lunes, 22 de octubre de 2007

Encuesta CSI

Todavía hasta el año pasado, el Computer Security Institute (CSI) hacía una encuesta en conjunto con el FBI. Este año el CSI ha efectuado esta encuesta de manera independiente. El reporte trata de arrojar diversos resultados relacionados con la seguridad de varias organizaciones de los EUA. Y aunque el reporte no tiene cifras totalmente exactas, es lo mejor que se puede obtener para entender lo que está pasando en cuestión de seguridad en nuestro vecino del norte.
Analicemos algunos de los hallazgos de este estudio:
1.- Las empresas reportan que sus pérdidas financieras aumentaron de $ 168,000.00 USD el año pasado a $ 350,000.00 USD este año. No hay una explicación “verdadera” para este aumento tan importante en las pérdidas reportadas debido a incidentes de seguridad. Puede ser que los ataques el día de hoy sean más dañinos en el sentido de que son “personalizados” para atacar una empresa en particular, o que en años pasados haya habido un relajamiento de la industria estadounidense en cuestión de inversión para evitar incidentes.
2.- Un 20% de las empresas que tuvieron incidentes de seguridad comentaron que fueron ataques especializados. Es decir, que los atacantes querían dañar específicamente a esa organización; no fueron ataques “genéricos” en el que un “cracker” hace un troyano o gusano y lo libera, a ver quién se infecta. Aquí en México desgraciadamente no contamos con una encuesta de seguridad, pero sería interesante ver si existen también ya estos ataques especializados, lo cual no sería de sorprender. En México tal vez abusemos del principio de “a mi no me pasa, tal vez en los EUA”. Sin embargo, empresas mexicanas de alta importancia u organizaciones gubernamentales pueden ser buenos candidatos para recibir ataques que llevan “nombre y apellido”.
3.- Los fraudes financieros fueron la mayor causa de pérdida en materia de seguridad y se impusieron a las pérdidas que históricamente han “ganando” los virus. No me queda claro leyendo el artículo a qué se refieren exactamente con “fraudes financieros”. Deduzco que se refieren a los fraudes que hacen los empleados de la empresa y que son posibles gracias a “fallas” en la seguridad informática. El punto es que ya no son los virus la principal fuente de pérdida económica. Esto responde a que ya no hemos visto últimamente ataques “masivos” que en pocos días causan grandes pérdidas. Ahora los ataques tienden a ser silenciosos, y eso tiene una razón de ser: el código malicioso está encaminado últimamente a obtener ilegalmente ganancias económicas, y lo que menos se quiere es llamar la atención.
4.- El abuso de las redes corporativas y del correo son ya el incidente más frecuente, ganando también a los incidentes por virus y gusanos. Con abuso nos referimos a accesos no autorizados, intercambio e instalación de software pirata, etc. En pocas palabras, los gusanos y troyanos hechos por gente externa y ajena a la organización ya no son la principal causa de incidentes, sino los propios empleados son los que abusando de sus privilegios, causan el mayor número de incidentes de seguridad de la información. Interesante, ya que cualquiera pensaría que el código malicioso es el principal causante de incidentes.
5.- El porcentaje de empresas que reportan incidentes de seguridad informáticos a las autoridades creció de 25% a 29% este año. Esto es algo muy independiente a nuestro país, ya que en el país del norte tienen una legislación más completa y tienen otra cultura de la denuncia. Probablemente si aquí se hiciera una encuesta, por lo menos en este rubro, tal vez siempre saldría 0%, es decir, donde nadie denuncia incidentes de seguridad.

Vean el documento completo en http://www.gocsi.com/forms/csi_survey.jhtml