Por Alessandro Porro – VP Ventas Internacionales de Ipswitch
Buenos Aires, 13 de junio del 2012.— Sobran tipologías, cifras, estadísticas y soluciones, al momento de indagar acerca de los delitos virtuales. Sin embargo, muchas veces la cantidad de información no guarda correspondencia con su calidad, es por esto que resulta interesante y apropiado analizarla para despejar algunas inquietudes recurrentes de los usuarios IT, de todos los niveles, y sugerir de qué manera podríamos evitarlas, además de cuáles son los costos estimativos de mitigación y prevención.
Algunas tendencias
Atrás quedaron los días en que los delitos en línea se relegaban a bromas realizadas por «script kiddies», vandalismo web, por la simple emoción del mismo. Según el estudio más reciente del Dr. Larry Ponemon, la causa fundamental del costo de fuga de datos en 2011, tuvo que ver con empleados negligentes y ataques maliciosos. Los ataques maliciosos perpetrados por hackers o internos penales equivalen al 39% en la encuesta del Dr. Ponemon y representan los delitos más costosos. El informe también mostró que las herramientas más utilizadas por los ciber delincuentes son agentes electrónicos, tales como: virus, malware, gusanos y troyanos.
La versión más reciente de 2012 Data Breach Investigation Report tomó los resultados de la encuesta del Dr. Ponemon, asegurando que «los incidentes relacionados con la piratería y los malwares subieron considerablemente el año pasado». Según este informe, el 81% de las violaciones de datos analizados por el Verizon RISK team fueron por algún tipo de piratería informática (hasta un 31% más respecto al año anterior) y el 69% utilizó algún tipo de malware (un 20% más respecto al año anterior).
Otro desarrollo interesante de los delitos virtuales en el año 2011 fue el surgimiento del «hacktivismo», en contra de las organizaciones más grandes de todo el mundo. El informe cita que «si bien estos grupos de activistas representan una proporción relativamente pequeña del total de los casos en 2011, malversaron más de 100 millones de discos”. Eso es casi el doble del número de registros comprometidos robados por los delincuentes cibernéticos motivados por cuestiones financieras. Verizon RISK team indica que el foco de los delincuentes financieros sigue centrándose en objetivos pequeños, más débiles, que presentan un riesgo menor. Los “hacktivistas”, en cambio, ejecutan ataques a gran escala.
Los dos informes mencionados, aseguran que los criminales cibernéticos están en busca de los blancos más fáciles para lograr acceso a los datos de clientes y empleados – que luego venden para obtener ganancias. Las organizaciones deben asegurar sus redes para proteger la información y demostrar que están haciendo lo correcto en materia de seguridad IT.
El costo promedio de la mitigación
Siguiendo el informe del Dr. Ponemon, este año en Estados Unidos los costos promedio por fuga de datos en una organización se redujeron por primera vez en 7 años, de US$7,2 millones a US$5.5 millones. Además, el costo por registro se redujo de 214 dólares (2010) a 194 dólares (2011), con un descenso del 9%.
Según la investigación, las organizaciones están cada vez mejor preparadas con respecto al manejo de los gastos para responder y resolver las violaciones de los datos. En segundo lugar, disminuyó el número de clientes que abandonan las empresas como consecuencia de una violación de datos. Así, parece que las compañías están tomando medidas más apropiadas para mantener la lealtad de su base de clientes y reparar los daños a su reputación después de estas infracciones a su seguridad. De esta forma, con las certezas estadísticas sobre las ciberamenazas, pareciera que la mentalidad de los clientes se está cambiando, entendiendo que las brechas de datos son sólo una parte de los negocios y que los datos no siempre están resguardados con cualquier proveedor.
El reporte también indica que los costos por la detección del incumplimiento se han reducido progresivamente en 2011, mientras que el costo por notificar a las víctimas de las violaciones ha aumentado. Se estima que el aumento de los requisitos reglamentarios que rigen las notificaciones de violación de datos, impactó en los costos de las alertas. Las notificaciones y las respuestas rápidas de las organizaciones pueden costar US$33 o más, por registro comprometido y el hecho de no poder determinar con exactitud el número de personas afectadas deriva en que se envíe notificaciones a más personas de las necesarias, lo que lleva a una mayor rotación de clientes, además del costo adicional.
La preparación de empresas ante los ataques
«Una onza de prevención equivale a una libra de cura», fue la expresión que utilizó Benjamín Franklin para ayudar a transmitir qué es mejor tratar de evitar los problemas antes que corregirlos una vez que suceden. Aplicado a los ciberataques, esperar solucionar estos inconvenientes puede resultar muy costoso para una organización y muchos lo descubrieron al momento de responder a las violaciones de datos.
Las investigaciones de 2012 sobre brechas de datos de Verizon respalda el consejo de Ben en lo que respecta a la gestión de los registros de una organización. Según este último informe, el 1% de las infracciones analizados por Verizon RISK team fueron descubiertas a través del análisis del registro, mientras que el 84% de esas violaciones eran detectables a través de evidencia. El porcentaje de infracciones descubiertas con el análisis de registros subió hasta un 8% en grandes organizaciones. Aún así, este es un porcentaje bastante pequeño, dado que los registros del sistema ofrecen información sobre anomalías. Las estadísticas nos llevan a considerar que, o bien:
- Las organizaciones no mantienen ni usan sus registros para identificar el comportamiento inusual del sistema
- O, se mantienen registros, pero no se toman las ventajas de los datos disponibles en ellos.
De acuerdo con Verizon Risk team, la revisión diaria básica y su análisis, resultan más eficaces que casi todos los otros métodos, cuando internamente se descubren anomalías.
Se debe realizar entonces, un enfoque preventivo para detectar anomalías e infracciones internamente. Muchas organizaciones ya están registrando datos de negocios críticos para servidores y dispositivos. ¿Por qué no tomar ventaja de estos datos que están a su alcance? A menudo, los administradores se ven abrumados por la gran cantidad de datos que se generan en su sistema y los registros del dispositivo. Sin embargo, existen soluciones de gestión de registros que pueden ayudar a las organizaciones a automatizar, alertar e informar sobre anomalías en los datos que se manejan dentro de los sistemas. Estas herramientas pueden ayudarle a:
- Recopilar y consolidar volúmenes de datos de registro de todo tipo de infraestructura y de aplicaciones que contienen datos personales de los empleados o clientes de manera automática.
- Identificar y reportar con inmediatez los eventos no autorizados, como cambios en el acceso o permiso a los archivos o carpetas que contienen datos confidenciales.
- Proporcionar un análisis minucioso de las secuelas de la localización de un evento de seguridad, exactamente donde la política de seguridad falló.
- Almacenar, de forma segura, los datos de registro utilizando algoritmos criptográficos para evitar su manipulación (información clave al momento de aportar pruebas de registro original ante un tribunal).
- Simplificar las auditorias y usar reportes out of the box, que validen el cumplimiento de los reglamentos, normas y demás políticas internas con las que su organización debe cumplir.
Cada empresa se enfrenta a diferentes desafíos en su intento de mitigar el impacto de una violación de datos. Con los “chicos malos” utilizando técnicas nuevas constantemente, cada vez más organizaciones están migrando a la seguridad para incidentes complejos y métodos de gestión de eventos y optan por simplificar su estrategia de seguimiento y minería de registros de datos en busca de anomalías.
En la Unión Europea, Canadá y Estados Unidos, los requisitos de protección de datos ayudan a las organizaciones a hacer lo correcto para proteger, tanto los datos de los clientes como de empleados y están haciendo cumplir las sanciones a empresas que son negligentes en la protección de información sensible. En el futuro, las organizaciones deberán ser proactivas en este sentido, y así podrán aprovechar los registros de los datos que ya están recolectando para reducir la exposición ante los intrusos, la pérdida por malware, el daño a su reputación y las responsabilidades legales.