Cálculo del riesgo frente al costo total de una filtración de datos: Puede permitirse un ataque en el nivel de aplicaciones web?

Transcripción

1 Documento técnico de Akamai Cálculo del riesgo frente al costo total de una filtración de datos: Puede permitirse un ataque en el nivel de aplicaciones web?

2 Cálculo del riesgo frente al costo total de una filtración de datos: Puede permitirse un ataque en el nivel de aplicaciones web? 2 ÍNDICE PRESENTACIÓN 3 LAS APLICACIONES WEB SON PRESA FÁCIL 3 EL OBJETIVO REAL DEL ATACANTE: LA INFORMACIÓN DE IDENTIFICACIÓN PERSONAL (PII) 3 QUIÉN ES EL RESPONSABLE? 4 EL COSTO DE UNA FILTRACIÓN 4 ADAPTACIÓN DEL MODELO DE RIESGO EMPRESARIAL 5 CÓMO CALCULAR EL POSIBLE IMPACTO DE UNA FILTRACIÓN DE DATOS 5 ESTRATEGIAS DE MITIGACIÓN 6 CÓMO PUEDE AYUDAR AKAMAI 6 CONCLUSIÓN 7

3 Cálculo del riesgo frente al costo total de una filtración de datos: Puede permitirse un ataque en el nivel de aplicaciones web? 3 Presentación La aparición de Internet ha dado lugar a un ecosistema de datos cada vez más grande. Por desgracia, también ha traído consigo un aumento de las filtraciones de datos y el robo de identidades. Aunque las motivaciones de los atacantes siguen siendo los delitos (ganar dinero), la política (ganar poder e influencia) y el espionaje (ganar ventaja competitiva en el mercado), también les interesa robar información y recursos, cambiar mensajes y detener o interrumpir la actividad online. Una filtración de datos obtenida por medio de un ataque contra aplicaciones web es una de las armas más eficaces del arsenal de un ciberdelincuente. La posibilidad de que sus datos corran peligro no es lo único que debe plantearse. También debe calcular el riesgo que supondría una filtración de datos para su empresa. Cuánto costaría compensar las pérdidas, mitigar un ataque contra aplicaciones web, desplegar nuevos equipos de mitigación y renovar el certificado de conformidad? Y sobre todo, cuánto tardaría en recuperarse de los daños a la reputación y de la posible pérdida de clientes? En este documento técnico se presenta un enfoque sectorial estándar de eficacia probada para determinar el riesgo de que una empresa sufra ciberataques contra aplicaciones web. Determinar el nivel de riesgo puede ayudarle a calcular el posible impacto financiero total de una filtración de datos. Esta ecuación puede ayudarle a justificar el costo de desplegar de manera proactiva productos y servicios de ciberseguridad para protegerse frente a ataques contra aplicaciones web, incluidos los que podrían dar lugar a filtraciones de datos. Las aplicaciones web son presa fácil Las filtraciones de datos son uno de los problemas de seguridad más difíciles de mitigar. Aún en el caso de que los departamentos de una empresa estén coordinados y colaboren de manera eficiente, la protección de las aplicaciones web puede resultar compleja, ya que hay que tener en cuenta el tipo de aplicación, la escalabilidad, las plataformas operativas, las funciones de usuario y otros temas. Por otra parte, los requisitos de seguridad y las implementaciones pueden variar considerablemente dentro de una empresa. Por ejemplo, una aplicación web puede requerir un nombre de usuario y una contraseña para permitir el acceso completo, mientras que otra puede implementar controles de acceso basados en roles detallados y mecanismos de autenticación estrictos. La complejidad de las pilas de aplicaciones resultantes, junto con requisitos cambiantes o mal definidos, han dado lugar a innumerables vulnerabilidades y cada año se dan a conocer miles de ellas 1. El objetivo real del atacante: la información de identificación personal (PII) Las aplicaciones se utilizan para recopilar, procesar, compartir y transformar datos, pero, cuando no se ejecutan, los datos a menudo se tienen que almacenar para recuperarlos y utilizarlos más adelante. Cómo llevar a cabo esta tarea y al mismo tiempo implementar controles de seguridad razonables y rentables? Para proporcionar un nivel básico de seguridad, los datos se pueden almacenar en un formato cifrado. No obstante, la aplicación, o incluso los usuarios finales, necesitan acceder a información sin cifrar. A menudo, los atacantes tratan de engañar al sistema por todos los medios posibles para que revele esos datos. Los ciberadversarios aprovecharán cada dato introducido, cada parámetro, cada cookie y cada encabezado de solicitud en busca de una vulnerabilidad viable que les permita inyectar cargas maliciosas. La esperanza del atacante es que el sistema procese estas entradas y revele información útil que pueda llevar a una filtración de datos. Qué tipo de datos buscan los atacantes? Los datos de la tabla de usuarios son un objetivo habitual porque a menudo las personas reutilizan los mismos nombres de usuario y contraseñas en varios sitios web y aplicaciones. Además de los datos de la tabla de usuarios, también son objetivos los datos financieros, como los números de cuentas bancarias y los números de tarjetas de crédito, aunque sorprendentemente no son los principales. Los atacantes desean obtener información de identificación personal (PII). Con la combinación correcta de PII, los ciberdelincuentes pueden crear nuevas cuentas de crédito, realizar compras usando esas cuentas e incluso crear identidades nuevas. Por ejemplo, imagine que es un importante médico de Ohio y que su identidad e información profesional se filtran a través de la aplicación web de un proveedor de servicios médicos que presta servicio a su consulta médica. Esta información se podría utilizar para crear nuevas tarjetas de identificación válidas en otros estados. Asimismo, se podrían procesar solicitudes de crédito a su nombre y la nueva identidad (a su nombre) podría ser objeto de querellas criminales. Esto es solo la punta del iceberg de la pesadilla asociada a un robo de identidad que puede tardar muchos años en resolverse.

4 Cálculo del riesgo frente al costo total de una filtración de datos: Puede permitirse un ataque en el nivel de aplicaciones web? 4 Quién es el responsable? Por desgracia, los "malos de la película" no siempre pagan por sus delitos. En este caso, las víctimas suelen cargar con la responsabilidad de todas las pérdidas. A menudo, se puede responsabilizar de las filtraciones de datos a las empresas que almacenan datos PII, especialmente si no pueden demostrar que han actuado con la diligencia debida en la protección de accesos no autorizados a esos datos. Incluso en el mejor de los casos, si la empresa afectada no resulta jurídicamente responsable, puede sufrir pérdidas significativas en términos de fidelidad a la marca, caída de la satisfacción de los clientes o daños a la reputación empresarial. En casi todos los casos, el titular de los datos es el responsable en última instancia de su protección. Si los datos se pierden o son robados, se menoscaba la confianza depositada en los proveedores de los datos. Recuperarse completamente resulta costoso y a veces imposible. Sin embargo, aunque se transfiera la responsabilidad a un tercero responsable de conservar los datos, la empresa objeto de la filtración de datos verá afectada su marca y reputación corporativa, lo que puede ocasionar pérdidas económicas adicionales. El costo de una filtración A menudo, las filtraciones de datos colman los titulares de prensa. Recientemente, unos atacantes lograron infiltrarse en un importante sistema de una conocida empresa y robaron casi 10 millones de dólares con métodos y tácticas relativamente sencillos. Durante la investigación, se determinó que los atacantes podrían haber obtenido acceso a través de varias rutas, incluidos un sistema de puerta de enlace web inseguro, un sistema de gestión web mal actualizado o el sitio web corporativo público. El robo inicial de 10 millones de dólares supuso una pérdida tangible para la empresa, pero ese fue menor impacto financiero. Los costos y gastos adicionales asociados al análisis posterior al ataque realizado por equipos de respuesta externos, los servicios de protección del crédito, las auditorías secundarias, la renovación del certificado de conformidad, los litigios y las soluciones auxiliares sumaron muchos más millones a la pérdida inicial. El costo total de la filtración fue de 100 millones de dólares. El desglose siguiente explica cómo se genera este costo: Compensación de las pérdidas debidas al fraude: estas pérdidas económicas, que se suelen relacionar con el robo de datos de tarjetas de crédito, tienen por objeto reembolsar a los clientes los cargos fraudulentos sufridos. Hay que tener en cuenta que estos costos iniciales son solo el principio de los desembolsos necesarios para resolver la filtración de datos y protegerse contra ataques futuros. Servicios externos de supervisión del crédito: las empresas pueden pagar entre 30 USD y 100 USD por registro en concepto de servicios de seguimiento. Cuando se multiplica por millones de registros con datos PII, el costo para la empresa produce vértigo. Equipo externo de respuesta a incidentes: después de un robo de datos es práctica habitual asociada a la diligencia debida para que un equipo externo determine qué datos se han perdido y que colme los agujeros de seguridad que han permitido el acceso a los intrusos. El costo: 3,5 millones de dólares y medio 2, pero la cantidad puede ser mucho mayor. Costo asociado al equipo de auditores externos: las empresas pueden perder el certificado de conformidad, así como otras certificaciones sectoriales como consecuencia de una filtración de datos. La incorporación de un equipo de auditores externos puede aumentar el costo total de la filtración en cientos de miles de dólares o incluso en un millón. Renovación del certificado de conformidad: además de la auditoría, los costos asociados a la renovación del certificado de conformidad suman cientos de miles de dólares a los costos de recuperación. Costo asociado a los nuevos equipos de mitigación: para protegerse contra futuras filtraciones de datos, las empresas deben adoptar medidas proactivas para mejorar la seguridad web con nuevos equipos y servicios de mitigación. Costo asociado a los nuevos empleados especializados: actualmente la tendencia es a recortar los presupuestos de los departamentos de TI, pero puede darse el caso de que los jefes de departamento se vean obligados a buscar fondos adicionales (rápidamente) para contratar ingenieros especializados en seguridad web. Posibles gastos por litigios: en muchos casos, los clientes cuyos datos PII han sido robados o se han visto comprometidos pueden presentar una demanda por daños considerable contra la empresa víctima. Las empresas, tanto públicas como privadas, sufren pérdidas en términos de ingresos y fidelidad de los clientes cuando su marca resulta dañada debido al robo de datos. El público percibe que no son capaces de proteger los datos de los clientes. Por otra parte, los precios de cotización de las acciones pueden registrar caídas tras sufrir un ciberataque debido a la caída de la confianza de los inversores y, a menudo, las empresas que han sido atacadas experimentan una considerable reducción de los ingresos esperados.

5 Cálculo del riesgo frente al costo total de una filtración de datos: Puede permitirse un ataque en el nivel de aplicaciones web? 5 Adaptación del modelo de riesgo empresarial La evaluación de las posibles repercusiones financieras de los ataques contra aplicaciones web y las filtraciones de datos a las que pueden dar lugar es un primer paso importante en el establecimiento de una defensa sólida contra las filtraciones de datos. No obstante, la gran mayoría de empresas nunca han calculado las posibles pérdidas económicas totales que podría provocar una filtración de datos. Sin embargo, la mayoría de las empresas cuenta con un modelo de riesgo para facilitar la toma de decisiones corporativas y este modelo se puede adaptar fácilmente a la planificación del riesgo de filtraciones de datos. Cuando hablamos de riesgo corporativo, hay tres caminos principales que puede tomar el órgano directivo: 1. Aceptar el riesgo como parte de los costos de la actividad empresarial, si el riesgo es lo suficientemente bajo desde el punto de vista financiero. 2. Transferir el riesgo a un tercero que se haga cargo financieramente de una parte. Sin embargo, la transferencia a un tercero no puede proteger a una empresa de los daños a la reputación corporativa y a la marca tras una filtración de datos. 3. Adquirir un seguro contra el riesgo de ciberataques o filtraciones de datos. Sin embargo, el riesgo financiero asociado a las actividades comerciales online es extremadamente elevado y, por lo tanto, la cobertura se ha vuelto casi imposible de adquirir o resulta demasiado cara. Las empresas competitivas se responsabilizarán de determinar de manera proactiva el riesgo financiero de los ciberataques y las consiguientes filtraciones de datos. El sencillo modelo de riesgo que se ilustra a continuación refleja las categorías típicas en las empresas con presencia mundial hoy día: Riesgo bajo Riesgo medio Riesgo alto Posible pérdida < 25 millones USD Posible pérdida de 25 a 100 millones USD Posible pérdida > 100 millones USD Aunque se trata de un modelo de riesgo abreviado y el riesgo aceptable varía de una empresa a otra, muestra que la mayoría segmentan el riesgo. Cada segmento suele asociar un riesgo financiero tangible a algún tipo de aceptación de política de riesgo. Esto permite a las empresas jerarquizar los presupuestos en función del mayor riesgo. Como el riesgo se asocia a la infraestructura de TI de la empresa, las filtraciones de datos casi siempre se sitúan en el segmento de riesgo alto y se les asigna una prioridad alta en el presupuesto anual. Cómo calcular el posible impacto de una filtración de datos Hay muchos factores que se pueden tener en cuenta a la hora de calcular el impacto financiero de una filtración de datos. No obstante, en la mayoría de los casos basta utilizar el método más sencillo. Una forma sencilla de calcular el impacto de una filtración de datos es utilizar esta fórmula: Costo por registro X Número de registros = Posible costo de una filtración Según un reciente estudio realizado por Ponemon Institute 3, el costo medio a escala mundial por registro se estima entre 130 USD y 136 USD. En EE. UU. y Alemania, el costo medio por registro de las filtraciones de datos se sitúa entre 188 USD y 199 USD. Estos cálculos tienen sentido debido a la elevada susceptibilidad de los consumidores estadounidenses y alemanes con respecto a su privacidad personal y seguridad financiera. Las estimaciones de Ponemon Institute se correlacionan bastante bien en el ejemplo citado anteriormente. Si se produjera una filtración de registros, a un costo real de 10 USD a 13 USD cada uno, el costo total de una filtración equivaldría alrededor de 10 veces el costo original del activo de información. Como regla general, las empresas estadounidenses deberían utilizar la media de 188 USD de costo por registro al calcular el costo posible de una filtración de datos.

6 Cálculo del riesgo frente al costo total de una filtración de datos: Puede permitirse un ataque en el nivel de aplicaciones web? 6 Estrategias de mitigación El objetivo de los departamentos de TI es detener a los atacantes antes de que accedan a datos PII. Es imposible dar con una solución que elimine por completo todas las amenazas para una empresa. Sin embargo, si implementan varias técnicas y estrategias de mitigación fundamentales, las empresas pueden reducir de manera significativa las posibles repercusiones de un ataque que dé lugar a una filtración de datos, minimizando así el riesgo general para la empresa. Reducción de la superficie de ataque: anunciar y permitir solo los servicios necesarios y restringir los demás. Validación de respondedores: validar los respondedores de origen y destino por medio de otros métodos que vayan más allá de la IP de origen y de destino para evitar secuestros de rutas y ataques de tipo intermediario. Absorción y detención de ataques cerca del atacante: utilizar servicios en la nube capaces de acercar la mitigación de los ataques contra las aplicaciones al origen del ataque y alejarla de la aplicación importante. Los servicios en la nube suelen contar con protecciones más actualizadas que los dispositivos y servicios gestionados en el origen, lo que reduce aún más las superficies posiblemente vulnerables a ataques. Defensa en profundidad: inspeccionar las solicitudes en varios puntos de la ruta de entrada, idealmente por niveles con el objetivo de rechazar la mayor parte de las solicitudes claramente maliciosas cerca de la fuente de origen. Visibilidad: inspeccionar las características de las solicitudes e introducir esos datos en los sistemas de gestión de eventos. Esta medida permite a las empresas reaccionar rápidamente a los ataques. Hacer posible esta vista integral de solicitudes y respuestas permite a las empresas disponer de la información necesaria para correlacionar datos de manera rápida y eficaz y mitigar los ataques en cuanto se produzcan. Cómo puede ayudar Akamai Con independencia del nivel de riesgo, la mejor estrategia de mitigación de las filtraciones de datos comienza por aplicar protección de ciberseguridad al nivel de aplicaciones web. Akamai ayuda a los clientes a protegerse de los ataques contra las aplicaciones web con una estrategia de firewall de aplicaciones web (WAF) escalable y basada en la nube que mantiene el rendimiento y la integridad de las aplicaciones web. Kona Site Defender de Akamai es un servicio de defensa perimetral altamente escalable diseñado para detectar y mitigar posibles ataques contra aplicaciones web, incluidos los ataques distribuidos de denegación de servicio (DDoS), así como intentos de filtración de datos, como las inyecciones SQL, en su camino hacia los centros de datos de origen a través de la plataforma Akamai Intelligent Platform. Kona Site Defender es una solución diseñada para escalarse al instante, preservar el rendimiento y filtrar el tráfico de ataque cerca de la fuente, con el objetivo de proteger la infraestructura de la empresa y mantener sus aplicaciones web en funcionamiento.

7 Cálculo del riesgo frente al costo total de una filtración de datos: Puede permitirse un ataque en el nivel de aplicaciones web? 7 Conclusión La triste realidad es que la ciberdelincuencia no va a desaparecer y que los datos personales de sus clientes correrán siempre peligro de robo y uso indebido. La necesidad de ciberseguridad para proteger datos PII es hoy más importante que nunca, ya que las empresas almacenan un volumen cada vez mayor de datos personales sobre los clientes y partners de negocios. Las empresas deben proteger con tenacidad los puntos de acceso a la información accesibles al público. Además y en función del tipo de filtración de datos, los ejecutivos deben protegerse contra sanciones penales, además de civiles. Habida cuenta de las nuevas leyes y regulaciones en materia de privacidad, los ejecutivos deben comprender el riesgo no solo personal, sino también financiero, que plantea el hecho de carecer de buenas estrategias de seguridad. Akamai recomienda las siguientes acciones clave como base de una sólida defensa contra el robo de datos: Proteger la infraestructura accesible al público con una estrategia de firewall de aplicaciones web escalable Aplicar tecnologías de mitigación de ataques por niveles y actualizarlas continuamente Mantener al órgano de dirección informado de los riesgos y compensaciones Ajustar los modelos de riesgo corporativos para estimar el número de registros de PII que posiblemente se encuentren en situación de riesgo Lo más importante es que las empresas sean muy conscientes del posible impacto financiero total de los ciberataques en el nivel de aplicación web y del robo de datos PII al que pueden dar lugar. Mediante el uso de una ecuación para calcular el costo de las filtraciones, sencilla pero aceptada en el sector, el órgano de dirección puede determinar fácilmente el riesgo financiero total al que se enfrenta la empresa y presupuestar en consecuencia la solución de mitigación capaz de protegerles de millones o incluso miles de millones de dólares en pérdidas. Haga cuentas y tenga la tranquilidad de saber que los datos personales de sus clientes no van a caer en malas manos.

8 Cálculo del riesgo frente al costo total de una filtración de datos: Puede permitirse un ataque en el nivel de aplicaciones web? 8 Fuentes: 1 National Institute of Standards. "NVD - Statistics Search". NVD - Statistics Search. National Institute of Standards, 21 de julio de Web. 21 de julio de < 2 Ponemon Institute Releases 2014 Cost of Data Breach: Global Analysis. Recuperado el 30 de julio de 2014, de 3 Ponemon Institute: Akamai es la plataforma en la nube líder que ayuda a las empresas a ofrecer experiencias online seguras y de alto rendimiento en cualquier dispositivo y lugar. En el núcleo de las soluciones de la empresa se encuentra Akamai Intelligent Platform, que proporciona un amplio alcance, junto con una fiabilidad, seguridad, visibilidad y experiencia sin parangón. Akamai elimina la complejidad de las conexiones de un mundo cada vez más móvil, admitiendo una demanda ininterrumpida del cliente y permitiendo que las empresas saquen el máximo rendimiento a la nube de forma segura. Para obtener más información acerca de cómo está acelerando Akamai el ritmo de la innovación en un mundo hiperconectado, visite y siga en Twitter. Akamai tiene su sede central en Cambridge, Massachusetts (Estados Unidos), con operaciones en más de 40 oficinas de todo el mundo. Nuestros servicios y reconocida atención al cliente se han diseñado para permitir a las empresas ofrecer una experiencia de Internet sin precedente a sus clientes en todo el mundo. Podrá encontrar las direcciones, los números de teléfono y la información de contacto de todas las ubicaciones en Akamai Technologies, Inc. Todos los derechos reservados. Se prohíbe la reproducción total o parcial en cualquier forma o medio sin el permiso expreso y por escrito. Akamai y el logotipo de Akamai son marcas comerciales registradas. Las marcas comerciales que aparecen en este documento son propiedad de sus respectivos propietarios. Akamai considera que la información de esta publicación a fecha de su publicación es correcta; dicha información está sujeta a cambios sin previo aviso. Publicado en agosto de 2014.