| El lado oscuro de Internet también está en Facebook:click acá!
El Computer Security Institute y el FBI publicaron la Computer Crime and Security Survey de este año; en el webcast que tuvo lugar el miércoles pasado, Robert Richardson (CSI) inició, entre otros, indicando cómo el promedio de las pérdidas ocasionadas a causa de delitos informáticos, según reportaron los encuestados, se redujo de casi 3.100 millones de dólares en 2001 a aproximadamente US$200.000 durante el año pasado. De entrada, antes de entrar en detalles estadísticos, esta reducción llama mucho la atención, no cree usted?
Otros datos que llaman la atención:
– De las empresas que sufrieron algún incidente de seguridad durante el año anterior, solamente el 9.1% los reportó a la policía (law enforcement en general); el 39% no reportó el hecho a nadie ajeno a la organización; el 19% intentó identificar al atacante (o sea que más del 80% no se preocupó por saber quién fue el atacante!!!); y, el 73% instaló actualizaciones de seguridad en su red.
– Los encuestados calculan que, en promedio, una infección de virus les puede causar pérdidas de casi US$34.000; y, el robo de un laptop/desktop o PDA les puede causar una de casi US$32.000. Curiosamente, aún hay quienes creen no necesitar antivirus y menos de la mitad usa encripción para datos almacenados; así que el robo de equipos es la segunda causa de mayores pérdidas, pero aún así no todos encriptan los datos contenidos en ellos…
Sigamos con otros datos de la encuesta:
– De los encuestados, el 17% pertenece al sector financiero, 14% a sector de consultoría, 11% a Tecnologías de Información, 9% a sector de manufacturas, 7% a sector salud y 8% al gobierno federal, siendo estos los sectores que tuvieron una mayor participación.
– Curiosamente, por cantidad de empleados las empresas que más participaron fueron las que cuentan con entre 1.500 y 9.999 empleados (26%) y entre 1 y 99 empleados (22%), es decir, las más grandes compañías y las de menor tamaño (si asumimos a este como un factor para determinarlo).
– Por cargo de quien respondió la encuesta por cada compañía, y como era de esperarse, los que más participaron fueron aquellos responsables de la seguridad de la información: Oficiales de Seguridad, 23%; y, Chief Information Security Officers, 13%. Sin embargo, curiosamente, los dos siguientes lugares los ocuparon los sysadmins, con 12% (que se puede entender debido a la multiplicidad de funciones que deben asumir en algunas entidades) y los CEOs mismos, con 7% (este porcentaje me llama particularmente la atención). Quedaron muy mal parados los Chief Privacy Officers, que consiguieron solamente un 1% de participación.
– Respecto del porcentaje que del presupuesto de tecnología es invertido en seguridad de la información, el 26% de las empresas dedica entre el 1% y el 2%; el 21% de las compañías invierte menos del 1% en seguridad y solamente 13% de los encuestados invierte más del 10% de su presupuesto de tecnología en este rubro.
– Por nivel de revenue, las empresas que reportan uno superior al billón de dólares invierten US$199 por empleado en seguridad de la información; mientras que aquellas que reportan un revenue inferior a US$10¿000.000 invierten en este rubro US$1.349 por cada uno de sus empleados.
Sacando algunas rápidas conclusiones de estas cifras, salta a la vista el hecho de que en todos los sectores de la industria estadounidense hay ya una conciencia cierta acerca de la importancia de asegurar adecuadamente la información. Esto se ve claramente si tenemos en cuenta que participaron entidades de sectores tan variados como educación, transporte, telecomunicaciones, salud y legal.
Y, afortunadamente, esa conciencia parece estar concentrada en quienes ostentan cargos directivos dentro de sus organizaciones: el 35% de los encuestados fueron directores ejecutivos, que equivalen en Colombia a presidente (CEO) y vicepresidentes. Poco a poco se va logrando que éste deje de ser un tema privativo de los ingenieros que manejan los bits y los bites día a día.
Respecto de la inversión en seguridad de la información, lamentablemente, permanece la tendencia de antaño: casi la mitad (47%) de los encuestados invierte menos del 2% de su presupuesto de tecnología en nuestro rubro. Desafortunadamente esta encuesta no discrimina la inversión por sector de industria; nos toca hacer la tarea de revisar el estudio del Servicio Secreto sobre el sector financiero (de los demás sectores tal vez el Departamento de Comercio publica algo, pero no tengo certeza; nunca he buscado).
Veamos más cifras:
– El 98% de los encuestados usa firewalls (todavía hay empresas que no lo hacen!!!), el 97% usa antivirus (esto es más increíble aún: queda un 3% que dice no necesitar protección contra virus), el 79% usa software anti-spyware… llama la atención que solamente el 38% dice usar herramientas forenses. Esto puede querer decir que o los investigadores forenses digitales del sector privado están en la primavera de su negocio (en parte es así) o que las empresas no tienen idea de qué hacer con la evidencia digital y, por consiguiente, la pierden cuando más es requerida (también es así, en parte).
– En cuanto a las técnicas usadas para evaluar la eficacia de la seguridad, a la cabeza están las auditorías internas (82%), seguidas por las pruebas de penetración y el uso de herramientas automatizadas (ambas con 66%). El ethical hacking sigue reinando, aparentemente…
– De las empresas encuestadas que durante el año pasado sufrieron una intrusión no autorizada (aquellas que fueron hackeadas) el 76% instaló parches para cerrar las vulnerabilidades que aún tenían (es decir que casi la quinta parte de las empresas no actualizó parches!!!). Y solamente el 11% reportó el caso a su abogado (créanme, un abogado que conozca este tema le puede significar un muy grande beneficio a una empresa que haya sido hackeada…).
– Curiosamente, a pesar de que el promedio diario de ataques ascendió, pasando de un tímido 10 en el primer semestre de 2004 hasta 57 en el segundo semestre de ese mismo año y en el primero de 2005, viniendo de un promedio de 15 ataques diarios en 2003, el promedio de pérdidas ocasionadas con motivo de un incidente de seguridad se redujo, como ya dije arriba, de 3.100 millones de dólares en 2001 a US$200.000 en 2005. La enorme favorabilidad de este cambio puede deberse, probablemente, a que las organizaciones han implementado arquitecturas de seguridad que han sido efectivas y han visto un ROI que justifica la inversión en seguridad de la información: a la constancia en la inversión en este rubro ha seguido un decremento en los perjuicios causados por cada incidente. Esto parece reforzarse por el promedio de incidentes severos en los últimos años: Symantec, en sus Internet Security Threat Reports, indica que el 43% de los incidentes presentados en el segundo semestre de 2001 fueron categorizados como severos (es decir, fueron incidentes de una entidad tal que pudieron tumbar servicios efectivamente, detener áreas de producción de las organizaciones afectadas e implicar acceso a información realmente crítica, en términos generales); de casi la mitad en 2001, pasamos a, en el primer semestre de 2003, un 11% de incidentes severos del total de incidentes presentados.
Creo que esta encuesta, como siempre, deja lecciones bien importantes que a todos sirven:
– Los encuestados reportaron menores niveles de severidad en los incidentes que detectaron y promediaron menores pérdidas por cada uno de ellos; esto indica que es necesario ser constante en la inversión en seguridad, así no se disponga de un presupuesto enorme, como muchos quisiéramos.
– Tenemos que seguir evangelizando las áreas directivas de las compañías; cuántos presidentes de empresa cree usted que responderían una encuesta sobre este tema en Colombia? Creo que no muchos, francamente; así que necesariamente debemos seguir enseñándoles y abriéndoles los ojos; y cabe plantear una pregunta, que bien podría ser una afirmación: ¿una buena administración es capaz de lograr que invertir, en seguridad de la información, menos del 2% del total del presupuesto de tecnología sea suficiente?
– Fundamental: que las empresas tomen conciencia acerca de la importancia de denunciar los incidentes a las autoridades, según hayan sido categorizados en la Política de Seguridad y en el Plan de Respuesta a Incidentes.
– Clave: si su empresa no ha adquirido herramientas forenses y usted no tiene entrenamiento, sepa a quiénes puede recurrir y conozca sus tiempos de respuesta según el nivel de gravedad de los incidentes que se le puedan presentar. Lógicamente, conozca cuánto le van a costar y tenga en cuenta que en Colombia, lamentablemente, aún no somos concientes de la importancia de, en el sistema acusatorio, contratar investigadores privados (los investigadores forenses digitales son eso en últimas).
* Aclaración: información utilizada con autorización de Robert Richardson, Computer Security Institute – Director.
Carlos Álvarez Cabrera
blogladooscuro @ gmail.com
——–
Comentarios