La cantidad de incidentes de seguridad a nivel global creció 48% durante 2014, hasta alcanzar los 40 millones. Pero a pesar del creciente riesgo y los gastos asociados a brechas de seguridad, la inversión en seguridad cayó.
Estos y muchos otros datos se desprenden del Global State of Information Security Survey 2015 realizado por la consultora PwC, que reveló que hasta mayo de 2014 los incidentes de seguridad registrados en el mundo fueron 42.8 millones, el equivalente a 117.339 ataques por día. Estos se están volviendo más costosos para las organizaciones, ya que se ha estimado un costo de 2.7 mil dólares por incidente, lo que representa un aumento del 34% respecto a 2013.
¿Cuál es el panorama en Latinoamérica?
En los últimos años, la región ha trabajado en la implementación de prácticas de seguridad claves y continúa mejorando, pero está empezando a retrasarse en otros aspectos importantes, según el documento. Este año, las organizaciones detectaron menos incidentes de seguridad que en 2013, y la inversión en seguridad cayó un 24% -el decrecimiento más notorio de todas las regiones evaluadas.
Sin embargo, ante la pregunta de qué sucederá con el gasto en seguridad durante los próximos doce meses, el 73.8% de las compañías aseguró que aumentará.
Latinoamérica reporta una alta incidencia de amenazas internas, en particular relacionadas a antiguos empleados. El reporte afirma:
El crecimiento en los incidentes causados por factores internos podría acarrear serias implicancias, porque los crímenes de actores internos son a menudo más costosos o dañinos que aquellos perpetrados por grupos externos. Cuando las organizaciones pasan por alto las amenazas que residen en sus ecosistemas, los efectos pueden ser devastadores. Aún así muchas compañías no tienen un programa contra amenazas internas, y por lo tanto no están preparadas para prevenir, detectar y responder ante ellas.
A continuación podemos ver en detalles los diversos orígenes de los problemas en las compañías:
Como podemos ver, proveedores y socios también se incluyen entre las fuentes de ataques informáticos en Latinoamérica, además de los cibercriminales.
Hay una notable paradoja: según los hallazgos de PwC, la región es líder en iniciativas estratégicas como la inclusión de una política para alinear la inversión en seguridad con las líneas de negocio más rentables, y la implementación de medidas de seguridad en dispositivos móviles. Además, las compañías de la región son propensas a colaborar con otros para mejorar la seguridad y tener un Chief Information Security Officer (CISO) a cargo. Pero, sin embargo, presentan un compromiso muy débil en lo que respecta a concientización y capacitación de empleados.
Esto es preocupante si tenemos en cuenta que la educación es un pilar fundamental para garantizar realmente la seguridad de la información. Por ejemplo, de nada sirve tener una excelente política de seguridad o mantener la solución de seguridad actualizada si los empleados introducen datos sensibles en sitios de phishing y entregan esa información.
Desde ESET hemos presentado este año nuestro propio ESET Security Report, que analiza el estado de la seguridad en las compañías de América Latina, y los resultados son en gran parte similares a los que obtuvo PwC. Pudimos concluir que se invirtió más en seguridad informática y que los departamentos específicos cobraron más relevancia; no obstante, no se toma total conciencia de la magnitud que podrían tener los incidentes internos.
Por esta razón, es necesario fortalecer los controles sobre lo que se encuentra puertas hacia adentro y representa el capital más importante: los colaboradores. La implementación de medidas de seguridad tradicionales es satisfactoria en la región, pero no se realizan actividades suficientes para prevenir incidentes relacionados con trabajadores, que son el principal origen de problemas según el reporte de PwC, como vimos anteriormente.
De todas formas, es reconfortante el hecho de que el 47% de las compañías asegura tener una estrategia de seguridad implementada, mientras el 29.64% se encuentra trabajando en ello para garantizar que los activos importantes, como la información, están a salvo.