INFORME SOBRE INVESTIGACIONES DE VIOLACIONES DE LA INFORMACIÓN DE 2015

Transcripción

1 INFORME SOBRE INVESTIGACIONES DE VIOLACIONES DE LA INFORMACIÓN DE 2015 Resumen ejecutivo $400 MILLONES Las estimaciones sobre pérdidas financieras por los 700 millones de registros afectados demuestra la importancia de gestionar los riesgos de las violaciones de la información. Elaborado por Verizon con contribuciones de 70 organizaciones de todo el mundo. SANIDAD EDUCACIÓN SECTOR PÚBLICO HOSTELERÍA SERVICIOS FINANCIEROS VENTA MINORISTA OCIO PROFESIONAL PRODUCCIÓN TECNOLOGÍA ADMINISTRACIÓN TRANSPORTE INFORME SOBRE INVESTIGACIONES DE VIOLACIONES DE LA INFORMACIÓN DE 2015 DE VERIZON resumen ejecutivo 1

2 Bélgica Países Bajos Luxemburgo Suiza Bosnia y Herz. Montenegro Albania Macedonia Armenia Azerbaiyán Canadá Suecia Finlandia Noruega Estonia Rusia Latvia México EE. UU. República Dominicana Puerto Rico Sahara Occidental Portugal Irlanda Mauritania Reino Unido España Marruecos Francia Argelia Mali Dinamarca Bielorrusia Alemania Polonia Rep. Checa Ucrania Austria Croacia Eslovenia Italia Hungría Lituania Grecia Bulgaria Moldavia Turquía Chipre Egipto Siria Iraq Israel Jordania Arabia Saudí Yemen Turkmenistán Irán EAU Omán Kazakastán Uzbekistán Afganistán Paquistán India Nepal China Tailandia Vietnam Camboya Colombia Venezuela Guyana Francesa Brasil Congo Angola Uganda Etiopía Kenia Tanzania Mozambique Malasia Indonesia Filip Chile Argentina Urugüay Namibia Botswana Sudáfrica Figura 1 Países analizados En 2015, se incorporaron incidentes de los 61 países que se indican en rojo. En la actualidad contamos con datos sobre eventos de seguridad ocurridos en alrededor de 100 países. Dichos incidentes ocurrieron en organizaciones tanto grandes como pequeñas, y en sectores que van desde la agricultura hasta los servicios públicos. Australia El DBIR de 2015 Por qué la seguridad de los datos es importante? Proteger a la organización contra una violación de la información puede ahorrarle decenas de millones de euros y ayudarle a conservar la lealtad de sus clientes y la confianza de los accionistas. La seguridad de los datos no es algo que incumba únicamente al departamento de TI. También debe ser importante para la directiva y el resto de los empleados, sea cual sea su función. Los ataques tienen diversos motivos: los atacantes pueden buscar datos de tarjetas de pago o información comercial confidencial, o simplemente quieren perturbar las actividades de la empresa. Los métodos empleados para conseguirlo son cada vez más sofisticados y suelen consistir en una combinación de phishing, hacking y malware. A esto se añade la increíble velocidad con la que los atacantes son capaces de vulnerar las defensas, que pueden quedar inutilizadas en unos segundos. Pero aunque a los atacantes no les lleva mucho tiempo infiltrarse en el sistema, en muchos casos las organizaciones tardan meses o incluso años en descubrir el problema. 70 cuerpos de seguridad del estado y empresas de seguridad de TI facilitaron datos violaciones de la información analizadas incidentes de seguridad clasificados 2 Verizon Enterprise Solutions

3 El Informe sobre Investigaciones de Violaciones de la Información (DBIR) de Verizon de 2015 contiene un análisis detallado de cerca de incidentes, incluyendo violaciones de la seguridad confirmadas. Este resumen incluye algunos de los datos más destacados. Emergen nuevas oportunidades El aumento en el uso de la movilidad y el Internet de las cosas (IoT) implica un aumento en los ataques contra los datos y los sistemas? El análisis de las actividades maliciosas en todos los dispositivos inalámbricos a lo largo de seis meses indica que la frecuencia de todos los tipos de malware es muy baja y que en la mayoría de los casos se trataba de infecciones que consumían recursos pero tenían un impacto bastante bajo. Se han producido muy pocos incidentes de máquina a máquina (M2M), aunque esto no significa que este aspecto pueda descuidarse al planear las defensas, que deben incluir controles de acceso estrictos y el cifrado de los datos confidenciales. Las técnicas tradicionales siguen siendo una amenaza El método de phishing sigue siendo muy frecuente. Las campañas incluyen ahora la instalación de malware. Nuestros datos sugieren que estos ataques han alcanzado un alto grado de eficacia: un 23 % de los destinarios abren mensajes de phishing y el 11 % abre archivos adjuntos. Para empeorar las cosas, solo hacen faltan 82 segundos como media para que una campaña de phishing consiga su primer clic. Entre las organizaciones que analizamos, se interceptaron 170 millones de eventos de malware. Entre el 70 y el 90 por ciento de ellos afectó a una sola organización. Aunque casi nunca se trataba de malware escrito contra esa víctima en particular, también se han observado casos. Generalmente los hackers solo necesitaban modificar ligeramente el código cada vez que lo usaban. Esto cambia la firma identificadora que detectan los antivirus tradicionales y permite que el código malicioso se introduzca en el sistema. Las vulnerabilidades no han cambiado En 2014, cerca del 97 % de los programas exploit afectaban a solo diez vulnerabilidades. El 3 % restante consiste en otros 7 millones de vulnerabilidades. La mayoría de los ataques explotan vulnerabilidades conocidas para las que ya existía un parche desde hacía meses o incluso años. De las vulnerabilidades detectadas en 2014, la inmensa mayoría ya existía desde Se observan los mismos patrones El año pasado identificamos nueve patrones que cubren la mayoría de los incidentes más probables. Este año dichos patrones cubren el 96 % de los incidentes. Otro dato positivo es que en cada sector la mayoría de las amenazas pueden englobarse en tres de los patrones. Los nueve patrones con los que clasificamos los incidentes le ayudarán a asignar prioridades y a sentar una base sólida para las defensas. La suma de los costes Las organizaciones siempre nos piden que asignemos una cifra al coste de una violación de la seguridad para ayudarles a demostrar el valor que aportan y justificar el presupuesto de la seguridad de los datos. Este año el DBIR calcula por primera vez los gastos en los que se incurrirá si no se protegen los datos. Otros modelos tienden a simplificar en exceso el coste de una violación de la seguridad. Nuestro modelo considera los costes dependiendo del volumen de registros implicados y para ello utiliza datos de reclamaciones de responsabilidad civil auténticas. De esta manera calculamos que, como media, el coste de una violación de la seguridad que afecte a registros será de entre y dólares, es decir entre 52 y 87 dólares por registro. Por el contrario, el coste medio de una violación de la seguridad que afecte a 10 millones de registros asciende a entre y millones de dólares, lo que supone entre 0,21 y 0,52 dólares por registro. 23 % Nuestros datos indican que el año pasado el 23 % de los destinatarios abrieron mensajes de phishing y el 11 % abrió ficheros adjuntos. 96 % El informe del año pasado indicaba que el 92 % de los incidentes observados en los últimos 10 años podían englobarse en nueve patrones. En los últimos 12 meses se observó una multitud de cambios en el panorama de amenazas, pero la inmensa mayoría de los incidentes (96 %) siguen respondiendo a estos nueve patrones. INFORME SOBRE INVESTIGACIONES DE VIOLACIONES DE LA INFORMACIÓN DE 2015 DE VERIZON resumen ejecutivo 3

4 $15M $10M FIgura 2 Coste estimado de una VIOLACIÓN DE LA INFORMACIÓN Nuestro nuevo modelo tiene en cuenta la variación dependiendo del volumen de registros. $5M 20 millones de registros 40 millones de registros 60 millones de registros 80 millones de registros 100 millones de registros $254 El coste por registro previsto para violaciones de la seguridad que involucran 100 registros es de 254 dólares. 9 Para violaciones de la seguridad que involucran 100 millones de registros, la cifra desciende a 9 centavos de dólar, aunque es obvio que el coste total es muy superior. EL coste de UNA VIOLACIÓN Cuánto cuesta una violación de la información? Este año podemos ofrecer un cálculo más preciso de los costes en los que puede incurrir si no protege los datos. Hemos analizado alrededor de 200 reclamaciones relacionadas con violaciones de la información. Esto nos ha permitido obtener una perspectiva mucho más precisa del riesgo financiero que implican. Más allá del promedio En primer lugar, calculamos el coste medio por registro siguiendo el modelo empleado por otros analistas. Este método arrojó la cifra de 58 centavos de dólar, una cantidad muy inferior a la que calculan otras estimaciones. Pero cuando la utilizamos en nuestros ejemplos de gastos reales, se hizo evidente que no permitía obtener una estimación precisa. El coste de una violación de la seguridad no responde a un modelo lineal. En realidad, el coste por violación de la información decae cuando aumenta la cantidad de registros perdidos. Esto significa que, cuando se emplea una media, la variación aumenta con la cantidad de registros, por lo que este no es el mejor modelo para cubrir una amplia gama de incidentes, incluyendo aquellos en los que se perdieron más de registros. Por este motivo, en lugar de utilizar un promedio simple, creamos un modelo para pronosticar la variación en el coste real en función de la cantidad de registros y hemos llegado a la conclusión de que es un indicador mucho más fiable. 4 Verizon Enterprise Solutions

5 Además, nuestro modelo puede emplearse para calcular el coste de las violaciones de la seguridad que experimentan todas las organizaciones. El tamaño de la empresa no influye en el coste de la violación de la seguridad. Las acaparadoras pérdidas que experimentaron algunas grandes empresas se explica por la enorme cantidad de registros afectados. Las violaciones de la seguridad con cantidades parecidas de registros tienen un coste similar sea cual sea el tamaño de la organización. El mejor modelo disponible Calculamos un coste previsto que oscila entre los dólares por cada 100 registros perdidos (254 por registro) y los 9 millones de dólares por la pérdida de 100 millones de registros (0,09 por registro). Sin embargo, no hay que olvidar que el coste auténtico de una violación de la seguridad depende de otros factores aparte de la cantidad de registros perdidos. Uno de los más importantes es el tipo de datos perdidos, que pueden ser desde información de tarjetas de pago hasta expedientes médicos. Para obtener el coste más probable de una violación de la seguridad es necesario calcular una gama de cifras en lugar de una cifra única. La tabla siguiente muestra los límites de dos gamas para una cifra prevista; estos son los intervalos de confianza del 95 % para el promedio y para un solo evento. La banda más estrecha que también se muestra en el gráfico de la izquierda corresponde al promedio de varios incidentes con la misma cantidad de registros perdidos y la gama exterior es para un solo incidente. Nuestro modelo indica, por ejemplo, que la pérdida por una violación de la seguridad que afecta a registros oscilará entre los y los millones de dólares. Se trata de una gama muy amplia que tiene que englobar todo tipo de excepciones. Si observamos el coste medio de una violación de la seguridad que afecta a esa cantidad de registros, puede decirse que se sitúa entre los y los dólares. Qué significa para mi empresa? El coste de una posible violación de la seguridad puede compensar con creces por el esfuerzo y los recursos necesarios para proteger a la empresa. Esperamos que este modelo le ayude a explicar las implicaciones financieras de una violación de la información. 53 % Nuestro análisis indica que el 53 % de la variación en el coste de una violación de la seguridad depende de la cantidad de registros perdidos. El resto puede atribuirse a diversos factores, entre los que se encuentra el grado de preparación. Figura 3 DESGLOSE DEL COSTE DE UNA violación Registros Pronóstico (límite inferior) Promedio (límite inferior) Previsto Promedio (límite superior) Pronóstico (límite superior) 100 $1170 $ $ $ $ $3110 $ $ $ $ $8280 $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ INFORME SOBRE INVESTIGACIONES DE VIOLACIONES DE LA INFORMACIÓN DE 2015 DE VERIZON resumen ejecutivo 5

6 0% 5% 10% 15% 20% 25% 3,3 % Robo y pérdidas físicas 3,1 % 8,1 % Skimmers de tarjetas 9,4 % 10,6 % Crimeware Ciberespionaje Uso indebido de privilegios y origen interno Aplicaciones web Errores varios 18,8 % 18,0 % 28,5 % Punto de venta 0,1 % DoS Figura 4 FRECUENCIA DE LAS violaciones DE LA SEGURIDAD POR PATRÓN DE CLASIFICACIÓN DE INCIDENTES LOS MÉTODOS DE ATaque El año pasado identificamos nueve patrones que cubren la mayoría de los incidentes más probables. Estos patrones cubren el 96 % de las violaciones de la información de este año. A esto se suma el hecho de que la mayoría de las amenazas pueden clasificarse dentro de tres de estos patrones. 96 % Los nueve patrones anteriores cubren la inmensa mayoría de los incidentes observados. Las amenazas contra los datos son cada día más complejas y diversas. Pero con la ayuda de métodos estadísticos para identificar agrupaciones de incidentes y violaciones de la seguridad similares, hemos creado un marco de trabajo que le ayudará a identificar las principales amenazas y a asignar prioridades a las inversiones en seguridad. Cuando se estudian todos los incidentes, incluidos aquellos en los que no se confirmó ninguna pérdida de datos, el denominador común en los tres principales patrones es la persona, ya sea por enviar un mensaje al destinatario equivocado, no destruir información confidencial o valerse de su cargo para recabar datos confidenciales. El análisis de las violaciones de la seguridad confirmadas (Figura 4) apunta a las mayores lagunas en las defensas: los puntos de venta, el crimeware y el ciberespionaje. 6 Verizon Enterprise Solutions

7 Minería (99 %) Producción (98 %) Hoteles (98 %) Entretenimiento (93 %) Venta minorista (91 %) Administración (90 %) Profesional (87 %) Información (86 %) Sector público (85 %) Finanzas (81 %) 25 % 50 % 75 % 100 % LAS TRES MAYORES AMENAZAS DE SU SECTOR Cada sector tiene su propio perfil de amenazas. Es importante entender las amenazas que afectan a cada sector para poder tomar decisiones mejor documentadas a la hora de construir las defensas. Un dato positivo al respecto es que, en la mayoría de los sectores, más de tres cuartos de las violaciones de la seguridad pueden clasificarse dentro de tres de los nueve patrones de incidentes (Figura 5). Como media, un 83 % de las violaciones de la seguridad en cada sector pueden clasificarse dentro de tres patrones. Otros servicios (75 %) Sanidad (74 %) Educación (73 %) También muestra los datos de organizaciones en diversos sectores con modelos de operación similares, lo que contribuye a decidir cuál es la mejor forma de concentrar los esfuerzos. En el DBIR de 2015, hemos profundizado en los perfiles sectoriales para identificar similitudes en los perfiles de amenazas de las ramas de diversos sectores. Crimeware Ciberespionaje Ataques de denegación de servicio Uso indebido de privilegios y origen interno FIGURA 5 DIVULGACIÓN DE DATOS, LOS TRES PRINCIPALES PATRONES POR SECTOR Errores varios Skimmers de tarjetas de pago Robo y pérdida física Intrusiones en puntos de venta Ataques contra aplicaciones web INFORME SOBRE INVESTIGACIONES DE VIOLACIONES DE LA INFORMACIÓN DE 2015 DE VERIZON resumen ejecutivo 7

8 LOS 9 PatRONES Los nueve patrones de clasificación de incidentes que identificamos el año pasado han servido para entender mejor el panorama de amenazas, lo que a su vez le permitirá dirigir mejor su estrategia y priorizar las inversiones en seguridad de una forma más eficaz. 11 % 16,5 % CAJERO FINANZAS EJECUTIVO OTROS GERENTE DESARROLLADOR 37 % CENTRO DE ATENCIÓN ADMINISTRADOR DEL SISTEMA RECURSOS HUMANOS USUARIO FINAL Intrusiones POS Ocurre cuando los atacantes infiltran las máquinas y servidores que ejecutan las aplicaciones de punto de venta con la intención de capturar datos de pago. Los sectores más afectados: Hostelería, entretenimiento y minorista En las violaciones de la seguridad más pequeñas, los atacantes prueban distintas contraseñas o emplean la fuerza bruta. Las de mayor envergadura pueden involucrar la infiltración de un sistema secundario como puerta de entrada a los puntos de venta. En 2014, hubo varios casos en los que los proveedores de los servicios de punto de venta fueron el origen de la infiltración. Se ha pasado de utilizar credenciales predeterminadas a usar claves robadas de entrada al sistema, que se consiguen directamente de los empleados mediante actividades de ingeniería social. Qué se puede hacer? El cumplimiento de PCI DSS es uno de los principales pilares de un sistema de puntos de venta seguro. Nuestro Informe sobre Cumplimiento PCI de 2015 indica que las mayores lagunas se encuentran en la detección de vulnerabilidades y las pruebas. Crimeware Esta es una categoría muy amplia que engloba todo uso de malware para entrar en los sistemas. Los ataques suelen ser oportunistas y por motivos financieros. Los sectores más afectados: Público, información y venta minorista Este año hubo cientos de incidentes, que incluían phishing en la cadena de eventos. En varios casos, se vieron comprometidos secretos comerciales, lo que demuestra que hasta el malware más básico puede poner en peligro los datos corporativos. Qué se puede hacer? Instalar parches en los antivirus y navegadores para bloquear los ataques y utilizar autenticación de dos factores para limitar los daños. También es importante descubrir el objetivo de los programas maliciosos detectados con el fin de dar prioridad a los esfuerzos. Ciberespionaje Esto ocurre cuando un atacante patrocinado por un gobierno se infiltra en una organización, a menudo mediante un ataque de phishing, en busca de propiedad intelectual. Los sectores más afectados: Producción, público y profesional Este año hubo más violaciones de la información provocadas por ciberespionaje que por uso indebido interno o ataques contra aplicaciones web. El ciberespionaje suele iniciarse con una campaña de phishing, que sirve de puente a la instalación de malware sofisticado. Qué se puede hacer? Instale parches en cuanto se publiquen y actualice los programas antivirus. Registre las actividades del sistema, la red y las aplicaciones para que sirvan de base a la respuesta a incidentes y a las contramedidas. Uso indebido de privilegios y origen interno La mayoría consiste en uso indebido por parte de empleados, pero también son factores las personas ajenas a la empresa, por colusión, y los socios, porque se les conceden privilegios. Los sectores más afectados: Público, sanitario y financiero Los culpables pueden provenir de todos los niveles de la empresa, desde los representantes de atención al cliente hasta la junta directiva, aunque este año la mayoría de las violaciones de la seguridad tuvieron que ver con los usuarios finales (Figura 6). El 40 % de los incidentes tuvo motivos financieros, pero también causaron daños los empleados que utilizaron soluciones improvisadas sin autorización. Qué se puede hacer? El primer paso es saber los datos que se tienen, dónde se encuentran y quiénes disponen de acceso a ellos. A continuación se deben identificar las áreas que requieren una auditoría más detallada y los procesos de detección de fraude. Un examen del dispositivo de un empleado cuando abandona la empresa puede servir para identificar puntos débiles en las defensas que necesitan reforzarse. FIGURA 6 LOS RESPONSABLES DEL USO INDEBIDO INTERNO 8 Verizon Enterprise Solutions

9 Ataques contra aplicaciones web En este caso los atacantes utilizan credenciales robadas o explotan vulnerabilidades en las aplicaciones web, como por ejemplo en los sistemas de gestión de contenido (CMS) o las plataformas de comercio electrónico. Los sectores más afectados: Información, finanzas y público Casi todos los ataques contra aplicaciones web de 2014 fueron oportunistas e iban dirigidos contra blancos fáciles. La mayor parte se valieron de credenciales robadas (Figura 7), en su mayoría de dispositivos de clientes. Qué se puede hacer? Analice los registros del equilibrador de cargas, de aplicaciones web y de operaciones de bases de datos para identificar actividades maliciosas. Utilice autenticación de dos factores y bloquee las cuentas después de varios intentos fallidos de entrar al sistema. Errores varios Cualquier error que ponga en peligro la seguridad. Los sectores más afectados: Público, información y sanidad Como ya ocurría en años anteriores, los empleados fueron los principales causantes de la mayoría de los incidentes. Existen tres categorías tradicionales de errores: enviar información confidencial al destinatario equivocado (el 30 % de los incidentes), publicar datos privados en servidores web públicos (17 %) y desechar indebidamente datos personales y médicos (12 %). Qué se puede hacer? Una buena medida para proteger los datos es instalar software de prevención de pérdida de datos que no permita que los usuarios envíen información confidencial. También es importante educar a los empleados sobre la seguridad de los datos y sobre la mejor manera de desechar material de carácter delicado. Robo y pérdidas físicas Es la pérdida o robo de portátiles, pendrives, documentos impresos y otra información, generalmente en la oficina y en vehículos. Los sectores más afectados: Público, sanitario y financiero Casi todos los robos de 2014 fueron oportunistas, ocurriendo un 55 % de los incidentes en el área de trabajo y un 22 % en vehículos. Qué se puede hacer? En el 15 % de los incidentes en esta categoría, la organización tarda días en descubrirlos. Cifre los dispositivos para proteger los datos que contienen y haga copias de seguridad periódicas para evitar perder datos valiosos y reducir los períodos de inactividad. Skimmers de tarjetas de pago Es la instalación física de un skimmer en un cajero automático, un surtidor de gasolina o un terminal de punto de venta para leer datos de las tarjetas. Los sectores más afectados: Finanzas y venta minorista Los atacantes utilizan skimmers finos y transparentes que encajan dentro del lector de tarjetas mismo. Qué se puede hacer? Vigile los terminales de pago y enseñe a los empleados a detectar skimmers y a reconocer conductas sospechosas. Ataques de denegación de servicio Estos ataques utilizan botnets para abrumar los sistemas de la organización con tráfico malicioso que frena en seco las operaciones. Los sectores más afectados: Público, sanitario y financiero La cantidad de ataques DoS distribuidos se duplicó en Los atacantes aprovechan cada vez más la infraestructura de internet misma para amplificar los ataques. Qué se puede hacer? Sepa dónde se encuentran los servicios y cómo están configurados. Bloquee el acceso de servidores de botnet e instale parches en los sistemas. Es conveniente llevar a cabo prácticas periódicas para planear las defensas. El paso final sería instalar tecnología que restablezca los servicios si se ven interrumpidos. CREDENCIALES ROBADAS 50,7 % PUERTA TRASERA/C2 40,5 % SQLi 19 % INCLUSIÓN DE ARCHIVOS REMOTOS ABUSO DE FUNCIONALIDAD FUERZA BRUTA XSS ESCALADO DE DIRECTORIOS NAVEGACIÓN FORZADA INSERCIÓN DE COMANDOS DEL OS FIGURA 7 TÉCNICAS EMPLEADAS EN LOS ATAQUES CONTRA APLICACIONES WEB INFORME SOBRE INVESTIGACIONES DE VIOLACIONES DE LA INFORMACIÓN DE 2015 DE VERIZON resumen ejecutivo 9

10 0,03 % Durante los seis meses que examinamos actividades maliciosas en decenas de millones de smartphones y tablets en la red de Verizon, descubrimos que menos del 0,03 % de los dispositivos se veían afectados en un año dado. 5MM Nuestro pronóstico es que en 2020 habrá millones de dispositivos IoT empresariales y muchos millones más entre los consumidores. Fuente: Verizon State of the Market: The Internet of Things 2015 Los riesgos en el horizonte El DBIR de este año también analiza algunas de las amenazas que preocupan por igual a los directores generales y a los directores de tecnologías de la información. En particular, analizamos los riesgos que supone el incremento en el uso de smartphones y tablets, y la rápida transformación del Internet de las cosas (IoT) de simple concepto a realidad. La sobrevalorada amenaza contra la tecnología móvil Las organizaciones dependen cada vez más de la tecnología móvil y la posibilidad de que los smartphones y las tablets, especialmente los que la organización no controla, presenten una excelente oportunidad para los hackers es preocupante. Para abordar esta preocupación, hemos llevado a cabo nuestro primer análisis del malware móvil y otras amenazas relacionadas. Nuestros datos sobre incidentes, violaciones de la seguridad y redes inalámbricas indican claramente que, aunque las plataformas móviles sean vulnerables, no son el blanco preferido de los atacantes. Al estudiar en nuestra red inalámbrica la actividad maliciosa procedente de dispositivos móviles, observamos que el malware es muy poco frecuente y que en la mayoría de los casos se trata de infecciones de bajo impacto, como adware y otras infecciones que consumen recursos pero no son destructivas. La frecuencia de malware destructivo equivale a menos del 0,03 % de los dispositivos al año. Nuestra recomendación es que se asignen recursos a combatir los métodos de infiltración en las redes que detallamos en los nueve patrones de incidentes. En lo que a la seguridad móvil se refiere, es fundamental tener visibilidad y control sobre la forma en que se utilizan los dispositivos. Esto servirá para descubrir lo antes posible las actividades sospechosas y reaccionar rápidamente a los cambios en en el panorama de amenazas. El internet de las cosas inseguras No todos los dispositivos máquina a máquina (M2M) son visibles desde internet ni envían información confidencial, pero el Internet de las cosas es una parte cada vez mayor del panorama de TI. Por este motivo, la seguridad debe ser una de las principales prioridades al poner en marcha iniciativas de dispositivos inteligentes. En 2014 se hicieron públicos muy pocos incidentes de seguridad y datos relacionados con dispositivos máquina a máquina como pueden ser los vehículos conectados y las ciudades inteligentes pero eso no debe dar lugar a un exceso de confianza. Se han producido algunos incidentes de uso de dispositivos conectados como puerta a otros sistemas y de captación de dispositivos IoT en botnets para usarlos en ataques de denegación de servicio. Por eso, al crear iniciativas IoT, es importante realizar ejercicios con modelos de amenazas que identifiquen los adversarios más probables y sus motivos, además de los aspectos más vulnerables de los servicios M2M. Tome las siguientes medidas para proteger los datos que contiene la aplicación IoT: Recabe solo los datos que realmente necesite. Aplique estrictos controles de consentimiento y acceso. Transfiera datos de forma cifrada y anónima. Separe los datos, a no ser que vaya a efectuar un análisis de tendencias. 10 Verizon Enterprise Solutions

11 2015 DATA BREACH PROFESSIONAL MANUFACTURING TECHNOLOGY ADMINISTRATIVE TRANSPORTATION Conclusión: Es hora de actuar 15 El tiempo que tardaron los atacantes en infiltrarse en el sistema Si se robaron datos, cuánto se tardó en extraerlos del sistema El tiempo que tardó la víctima en percatarse de la violación de la información El tiempo que tardó la víctima en contener el incidente SEGUNDOS MINUTOS HORAS DÍAS SEMANAS MESES + 38 % 5 % 22 % 9 % 19 % 8 % 5 % % % % 9 % 34 % 31 % 13 % 7 % 5 % 0 % 3 % 32 % 38 % 11 % 15 % 13 % 9 % FIGURA 8 CRONOLOGÍA DE LOS INCIDENTES Cuanto más tiempo lleve descubrir un incidente, más tiempo tendrán los atacantes para causar daños. En el 56 % de los casos, la organización tarda horas o días en descubrir el ataque, mientras que en el 25 % tarda días o más. Este déficit de detección sigue creciendo. En el 60 % de los casos, los atacantes pueden infiltrarse en la organización en cuestión de minutos. Cuando estudiamos con más detenimiento las causas más comunes de las violaciones de la seguridad, descubrimos que cerca del 25 % podría haberse prevenido con autenticación multifactor y la instalación de parches en los servicios web accesibles por internet. En total, el 40 % de los controles faltantes podía clasificarse dentro de la categoría de controles de ciberseguridad críticos denominada "quick win", que hace referencia a aquellos controles que son fáciles de aplicar y rinden excelentes resultados. El DBIR de 2015 contiene muchos más detalles y recomendaciones, que pueden resumirse en siete temas claros: Manténgase vigilante. Muchas organizaciones solo descubren que han sufrido una violación de la seguridad cuando se lo comunica la policía o un cliente. Los registros y los sistemas de gestión de cambios pueden contener los primeros signos de un ataque. Haga que sus empleados sean su primera barrera defensiva. Hágales entender lo importante que es la seguridad, cómo detectar las señales de un ataque y qué hacer si observan algo sospechoso. Limite el acceso a los datos a las personas que lo necesitan. Limite el acceso a los sistemas a las personas que lo necesitan para hacer su trabajo y ponga en práctica un sistema que revoque dicho acceso cuando el empleado cambie de puesto o abandone la empresa. Instale parches lo antes posible. Muchos ataques pueden evitarse con solo configurar correctamente el entorno de TI y mantener actualizados los programas antivirus. Cifre los datos confidenciales. Esto no eliminará completamente el robo de datos confidenciales, pero les pondrá las cosas más difíciles a los delincuentes. Utilice autenticación de dos factores. Esto no reducirá el riesgo de robo de las contraseñas, pero limitará las consecuencias si se produce tal robo o si se pierden las credenciales. No se olvide de la seguridad física. No todos los robos ocurren en Internet. Los delincuentes también pueden manipular máquinas PC o terminales de pago, o llevarse cajas de documentos impresos. INVESTIGATIONS REPORT El Informe sobre Investigaciones de Violaciones de la Información de Verizon le ayudará a entender las amenazas específicas contra su sector y a reforzar sus defensas. Para más información, descargue el informe completo en inglés en verizonenterprise.com/dbir/2015. $400 MILLION The estimated financial loss from 700 million compromised records shows the real importance of managing data breach risks. Conducted by Verizon with contributions from 70 organizations from around the world. HEALTHCARE EDUCATION PUBLIC SECTOR HOSPITALITY FINANCIAL SERVICES RETAIL ENTERTAINMENT INFORME SOBRE INVESTIGACIONES DE VIOLACIONES DE LA INFORMACIÓN DE 2015 DE VERIZON resumen ejecutivo 11