la presencia en sus balances de activos improductivos (non performing) que provocan el triple efecto de consumir capital, requerir recursos y no contribuir a los resultados de la entidad.

Aunque todos los bancos tengan en sus balances activos de este tipo, la proporción varía de unos a otros. Algunos no tuvieron nunca un volumen muy relevante considerando su tamaño total y otros consiguieron deshacerse de ellos en volumen apreciable a través de distintos procedimientos (incluidas las ventas de carteras o su traspaso a la Sareb).

Otros efectos menos evidentes pueden tener que ver con la falta de inversión en la adaptación de sistemas o procesos o la imposibilidad de captar profesionales con la cualificación necesaria para enfrentarse a los cambios que se están produciendo en el negocio bancario, incluida la transformación digital.

Los retos del presente, ante todo, están relacionados con el esfuerzo continuado para el desarrollo de la regulación que se ha ido aprobando en los últimos años y que no sólo tiene efectos en los requerimientos de capital y liquidez de las entidades. Antes al contrario, algunos de los efectos más importantes afectan a la necesidad de acometer grandes inversiones en el ámbito de la tecnología o para la modificación de sistemas o procesos.

La regulación no ha dejado de aumentar en los últimos años y, cuando parecería que la oleada directamente derivada de los acuerdos de Basilea III (CRDCRR) podría estar a punto de concluir, la Comisión Europea hace apenas unos días ha introducido algunas reformas que, de nuevo, habrán de incorporarse al derecho español, y continuamos a la espera del final de los trabajos que están teniendo lugar en el Comité de Supervisión Bancaria de Basilea y que afectarán fundamentalmente a los modelos internos de las entidades (es decir, a su nivel de capital). De cara al año 2017 tanto esas nuevas reglas sobre capital como la implementación de la regulación sobre resolución bancaria, sin olvidar la compleja adaptación a la nueva normativa contable (IFRS 9), mantendrán bien atareados a los bancos.

Además, deberán seguir trabajando para su adaptación a las normas aprobadas para la mejora de la protección del cliente bancario, como es el caso de la nueva Directiva MIFID (MIFID 2), destinada a generar una profunda transformación en el modelo de negocio de todas las entidades que prestan servicios financieros, incluidos los bancos, y de la PRIPs, una norma aplicable a los productos complejos en que se integran productos financieros de distinta naturaleza. Ambas se aplicarán a partir de enero de 2018 y exigirán al legislador español la adaptación de nuestro ordenamiento durante el año 2017.

Otro de los desafíos del presente se refiere a la dificultad de sobrevivir en un entorno prolongado de bajos tipos de interés, lo que lógicamente afecta a la cuenta de resultados de las entidades. No es un efecto menor. Los resultados del año son la primera fuente de generación de capital y, además, descontada la solvencia de las entidades, su rentabilidad constituye el parámetro fundamental a la hora de atraer a los inversores que, potencialmente, habrían de contribuir a su fortalecimiento en el futuro a través de acciones y otros instrumentos financieros de distinta naturaleza que pudieran ser emitidos por los bancos. Cualquier banco en el mundo que no sea rentable no será solvente a medio y largo plazo. Frente a esta situación, los bancos desarrollan diversas estrategias, que fundamentalmente pueden agruparse en dos ejes: reducción de costes y mejora de los ingresos.

Las estrategias de reducción de costes son, salvo lo que seguidamente se dirá respecto de las oportunidades inherentes a la transformación digital, bastante tradicionales: se trata de reducir el número de empleados, de sucursales y los costes generales necesarios para el desarrollo de la actividad (costes laborales, proveedores…).

Hay otras líneas interesantes que tienen que ver con la posible búsqueda de socios financieros o industriales con los que acometer iniciativas conjuntas para el desarrollo de nuevos negocios o para la ampliación del perímetro de ser vicios tradicionales. En ese camino, pueden combinarse ingresos presentes (los derivados de la venta de una participación en ese negocio) con la posibilidad de una mejora futura de los ingresos. Aquí, el único peligro es que estas operaciones sean cortoplacistas, es decir, que generen un ingreso a corto plazo pero que terminen afectando a la futura rentabilidad del banco, al verse privado de una fuente de ingresos que tenga una posibilidad razonable de crecimiento en el futuro.

Lo malo de este tipo de estrategias es que, aunque sus efectos positivos pueden prolongarse en el tiempo, tienen una duración limitada: la reducción de costes que puede realizarse sin comprometer el futuro de la entidad está acotada, de modo que llegado a un cierto punto, no pueden realizarse recortes adicionales.

Por ello, aunque se trata de una estrategia lógica para superar una coyuntura tan excepcional y depósitos de los clientes. Sin embargo, difícil como la que genera el contexto hacen un contexto actual de bajos tipos de interés, el futuro de la rentabilidad bancaria no puede depender totalmente de este tipo de acciones. Se hace necesario encontrar nuevas FID 2 que, al intensificar la prohibición vías para la mejora de la rentabilidad.

Algunas de esas nuevas vías tienen que determinados servicios financieros, irá ver con la mejora de los ingresos de las forzando de manera paulatina que los entidades. La vía más obvia –además de reclamada por los supervisores bancarios- tiene que ver con la sustitución, al menos parcial, de un modelo basado en el margen financiero para pasar a un modelo mixto en el que también contribuyan otro tipo de ingresos, como los derivados de pagos por la prestación de servicios o comisiones. Nada debería ser más lógico que bancos pudieran cobrar a sus clientes por los servicios de valor añadido que prestan cada día.

El problema es que no ha sido esta la cultura tradicional de relación de los bancos con sus clientes. De hecho, lo que sucedía es que el banco proporcionaba gratuitamente una larga serie de servicios que se “financiaban” con cargo a los ingresos derivados de la inversión de los depósitos de los clientes.

La única cuestión es la de si los bancos serán o no capaces de competir con nuevos operadores (incluidas las ya archifamosas fintechs) en la calidad del servicio, en la experiencia del cliente y en el coste. Sin duda, esa es una de las claves de su futura viabilidad. Para ello, habrá ocasiones en que la mejor estrategia será la de seguir el viejo axioma de “si no puedes vencer a tu enemigo, únete a él”.

Todos estos retos han estado presentes en el año 2016 y tendrán continuidad en el 2017.
Y, por último, y muy ligado con todo lo anterior, están los que tienen que ver con el futuro. Empezaría por mencionar que la clasificación propuesta tiene una pequeña trampa. En realidad, no existen retos del futuro. Lo que podríamos considerar lo son, en el fondo, del presente y los bancos no tienen otra opción que afrontarlos con decisión, dedicando a ellos cuantiosos recursos e inversiones.

En este apartado incluiríamos la transformación digital, entendida en un sentido muy amplio: no sólo lo que hace posible la multicanalidad con el cliente sino también, y sobre todo, la mejora de la calidad de los datos y su acceso, el cambio de sistemas y la mejora de procesos. En suma, todo aquello que, aunque el cliente no vea directamente, constituyen un requisito esencial para que el cambio digital termine desplegando todos sus efectos positivos.

También incluiría su lado negativo, la ciberseguridad. Las cuantiosas inversiones que los bancos tienen que realizar para mantener a salvo los recursos y, no en menor medida, los datos de sus clientes frente a los constantes ataques de que son objeto. Se trata, sin duda, de una cuestión crucial a la que las autoridades y los supervisores bancarios prestan cada vez mayor atención.

En definitiva, las tareas a afrontar en 2016 y 2017 no serán muy distintas: mejorar la rentabilidad por todas las vías posibles, continuar con la implementación regulatoria y mantener el esfuerzo inversor para hacer posible la transformación digital y del modelo de negocio. Nada más…y nada menos.

 

Fuente: Actualidad Económica. Diciembre 2016.

La importancia de la seguridad en el Internet de las Cosas

Por Juan Antonio Calles
on 24. 10. 2016

El pasado viernes 21 de Octubre tuvo lugar un gran ciberataque de denegación de servicio distribuida (DDoS) que afectó a un gran número de los principales proveedores de servicios en Internet, como Twitter, Spotify, The New York Times, Xbox, Paypal o Tumblr, entre otros. Este ataque fue enfocado sobre los servidores DNS de la compañía Dyn, que proporciona el soporte a la resolución de nombres de dominio de estas compañías, bloqueando el contacto entre los usuarios y los proveedores.

Según declaraciones de Kyle York, Chief Strategy Officer de Dyn, fue uno de los ataques más potentes de la historia ejecutado por una botnet (conjunto de dispositivos vulnerados y controlados remotamente) y que involucró, según datos de Dyn, a aproximadamente 10 millones de direcciones IP, es decir, 10 millones de dispositivos diferentes realizando peticiones maliciosas de forma sostenida contra su infraestructura.

El complejo ataque se compuso de tres oleadas diferentes, con un primer ataque ejecutado a las 7:00 am ET, que afectó a los usuarios de la costa Este de Estados Unidos y que tardaron dos horas en mitigar. A continuación, sobre las 12:00h, se produjo una segunda oleada más global y que no se limitó únicamente a esta región. En esta ocasión el servicio fue restaurado en una hora. Por último hubo un tercer ciberataque, que en esta ocasión fue bloqueado rápidamente gracias a las medidas tomadas por el equipo de respuesta a incidentes de Dyn.

El ataque ha sido atribuido al grupo hacktivista “New World Hackers”, que estaría detrás de la botnet Mirai, que cuenta con más de 100.000 dispositivos IoT (Internet of Things o Internet de las Cosas) entre sus equipos controlados.

Pero, ¿por qué se han utilizado dispositivos IoT para la realización de esta ciberataque? Estos dispositivos, cómo pueden ser los smart TVs, smartwatches, cámaras, etc., suelen funcionar bajo el protocolo UDP, en lugar del TCP. UDP es un protocolo más sencillo de implementar durante los procesos de desarrollo de los productos y además acelera la velocidad de conexión entre estos dispositivos y los servidores con los que interactúan para dar servicio a sus usuarios, debido a que no es necesario el establecimiento de una conexión entre origen y destino para que se produzca un envío de datos.

Esto posibilita que un dispositivo hackeado que funcione bajo el protocolo UDP sea mucho más rentable para los atacantes, ya que pueden aumentar en gran medida la potencia de sus ciberataques. Este hecho se ve acrecentado por la falta de medidas de seguridad en numerosos dispositivos IoT, lo que permite diariamente a los ciberatacantes hackear miles de dispositivos que no cuentan con unas barreras adecuadas debido a la falta de inversión en sus ciclos de vida de desarrollo. Esto evidencia la importancia de tener en cuenta la seguridad como uno de los aspectos clave.

¿Qué pueden hacer las compañías para evitar este tipo de problemas?

El ciberataque sufrido recientemente por todas las compañías citadas anteriormente fue producido mediante un ataque a un tercero, Dyn, su proveedor de DNS. El problema fue solventado en esta ocasión por las capacidades técnicas del proveedor para paliar un ataque de esta magnitud en un tiempo total de aproximadamente tres o cuatro horas.

Sin embargo, es necesario ahondar en el problema acontecido. ¿Qué ocurriría si en el futuro se realizase un ataque con 100 o 500 millones de dispositivos? Se trata de una posibilidad bastante factible si se tiene en cuenta que hace tres semanas fue registrado un ciberataque de DDoS que superó el Terabyte (por segundo). Probablemente ningún proveedor podría frenar un ataque de esta magnitud en un tiempo razonable.

El principal problema en este tipo de situaciones se encuentra en el origen, ya que numerosas organizaciones carecen de servicios redundados, lo que lleva a una gran limitación al contar con un único punto de fallo en la conectividad hacia internet.

Por otro lado, y en lo referente a cómo los ciberatacantes lograron vulnerar tantos dispositivos para la construcción de su botnet, es importante tener en cuenta que muchos fabricantes no tienen en cuenta la ciberseguridad en el desarrollo de sus tecnologías, dando lugar a productos que carecen de unas garantías de seguridad básicas. Un dispositivo inseguro es un oasis en el desierto para los delincuentes, esperando a ser vulnerado por ciberatacantes que harán de él un lugar en el que camuflar sus ataques o del que sustraerán valiosa información con la que comerciar en los mercados underground de Internet.

La única manera de garantizar unas medidas de seguridad mínimas al lanzar un nuevo producto al mercado es teniendo en cuenta la ciberseguridad durante todo el ciclo de vida de estos productos, desde su diseño inicial, hasta su obsolescencia. Por desgracia, no todos los fabricantes tienen en cuenta estas medidas básicas, que resultan omitidas en aras de lanzar un producto más rápidamente que la competencia o abaratar sus costes de fabricación.

 

Juan Antonio Calles es Senior Manager del Departamento de Ciberseguridad de KPMG España

Ahora o nunca: tres años decisivos para la empresa

Por Cosme Carral
on 08. 09. 2016

Los próximos tres años traerán consigo una transformación sin precedentes y serán mucho más decisivos para la evolución de la economía que los cincuenta anteriores.

Empresas responsables

Por Hilario Albarracín
on 06. 06. 2016

Los dos últimos años han sido especialmente prolijos en materia regulatoria para reforzar el gobierno de las empresas. A la Ley de Sociedades de Capital y las recomendaciones del Código de Buen Gobierno de la Comisión Nacional del Mercado de Valores (CNMV) se sumará el próximo 17 de junio la entrada en vigor de la nueva Ley de Auditoría de Cuentas, que tendrá importantes implicaciones para los consejos de administración de las grandes compañías y, en especial, de sus Comisiones de Auditoría. Entre las distintas razones que han llevado a los reguladores a reforzar el marco legislativo bajo el que se desenvuelven los órganos de gobierno de las compañías está la consecución de una mayor transparencia y la capacidad para aportar mayor confianza a los inversores y otros grupos de interés. Este impulso reformista viene en gran medida propiciado por la mayor exigencia de los mercados, inversores y la opinión pública hacia las prácticas de gobierno corporativo y la capacidad -y obligación- de los consejeros de responder con responsabilidad y transparencia de sus decisiones y forma de actuar.

Sin embargo, no se debe olvidar que la mejora del gobierno corporativo parte también de la convicción de las propias empresas y sus administradores de que es necesario contar con los mejores estándares y prácticas para operar en un mercado global donde los inversores ya no solo prestan atención a la calidad de los resultados, sino a la forma de obtenerlos.

El buen gobierno es sinónimo de transparencia, pero también de una mayor profesionalización de los consejos de administración. De sus miembros ya no solo se espera que aprueben la estrategia del management, sino que se impliquen en su definición y la cuestionen constantemente.

Igualmente, los consejeros deben tener un mayor protagonismo a la hora de identificar los riesgos a los que se enfrenta la organización, poniendo un especial énfasis a ciertas amenazas que, como la ciberseguridad, hasta hace poco tiempo la tarea de combatirlas correspondía únicamente a una determinada área técnica de la compañía. La eficacia de los consejos de administración obtiene una de las mayores notas en el índice 2015-2016 de competitividad de las instituciones españolas elaborado por el Foro Económico Mundial.

El salto que se ha dado en los últimos años es una prueba de que el nuevo marco normativo, sumado a la propia convicción de las empresas y sus administradores, está causando el efecto deseado.Sin duda, el buen gobierno corporativo constituye uno de los pilares para la creación de valor y la perduración de las compañías en el tiempo. En este sentido, cuestiones como la diversidad, la profesionalización y la comunicación con los accionistas son cuestiones que deben estar entre las prioridades de todos los consejos de administración. 

Autor: Hilario Albarracín es consejero delegado de KPMG en España.

Fuente: El Pais Negocios. Publicado el 5 de junio de 2016

La seguridad de la información en manos de los proveedores

Por Pedro Feu
on 16. 03. 2016

La externalización de servicios, en cualquiera de sus modalidades, representa la opción preferida por la mayoría de las organizaciones para reducir sus costes asociados a las tecnologías de la Información. El ecosistema de TI planteado, donde flexibilidad y precio son los indicadores predominantes, hace que cada vez sean más los proveedores, de todo tipo y tamaño, que para el desempeño de sus funciones tienen acceso a información de la compañía.

Proveedores de servicios de IT son los más representativos, pero no los únicos que generan, acceden, gestionan y soportan información y como es de esperar, aumentando la superficie de exposición aumentan los riesgos: se estima que el 18% de los incidentes de seguridad están provocados directamente por proveedores de servicios. Estos incidentes se sitúan además como los más caros en términos de daños, por delante de los provocados por ciber espionaje y los provocados por malware.

Claro ejemplo de ello son algunos de los incidentes relacionados con fuga de datos más relevantes del pasado 2015. Los ocurrido en la “Office of Personnel Management” de Estados unidos, dos para ser concretos, y la “Army National Guard”, que respectivamente provocaron que se expusieran datos de un total de 25 millones de trabajadores federales y otros 850.000 miembros de la guardia nacional, incluyendo números de la seguridad social, historiales académicos, residencia, salud e incluso historiales delictivos.

Ambos incidentes han sido relacionados con proveedores y subcontratados: el primero y más numeroso a través de un robo de credenciales aprovechado por un equipo de atacantes supuestamente chino, y el segundo con una transferencia de datos a un data center no acreditado.

Parece que tenemos bastante claro que las barreras digitales de nuestra organización van mucho más allá de la infraestructura TI que gestionamos, pero ¿y las barreras personales?, ¿tenemos claro dónde acaban?, ¿Conocen nuestros proveedores las políticas de seguridad de la información corporativas? Y,  más allá de lo que se plasma en los contratos, ¿conocen de verdad los empleados de nuestros proveedores las políticas de seguridad de la información de nuestra organización?, y  nosotros, ¿Velamos por qué las cumplan?, ¿les ayudamos a hacerlo?.

Desde hace tiempo se vienen tomando medidas al respecto, en forma de herramientas mayormente, para limitar y acotar tanto el acceso a la información, como el uso de la misma. Entornos VDI, enmascaramiento de datos, DLP/IRM, y un largo listado de posibilidades técnicas difíciles ya de gestionar en entornos corporativos, cuanto más en entornos que involucran más de una organización. Éstas, junto con los acuerdos de confidencialidad y clausulados de los contratos, representan en la mayoría de los casos las medidas de seguridad que se aplican.

Vayamos al siguiente nivel: establezcamos Programas de Gobierno de la Seguridad proveedores. No se trata sólo de medir si prestan servicios de acuerdo a un SLA, sino de corroborar que lo hacen con los mismos niveles de seguridad que se aplican dentro de la organización. En este sentido lo principal a tener en cuenta es:

– Conocer los proveedores y el nivel de acceso de los mismos a nuestra información.

– Conocer la naturaleza de información que tratan.

– Establecer marcos de control adecuados a la operativa del proveedor.

– Definir modelos y programas de revisión flexibles y efectivos, que permitan corroborar la efectividad de las medidas

Todo esto, además nos permitirá transmitir a nuestros proveedores nuestro compromiso con la seguridad de la información y por supuesto elevar nuestro grado de confort con el tratamiento que sobre la misma se realiza.

KPMG España en los congresos URJC TechFest y TASSI (UPM)

Por kpmg españa
on 05. 02. 2016

Buenas a todos, la semana que viene el equipo de ciberseguridad de KPMG España impartirá varias conferencias en los congresos URJC TechFest y TASSI (UPM), relacionadas con el ámbito del hacking ético, el malware y el desarrollo de soluciones de ciberseguridad.

El lunes, nuestro compañero Juan Antonio Calles responsable del laboratorio de ciberseguridad de KPMG, participará en el TechFest impartiendo una conferencia sobre metodologías de búsqueda OSINT junto a Pablo González a las 19:00h.

El martes, nuestro compañero del equipo de hacking ético, Jesús Alcalde, impartirá un interesante taller introductorio al desarrollo de soluciones de ciberseguridad con la tecnología Node.js a las 17:00h.

El miércoles, nuestro compañero del equipo de ciberinteligencia, Álvaro García, impartirá junto a Juan Antonio Calles un completo taller sobre análisis de malware en smartphones a las 19:00h.

Finalmente, el jueves, Juan Antonio Calles impartirá un taller sobre seguridad en Android y análisis del malware, donde presentará desde un punto de vista práctico las distintas tipologías de malware, técnicas utilizadas, medidas de evasión de sistemas antivirus y metodologías para afrontarlos.

Davos 2016: el cambio, la nueva normalidad

Por John Scott
on 20. 01. 2016

A lo largo de los próximos tres días la ciudad suiza de Davos se convertirá en el epicentro de la actividad política y económica mundial. Una cita que ayudará a marcar la agenda de las grandes tendencias globales en un momento de la historia único que ya se ha calificado como la era de la cuarta revolución industrial. Las tres primeras revoluciones industriales trajeron la mecanización del trabajo, la producción en masa e Internet. En esta nueva época de transformación, el imparable desarrollo de la tecnología y la conectividad se erigen como los grandes motores del cambio. Las fronteras entre el mundo físico y virtual se desdibujan y obligan a cambiar radicalmente la forma de concebir la sociedad, la política y los negocios.

En estos tiempos en los que el cambio es la nueva normalidad, algunos datos subrayan la profundidad del momento histórico que atravesamos. Según Naciones Unidas, alrededor de 3.200 millones de personas tienen ya acceso a Internet y en solo cuatro años se espera que más de 25.000 millones de dispositivos estén conectados. Todo este desarrollo está teniendo efectos evidentes en una economía que no puede entenderse más que de una forma global e interconectada. Los modelos de negocio de cualquier industria están obligados a transformarse y a aprovechar las oportunidades que ofrece esta nueva era de la conectividad.

El Big Data, un concepto que para muchos se entiende aún de forma vaga, será probablemente una de las mayores fuentes de innovación y de creación de valor para las empresas y Gobiernos: el aprovechamiento de los miles de millones de datos generados cada día en cualquier actividad abre unas posibilidades inmensas de desarrollo y generación de riqueza. Pero el desarrollo tecnológico también conlleva nuevas amenazas ante las que el mundo debe prepararse. Según el CEO Outlook, el informe global que KPMG ha realizado encuestando a más de 1.200 CEO, el 29% apunta a los ataques cibernéticos como el riesgo que mayor impacto puede tener en sus negocios. Esta amenaza no debe afrontarse solo mediante una estrategia reactiva sino que significa una oportunidad para mejorar la lealtad y la experiencia de los consumidores.

La ecuación resulta aún más compleja cuando todo este imparable desarrollo tecnológico se encuadra en un contexto de enorme incertidumbre macroeconómica y riesgos geopolíticos. Sería un error concebir cualquier estrategia económica o política sin mirar más allá de nuestras fronteras. Tras la gran crisis económica y financiera de Occidente, el nuevo escenario apunta a un crecimiento global más moderado y volátil que perdurará durante años. Los países emergentes y China son el gran foco de incertidumbre mientras las economías desarrolladas aún se desperezan de una crisis que no ha terminado de disiparse, como aún evidencian los datos de desempleo en países como España. El brusco descenso de las materias primas, causado precisamente por esas peores perspectivas de crecimiento, acentúa la incertidumbre, como también lo hacen las divergentes políticas monetarias en distintas partes del mundo que están cambiando los flujos de inversión.

El envejecimiento de la población en las economías desarrolladas obliga a repensar fórmulas que garanticen el Estado de bienestar a largo plazo y la crisis de los refugiados muestra nuevamente cómo en un mundo globalizado ningún país es ajeno a las grandes tendencias mundiales. El Informe riesgos globales 2016 presentado en la antesala del Foro Económico Mundial dibuja un mapa de amenazas inédito hasta ahora, en el que las migraciones involuntarias son el primer riesgo por probabilidad y las catástrofes medioambientales, el de mayor impacto potencial.

Resulta extraordinariamente necesario no perder de vista este escenario y poner en marcha acciones que contribuyan a reducir las amenazas y maximizar las oportunidades. Han de buscarse acuerdos de gran alcance que ayuden a unificar y hacer más inteligente la regulación internacional, a impulsar la innovación, a construir puentes que faciliten el libre comercio entre distintas áreas del mundo y a asegurar un crecimiento que no pierda de vista grandes temas de la agenda internacional como la sostenibilidad, el medioambiente o la diversidad. Como firma de auditoría y servicios profesionales, estamos convencidos de que todos debemos contribuir a ello, reforzando el activo más importante para cualquier economía y país: la confianza.

John Scott es presidente de KPMG en España, en la región de EMA (Europa, Oriente Próximo, África y Sur de Asia) y vicepresidente Global de KPMG.

Artículo publicado originalmente en El País, el 20 de enero de 2016

Seguridad en los smartphones corporativos

Por Juan Antonio Calles
on 13. 01. 2016

Buenas a todos, en el post de hoy me gustaría hablaros de uno de los focos de infección de malware que están más de moda en las empresas, las infecciones en smartphones corporativos. El teléfono de empresa es ya una necesidad, desde jefes de proyectos y gerentes, a directores y socios, empleados que requieren estar localizados o en contacto con compañeros y clientes, no podrían trabajar si pierden sus smartphones. Por ello, se han convertido en un activo esencial para la empresa, que almacena información muy crítica a golpe de PIN, patrón de desbloqueo, etc. Recordemos que en los smartphones tenemos autenticadas cuentas en clientes de correo, redes sociales, y aplicaciones de distinta índole, en los que si alguien averigua nuestra llave de desbloqueo, estaríamos vendidos.

Tradicionalmente el mundo Blackberry ha estado muy bien administrado de forma corporativa en la empresa, con sus soluciones MDM (como por ejemplo, Enterprise Mobility Management) con acceso por VPN, dispositivos con la partición de trabajo cifrada, uso de certificados, etc. Dispositivos bastante robustos y que tras la aparición de Blackberry OS 10, han vuelto a rivalizar en prestaciones con los smartphones Android e iOS.

Los dispositivos iPhone (sin Jailbreak, esto es otro mundo…) de última generación, disponen también de soluciones muy interesantes de tipo MDM con las que los admininistradores de las compañías pueden gestionar políticas de seguridad de forma remota y automática como Mobileiron, Airwatch, y/o que aprovechan las capacidades nativas del terminal. Además, sus medidas de seguridad, capacidad de cifrado y API de desarrollo más limitada que aunque impide el desarrollo de antivirus tradicionales por beneficio o perjuicio, según se mire, han desembocado en que sea más complejo el desarrollo de malware para las plataformas iOS (pero no imposible, ya que existen un gran número de malwares conocidos para iOS).

Android, sin embargo, por su código abierto y su gran presencia en el mercado, es la plataforma más afectada por el software malicioso, y la puerta preferida de los ciberdelincuentes para sustraer datos de una compañía de forma más o menos sencilla. Por ello, es crucial proteger dichos dispositivos con más ahínco, si cabe, en entornos corporativos. No todas las empresas se encuentran concienciadas con ello, y seducidos por los bajos precios e incluso regalos que hacen los proveedores de telefonía de dispositivos Android a las empresas, por su bajo coste principalmente, las convierten en foco y diana para los potenciales atacantes. En Android existen infinidad de antivirus, soluciones MDM, y aplicaciones de terceros para bastionar los dispositivos. Su código abierto ha posibilitado un gran ecosistema de soluciones de seguridad, así como una inmensa cantidad de malware como por ejemplo el conocido “NotCompatible”. Por ello, es vital contar con potentes soluciones MDM, sobretodo en la mediana y gran empresa. En estas casuísticas, soluciones como Symantec SMM, Xenmobile de Citrix o IBM Endpoint Manager pueden ser interesantes alternativas para mejorar la seguridad de la información en el mundo de la empresa.

Si precisas mejorar la seguridad del parque de móviles de tu compañía, desde KPMG estaremos encantados de asesoraros y acompañaros en el proceso de implantación y mantenimiento de vuestras soluciones de ciberseguridad.

Saludos!

Compañías de Telecomunicaciones y ciberataques

Por kpmg españa
on 12. 01. 2016

Nunca hasta ahora se había visto un cambio tan amplio en la variedad y volumen de las ciberamenazas como durante el último año 2014. En España esa tendencia se ha confirmado en la evolución de 2015, en la que el número de incidentes de ciberseguridad identificados prácticamente triplica al total de incidentes registrados en todo el año pasado.

Uno de los principales vectores de amenazas en el sector de las telecomunicaciones es el riesgo de proliferación de las intrusiones a través de dispositivos móviles, cuya ubicuidad ha agravado los riesgos de seguridad.

Pero si la movilidad representa un desafío de seguridad urgente para las empresas de telecomunicaciones, hasta la fecha no se ha hecho demasiado para implementar las medidas de seguridad. A nivel europeo, sólo el 45% de las organizaciones de telecomunicaciones tiene una estrategia de seguridad de dispositivos móviles en marcha.

Otro aspecto importante a tener en cuenta es la proliferación en el desarrollo de aplicaciones específicas para móviles. Esta tendencia imparable acarrea grandes riesgos cuando no se despliega una adecuada metodología de desarrollo seguro y se implantan prácticas de cifrado de datos tanto en el almacenamiento en los dispositivos como en la capa de transporte.

De la misma manera que el uso de los móviles ha aumentado, también lo ha hecho la utilización de servicios de computación en la nube, en la que los operadores de telecomunicación juegan un papel preponderante. Hoy en día más del 50% de los operadores utilizan este tipo de servicios, aunque pocas veces se hace el debido hincapié en las implicaciones de seguridad en que puede derivar su uso.

Es fundamental que los operadores implanten políticas que formalicen las bases de seguridad en el uso de la nube, incluyendo el cifrado de datos, la protección de los datos críticos para el negocio y la garantía de que los proveedores de servicios se adhieren a las normas de seguridad y regulaciones propias del sector con respecto a dónde se pueden almacenar los datos. También deben exigir que los proveedores de la nube de terceros sigan las prácticas de seguridad.

Los operadores de telecomunicaciones son expertos en la protección de sus propias redes pero también es cierto que los ciberdelincuentes emplean su infraestructura como principal medio de transporte para la mayoría de los ataques, aprovechándose de la propia robustez de la red, su nivel de penetración y sus niveles de servicio.

Así, el despliegue de servicios de acceso de banda ancha proporciona mejor servicio a los clientes pero también mejores vías de ataque por parte de los cibercriminales.

El fenómeno de las botnets, o redes de ordenadores zombis que son infectados por un atacante que puede controlarlos desde un único servidor para perpetrar ataques masivos, está creciendo cada vez más. Esto se debe, entre otras razones, a que hay muchos más ordenadores susceptibles de ser atacados (los equipos domésticos con menos niveles de seguridad) y con mejores capacidades de conectividad (el acceso a Internet con servicios desde los 30 hasta los 300 megas). Este escenario de progreso indudable conlleva a la par un aumento de las posibilidades para los ciberdelincuentes.

Tarde o temprano el operador de telecomunicaciones tendrá que tomar una acción para proporcionar servicios de seguridad sobre la red de acceso. En España, algunos de los principales operadores están realizando fuertes inversiones en desarrollar soluciones para sus clientes en este terreno, aunque dichas soluciones para ser efectivas desde un punto de vista de los consumidores, deberían estar coordinadas y realizadas de manera conjunta para poder garantizar su efectividad.

Es necesario evolucionar hacia una mayor inteligencia en seguridad y garantizar que los incidentes de seguridad pasen a ser tenidos en cuenta como un riesgo crítico para el negocio. Aunque estas amenazas no siempre se pueden prevenir, sí pueden ser controladas a niveles aceptables.

Lo fundamental para lograrlo es el compromiso de los operadores de telecomunicaciones sobre cuatro principios: la seguridad es ahora un imperativo; las amenazas de seguridad son riesgos para el negocio; la información más valiosa de la empresa debe estar siempre protegida en todos los procesos y situaciones; y las inversiones deberían seleccionarse teniendo en cuenta los activos más críticos, las amenazas del ecosistema y sus vulnerabilidades.

Francisco Javier Santos Ortega es director responsable de Ciberseguridad en IT Advisory de KPMG en España

Artículo publicado originalmente El Mundo el 3 de enero de 2016

Ciberseguridad: las claves de una disrupción más allá de la tecnología

Por Marc Martínez
on 15. 12. 2015

 

En el contexto actual de transformación digital, big data, Internet of Things, y de innovación en general no podemos ignorar las amenazas en materia de ciberseguridad. Si hablamos de innovación y de cómo la están llevando a cabo los bancos, las compañías de telecomunicaciones o las empresas de distribución, no podemos obviar hablar a su vez de cibercrimen, uno de los sectores más innovadores en materia de delitos informáticos. Actualmente se trata de un sector que mueve millones de euros diariamente y que goza de una estructura perfectamente organizada, contando con su propia plataforma de e-commerce (la Darknet o red TOR), medios de pago – muchas veces en forma de dinero virtual como bitcoins-, además de una red de proveedores y finalmente: clientes.

Considerar las ciberamenazas como riesgos que pueden afectar muy seriamente a las compañías se convierte en una cuestión de suma importancia. Los comités de dirección o las reuniones del consejo de las compañías están paulatinamente incorporando las cuestiones de ciberseguridad en sus agendas dentro de proyectos e iniciativas de innovación. Un estudio reciente de KPMG sobre las cuestiones de ciberseguridad, en el que han participado más de 1000 CEOs de 10 países distintos, señala que las ciberamenazas están escalando posiciones en temas estratégicos que preocupan a los directivos. Asimismo, se sitúan en un mismo nivel de preocupación que la fidelización de los clientes o cuestiones de mejorar la relevancia de productos y servicios en los mercados de influencia de las compañías. Todo ello pone de relieve que la seguridad se convierte en un tema estratégico que afecta y tiene que considerar a toda la organización, considerando aspectos de procesos, personas y estructuras. No se trata de un mero tema técnico delegado en el departamento de sistemas.

Asimismo, gracias a este giro estratégico, la ciberseguridad se convierte en un asunto que ayuda a las compañías a ser más agiles, a reducir riesgos y a diferenciarse de la competencia. En este sentido es clave considerar tres aspectos.

  • Los grandes riesgos se pueden reducir en gran parte aplicando medidas de seguridad básicas.
  • Las empresas no pueden proteger al mismo nivel todos sus activos, hay que hacer un análisis de riesgos riguroso estableciendo prioridades.
  • Hay que empezar a considerar las herramientas de ciberinteligencia como un aspecto clave de nuestra estrategia de defensa.

Tenemos que anticiparnos a los cibercriminales, aprendiendo del mercado, nuestro sector y otras empresas similares.

Recientemente participé en FICOD 2015 en el marco del evento organizado por El País Retina para hablar sobre todos estos temas. Aquí tenés un resumen de mi intervención:

Autor: Marc Martínez es socio responsable de IPBR de KPMG en España

Sector Financiero: lo urgente y lo importante

Por Hilario Albarracín
on 22. 06. 2015

El sector financiero español está gozando este año de una relativa tregua en comparación con lo vivido entre los años 2008 y 2014. Se acerca un verano sin revisiones externas ni stress tests y con un entorno financiero que, aunque volátil y difícilmente previsible, nada tiene que ver con los difíciles días del verano de 2012.

Esta tranquilidad aparente no significa que la agenda bancaria no esté cargada de asuntos de la mayor importancia: la adaptación a la nueva supervisión, la implementación detallada de la regulación aprobada en los últimos años, la mejora de la eficiencia y el control de costes, la transformación digital y la ciberseguridad y, sobre todo ello, el reto de la rentabilidad.

No serán los únicos. Los desafíos para las entidades globales son, si cabe, aún más exigentes, al tener que compaginar las distintas exigencias regulatorias -y supervisoras- en los mercados en que están presentes, incluyendo nuevas obligaciones en materia de composición de sus recursos propios y capacidad de absorción de pérdidas.

Para otras entidades de menor tamaño, la cuestión será cómo dar los primeros pasos en una estrategia de internacionalización o, simplemente, sobrevivir en su estado actual cuando el mayor tamaño proporciona claras ventajas en términos de eficacia y rentabilidad.

Cada una de estas cuestiones estará plagada de citas urgentes, de plazos que habrán de cumplirse y de requerimientos de toda índole que habrán de atenderse pero, como siempre sucede, será fundamental distinguir lo urgente de lo verdaderamente importante.

La consecución de un modelo de negocio rentable y sostenible a medio plazo que pueda atraer el interés -y los recursos- de los inversores internacionales es, sin duda, el verdadero reto para las entidades y, seguramente, habrá quienes no puedan lograrlo, lo que abrirá nuevas posibilidades de crecimiento y consolidación para las que tengan un proyecto de éxito.

Habrán de hacerlo en un contexto financiero sin precedentes, el de los tipos de interés negativos, inédito incluso en los momentos más graves de las crisis anteriores, y que representa un gran reto para la rentabilidad bancaria.

El panorama de sus competidores también será nuevo. No sólo habrán de competir con sus rivales tradicionales sino también –y sobre todo- con nuevos proveedores de todo tipo de servicios financieros, a menudo sujetos a una regulación mucho más laxa (incluso no sujetos a regulación alguna) y con ventajas derivadas de su posición tecnológica, su tamaño y presencia global y sus grandes recursos financieros.

Dicho lo cual, soy optimista. Estoy convencido de que los bancos españoles sabrán adaptarse a este nuevo y exigente entorno y competir con éxito con antiguos y nuevos rivales.

En todo caso, está claro que los modelos resultantes serán muy heterogéneos entre sí y que la llave del éxito de unos será inservible para otros. Cada uno de ellos deberá elegir con realismo su camino futuro y, distinguiendo lo importante de lo simplemente urgente, adoptar las medidas necesarias para prevalecer.

Algunas cuestiones no son opinables, todas las entidades habrán de tener al cliente en el centro de su estrategia, eligiendo con sumo cuidado los productos y los servicios que se le ofrecen, cumplir con el más alto nivel de autoexigencia con la regulación que les sea aplicable y afrontar con valentía cambios imprescindibles en el modelo de negocio y los canales de comunicación con sus clientes.

Incluso para seguir siendo lo que son, los bancos tendrán que realizar un gran esfuerzo, y acometer muchos cambios respecto a su ser tradicional.

Esto es particularmente claro en el caso de las entidades globales que han realizado un gran esfuerzo para desarrollar y preservar un gobierno corporativo eficaz a escala global, con políticas sólidas y homogéneas de cumplimiento normativo y gestión de riesgos, lo que resulta para ellos una condición obligada para continuar siendo lo que han sido y poder desarrollar futuras estrategias de crecimiento y expansión.

Los supervisores deberían comprender mejor las características de este tipo de bancos, las ventajas de su estructura basada en filiales y la necesidad económica de que existan y sean capaz de acompañar a los clientes con requerimientos igualmente globales. En suma, también ellos deben distinguir entre lo necesario y lo simplemente urgente.

Autor: Hilario Albarracín. Consejero Delegado de KPMG en España

Fuente: El Mundo. Publicado el 21 de junio de 2015

Los límites de la privacidad: mi vida sin mí

Por Javier Aznar
on 18. 03. 2015

Todo está conectado. Es el leitmotiv de los últimos meses y, seguramente, marcará el devenir tecnológico durante el próximo lustro, hasta los albores del tentador año veinte-veinte. Teléfonos, coches, neveras, relojes, gafas, zapatos, raquetas, cepillos de dientes, todos inteligentes, todos conectados, recopilando información sobre nuestros hábitos y comportamientos, cruzándolos, analizándolos y devolviéndonos… ¿conocimiento?

Pero… ¿para qué? ¿Por qué? La respuesta es sencilla y va grabada a fuego en la condición del ser humano: “Lo hago, simplemente, porque puedo hacerlo”. Igual que ocurrió en otros momentos de revoluciones tecnológicas, el uso se mezclaba con el abuso y se desarrollaban productos y soluciones, no porque fueran útiles, sino simplemente porque el grado de desarrollo alcanzado en ese momento nos lo permitía.

Llegados a este punto, tenemos dos formas de evolución: debemos hacer lo que queramos con la tecnología o, por el contrario, tenemos que permitir que ésta haga con nosotros según le plazca.

Seamos nosotros los inteligentes.

El análisis de datos masivo, la ingente recopilación de información de todos los individuos, ofrece muchas posibilidades en muy diferentes ámbitos, pero ha llegado el momento de plantearse que es lo que queremos compartir, qué información estamos dispuestos a “sacrificar” de nuestra privacidad para obtener qué conocimiento.

¿Te has planteado cuantas de las aplicaciones existentes en tu móvil tienen acceso a tus fotos, agenda de contactos, registro de llamadas, historial de navegación o acceso a tu localización en todo momento? ¿Necesitamos saber los pasos que hemos dado en un día para sentirnos mejor o peor a cambio de registrar todos nuestros movimientos de la jornada? ¿Para compartir la ubicación con nuestros amigos por una app de mensajería es necesario que esta tenga acceso a la misma en todo momento?

Nuestra huella digital es enorme, y eso quesólo acabamos de empezar. Pensemos que el 80% de la población en España no lleva más de 5 años utilizando redes sociales o Smartphones, ¿Cómo estaremos a este ritmo dentro de 10 o 20 años?

Mi vida sin mí.

Con la cantidad de información que una persona ha podido compartir, consciente o inconscientemente, sobre sí mismo, existen algoritmos capaces de generar patrones sobre su comportamiento, gustos o preferencias, de manera que puedan ofrecerle servicios, productos o experiencias completamente ajustadas a su perfil. Cada uno decide si le compensa o no.

Pero si vamos un paso más allá, estos mismos algoritmos que estudian en detalle tus comportamientos, son capaces de reproducir tu siguiente movimiento de manera predictiva, serían capaces de, según tus preferencias, escribir tu próximo tuit o tu siguiente estado en facebook, con las gotas adecuadas de inteligencia artificial y la información que has ido compartiendo, serían capaces de actuar como tú, de ser tú.

En un futuro cercano e inquietante, aunque nuestros cuerpos trasciendan al lapso temporal en que hayamos vivido, nuestras personalidades digitales podrán seguir su propio camino, haciendo tu vida, pero sin ti.

La privacidad es un valor en alza.

Por todo esto, conviene no dejar de lado la privacidad, plantearnos qué compartimos, por qué y con quién, y sobre todo si la información que están recopilando sobre nosotros es necesaria y proporcional para el uso que se le va a dar.

A nivel internacional se están dando pasos importantes para marcar esta línea, los cuales se verán reflejados a nivel europeo con la nueva Directiva en privacidad pendiente de ser aprobada y que tendrá su transposición en la legislación española.

Se avecinan avances, cambios y luchas de intereses, de los que seguro, os mantendremos informados en este blog.

Un post escrito por Javier Aznar, Manager del departamento de IT Advisory de KPMG España o quizá sea un algoritmo que ha estado estudiando sus últimas publicaciones.