Embed Size (px)
Citation preview
IDC# LA19004
I D C V E N D O R S P O T L I G H T
Administración del Riesgo y Mitigación de Fraudes en la era de la Transformación Digital Marzo, 2019
Carlo Dávila
Patrocinado por VU Security
En los últimos años, las organizaciones de América Latina han vivido un escenario de vulnerabilidad y alerta sin precedente, especialmente en industrias verticales tales como finanzas, manufactura, telecomunicaciones y comercio. El reporte elaborado por el Banco Interamericano de Desarrollo (BID), junto con la Organización de Estados Americanos (OEA)1, indica que las pérdidas asociadas a ciberdelitos alcanzan los $90 mil millones de dólares anuales en América Latina, lo cual equivale al 15% del impacto económico causado por brechas en ciberseguridad a nivel global. El escenario para las empresas se agrava aún más si consideramos que los ataques se hacen bajo procedimientos cada vez más complejos y con alcance internacional, a fin de lograr la interrupción de operaciones en sistemas bancarios, la sustracción de archivos de organismos públicos y el hackeo en sistemas de transferencias electrónicas, entre otros objetivos. Ante el escenario descrito, en este documento presentaremos el estado de inversión en ciberseguridad y conoceremos cómo la innovación, en el proceso de transformación digital, hace imperativo emprender un nuevo modelo de seguridad para proteger la identidad de los usuarios, administrar el riesgo y mitigar posibles fraudes. También haremos una revisión de la oferta de VU Security para la gestión de identidad y prevención de fraudes.
I. INTRODUCCIÓN
La transformación digital es un proceso continuo a través del cual las organizaciones impulsan cambios
disruptivos en su ecosistema y arquitectura empresarial, a fin de apalancar competencias digitales para innovar
en productos y servicios. A su vez, innovan en sus modelos de negocio para optimizar su eficiencia operacional
y el desempeño de la organización, a fin de brindar mejores experiencias a clientes y empresas. IDC considera
que este proceso debe ser multifacético, comprendiendo las siguientes dimensiones:
◼ Liderazgo, para desarrollar una visión sobre la transformación digital del negocio que añada valor a la
empresa.
◼ Omni-presencia, para hacer la experiencia del usuario más transparente, segura y sin fricción, tanto en
ambientes físicos como virtuales.
◼ Información, para obtener valor de los datos que posee y generar ventajas competitivas.
◼ Operación, para utilizar eficientemente los pilares de la Tercera Plataforma (cloud, social business, movilidad, big data y analítica,) y gestionar de mejor forma los ecosistemas híbridos.
◼ Fuentes de trabajo, para acceder, conectar o impulsar el talento en una economía digitalizada.
1 Ciberseguridad en América Latina y el Caribe, ¿Estamos preparados? 2016, publicado por el Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA).
©2019 IDC 2
A nivel mundial, 65% de las empresas se hallan en las primeras etapas de la madurez en la transformación digital;
y 35% están ya en una etapa madura, de acuerdo con el estudio IDC Investment Trends 2017Q3. Esto contrasta
con América Latina, donde se ha comenzado a avanzar en la transformación digital, aunque aún en las primeras
etapas de madurez, como puede verse en la Figura 1. La mayoría de las empresas, 72%2, no logra aún alinear
sus iniciativas con la estrategia de la empresa, con esfuerzos aislados que todavía no alcanzan a permear al
resto de la organización o cuyas metas se trazan en un corto plazo. Sin embargo, hay industrias en la región que
han mostrado mayores avances en la transformación digital, como es el caso de finanzas, donde 39% de las
empresas son Digital Player y 23% son Digital Transformer, tal como se describe en la misma Figura 1.
FIGURA 1
Estado de Madurez en la Transformación Digital en América Latina
Fuente: IDC Latin America IT Investment Trends 2017Q3
2 IDC Investment Trends 2017Q3
©2019 IDC 3
IDC prevé que para 2020, 40%3 de las principales empresas de la región dependerán de su capacidad de crear experiencias, productos y servicios mejorados digitalmente para generar más negocio en nuevos canales de consumo. Prueba de ello es que las prioridades han cambiado en las organizaciones, como puede verse en la Figura 2. Dichas prioridades de innovación son principalmente la creación de nuevos productos y servicios (38%), para compaginar la experiencia del cliente en canales físicos y digitales (34%) y la monetización de la información (17%) en el sector financiero. Por otro lado, en este mismo sector, la eficiencia se emplea para aumentar la productividad (52%), reducir costos (49%), dar cumplimiento a los requerimientos de la industria (17%) y procurar la privacidad de los datos (9%). Esto último cobra especial importancia en el sector financiero, el cual está sujeto a supervisiones y regulaciones de superintendencias y organismos de gobierno.
FIGURA 2
Principales razones para emprender la Innovación y la Eficiencia
Fuente: IDC Latin America, IT Investment Trends, 2018
El impacto de la orientación a la experiencia del cliente o ciudadano
De acuerdo con el estudio de IDC Latinoamérica IT Investment Trends 2018, 23% de los CIO entrevistados señalaron a la experiencia del cliente como una de sus prioridades de inversión para el 2018. La necesidad de las organizaciones e instituciones de transformar sus procesos en forma disruptiva, para ofrecer servicios diferenciados y mejores experiencias a clientes o ciudadanos, se configura como factor de emprendimiento de proyectos de transformación digital.
Los cambios necesarios, a nivel de infraestructura tecnológica para conseguir dicha transformación, se convierten en elementos que incrementan significativamente el nivel de exposición al riesgo de una organización. De manera que se plantean retos en la postura de ciberseguridad con respecto a:
◼ Simplificación de arquitecturas.
◼ Administración de ecosistemas.
◼ Disponibilidad de profesionales en ciberseguridad.
◼ Eficiencia en el uso de presupuestos.
3 IDC FutureScape 2018, Latin America
©2019 IDC 4
◼ Optimización en la interfaz del usuario.
Los CIO tendrán la necesidad de definir prioridades de desarrollo o fortalecimiento de servicios orientados a la experiencia del cliente para prever el impacto que tendrán en el ecosistema de seguridad de TI y, al mismo tiempo, deberán determinar qué herramientas, combinadas con nuevas tecnologías como Inteligencia Artificial, servirán para el análisis y protección contra fraudes y suplantación de identidad.
El enfoque de ciberseguridad aplicado en la Transformación Digital
IDC considera que cada línea de negocio será impactada de forma directa por la transformación digital. Sin
embargo, el estratega de la Tecnología de la Información (TI), o CIO, es quien sentirá los mayores cambios en
su responsabilidad por los nuevos modelos operativos, la transformación de la información y el acceso a datos
desde múltiples dispositivos. Esto último se comprende porque la transformación digital se basa en tecnologías
de la 3ª Plataforma (cloud, social business, movilidad, big data y analítica) y en el uso de los aceleradores de la
innovación (realidad virtual, Internet de las Cosas o IoT, sistemas cognitivos, robótica e impresión 3D).
Esto requiere la aplicación de un modelo de ciberseguridad específico para la Transformación Digital (ver Figura
3), que revisaremos con mayor detalle en la sección III, Cómo entender la administración del riesgo.
FIGURA 3
Soluciones de Seguridad en la Transformación Digital
Fuente: IDC
©2019 IDC 5
De acuerdo con estudios realizados por VU Security en 2017, por ejemplo, la región de América Latina y el Caribe
es uno de los mercados de e-commerce con mayor crecimiento en el mundo, alcanzando ventas de $72 mil
millones de dólares en 2017. Figura 4.
FIGURA 4
Fraudes en comercio online
Fuente: VU Security, 2017
Tal como se puede ver en este estudio, dentro de los pilares de la 3ª Plataforma que las empresas usan para la
mejora de su negocio, el canal móvil es otro punto crítico si consideramos que la seguridad para e-commerce
puede no ser adecuada para mobile commerce. En la región se reporta un índice de contra-cargos de 1.7%, un
índice de revisión manual de 28% y un índice de rechazo de órdenes de 9.2%. Esto significa que los comercios
llegan a sacrificar una parte importante de órdenes de compra válidas y, por consiguiente, la pérdida de clientes
genuinos y la reducción de ingresos potenciales. La transformación digital es un gran aliado para ayudar a las
empresas a resolver esta problemática y potenciar sus negocios digitales.
II. DEFINICIONES
Las siguientes definiciones son pertinentes para el desarrollo del presente documento:
◼ Servicios de Seguridad - Comprende servicios de TI que abarcan outsourcing, servicios basados en
proyectos, capacitación y soporte. Los segmentos principales se muestran en la Figura 5:
©2019 IDC 6
FIGURA 5
Servicios de Seguridad
Fuente: IDC Worldwide Cybersecurity Services Taxonomy, 2019
◼ Productos de Seguridad - Abarca productos de seguridad para las nuevas arquitecturas, soluciones de
integración y colaboración, administración de nuevas fuentes de información, automatización y analítica en
redes, endpoint, identidad y confianza digital, seguridad AIRO (Analítica, Inteligencia, Respuesta, y
Orquestación), seguridad de datos y AppSec y DevSecOps- AppSecurity (AppSec), como se muestra en la
Figura 6:
©2019 IDC 7
FIGURA 6
Productos de Seguridad
Fuente: IDC Worldwide Cybersecurity Products Taxonomy, 2019
IDC también considera los mercados competitivos, que son aquellos que se superponen a otros mercados de
seguridad, como:
◼ IoT Security - Productos o soluciones diseñados para mitigar riesgos asociados a dispositivos o redes de
dispositivos que consisten en microprocesadores y software, equipados con sensores para recabar y
transmitir datos a otro servicio o función.
◼ Mobile Security - Soluciones diseñadas para proteger dispositivos móviles como smartphones, tablets u otros
que corren en sistemas operativos móviles.
◼ Distributed Denial-of-Service Defense (DDoS) - Soluciones que detectan y mitigan ataques de denegación
de servicio.
◼ Threat Intelligence Security Services - Tecnologías de seguridad predictiva, defensa avanzada contra
amenazas, gestión de amenazas en tiempo real, conocimiento de riesgo situacional y SIEM avanzado.
Para mayor detalle, consultar el reporte IDC's Worldwide Cybersecurity Products Taxonomy, 2019.
◼ Ciberataques - Son maniobras ofensivas de individuos u organizaciones contra sistemas de información, ya
sea en infraestructura, redes, bases de datos. Generalmente son realizados en forma anónima para robar,
alterar, bloquear o destruir un blanco específico.
Entre los ataques más comunes, podemos mencionar:
• Swift Attack – Desvío de fondos a través de cuentas internacionales. Puede ser generado con base en un
software, o bien, en el movimiento directo de dinero impulsado por otro tipo de ataque de robo de
información.
• Identidades Sintéticas - Creación de múltiples identidades falsas basadas en datos virtuales y reales de
ciudadanos. Con ellas se crean cuentas en bancos, financieras y/o entidades de crédito para hacer
ataques coordinados.
©2019 IDC 8
• ATM Cash-out Scheme - Extracción de dinero de los dispositivos sin supervisión. Este tipo de ataques
suele ser coordinado y tener a decenas de atacantes involucrados.
• Malware - Acrónimo de software malicioso (malicious software) que se infiltra, daña u obtiene información
de sistemas de cómputo sin consentimiento del propietario. Usualmente, se hallan dentro de esta
categoría los virus, gusanos, caballos de Troya, spyware y adware.
• Ransomware - De acuerdo con ISACA4, es un malware que restringe el acceso a sistemas
comprometidos hasta que se paga por su rescate. Algunos cifran archivos del sistema operativo
inutilizando el dispositivo hasta que el usuario paga por su rescate. Ejemplos: Mamba y Wannacry.
• Phishing - Suplanta la identidad de una empresa o institución para recabar datos confidenciales de los
clientes, así como sus claves de acceso, a través de correos electrónicos, llamadas y mensajes de texto
que invitan a proporcionar información sensible como contraseñas, nombre y número de tarjeta.
• Distributed Denial-of-Service (DDoS) - Se trata de una acción delictiva que utiliza un botnet (un grupo de
dispositivos infectados y conectados a Internet) y consultas DNS, u otros medios, para enviar
requerimientos de comunicación malintencionados a otros equipos de una red. La finalidad es saturar el
sitio web y/o la red denegando el servicio a usuarios legítimos.
• SMShing (acrónimo de SMS y phishing) - Nueva modalidad de delito basada en técnicas de ingeniería
social con mensajes de texto. Es una variante del phishing que tiene como objetivo suplantar la identidad
de usuarios aprovechando el acceso a la telefonía móvil.
• Pharming - Explota la vulnerabilidad en el equipo de los usuarios finales o el software de servidores
Domain Name System (DNS) para redireccionar el nombre de dominio (domain name) a otro equipo. De
manera que, al ingresar a un determinado nombre de dominio redireccionado, el usuario estará
ingresando a otro dominio elegido por el cibercriminal sin darse cuenta.
• Man in the middle - Emplea estrategias para interceptar la comunicación entre las dos partes afectadas
para luego reemplazar el tráfico entre los componentes. De manera que, eventualmente, toma el control
de la comunicación.
• Vishing - Usa protocolos de voz sobre IP (VoIP, por sus siglas en inglés) e ingeniería de marcación
numérica para atacar a los individuos con determinadas características a quienes por automatización se
les piden datos para verificar, como nombre, número de tarjeta, dirección, entre otros, con lo que es
suficiente para comenzar a realizar cargos en forma fraudulenta.
• Botnets (de robot networks) – Basa su estrategia de ataque en amplias redes automatizadas y distribuidas
de computadoras afectadas que pueden ser controladas simultáneamente para lanzar ataques a gran
escala, como un ataque de denegación de servicio en determinadas víctimas.
Existen servicios de seguridad diseñados para enfrentar estos potenciales riesgos. Los revisaremos más adelante como parte de la identificación de la propuesta de VU Security.
III. CÓMO ENTENDER LA ADMINISTRACIÓN DEL RIESGO
IDC considera que, a fin de desarrollar una estrategia de transformación digital exitosa, la aplicación del modelo
de ciberseguridad debe incluir:
◼ Administración de Identidad (Identity Management) - Incorpora procesos y tecnologías que validan
identidades y asigna o revoca credenciales para su autenticación y privilegios para los usuarios.
4ISACA- Information Systems Audit and Control Association, organización mundial e independiente para el desarrollo, adopción, conocimiento, práctica y uso de tecnologías de información.
©2019 IDC 9
◼ Gestión de Vulnerabilidad (Vulnerability Management) - Considera procesos y tecnologías que validan la
superficie de ataque y gestionan la seguridad para proteger los activos y aplicaciones de la empresa.
◼ Gestión de Confianza (Trust Management) - Comprende procesos y tecnologías que protegen la
confidencialidad e integridad de los datos de una organización conforme se usan a lo largo del ambiente de
tecnología.
◼ Administración de Riesgos (Threat Management) - Incorpora procesos y tecnologías para monitorear
actividades por ataques y acciones sospechosas para investigar, reaccionar, responder y recuperarse de
incidentes que lleguen a ocurrir.
La administración del riesgo se debe entender como una de las cinco dimensiones del modelo de madurez de
ciberseguridad de IDC, que analiza cuatro subdimensiones de enfoque del riesgo, metodologías aplicadas,
estrategia de socios de negocio y aplicación de control en ecosistemas de la organización.
Posteriormente a la aplicación del modelo de ciberseguridad para la transformación digital, IDC define un enfoque
de medición conocido como Modelo de Madurez de Ciberseguridad, el cual permite medir dónde se encuentra o
hasta dónde avanzó una compañía en términos de inversión en ciberseguridad, definir el “Playbook” para mejorar
su estado y los costos asociados a mantener el status quo - Figura 7.
FIGURA 7
Modelo de Madurez de Ciberseguridad
Fuente: IDC, Cybersecurity Maturity Model 2016
©2019 IDC 10
IV RETOS DE SEGURIDAD EN EL SECTOR FINANCIERO
Ataques sin precedentes en la región
De acuerdo con el estudio IDC Latin America Cybersecurity Report 2017, solo 15% de las organizaciones tienen
planes de invertir en soluciones avanzadas contra fraudes, lo cual es preocupante si consideramos los casos
bastante mediatizados de ataques que han sido exitosos en la región y reflejan la naturaleza sofisticada del
cibercrimen:
◼ Mayo de 2018, Chile - Los datos de más de seis millones de personas fueron sustraídos de archivos
confidenciales que estaban resguardados en sistemas informáticos de organismos del sector público en
Chile. El caso llevó al reconocimiento del gobierno federal del país de la necesidad de mejorar los niveles y
estrategias de seguridad en los organismos públicos.
◼ Mayo de 2018, México - Se registró el ataque al Sistema de Pagos Electrónicos Interbancarios (SPEI) que
procesa un gran volumen de transacciones entre instituciones bancarias. La rapidez y la precisión del ataque
(retiros de dinero en minutos desde cuentas no reconocidas) afectó directamente a bancos de renombre en
el país causando pérdidas directas entre $21 y $42 millones de dólares. Las consecuencias fueron más allá
cuando, ante el abrumador impacto del ataque, las financieras se vieron en la necesidad de demorar o
bloquear varias operaciones de los usuarios finales de los bancos.
◼ Agosto de 2018, Perú - Sesiones en Internet, aplicaciones, cajeros y sucursales sufrieron la caída de sus
sistemas en dos bancos de renombre mundial ante posibles incidentes de ransomware. Los bancos habrían
tenido que realizar bloqueos en máquinas y emprender campañas de comunicación sobre activación de
protocolos de forma preventiva, sin confirmar públicamente que dichos ataques sucedieron.
◼ Octubre de 2018, México - Una de las principales aseguradoras del país fue blanco de un ciberataque en sus
sistemas de pago, provocando alerta roja para todos sus empleados, colaboradores y usuarios. Más de 16
instituciones que participan en el Sistema de Pagos Electrónicos Interbancarios (SPEI) se vieron en la
necesidad de desconectar sus sistemas en forma preventiva.
Cumplimiento en requerimientos regulatorios
Como se menciona en la primera sección del presente documento, una de las prioridades de las empresas es el cumplimiento de requerimientos regulatorios, por lo que la seguridad empresarial debe considerar la protección de datos privados para cumplir con las disposiciones regulatorias de su país. A partir de mayo de 2018, se ha puesto en vigor el Reglamento General de Protección de Datos (GDPR) para reforzar y unificar la protección de datos de personas dentro de la Unión Europea, así como también la exportación de datos personales fuera de dicha unión. Como podrá comprenderse, esto afecta a cualquier tipo de organización e impacta directamente en el almacenamiento, procesamiento, acceso, transferencia y divulgación de datos de una persona. El no cumplimiento de esta disposición puede generar sanciones equivalentes al 4% de la facturación global de una empresa.
El efecto de esta ley ha permeado a otras regiones, ya que empresas que ofrecen productos o servicios a
empresas o residentes de Europa están también sujetas al mismo reglamento. Esto ha resultado en la creación
de leyes y sanciones en varios países de América Latina - Tabla 1.
©2019 IDC 11
TABLA1
Ley de Protección de Datos en Países de América Latina
País Ley Entidad acreditada por la Red Iberoamericana
de Protección de Datos (RIPD)
Sanción
administrativa
Argentina Ley de Protección
de Datos
Personales - Ley
26.343
Dirección Nacional de Protección de Datos
Personales (DNPDP).
Desde mil pesos a 100 mil
pesos.
Brasil Ley de Protección
de Datos
Autoridad de Protección de Datos. 2% de los ingresos de la
empresa (máximo 50
millones de reales
brasileños).
Colombia Ley de Protección
de Datos 1581
Superintendencia de Industria y Comercio-
Delegación de Protección de Datos Personales
(SIC).
Hasta 1.300 millones de
pesos colombianos.
Chile Ley de Protección
de Datos
Personales
Consejo para la Transparencia (CplT). 1 a 5 mil UTM (Unidad
Tributaria Mensual).
México Ley Federal de
Protección de Datos
Personales en
Posesión de
Particulares
(LFPDPPP)
Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos. Personales y Rendición de Cuentas de la Ciudad de México (INFODF).
Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios (INFOEM).
De 200 a 320 mil días de
salario mínimo vigente en
Ciudad de México.
Perú Ley de Protección
de Datos
Personales
Autoridad Nacional de Protección de Datos
(APDP).
Desde 1 hasta 50 Unidades
Impositivas Tributarias
(UIT).
Fuente: Red Iberoamericana de Protección de datos, 2018.
Los requerimientos de las regulaciones específicas de industria, y aquellos de las instancias y/o normativas de
alcance nacional, precisan de un análisis que involucre las iniciativas de mejora tanto de experiencia al cliente
como de servicios al ciudadano. Este análisis debe enfocarse en:
◼ La agilidad y dinamismo en el consumo de productos y servicios.
◼ La irrupción de un número cada vez más grande de competidores nativos digitales en verticales como, por
ejemplo, finanzas (Fintech).
◼ La apertura de canales modernos de consumo y comunicación con clientes y ciudadanos.
◼ El potencial cambio en la postura de seguridad de la organización, generado por los puntos previamente
mencionados.
©2019 IDC 12
En el caso del sector finanzas, de acuerdo con el Fintech Radar Latin America, las Fintech en la región están
creciendo de manera sostenida y con un mayor volumen de operaciones en ciertas categorías de servicios como:
pagos y remesas, préstamos, tecnologías empresariales para instituciones financieras, scoring e identidad y
fraude, crowdfunding o financiamiento colectivo, entre otros.
En este escenario, las organizaciones necesitan acompañar sus iniciativas de transformación digital con
soluciones que habiliten el manejo de procesos que hoy son remotos y que han migrado a nuevas plataformas.
Entre dichas soluciones se encuentran:
• Identidad y Confianza Digital.
• Administración de Identidad y Accesos.
• Autenticación Avanzada y Biometría.
• Seguridad Analítica.
• Prevención de Fraude.
El cumplimiento de estas disposiciones no solo previene sanciones monetarias, sino que también contribuye a crear una reputación positiva de las empresas, generando confianza de sus clientes en el servicio y la propia marca, haciéndola aún más competitiva. El no cumplimiento de estas regulaciones supone no solo un costo operativo y de remediación, sino también un impacto enorme sobre la marca, que puede ser crítico en una industria altamente competitiva como, por ejemplo, finanzas.
Al mismo tiempo, estas leyes evolucionan para generar espacio a nuevas tecnologías que permiten, por ejemplo,
la apertura remota de una cuenta bancaria, la gestión de la prueba de vida para un plan social o bien, la gestión
de un crédito hipotecario sin necesidad de presencia física del ciudadano. La evolución regulatoria está
beneficiando ampliamente a los ciudadanos, ya que están enfocadas en:
• Propiedad de la identidad: tanto GDPR como las distintas leyes citadas en nuestra región tienen como
objetivo brindarle al ciudadano la certeza de quién custodia su información y comenzar a brindar
herramientas para poder ejecutar su derecho de propiedad.
• Experiencia de uso: la habilitación de nuevos y novedosos canales de verificación de identidad permite
la creación de servicios 100% remotos.
De esta forma, se empodera al usuario a hacer más, de una forma más sencilla y alineada a sus expectativas
personales, al mismo tiempo que las empresas y organismos públicos se vuelven más ágiles, digitales y, sobre
todo, más competitivos. El conjunto de estos sucesos crea un ambiente propicio para la competencia, así como
la mejora de costos, donde la innovación será el diferencial.
V. ESTADO DE INVERSIÓN EN TI Y EN CIBERSEGURIDAD
Inversión en TI y ciberseguridad en América Latina
La inversión total en TI ha crecido anualmente de 2016 a 2017 un 9.6%, con un valor de $108,407 millones de
dólares, esperando cerrar el año 2018 con un crecimiento de 2.2%. Con respecto a la inversión empresarial, se
sigue una misma tendencia de crecimiento, de 8.1% del 2016 al 2017, con un valor de $53,069 millones de
dólares, esperando cerrar el año 2018 con un crecimiento del 4.8%, impulsado por las principales iniciativas de
TI del 2018: seguridad de TI, consolidación y optimización de la infraestructura y movilidad, entre otras.
©2019 IDC 13
De acuerdo con IDC Latin America Black Book, Q1 2018, las empresas de América Latina distribuyen su
inversión principalmente en servicios de TI (45.7%), software (31.7%) y hardware on-premise (21%), destinando
únicamente 1.7% a Infrastructure as a Service (IaaS), lo que contrasta con otras regiones como Europa
Occidental (55.9%, 33.1%, 9.5% y 1.5%, respectivamente) y Estados Unidos (45.9%, 28.8%, 24.3% y 1%), con
menor inversión en hardware on-premise.
Con respecto a seguridad, el estudio IDC Latin America Threat Intelligence and Security Solutions by Industry, 2017, señala que, al 2021, el gasto en soluciones de seguridad crecerá 12% (CAGR) en comparación con cifras
del 2017, alcanzando el valor de $4.2 mil millones de dólares. El mismo reporte indica que las empresas se
inclinarán más a comprar servicios de seguridad (CAGR 14.3%, al 2018). La razón de este comportamiento es
que las organizaciones buscan compensar la falta de personal calificado en ciberseguridad. Otros factores son:
la necesidad de administrar ambientes heterogéneos de infraestructura de diferentes proveedores y la reducción
hasta del 15%. en los presupuestos de TI, al mismo tiempo que se demanda al CIO o CISO resultados más
inmediatos y visibles.
Inversión por industria
De acuerdo con el estudio IDC Latin America Threat Intelligence and Security Solutions by Industry, 2017, las
empresas que más concentran la inversión en ciberseguridad son de finanzas, manufactura y gobierno,
representando el 25%, 19% y 12% respectivamente del total del gasto en la región. También se destaca que en
estas mismas industrias se esperan recortes de hasta un 40% en presupuestos de ciberseguridad.
IDC observa que los cibercriminales han modificado sus estrategias de ataques de acuerdo con los riesgos
propios de las industrias:
◼ Finanzas – Los atacantes antes se enfocaban en los activos de la organización financiera que podían
explotarse durante un período corto; ahora, se enfocan en los activos que pueden monetizarse en un largo
plazo. Además, se dedican a realizar ataques cada vez más personalizados por subsegmento de mercado
(banca, seguros, inversiones, entre otros). Hoy, 1 de cada 4 dólares en seguridad de TI es invertido por
empresas de la industria de finanzas, asignando 52% del gasto en servicios de seguridad. Se espera una
migración de inversión en seguridad desde CPE (Customer Premises Equipment) hacia servicios, como
resultado de recortes en los presupuestos que manejan los CIO/CISO. Alrededor del 40% de las
organizaciones de este sector percibe a la ciberseguridad como un habilitador de negocios o componente
clave en el presupuesto.
◼ Manufactura – Las organizaciones en esta industria perciben un incremento en amenazas específicamente
destinadas hacia sistemas de control industrial, tales como SCADA (Supervisory Control And Data Acquisition), la vulnerabilidad en información de la propiedad intelectual, datos en sensores de IoT y también,
en la red dentro del piso de producción. El reto es mayor para estas empresas cuando el 80% de ellas tiene
previsto realizar cortes en su presupuesto de ciberseguridad. Este sector se muestra más orientado a la
inversión en productos de seguridad (CAPEX), lo cual es preocupante por exponerse a la obsolescencia en
infraestructura que comprometa la seguridad no solo de su operación, sino de toda la cadena de valor en su
ecosistema.
◼ Gobierno – Las dependencias en este sector emprenden iniciativas de seguridad movidas por la necesidad
de proteger datos sensibles de ciudadanos y hacer cumplir regulaciones y requerimientos en sus organismos.
IDC espera que este sector del mercado se oriente más a servicios compartidos de seguridad, modelos de
servicios CHESS y outsourcing. Sin embargo, solo el 19% de las organizaciones públicas considera que la
seguridad es un componente clave del negocio. En tanto, el 67% de ellas realizará reducciones en su
presupuesto de ciberseguridad.
◼ Telecomunicaciones – Las empresas de esta industria tienen la particularidad de consumir productos de
seguridad para sus organizaciones, al mismo tiempo que son canales de venta y construyen capacidades
©2019 IDC 14
internas para monetizarlas a través de una oferta de servicios de seguridad. No obstante, solo el 28% de
estas organizaciones considera a la ciberseguridad como componente clave en el presupuesto de TI.
◼ Comercio - Este sector se enfrenta a grandes cantidades de información de sus clientes dentro del proceso
de servicio y entrega de productos, así como también de aspectos de intercambio monetario. Por lo tanto, no
sorprende la preocupación sobre datos personales y las transacciones financieras con clientes, proveedores
y asociados de negocio, además de los riesgos asociados a la movilidad. Las empresas de comercio se
orientan más a los servicios de seguridad. Con todo, únicamente el 28% de estas organizaciones percibe a
la ciberseguridad como un aspecto crítico del negocio.
El escenario de presupuestos reducidos y amenazas cada vez más personalizadas resultan en una oportunidad
de perfilamiento con base en los riesgos propios de la industria y el aprovechamiento de soluciones avanzadas
con capacidades de conocimiento e inteligencia artificial para contrarrestar ciberataques más personalizados y
agilizar la labor de un reducido staff experto en ciberseguridad.
Los retos en América Latina
VU Security se enfrenta al reto de continuar fortaleciendo su presencia en el mercado de América Latina y el resto
del mundo. Para esto, es crucial ampliar su red de canales y sumar también alianzas con expertos en riesgo por
cada una de las verticales de interés incluyendo banca, retail, gobierno y Oil&Gas, entre otras. Al igual que otras
empresas del sector, se halla en un entorno demandante de respuestas inmediatas, donde debe ser capaz de
ayudar a sus clientes a encontrar soluciones prontas y efectivas ante necesidades como estas:
◼ Los modelos de inversión y la asignación de presupuestos en las organizaciones de América Latina. En la
región, el total de la inversión en TI empresarial es superado hasta en un 122% aproximadamente por las
pérdidas asociadas a ciberdelitos, las cuales equivalen a $90 mil millones de dólares anuales; de acuerdo
con el reporte Ciberseguridad en América Latina y el Caribe, ¿Estamos preparados? 2016, publicado por el
Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA).
◼ Infraestructuras complejas provistas y administradas por múltiples proveedores en un mismo ecosistema, lo
cual dificulta la tarea de un staff reducido de TI y eleva los costos operativos y administrativos de TI.
◼ Retos en la administración de presupuestos cada vez más reducidos y donde al mismo tiempo, de acuerdo
con el IDC Latin America Cibersecurity Report 2017, el 24% de los CIO/CISO espera encontrarse con costos
más elevados para invertir en TI.
◼ Alta rotación y brechas de conocimiento en staff de seguridad de TI. Alrededor de 74%5 de los CIO consideran
difícil contratar personal experto en ciberseguridad. Asimismo, 45%6 de ellos reconocen la falta de
especialización de su staff en soluciones de seguridad. Al 2019, IDC prevé que 4507 mil puestos de trabajo
en ciberseguridad no serán cubiertos satisfactoriamente.
◼ Necesidad de resultados a corto plazo que los puede llevar a trabajar sin un plan estratégico, y generar una
infraestructura cada vez más fragmentada y compleja de administrar.
En tanto, es innegable el valor de los pilares de la 3ª Plataforma en la transformación digital; la propia innovación
hace necesario modificar la postura de la empresa sobre sus prioridades. De acuerdo con el estudio IDC Latin America Investment Trends 2017, los CIO en la industria de finanzas están priorizando sus iniciativas en
seguridad de TI, movilidad y experiencia del cliente- Figura 8.
5 IDC Latin America Cybersecurity Report 2017 6 Ibid. 7 Ibid.
©2019 IDC 15
FIGURA 8
Prioridades de TI
Fuente: IDC Latin America IT Investment Trends, 2017
En América Latina, la mayoría de las organizaciones de este sector (el 50%) invierte hasta 10% de su presupuesto
de TI en ciberseguridad. Adicionalmente, distribuye su inversión en soluciones de seguridad de TI como sigue:
18% en hardware, 33% en software y 49% en servicios, con una tasa de crecimiento de 11.2% anual. También,
hay que considerar que más de 45% de las empresas financieras no tienen planes de invertir en ciberseguridad
en cloud y movilidad, ambos pilares con tendencia a crecer en la región.
Esto es preocupante, dado que 85%8 de los responsables de ciberseguridad (CISO) consideran que los endpoints
más vulnerables son las laptops y desktops de Windows, seguidos por los teléfonos inteligentes y las tablets del
mismo sistema operativo. Figura 9.
8 IDC Latin America Cybersecurity Report 2017
©2019 IDC 16
FIGURA 9
Vulnerabilidad de Endpoints
Fuente: IDC Latin America Cybersecurity Report 2017.
Asimismo, es importante considerar que los ataques más frecuentes, y relacionados con el secuestro de datos y
robo de identidad son: 1) Phishing, hasta más de 6 ataques en 12 meses, 84% de origen externo; 2) Malware y
Malvertising, con casi 5 incidentes en un año, 76% de origen externo; 3) ataques a contraseñas, con casi 4
incidentes al año, 86% de origen externo.
VI. BENEFICIOS DE LA ADMINISTRACIÓN DE RIESGOS
IDC propone emprender el camino hacia la administración de riesgos con base en el modelo de madurez en
ciberseguridad para:
◼ Hacer foco en el riesgo, de acuerdo con el modelo de negocio y a los requerimientos de la industria, así como
también simplificar la administración de soluciones en el ecosistema.
◼ Fomentar el uso de metodologías aplicadas para la automatización e integración mediante plataformas de
ciberseguridad que reduzcan el impacto de falta de personal especializado en ciberseguridad.
◼ Definir una estrategia de seguridad con los socios y colaboradores en la cadena de valor, así como también
considerar modelos de servicios en seguridad que agilicen la entrega de resultados en corto plazo.
◼ Aplicar el control más allá de la empresa, en especial cuando el negocio se desarrolla en ecosistemas
complejos y diversos países.
©2019 IDC 17
V. LA RESPUESTA DE VU SECURITY EN PREVENCIÓN DE FRAUDES Y PROTECCIÓN DE DATOS
VU es una compañía multinacional enfocada en la prevención de fraude y la protección de la identidad. Provee
soluciones de autenticación robusta de la identidad de los ciudadanos mediante la combinación de los controles
tradicionales de ciberseguridad con geolocalización, machine learning, reconocimiento de documentos de
identidad y el análisis del comportamiento del usuario, lo que da como resultado soluciones modulares de
prevención del fraude, que incluyen reconocimiento facial y de voz, así como otras opciones de autenticación.
Más de 80 clientes en 18 países de América Latina, incluyendo gobiernos, bancos y empresas de retail, integran
la tecnología de VU en sus plataformas existentes para proteger la información confidencial. Entre los clientes se
encuentran Banco Santander (Fortune 500), el Banco de la República de Uruguay (NYSE), Prisma, Falabella
(Forbes 2000) y Globant (NYSE). VU está alineada con las buenas prácticas de autenticación internacional como
parte del Tech Accord, Endeavor, la Alianza FIDO, Open Authentication Alliance (OATH) y Open Connectivity
Foundation (OCF).
A través de marketplaces conocidos en el mercado, alianzas estratégicas en software, redes e infraestructura
que pueden complementarse en un mismo proyecto determinado, y más de 80 canales (distribuidores, fabricantes
ISV e integradores) en América Latina, la empresa acerca más de 14 soluciones al mercado que incluyen análisis
de comportamiento, administración de identidades en la nube, biometría (tales como voz, reconocimiento facial),
firmas digitales y administración de certificados, entre otras.
Su enfoque en el ciudadano o usuario le permite implementar una estrategia de prevención de fraude y protección
de identidad modular contemplando todas las etapas del flujo de negocios: la creación de un perfil digital de un
ciudadano, el crecimiento como cliente y/o consumidor, el acompañamiento durante problemáticas como robo o
recuperación de identidad y fraude, así como la baja exitosa del perfil resguardando la propiedad de datos del
usuario.
La tecnología desarrollada por VU es a través de un orquestador de microservicios, lo que permite el consumo
directo a través de un API Gateway. Su portafolio de soluciones para el mercado financiero se adapta a
estándares internacionales y regulaciones de cada país, bajo un modelo flexible de negocios para ambientes
cloud y on-premise:
◼ Secure Onboarding Process - Es una solución para gestionar el ciclo de vida del ciudadano o usuario durante
el proceso de transformación digital desde el momento en que la persona da de alta un servicio, hasta la baja
del mismo. Permite la autenticación de personas en forma remota desde cualquier dispositivo donde se pueda
utilizar la cámara.
◼ VU Face Recogn - Plataforma biométrica orientada a la implementación masiva de autenticación facial para
validar la identidad mediante análisis de la distancia y profundidad de puntos clave del rostro, color de cabello
y piel, así como de movimientos y acciones, como un guiño o una sonrisa. Su funcionalidad evita la
suplantación de identidad.
◼ VU Voice Recogn - Es una plataforma biométrica de triple factor de autenticación basada en la detección de
voz que brinda Fe de Vida remota a través de la voz del usuario con base en algoritmos para reconocimiento
de patrones de voz en distintas formas.
◼ VU Fraud Analysis - Es una solución de prevención de fraude multi-canal que utiliza Machine Learning para
crear perfiles inteligentes y evitar fraudes. Alerta de un posible fraude cuando una transacción sale de los
parámetros habituales.
La propuesta de VU es la simplicidad para customizar soluciones de rápida implementación, capaces de
automatizarse e integrarse con el ERP y CRM de la organización. La empresa ofrece sets de soluciones de
manera que los usuarios puedan ir escalando en otras soluciones del portafolio de VU. Su modelo de
licenciamiento es flexible por consumo, transacción o Enterprise License Agreement (ELA) para diferentes
modelos de cómputo.
©2019 IDC 18
El soporte a las soluciones de VU es proporcionado en dos niveles: 1) a través de sus canales de distribución,
quienes constantemente reciben capacitación y certificaciones en ciberseguridad avanzada; 2) directamente con
personal de VU como fabricante de las soluciones para requerimientos puntuales de los clientes. Su portafolio de
servicios de seguridad para mitigar y controlar ataques incluye:
◼ Prevención de Fraude – Utiliza Machine Learning para crear perfiles inteligentes. Con base en reglas
determinadas por el cliente, información del dispositivo que se utiliza y horarios de conexión y el aprendizaje
continuo, se generan alertas de un posible fraude cuando una transacción sale de los parámetros habituales.
◼ Protección de la Identidad - Ofrece soluciones de biometría, como reconocimiento facial y de voz, para
garantizar que la persona es quien dice ser, proteger su identidad y prevenir el robo de identidad.
◼ Identificación Ciudadana - Los canales digitales tienen como objetivo la creación de perfiles con base en
información de documentación ciudadana nacional. Se brinda la garantía de quien se incorpora al servicio y
se realizan chequeos de veracidad contra dicha documentación.
◼ Análisis de comportamiento y Device Fingerprint - Para identificar dispositivos permitidos y huellas en
dispositivos (a fin de identificarlo), se recopilan datos técnicos y propiedades de los dispositivos del usuario
que se conectan a un sistema en línea. A partir de esta identificación, un algoritmo de VU genera reglas que
previenen el robo de identidad en línea y el fraude electrónico. La huella digital registrada en el dispositivo
permite predecir la probabilidad de fraude en función de la información de su perfil.
◼ Pruebas de Usabilidad - Para conocer los niveles de usabilidad de uno o varios flujos del producto medidos
en términos de efectividad, eficiencia y satisfacción para establecer aspectos a optimizar o mantener en el
producto.
◼ CSIRT- Servicio de respuesta ante incidentes de seguridad que pueden poner en riesgo la reputación de la
empresa o entidad (phishing, por ejemplo) y se ofrecen reportes de malwares y eliminación aplicaciones
móviles maliciosas en marketplaces.
VI. CONCLUSIÓN Y GUÍA ESENCIAL
IDC considera que, en el camino hacia la transformación digital, se debe seguir un modelo de madurez en
ciberseguridad para emprender estrategias de seguridad acordes a la 3ª Plataforma, nuevos ecosistemas y
ambientes de cómputo, además de poder hacer frente a ciberamenazas más verticalizadas y sofisticadas con el
mismo staff y menor presupuesto.
Guía esencial
◼ Definir un plan de acción sobre un balance entre la experiencia de cliente deseada y los requerimientos de
ciberseguridad inherentes a la misma. Considerar los requerimientos necesarios para analizar prioridades de
desarrollo o fortalecimiento de servicios y el impacto en la infraestructura, ecosistemas y plataformas de TI.
◼ Realizar un análisis del ecosistema total de TI derivado de la transformación digital para definir una estrategia
de ciberseguridad acorde a la infraestructura en el ecosistema de la organización y los nuevos modelos de
negocio.
◼ Considerar que el cumplimiento de disposiciones locales e internacionales impacta directamente en el
almacenamiento, procesamiento, acceso, transferencia y divulgación de datos de clientes y proveedores. El
no cumplimiento puede resultar en un alto impacto monetario, además de afectar la confianza y
competitividad de su empresa.
©2019 IDC 19
◼ Perfilar su estrategia con base en los riesgos propios de la industria de su empresa. Recordar que los
cibercriminales conocen su negocio y están dispuestos a ser constantes y pacientes para monetizarse sobre
sus activos en un largo plazo.
◼ Considerar que un modelo de inversión enfocado en productos de seguridad (CAPEX) puede exponer a su
empresa a la obsolescencia en infraestructura que comprometa la seguridad no solo de su empresa, sino a
lo largo de la cadena de valor en su ecosistema.
◼ Establecer una estrategia de seguridad con base en servicios y en el aprovechamiento de soluciones
avanzadas de analítica, Inteligencia Artificial (IA) y sistemas cognitivos que permitan contrarrestar
ciberataques más personalizados y agilizar la labor de un reducido staff experto en ciberseguridad, dentro de
un ambiente complejo con un creciente número de dispositivos. La centralización de las actividades de
procesamiento y análisis de operaciones que toma provecho de estas nuevas soluciones de seguridad
combinadas con IA es otro punto de acción importante a considerar.
◼ Apoyar sus decisiones en servicios de profesionales en seguridad para construir casos de uso y justificación
de soluciones de seguridad de acuerdo con los requerimientos y regulaciones de la industria en que se
desarrolla la organización.
◼ Evaluar el costo de contratación, capacitación y certificación de personal calificado en soluciones de
ciberseguridad con recursos propios de la empresa y comparar números contra los servicios ofrecidos por
proveedores de soluciones de seguridad. Dada la complejidad y la relevancia de la ciberseguridad como se ha analizado en el presente documento es indudable la necesidad de apoyarse en servicios de consultoría por parte de expertos en la materia para el diseño, evaluación y auditoría de una estrategia de seguridad adecuada, así como para el constante monitoreo y rastreo de amenazas e indicadores de riesgo que garanticen la continuidad de su negocio.
Fuentes
IDC's Worldwide Cybersecurity Products Taxonomy, 2019
IDC's Worldwide Cybersecurity Services Taxonomy, 2019
IDC Latin America Threat Intelligence and Security Solutions by Industry, 2017
IDC Latin America Security Solutions Report
IDC Latin America Public Cloud Services Tracker
IDC Latin America Cybersecurity Report 2017
IDC Data Age, 2017
IDC Future Scape 2018, Latin America
©2019 IDC 20
Acerca de IDC
International Data Corporation (IDC) es la principal firma mundial de inteligencia de mercado, servicios de consultoría, y eventos para los mercados de Tecnologías de la Información, Telecomunicaciones y Tecnología de Consumo. Con más de 1,100 analistas alrededor del mundo, IDC provee experiencia mundial, regional y local sobre las tendencias y oportunidades en tecnología e industria en 110 países.
El análisis y conocimiento de IDC ayuda a los profesionales de TI, ejecutivos de negocios y la comunidad de inversión, a tomar decisiones fundamentadas sobre tecnología y a alcanzar los objetivos clave de negocio. Fundada en 1964, IDC es una subsidiaria de IDG, la empresa líder en medios de tecnología, investigación y eventos. Para conocer más acerca de IDC, por favor visita www.idc.com y www.idclatin.com
Síguenos en Twitter como @IDCLatin / @IDC
IDC Latinoamérica
4090 NW 97th Avenue Suite 350, Doral, FL, USA 33178 +1-305-351-3020 Twitter: @IDCLatin www.idclatin.com www.idc.com
Aviso de Derechos de Autor
Todos los estudios de IDC son Derechos Reservados © de IDC, 2019. Todos los derechos reservados. Todos los materiales de IDC
están licenciados bajo autorización de IDC y el uso o publicación de los estudios de IDC de ninguna manera indican el respaldo de
IDC respecto de los productos o estrategias del patrocinador..
Copyright © 2019 IDC. Prohibida su reproducción total o parcial, por cualquier medio o forma, sin la autorización expresa y por
escrito de su titular.
