Si hay alguien que conozca lo que se siente aguantar un ciberataque paralizante es Michael Lynton.

Lynton dirigió a Sony Entertainment cuando fue el objeto de un ciberataque masivo en diciembre de 2014. Los hackers, que fueron vinculados al gobierno de Corea del Norte, hicieron caer los sistemas computacionales de la compañía y filtraron películas del estudio y correos con información sensible. Lynton dijo que esto dejó al estudio en modo de crisis por “fácil” cinco meses.

"Fue uno de esos momentos en que la empresa o caía por el precipicio y no sobrevivía… o lo lograba, a través de la acción colectiva”, dijo Lynton en la cumbre anual de CEOs Lerer Hippeau Ventures en Nueva York este miércoles.

Es una situación en la que se encontrarán indudablemente muchos negocios. Las organizaciones de todo el mundo se tambalean después de un ciberataque global de gran escala que fue lanzado la semana pasada. Los investigadores han encontrado vínculos potenciales con los mismos hackers norcoreanos.

Lynton dijo que el hackeo a Sony se produjo después de una amenaza de Corea del Norte donde se exigía a Sony no producir The Interview, una comedia sobre intentar asesinar a Kim Jong-Un. En ese momento, Lynton dice que Sony tomó lo que creyó fueron las precauciones necesarias. Pero no sabían lo que Corea del Norte era capaz de hacer.

El ejecutivo, quien anunció su retiro como director de Sony en enero de 2017, compartió algunos consejos, incluyendo una lección personal que obtuvo del hackeo.

"Mi correo ahora es respaldado en un disco duro cada 10 días”, dijo Lynton, en una conversación con el socio director de Lerer Hippeau Ventures, Kenneth Lerer. "Para mí, esa es la solución. Ponerlo en un cajón y cerrarlo”.

Lee: Cómo protegerte del virus informático 'WannaCry'

Lynton dijo que las firmas no deberían mantener archivos de salud, números de seguridad social y otros documentos importantes en sus servidores, ya que podrían ser hackeados. Si los ejecutivos se encuentran en un escenario como este, deben permanecer “ridículamente optimistas”.

"Tienes que ir al trabajo todos los días y decirles a todos a tu alrededor: Vamos a salir de esto”, dijo. “Hice un esfuerzo concertado para mantener esa mirada optimista en el rostro cuando llegaba al trabajo… no quieres ser como Pollyanna, pero ayuda mucho hacer esto”.

Lynton, quien es director ahora de Snap, dijio que su función en Sony efectivamente, y acertadamente, cambió, pues estaba manejando la crisis a tiempo completo. “No puedes, bajo ninguna circunstancia, delegar autoridad en ese punto”.

from Expansión | Rss http://ift.tt/2pMgh1d
via IFTTT

En México, 88% las empresas, tienen la percepción de acatar la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP); sin embargo, esto no es así.

Casi la mitad, 48%, incumple con al menos uno de los requerimientos de la ley, lo cual pone en riesgo la información de los ciudadanos y deja expuestos los datos a ciberataques como el reciente WannaCry.

Juan Carlos Carrillo, director de Ciberseguridad y Privacidad de datos de PwC México, detalló que para las firmas, la percepción de cumplimiento con la ley se limita solo a contar con un aviso de privacidad en su página de internet, con el que cuentan 87% de las empresas, pero esto no es ni cercano a la suficiencia.

LEE TAMBIÉN: WannaCry revela carencia en temas de ciberseguridad en México

“La problemática más grave es que no sólo es necesario contar con el aviso de privacidad para cumplir con la ley. Si no hay sanciones más fuertes y nada que los obligue, si no hay un incentivo real, no se va a hacer”, dijo el directivo.

El estudio realizado por la consultora PwC tomó en cuenta las acciones de 300 empresas a nivel nacional, incluídos 24 estados.

En 2016, se contabilizaron 85 millones de pesos en multas por incumplimiento de la LFPDPPP.

Para los analistas, a pesar de existir esta ley y sanciones, tanto económicas como penales a quienes no las lleven a cabo, la aplicación de la legislación ha sido laxa e igual que las acciones y exigencias de los usuarios para presionar al sector privado a cumplir con la protección de sus datos personales.

Más que un aviso

Una de las evaluaciones para poder proteger los datos de los usuarios es contar con un equipo de monitoreo de la información de manera interna, del cual carecen 48% de las empresas.

Carrillo advierte que al no contar con esto, las empresas recaban y almacenan grandes cantidades de información, pero no saben dónde están, ni les dan uso óptimo, ya que para que esto suceda, se requiere de un equipo de personas especializadas en gestión de datos. De la muestra solo 26% dijo tener una oficina dedicada a privacidad.

Al sumar estos dos factores, el analista, advirtió que cuando un usuario hace una requisición para ejercer sus derechos ARCO, como solicitar que las empresas borren su información, éstas, no tienen capacidad de respuesta.

“Solo una de cada cuatro empresas tiene un sistema para verificar que sí se borren los datos de los usuarios”, dijo.

La carencia de estas herramientas aumenta la exposición a un ciberataque, como el reciente ransomware WannaCry, ya que al no tener un sistema de verificación o bien al no realizar, por medio de un equipo especializado, un análisis de retorno de inversión para conocer el valor de los datos que almacenan, su respuesta ante una vulnerabilidad cibernética es casi nula.

“54% no tiene un procedimiento para responder ante un robo de información, además la mayoría tarda más de seis meses en darse cuenta que fue atacado”, dijo.

El estudio detalla que 38% de las empresas tarda al menos un año en detectar un robo de información, mientras 29% al detectarlo no cuenta con acciones concretas a seguir. El resto tarda alrededor de seis mesas.

“Estas cifras son muy graves y tristes porque la ley tiene siete años en operación”, dijo Carrillo.

Además de no contar con protocolos de respuesta, las empresas no realizan la inversión adecuada en sistemas de protección de datos.

“Si para cubrir ciberseguridad invierten cinco millones de dólares, para privacidad, es menos porque no existen presupuestos específicos para ello, lo toman de varias partes de la empresa”, dijo Fernando Román, también socio de la práctica de ciberseguridad en PWC.

En este sentido, el estudio destacó que 45% de las empresa dijo que no piensa invertir en este tipo de protecciones el próximo año.

Los analistas ven como consecuencia de estas carencias los efectos que tuvo en México el ransomware WannaCry, que ubicó al país como la nación más vulnerado en la región y cuarto en el mundo, según Kaspersky Lab y otras organizaciones.

LEE TAMBIÉN: WannaCry costará 4,000 mdd

Sin embargo, a pesar del foco de las vulnerabilidad de México, el Consejo Nacional de Seguridad (CNS) detalló que sólo se registraron cuatro casos oficiales.

“En México estos datos son como los muertos en el 85, la autoridad decía una cosa y nosotros sabíamos que eran muchos más, pero es un problema cultural”, dijo Carrillo.

Hacia adelante y de frente a las nuevas legislaciones en la materia, de Europa y Estados Unidos, los analistas advirtieron que será necesario hacer modificaciones a la ley y homologar los estándares para subir la barra.

from Expansión | Rss http://ift.tt/2qwQQ0T
via IFTTT