Un reciente informe de Verizon reveló que en Estados Unidos durante 2011, se produjo la segunda cifra más alta de incidentes relacionados a la seguridad de la información desde que se comenzó a realizar este estudio en 2004. El reporte dio a conocer que varios rubros como servicios de alojamiento, restaurantes, retail, banca, hospitales, entre otros, fueron afectados por un total de 855 casos de ataques informáticos.
La información es uno de los activos más importantes de toda organización. Un resguardo inadecuado de la misma puede traer consigo graves consecuencias como cuantiosas pérdidas económicas que pueden significar, en algunos casos, hasta la quiebra de una empresa. Frente a este problema, la seguridad de la información plantea tres pilares que deben cumplirse siempre para poder hablar de información segura:
- Disponibilidad: que la información esté disponible para la consulta de los usuarios siempre que los mismos la requieran y no durante un lapso determinad.
- Integridad: la información debe permanecer sin alteraciones de ningún tipo.
- Confidencialidad: la información debe ser accedida sólo por aquellos autorizados.
Según el estudio, del total de los ataques, un 97% de estos podría haber sido evitado mediante la implementación de mecanismos de seguridad adecuados.
Como puede apreciarse en el gráfico anterior, el ataque más común es el acceso no autorizado, es decir, aquel perpetrado por un tercero que mediante la búsqueda de configuraciones inadecuadas o vulnerabilidades, logra obtener acceso a un determinado sistema. Luego, aparecen los códigos maliciosos como la segunda amenaza más común en afectar la seguridad de la información.
Con respecto a estos incidentes, el 79% de las víctimas se debió a amenazas “oportunistas”, es decir, ataques destinados a un público masivo y no específico como el caso de los códigos maliciosos dirigidos tipo Win32/Stuxnet. El 96% de todos estos ataques eran simples o carecían de mayor complejidad, sin embargo, el 85% de los mismos fueron descubiertos semanas después de ocurrido el problema, y en un 92% de las veces, gracias a la ayuda y cooperación de un ente externo a la organización, lo que demuestra que las empresas no sólo carecen de una implementación adecuada de tecnología y gestión para manejar la seguridad, sino que también de un plan de respuesta ante incidentes.
De los atacantes, el estudio asegura que el 98% son individuos externos mientras el 58% estaría relacionado a grupos hacktivistas. Un 4% serían empleados de la misma organización y menos de un 1% la competencia directa del afectado. Por otro lado, en cuanto a la cantidad de personal y el número de incidentes ocurridos, las organizaciones con 11 a 100 empleados fueron las más atacadas sumando un total de 570 casos. Le siguen aquellas que comprenden de 101 a 1,000 personas con 48 reportes.
A continuación se muestra un gráfico que detalla el porcentaje de ataques sufridos para cada rubro contemplado:
Aunque estas estadísticas son poco alentadoras, nunca es tarde para corregir los errores y mejorar la seguridad de una organización. Implementar una solución antivirus con capacidad de detección proactiva, un firewall, una política de seguridad concisa, capacitaciones y educación a los usuarios, ayudará a mitigar cualquier ataque informático que atente en contra de una empresa. Además, recomendamos la lectura e implementación de algunos consejos para saber actuar frente a una vulnerabilidad, evitar ataques de denegación de servicio, y configurar WSUS para aplicar actualizaciones de forma centralizada. Como forma de ayudar a mejorar la seguridad de la información a nivel corporativo, nuestra empresa cuenta con ESET Security Services, unidad de negocios cuyos objetivos son brindar algunos servicios orientados a encontrar vulnerabilidades y fallas de seguridad, medir el real impacto de las mismas, y comprobar el grado de cumplimiento que tiene una organización con respecto a una determinada norma como ISO 27001.
André Goujon
Especialista de Awareness & Research