Mirada a los TOP 9 DE RIESGOS EN CLOUD CSA y su relación con el negocio.

CSA lanza las principales amenazas para la computación en la nube: Deep Dive

Debemos entender la labor de CSA sobre las tecnologías CLOUD y su papel influyente en la generación de buenas prácticas para el uso de las mismas. En el Paper titulado “Top Threats to Cloud Computing: Deep Dive” recientemente lanzado se identifica los principales riesgos de seguridad en la nube, cómo encajan en un mayor análisis de seguridad.

Cobertura de “máxima amenaza” por estudio de caso

A continuación se resumen los 9 principales, tecnologías de caso de estudios y la relación entre las brechas de seguridad vistas.

LinkedIn (Amenazas principales: incumplimientos de datos, identidad insuficiente, administración de credenciales y de acceso, secuestro de cuentas, denegación de servicio, vulnerabilidades de tecnología compartida)

¿Como afecto al negocio?


Financiero: La investigación forense y los gastos posteriores al incidente fueron de aproximadamente $ 1 millón. Además, una demanda colectiva otorgaron un total de $ 1.25 millones a las víctimas que tenían una cuenta premium durante la violación de 2012.


Operativo: La empresa emitió dos notificaciones a los usuarios para restablecer las contraseñas: primero en 2012 y nuevamente en 2016. En 2016, los usuarios que una cuenta se vieron obligados a restablecer sus contraseñas de nuevo.


Cumplimiento: LinkedIn no protegió adecuadamente los datos del usuario. Esto es una violación de las reglas locales, nacionales y de la Unión Europea (UE) / regulaciones (por ejemplo, GDPR). Las infracciones pueden dar lugar a sanciones, incluidas multas.


Reputacional: LinkedIn fue demandada por la pérdida de datos, pero no se dio cuenta de los impactos negativos en el uso del servicio a largo plazo.

MongoDB (amenazas principales: fallas en los datos, identidad insuficiente, administración de credenciales y de acceso, interfaces y API inseguras, información privilegiada maliciosa, pérdida de datos)

¿Como afecto al negocio?


Financiero: Cientos de millones de dólares en gastos de auditoría, recuperación de incidentes, reembolso legal y multas.


Operacional: Los impactos operacionales incluyen el tiempo y el esfuerzo necesarios para restaurar archivos a partir de datos de respaldo.


Cumplimiento: Una violación de las regulaciones estatales y federales en los EE. UU. (Incluida la Ley de Privacidad), acuerdos entre empresas (B2B) y obligaciones de privacidad del usuario. Conforme a la legislación mexicana, los datos de los votantes se clasifican como “estrictamente confidenciales” y la divulgación no autorizada podría ser castigado con una pena de hasta 12 años de prisión.


Reputacional: Las infracciones de datos pueden dañar significativamente la reputación de una empresa. La utilización de MongoDB fue generalizada. Además de el evento de exposición a datos electorales en México, otras violaciones de datos de PII organizacionales relacionadas con MongoDB también afectaron los resultados.

Dirty Cow (amenazas principales: identidad insuficiente, administración de acceso y credenciales, vulnerabilidades del sistema)

¿Como afecto al negocio?


Financiero: El impacto financiero puede variar, dependiendo del tipo de sistema afectado. Las organizaciones son más propensas a sanciones financieras derivadas de infracciones relacionadas con la exposición, que incluyen: pactos de privacidad invalidados; convenios de protección de datos; financiero crímenes (lavado de dinero, fraude, adquisición de cuentas); o tráfico de bienes y servicios ilícitos.

Operativo: La pérdida de control de datos y sistemas crea garantías reducidas sobre la integridad de los datos, la fidelidad, el linaje y la procedencia que afectan
la calidad de la capacidad de toma de decisiones operativa y comercial.


Cumplimiento: Las infracciones de cumplimiento pueden caer dentro del ámbito soberano y / o internacional, como el consumidor, la privacidad, la seguridad, la financiación,
y violaciones de cumplimiento de protección de datos.

Reputacional: Pérdidas financieras, operaciones interrumpidas y multas y multas de cumplimiento que afectan negativamente el valor de la marca. Como resultado, dudas se plantean sobre el personal de gestión organizacional y su capacidad para supervisar con eficacia los objetivos y las responsabilidades. Esto también puede incluyen una pérdida de confianza del consumidor y una percepción disminuida de la calidad de la marca.

Zynga (amenazas principales: violaciones de datos, identidad insuficiente, administración de credenciales y acceso, información privilegiada maliciosa)

¿Como afecto al negocio?

Financiero: Para la competencia de Zynga probablemente se cosechó considerables negocios y tecnología ventajas competitivas. Para Zynga, esto probablemente resultó en una disminución de los ingresos a largo plazo, así como una disminución en el valor de las acciones.


Operativo: Zynga se vio obligado a asignar tiempo y recursos para una investigación (técnica, legal y operativa por igual). Adicionalmente, las estrategias comerciales y las hojas de ruta de productos requerirán nuevas estrategias de desarrollo.


Cumplimiento: Los controles débiles asociados con el robo de datos son potencialmente en violación de la Ley Sarbanes-Oxley, y podrían tener resultó en multas.


Reputacional: El cliente y los socios son más reacios a confiar en Zynga con su información confidencial, lo que obstaculiza el desarrollo de la empresa. adopción de productos y capacidad de perturbar los mercados.

Net Traveler (amenazas principales: incumplimientos de datos, amenazas persistentes avanzadas, pérdida de datos)

¿Como afecto al negocio?


Financiero: Las infracciones de datos pueden dar como resultado una reducción en las ventas de ofertas competitivas, así como multas y penalidades de GDPR. Datos corruptos / perdidos pueden da como resultado un análisis ineficiente e ineficaz y una mala toma de decisiones, lo que se traduce en una reducción de las ventas y costos adicionales.


Operativo: Los datos no disponibles o inutilizables para procesar transacciones, análisis y toma de decisiones pueden interrumpir las operaciones y retrasar y / o afectar la calidad del proceso de toma de decisiones. Los datos obtenidos por los competidores pueden reducir la ventaja competitiva.


Cumplimiento: Los datos recopilados, manejados o divulgados de manera incorrecta (incumplimiento) pueden dar lugar a violaciones de las normas locales, nacionales e internacionales / regulaciones (por ejemplo, GDPR).


Reputacional: Pérdidas financieras, operaciones interrumpidas y multas y multas por cumplimiento de GDPR pueden afectar el valor de la marca. Como resultado, confianza
sobre el personal de gestión de la organización y su capacidad para supervisar la seguridad de la empresa y otras responsabilidades se ve socavada

Yahoo! (Amenazas principales: incumplimientos de datos, pérdida de datos, insuficiente diligencia debida)

¿Como afecto al negocio?


Financiero: Dependiendo de qué sistemas se hayan visto comprometidos, los gastos financieros asociados con la infracción fueron probablemente significativos para la empresa. Desde pérdidas diarias de negocios / ventas hasta costos operativos de restauración. Más visiblemente, las revelaciones pusieron en peligro una oferta de adquisición de Verizon pendiente en 2016. Si bien la compra se finalizó más tarde, el precio de venta final se redujo en aproximadamente $ 350 millones por motivos relacionados con la violación.


Operativo: Yahoo! no solo notó el impacto de la brecha !: toda la industria informática sintió impactos operacionales debido a la puro volumen de contraseñas potencialmente reutilizadas.


Cumplimiento: Yahoo! es responsable del 50 por ciento de las obligaciones en efectivo incurridas relacionadas con investigaciones gubernamentales no pertenecientes a la SEC, así como
como un litigio de terceros conectado a las infracciones. Además, los pasivos que surjan de los juicios de los accionistas y las investigaciones de la SEC
continuar siendo responsabilidad de Yahoo !.


Reputacional: La violación y la divulgación tardía plantearon preguntas interna y públicamente, específicamente en relación con el valor estratégico de Verizon adquisición de la empresa y la importancia del precio / costo de resolver los problemas de seguridad. Ha habido numerosas demandas de accionistas.

Zepto (Amenazas principales: incumplimientos de datos, pérdida de datos, abuso y uso nefasto de servicios en la nube)

¿Como afecto al negocio?

Financiero: Dependiendo de qué sistemas se vieron comprometidos, los gastos financieros asociados con la infracción fueron probablemente significativos para  abarcar desde pérdidas diarias de negocios / ventas hasta costos operativos de restauración. Los eventos recientes también sugieren que algunas organizaciones pueden pagar el rescate. Esta práctica es altamente desaconsejable, ya que los ingresos simplemente financian mejores vectores de ataque de ransomware (ver NoMoreRansom.org).

Operativo: los impactos operacionales incluyen el tiempo y el esfuerzo necesarios para la restauración de la copia de seguridad de archivos.

Cumplimiento: los impactos en el cumplimiento pueden incluir multas y responsabilidades, como avisos de divulgación o multas impuestas por los reguladores.

Reputacional: la organización afectada podría sufrir golpes reputacionales si existe una pérdida externa de acceso al servicio. Tales impactos son visible y notable para los clientes de la organización y el público en general. Las notificaciones de incumplimiento pueden dañar gravemente la organización reputación, especialmente para organizaciones en industrias / ubicaciones específicas

DynDNS (amenazas principales: identidad insuficiente, administración de credenciales y acceso, denegación de servicio)

¿Como afecto al negocio?


Financiero: Hubo dos consecuencias principales del incidente. (1) Para clientes Dyn: el tiempo de inactividad resultó en pérdidas comerciales, al igual que el costo de restaurar dominios caídos Estas cifras, sin embargo, son difíciles de calcular. (2) Para Dyn: Hubo costos operativos de restauración y una pérdida de varios clientes importantes. Estos detalles, sin embargo, no fueron informados.


Operativo: Los dominios clave de los clientes no estaban disponibles, incluidos Twitter y Snapchat.

Cumplimiento: no existe un impacto de cumplimiento directo para Dyn, ya que sus datos no se vieron comprometidos. Para las empresas que usaron los servicios de Dyn, Es posible que haya habido problemas de cumplimiento relacionados con el nivel de servicio (SLA), dada la duración del tiempo de inactividad.


Reputacional: Si bien este ataque no se debió a una falla o vulnerabilidad en el sistema de Dyn, la reputación de la compañía se vio afectada sin embargo. La responsabilidad principal de este incidente recae en los fabricantes y propietarios del dispositivo IoT, así como en el protocolo diseño de servicios de nombres de dominio.

Cloudbleed Top Amenazas: Incumplimiento de datos; Vulnerabilidades de tecnología compartida)

¿Como afecto al negocio?


Financiero: el incidente creó interrupciones mínimas en el servicio de Cloudflare, y no se divulgaron los impactos más grandes a los clientes de Cloudflare.

Operativo: Los impactos operacionales incluyeron el tiempo y el esfuerzo necesarios para restablecer las contraseñas; adicionalmente, las credenciales pueden haber estado expuestas.

Cumplimiento: La información confidencial, como datos PII o registros de salud, podría haberse filtrado debido a Cloudbleed. Una violación de la confidencialidad de dichos datos generalmente conduce a impactos en el cumplimiento, como multas o investigaciones. Afortunadamente, no se informó
incidentes relacionados con este ataque Cloudbleed.

Reputacional: Cloudflare probablemente experimentó algunos impactos reputacionales para una compañía de seguridad, ya que la vulnerabilidad llevó a una pérdida en
confidencialidad para sus clientes.

El documento continúa esbozando los dominios recomendados de la Matriz de Controles de Nube (CCM), ordenados según la frecuencia con la que los controles dentro de los dominios son relevantes como control de mitigación. [Las mitigaciones y controles aplicables a los nueve estudios de casos cubren 13 de los 16 dominios de la matriz de controles de la nube (CCM).]

El Grupo de trabajo de amenazas principales de CSA es responsable de proporcionar el contexto necesario para ayudar a las organizaciones a tomar decisiones educadas sobre la gestión de riesgos con respecto a sus estrategias de adopción de la nube. CSA invita a empresas e individuos interesados ​​a apoyar la investigación y las iniciativas del grupo. Las empresas y las personas interesadas en obtener más información o unirse al grupo pueden visitar la página Grupo de trabajo de las amenazas principales.

Artículo original: https://cloudsecurityalliance.org/media/press-releases/csa-releases-top-threats-to-cloud-computing-deep-dive/

Descarga documento: https://downloads.cloudsecurityalliance.org/assets/research/top-threats/top-threats-to-cloud-computing-deep-dive.pdf

 

¿Qué te pareció?

¿Conoces lo que hace el Cloud Security Alliance?

¿Aún crees que la Ciberseguridad es un gasto innecesario?

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: