Las grandes empresas –o por lo menos un porcentaje significativo de ellas– al parecer han escuchado el mantra de los expertos en seguridad de la información por décadas, y han invertido lo suficiente en materia de seguridad para que sea difícil, costoso y arriesgado para los ciberdelincuentes atacarlas.
15 de las peores violaciones de datos
Así que los delincuentes están buscando formas más fáciles y seguras de ganar dinero –al atacar a las empresas más pequeñas, de acuerdo con el informe “Verizon 2012 Data Breach Investigations Report (PDF)“, un estudio realizado por el equipo de riesgo de Verizon con la cooperación de la Policía Federal de Australia, la unidad holandesa nacional de crimen de alta tecnología, informes de Irlanda y el Servicio de Seguridad de la Información, la Unidad Central de Policía contra el Crimen Electrónico, y el Servicio Secreto de los Estados Unidos”.
El director de investigación de seguridad de Verizon, Wade Baker dijo al The Inquirer en Londres, que los criminales cibernéticos producen en masa sus técnicas de ataque y las dirigen a las empresas pequeñas y medianas (PyMes).
Hablando desde el Centro de Operaciones de seguridad de Verizon en Dortmund, Alemania, Baker dijo que las PyMes son “blancos fáciles” para el crimen cibernético organizado en comparación con las grandes empresas.
“Los cibercriminales se han dado cuenta de que si su objetivo es hacer dinero, atacando a una gran organización que está bien defendida y, probablemente, tenga vínculos con las agencias de aplicación de la ley, esta es una opción de alto riesgo”, dijo.
Una producción en masa, un ataque masivo ataque contra las organizaciones más pequeñas con menos defensas tiene “un riesgo muy bajo”, dijo Baker.
¿Qué deberían hacer las organizaciones más pequeñas? Obviamente no tienen el mismo nivel de recursos, pero el costo potencial de una violación implica que no pueden permitirse el lujo de ignorar el riesgo.
En un reciente post en el blog de Symantec, Dal Gemmell cita el costo de 2011 de las fugas de datos, en un informe realizado por Symantec y Ponemon Institute, que estima que “el costo promedio organizacional de una filtración de información fue de US$5,5 millones el año pasado, y el costo por pérdida de registro fue de US $194”.
Y las PyMes pueden tener una protección significativa con “un enfoque basado en riesgos para la gestión de amenazas”, dice Mark Baldwin, principal investigador y consultor en InfosecStuff. “Esto se reduce a determinar qué amenazas representan el mayor riesgo para el negocio”.
Baldwin dice que utilizó los datos del informe de Verizon ampliamente en una reciente evaluación de riesgos para una PyMe, y clasifica los riesgos en el siguiente orden:
Gestión de vulnerabilidades: Buscar y corregir las vulnerabilidades de software en los servidores y escritorios. Centrarse en los sistemas críticos de primera y no olvidarse de aplicaciones de terceros.
Endpoint Protection: Utilice software AV, herramientas de detección de intrusos de anfitrión/prevención, cortafuegos, análisis de correo electrónico y tecnología de seguridad Web.
Directivas de contraseñas seguras: cumplir rigurosamente el cambio de contraseñas predeterminadas, eliminar el intercambio de contraseñas, usar contraseñas complejas y cambiarlas con frecuencia.
Conciencia de seguridad: capacitar a los trabajadores sobre las políticas de seguridad de la empresa y las amenazas comunes. Asegúrese de que sepan cómo responder ante cualquier actividad sospechosa, cómo reconocer los ataques de ingeniería social, y cómo utilizar sus computadoras de forma segura.
Los controles de acceso: minimizar el número de funcionarios con privilegios de administrador.
Plan de mitigación para ataques de negación de servicio (DoS): Esto es imprescindible para cualquier negocio que se basa en la Internet.
Por supuesto, todos combinados todavía no harán una empresa completamente impenetrable. Pero, como el ex almirante de la Armada y director de la Agencia de Seguridad Nacional, Mike McConnell, le dijo a un foro sobre el espionaje cibernético recientemente, el 85 por ciento del riesgo de seguridad para las empresas podrían ser eliminadas con una “ciber higiene adecuada”.
–Taylor Armerding, CSO (EE.UU)