ESET Security Report

Transcripción

1 ESET Security Report LATINOAMÉRICA 2011 Argentina Colombia Honduras Perú Bolivia Costa Rica México Rep.Dominicana Brasil Ecuador Nicaragua Uruguay Chile El Salvador Panamá Venezuela Guatemala Paraguay

2 27 MESES 27 meses consecutivos el gusano Conficker se ubicó en los principales puestos del Ranking Mensual de Amenazas de ESET Latinoamérica, hasta marzo del En el presente informe se presentan y analizan los principales resultados de una serie de encuestas realizadas por ESET en diversos países de Latinoamérica durante el año 2010, donde se consultó a integrantes de departamentos de sistemas y tecnologías de organizaciones en toda la región. Las mismas fueron realizadas a lo largo del año, en los principales eventos relacionados a la seguridad y las tecnologías, como los Technology Day (en países de Centroamérica: Costa Rica, Guatemala, El Salvador, Nicaragua, Honduras, Panamá y República Dominicana), Segurinfo (en países de Sudamérica: Argentina, Chile, Perú y Uruguay), Feria TIC & Internet 2010 (Colombia) y B3 Forum (México). Los datos presentados en este informe, corresponden a la información brindada por 3281 profesionales de Latinoamérica, cuyas organizaciones son distribuidas, según el tamaño de las mismas, de la siguiente manera: TAMAÑO DE LAS EMPRESAS Amenazas de mayor preocupación en la materia La primera consulta realizada a los asistentes, estaba relacionada a cuál era su mayor preocupación en materia de seguridad informática, a lo que los profesionales contestaron de acuerdo a lo presentado en el siguiente gráfico: CUÁLES SON SUS MAYORES PREOCUPACIONES EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN? Fraudes y/o estafas informáticas (29.35%) Pérdida de datos / fuga de información (42.52%) Concientización de usuarios (16.98%) Software no licenciado (12.56%) Vulnerabilidad de software y sistemas (28.47%) (25.09%) (29.43%) Más de (13.80%) Malware (35.36%) Otro (1%) >> Gráfico 2. Cuáles son sus mayores preocupaciones en materia de seguridad de la información? (20.57%) (11.11%) >> Gráfico 1. Tamaño de las empresas según número de empleados Junto con las respuestas brindadas por los encuestados, ESET Latinoamérica presenta un análisis del estado de la seguridad de la información en la región, destacándose cuáles son las principales preocupaciones en la materia; y complementadas con las opiniones de diversos profesionales de las más importantes empresas y organizaciones de América Latina. Como se puede observar, la opción de pérdida de datos y fuga de información fue seleccionada como la mayor preocupación en materia de seguridad de la información en Latinoamérica; un dato identificado por el 42,52% de los encuestados. El valor que posee la información para las empresas está en continuo crecimiento, y los incidentes asociados a esta son los que más inquietan a los integrantes de las organizaciones, especialmente por los costos asociados a estos incidentes y los riesgos relacionados a la reputación de la empresa si los ataques se hacen públicos. Por otro lado, el caso Wikileaks, ocurrido a finales del año, puso en primera plana la problemática de la seguridad de la información, por lo que es de esperarse que esta siga ocupando la primera plana para los responsables de la seguridad de las empresas durante el

3 Los ejecutivos tienen una necesidad de capacitarse y seguir innovando. Damián Szafirsztein, Director de Technology Day 84% malware 84% de los usuarios de Internet se infectaron con durante el En este contexto, Juan José Dell Acqua, Director de Usuaria (entidad organizadora de los congresos Segurinfo), menciona ese incidente al ser consultado sobre si creció en la región el interés por la seguridad de la información: El interés en el tema creció considerablemente dado que los riesgos en la nube, dispositivos móviles, ciberdelitos y fraudes en Internet lejos de disminuir, están incrementándose día a día. Ni hablar del escándalo de fuga de información que sufrió recientemente Estados Unidos. En segundo lugar aparece el malware, otra de las preocupaciones que se mantiene en el podio en todos los ESET Security Report, desde su creación. Los códigos maliciosos, identificados como preocupación por una de cada tres personas, son las amenazas automatizadas que más afectan a usuarios y organizaciones en todo el mundo. Por otro lado, las nuevas tendencias del malware asociadas al beneficio económico y el robo de información, pueden tener un correlato con la principal preocupación de las empresas de la región anteriormente mencionada (el robo de información o la pérdida de datos) ya que los códigos maliciosos están cada vez más abocados a esta tarea, especialmente en Latinoamérica donde se destacan los gusanos y troyanos orientados al robo de credenciales bancarias. Completando el podio de las preocupaciones, aparecen el fraude y estafas informáticas, seleccionado por el 29,35% de los profesionales. Estos incidentes pueden ser tanto de carácter interno como externo; destacándose en el segundo grupo ataques como el phishing o el scam. En cuanto al fraude interno, a pesar de ser menos frecuente, es preciso remarcar que el impacto causado por estos suele ser mayor ya que suelen ser llevados a cabo por personas con mayor conocimiento de la organización, y por lo tanto los daños causados suelen ser mayores que en los ataques externos. Finalmente, también se destacan con valores similares las vulnerabilidades de software y sistemas, seleccionadas como preocupaciones por el 28,47% de los encuestados. Estas son uno de los principales recursos de los cibercriminales, tanto para los ataques dirigidos como para los automatizados, especialmente aquellos realizados a través de gusanos informáticos como Conficker (aún vigente luego de más de dos años de existencia) o Stuxnet, el código malicioso más popular del 2010, que se propagó a través de vulnerabilidades 0-day en sistemas Microsoft Windows. Además, los pocos encuestados que eligieron seleccionar otra respuesta a las sugeridas por la propia encuesta, identificaron como preocupaciones la continuidad de negocio y los ataques web. En este campo, Damián Szafirsztein, Director de la revista tecnológica IT Now y del congreso Technology Day, agregó la seguridad en dispositivos móviles y la seguridad en la nube. Más allá de algunas similitudes, el tamaño de las empresas suele tener incidencia en cuáles son las principales preocupaciones en la materia. Por ejemplo, en grandes corporaciones (más de 1000 empleados), se indicó como principal preocupación el malware, con el 35,36%, muy por encima del segundo lugar (la pérdida de datos y fuga de información con el 12,77%). Esto se explica lógicamente, ya que un código malicioso propagándose por una red con muchos equipos, es mucho más difícil de controlar que en un entorno más pequeño, donde es más sencillo identificar los equipos infectados, o aislar las amenazas. Incidentes de seguridad El segundo aspecto relevante sobre el que fueron consultados los profesionales es qué tipo de incidentes sufrieron, a lo largo del año, en la infraestructura de la empresa a la que pertenecen. En primer lugar, casi el 40% de las empresas indicaron haber sido víctimas al menos una vez de una infección por códigos maliciosos, confirmándose como la amenaza automatizada para la seguridad de las compañías y su información, más importante en la actualidad. En segundo lugar, resulta muy interesante destacar que un 17% de los usuarios indicaron no haber sufrido ningún incidente de seguridad durante el 2010, un valor por demás llamativo teniendo en cuenta el flujo de ataques informáticos reportado durante el año. Vale destacar que la elección de esta opción puede deberse tanto a la real falta de incidentes de seguridad o también (probablemente en muchos casos) al desconocimiento de la existencia de alguno. Esto se debe a que muchos incidentes de seguridad pueden no ser detectados si la compañía no cuenta con las tecnologías para detectar la ocurrencia de los mismos. De hecho, tan solo una de cada cuatro empresas manifestaron contar con herramientas de detección de incidentes (para más datos, ver la siguiente sección). De todas formas, vale destacar que este valor es bastante menor al más de 30% usuarios que habían manifestado no haber sufrido ningún incidente de seguridad en el ESET Security Report Latinoamérica del año pasado. En este contexto existen dos posibilidades: o se concretaron una mayor cantidad de ataques informáticos para los cuales las 3

4 38% durante 38% de las empresas se infectaron con malware el /10 4 de cada 10 usuarios formatean su computadora luego de una infección. Los ataques externos ocasionan más daño ya que son encaminados a esto mientras que los ataques internos son más por imprudencia de los usuarios. Deyanira Cepeda, U.T Avanzar Medico (Colombia) empresas no estaban realmente preparadas, o bien estas cuentan con más recursos para identificarlos. Probablemente las dos afirmaciones sean correctas y la disminución se deba a ambas causas. CUÁLES DE LOS SIGUIENTES CONTROLES POSEE EN FUNCIONAMIENTO EN SU EMPRESA? Finalmente, con porcentajes muy similares completan las opciones más seleccionadas la falta de disponibilidad de servicios críticos, el acceso indebido a aplicaciones y/o bases de datos, y la explotación de vulnerabilidades en la infraestructura de la empresa. El resto de los resultados puede ser observado en el siguiente gráfico: (50.80%) Antispam (58.16%) Backup de la Información Firewall (60.52%) (66.76%) Software Antivirus Otros (1.52%) HA SUFRIDO ALGUNOS DE ESTOS INCIDENTES DE SEGURIDAD EN LOS ÚLTIMOS 12 MESES? Infección de malware (38.20%) Fraude (Externo o Interno) (5.92%) Robo de información (6.92%) Explotación de vulnerabilidades (11.36%) Falta de disponibilidad de servicios críticos (13.00%) Acceso indebido a aplicaciones y/o bases de datos (12.12%) Ninguno (17.00%) Otro (1.48%) >> Gráfico 3. Ha sufrido algunos de estos incidentes de seguridad en los últimos 12 meses? Controles de seguridad: la mayoría y la minoría Al consultar a los profesionales sobre cuáles eran los controles de seguridad que tenían implementados en sus organizaciones, se destacaca una clara diferencia entre una serie de determinados controles que son implementados por la mayoría de las empresas, y otros que son menos frecuentes: (36.20%) Usuario de autenticados en red (25.96%) Herramientas de detección de incidentes ( IDS, IPS, auditorias y logs, etc.) >> Gráfico 4. Cuáles de los siguientes controles posee en funcionamiento en su empresa? En el primer grupo, se destacan como las medidas de seguridad más populares en las empresas en Latinoamérica los software antivirus, firewall, copias de respaldo y herramientas antispam. En el segundo grupo, el de los controles menos utilizados, aparecen la autenticación de usuarios en la red, las herramientas de detección de incidentes y otras de detección y prevención de intrusos. Vale destacar algunos aspectos interesantes que se desprenden de estas estadísticas. En primer lugar, controles muy básicos como la autenticación de usuarios en la red son implementados por un número muy pequeño de empresas. La limitación de los permisos de los usuarios y el control de la autenticación en los sistemas, son componentes básicos para la seguridad de la información, y sin embargo menos del 40% de los encuestados manifestaron su implementación en sus compañías. En segundo lugar, y como aspecto más relevante, los valores en lineas generales son muy bajos. No hay ningún control que haya sido implementado por más del 70% de las empresas; a pesar de que muchos de ellos son más bien básicos al momento de pensar una estrategia de seguridad en la empresa. Por ejemplo, a pesar de ubicarse en el cuarto lugar, tan solo la mitad de las empresas manifestaron contar 4

5 Casi siempre los inconvenientes o brechas de seguridad vienen de personas dentro de la compañía. Hugo Armando Jaramillo, Acuaviva S.A. (Colombia) A los 5 minutos que un usuario deja de utilizar su computadora, se bloquea automáticamente la sesión. Ariel Ferreyra, Molinos Canepa (Argentina) Para evitar los incidentes internos, estamos bloqueando los dispositivos USB como medida inicial. Eliécer Guerra, Superintendente de Informática de Petroterminal de Panamá con herramientas antispam, lo que lleva a preguntarse sobre qué hace la otra mitad de las empresas con los correos no deseados. Sin ir más lejos, la utilización de un software antivirus, una medida que cualquier lector supondrá que casi la totalidad de las empresas debería tener implementada, fue seleccionada solo por dos de cada tres encuestados. En ese aspecto, nótese la similitud de datos entre el 34% de los encuestados que manifestaron no contar con software antivirus, y el 38% que indicó haber sufrido una infección durante el Gestión y educación Finalmente, se consultó a los encuestados respecto a las principales costumbres en materia de gestión y educación en sus organizaciones. En lo referido a la gestión, se destaca como respuesta mayoritaria el uso de políticas de seguridad, una práctica utilizada por la mitad de las empresas en Latinoamérica. Una Política de Seguridad es una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán. Es un documento de alcance global, es decir que su validez debe mantenerse para cualquier integrante de la organización. En definitiva, es una descripción general de los fundamentos sobre las medidas de seguridad, qué se desea proteger y cómo se lo desea proteger. Para muchos especialistas en seguridad, la política de seguridad es uno de los controles fundamentales a implementar en cualquier organización. En este contexto, que la mitad de las empresas de la región ya lo tengan implementado es a la vez un dato alentador, como también comprometedor respecto a la otra mitad que aún tiene como deuda trabajar en la gestión de la seguridad en la empresa. En otro orden, otra de las problemáticas indicada como la asignatura pendiente por Szafirsztein es separar el área de Seguridad del área de IT. Según afirmó el ejecutivo de IT Now, no se puede ser juez y parte. Las declaraciones de diversos integrantes de empresas de toda la región avalan esta teoría. Por ejemplo, cuatro empresas colombianas consultadas particularmente por este tema manifestaron que las tareas de seguridad son realizadas en el propio departamento de IT. Liliana Leal, del Hospital Universitario Erasmo Meoz, identifica como principales causas el presupuesto y la falta de capacitación, en coincidencia con Hugo Armando Jaramillo, de Acuaviva S.A., que indicó que No existe presupuesto para tener personas dedicadas a ésta actividad. También coincide en la misma línea Eliécer Guerra, Superintendente de Informática de Petroterminal de Panamá: no hay presupuesto para una persona exclusiva para seguridad. Alegando otros motivos, Patricio Ordoñez, del área de IT de INNOVAR/CONQUITO, Ecuador; manifiesta que es necesario, pero por el momento no existe la necesidad para la empresa. En cuanto a la concientización, también se destacan aspectos positivos y negativos. Por un lado, se sostiene la distancia existente entre las intenciones de los encuestados y la aplicación real de educación en seguridad en las empresas: QUÉ IMPORTANCIA CONSIDERA QUE TIENE LA EDUCACIÓN EN SEGURIDAD DE LA INFORMACIÓN? (18%) Baja Ninguna (0%) Media (3%) (52%) Esencial Alta (27%) >> Gráfico 5. Qué importancia considera que tiene la educación en seguridad de la información? Mientras que 8 de cada 10 usuarios consideran que la educación en seguridad es de mucha importancia (alta o esencial), menos de la mitad de las empresas implementan de forma periódica planes de concientización. Es decir que muchas empresas encuentran difícil realizar actividades de este tipo de forma regular, a pesar de que claramente la mayoría de estas considera y comprende la importancia de la educación en la materia. Sin embargo, a pesar de sostenerse la distancia entre las intenciones y los hechos, se nota un crecimiento 5

6 Con la educación, hemos logrado disminuir un 15% los reclamos internos en cuanto al funcionamiento del sistema operativo Patricio Ordoñez, INNOVAR/CONQUITO (Ecuador) Periódicamente se envían correos a los usuarios con tips para no ser víctima de frauda cibernético. Eliécer Guerra, Superintendente de Informática de Petroterminal de Panamá. relativamente importante en cuanto a las prácticas de concientización en las empresas. Por un lado, se observa un leve incremento en la cantidad de usuarios que manifestaron realizar periódicamente actividades de este tipo respecto al año anterior (45,55% contra el 37,94% del ESET Security Report Latinoamérica 2010). Por el otro, hubo un importante crecimiento en las empresas que manifestaron realizar ocasionalmente este tipo de actividades (40,98% contra casi la mitad el año anterior). De esta forma, son cada vez menos las empresas latinoamericanas (poco más del 10%) que no realizan ningún tipo de actividad de concientización. En cuanto al tamaño de la empresa nótese que, contrario a la creencia, las empresas más grandes suelen tener una mayor, aunque leve, facilidad para implementar periódicamente planes de concientización, así como también son más los encuestados que identificaron la educación como algo de importancia esencial. En el análisis particular de las encuestas según el país, se destacan algunos casos donde es muy bajo el número de personas que seleccionó la concientización como un tema de importancia esencial o alta; como por ejemplo el emblemático caso de México, donde tan solo el 36% de los usuarios indicaron estas respuestas (21% y 15% respectivamente). La concientización es esencial (0.70%) (0.44%) (0.65%) (0.40%) (0.61%) (0.38%) Implementación periódica de educación Más de 1000 Entre 201 y 1000 Entre 51 y 200 Entre 11 y 50 Entre 1 y 10 >> Gráfico 6. Relación entre importancia de la educación e implementación de capacitaciones (0.57%) (0.35%) (0.49%) (0.30%) Redes Sociales Según Juan José Dell Acqua, una de las mayores preocupaciones de las empresas latinoamericanas es el uso indebido de internet y las redes sociales por parte de los empleados. El crecimiento en el uso de redes sociales (Facebook superó durante el 2010 los 500 millones de usuarios), sumado al crecimiento de las amenazas en estas plataformas, ponen a las empresas en una encrucijada: qué hacer con las redes sociales? Mientras que permitirlas sería lo lógico en términos de uso, esto representa un riesgo en términos de seguridad. A la vez, bloquearlas podría minimizar las amenazas, pero muchos empleados estarían disconformes o incluso no podrían realizar su trabajo sin estos recursos. Según el informe Dudas y Certezas sobre las redes sociales en la empresa publicado por ESET Latinoamérica durante el 2010, cualquiera de las acciones a tomar en este aspecto por las empresas es válida, y cada una de estas posee sus ventajas y desventajas, así como también habrá implementaciones puntuales a las características de cada empresa. Según Patricio Ordoñez, del departamento de IT de INNOVAR/CONQUITO, en su empresa solo están permitidas las redes sociales para el departamento de marketing y algunos gerentes, una solución que adoptan varias empresas y que está basada en evitar su uso y la pérdida de tiempo, pero que desde el punto de vista de la seguridad, no presenta indicios para suponer que un gerente será menos propenso que el resto de los usuarios a ser víctima de alguna amenaza por red social. Gloria de Palma, Directora de Redes y Tecnología de Icaza, González-Ruiz & Alemán; indica una política similar: solo el personal VIP tiene acceso. Otras organizaciones manifestaron su uso irrestricto, como el caso de Molinos Canepa (Argentina) y otras pocas, su bloqueo total; aunque la mayoría se ubicó en la categoría del permiso solo para algunos puestos específicos. A modo de conclusión, extraído del mismo informe de ESET, aunque denegar el acceso a las redes sociales en la red corporativa puede ser una alternativa válida, es importante destacar que el permitir su uso no es necesariamente una exposición indiscriminada a los riesgos asociados, sino que es posible contar con otras medidas de protección para minimizarlos mientras se utilizan este tipo de servicios, como por ejemplo un software antivirus, para prevenir las infecciones de malware, la definición de Políticas de Seguridad para evitar incidentes relacionados a la fuga de información o reputación de la empresa, y la implementación 6

7 22.9% 22,9% de los usuarios agregan a cualquier contacto en las redes sociales. 36.2% 36,2% de las empresas permiten el uso total en redes sociales. El 29,8% las bloquea totalmente. 50% de los usuarios considera que no hay malware en las redes 50% sociales. de campañas de educación y concientización para evitar que los usuarios sean víctimas de ataques que usen Ingeniería Social. Al respecto de este asunto, el informe de ESET concluye: Si las empresas aprovechan estas medidas de seguridad, será posible utilizar las redes sociales, con todo el valor asociado que éstas tienen, además de minimizar los riesgos de cualquiera de los incidentes informáticos que se propagan por estos servicios. a la orden del día, y los atacantes informáticos se han caracterizado por su velocidad para propagar amenazas informáticas a través de nuevas tecnologías, nuevos vectores de propagación o nuevas posibilidades en Ingeniería Social. En ese contexto, las empresas deben responder a velocidad similares para poder estar protegidos contra las amenazas más actuales y recientes del cibercrimen. Caso contrario, se trata de una carrera en continua desventaja, donde lo que se expone es la información; y por ende el prestigio y dinero de la empresa; en resumen: el negocio. Conclusiones: una de cal y una de arena Las estadísticas presentadas a lo largo del presente informe, son una especie de fotografía del estado de la seguridad en Latinoamérica; especialmente por nuclear gran cantidad de profesionales, de prácticamente todos los países de la región, que ocupan distintos puestos asociados a la seguridad y las tecnologías. La heterogeneidad del público y la cantidad de resultados procesados, permiten un acercamiento muy específico sobre las problemáticas que afectan a las compañías latinoamericanas, y a la forma en que estas están enfrentando las amenazas informáticas. En el análisis de los datos, la conclusión positiva o negativa de las estadísticas, depende exclusivamente de cuál sea el patrón de comparación. El lector habrá observado a lo largo del informe que se han destacado de forma similar aspectos positivos y negativos en el estado de la seguridad en las empresas. Si se toma como punto de referencia la información publicada en el ESET Security Report Latinoamérica 2010, es decir el estado de la seguridad en Latinoamérica un año atrás, se han observado importantes avances en la materia, como pueden ser las mejoras en términos de educación y concientización o el crecimiento en la utilización de herramientas de gestión para proteger la información. Sin embargo, si la referencia tomada es el estado de la seguridad en el resto del mundo y las amenazas actuales del cibercrimen, Latinoamérica aún presenta falencias, especialmente en la incorporación de fundamentos hoy ya básicos de la seguridad, como contar con herramientas antivirus o antispam, generar políticas de seguridad o separar el área de seguridad del área de IT. Es decir, la maquinaria se está movilizando, aunque no a la velocidad necesaria. Las amenazas informáticas están 7

8 ESET Latinoamérica Fundada en 1992, ESET es el fabricante de soluciones de seguridad de mayor crecimiento para usuarios corporativos y hogareños. ESET tiene oficinas en Eslovaquia, Estados Unidos, Polonia, República Checa, Inglaterra, Singapur, Argentina, Brasil y México; y es representada mundialmente por su canal de Partners en más de 180 países. Av. Libertador to. Piso - C1428 ARS Buenos Aires, Argentina tel.: fax.: ESET, LLC. Todos los derechos reservados. ESET, el logo de ESET, ESET SMART SECURITY, ESET.COM, ESET.EU, NOD32, VIRUS RADAR, THREATSENSE, THREAT RADAR, y THREATSENSE.NET son marcas registradas, marcas de servicios y/o marcas registradas de ESET, LLC y/o ESET, spol. s.r.o. en los Estados Unidos y cualquier otra jurisdicción. Todas las otras marcas registradas y marcas que aparecen en estas páginas son propiedad de sus respectivos dueños y son utilizadas sólo en referencia a dichas compañías y servicios. 8