77 - Informe anual de seguridad del FBI/CSI 2007 - 21/10/2007


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar



CSI (ya no) dependiente del FBI acaba de publicar (un poco tarde a comparación de otras oportunidades) el 12° informe sobre delitos informáticos y seguridad de la información. Como se sabe este informe es una base importante de información para conocer el estado de arte actual en esta área de trabajo.

El informe se realizó en base a la respuesta de 494 empresas, cubriendo un amplio espectro desde agencias de gobierno, instituciones, universidades y sector tecnológico de EE.UU.

El perfil de las personas que respondieron la encuesta corresponden a CIOs, CEOs, CSOs, CISOs, Oficiales de Seguridad y Administradores de sistemas.

Como primer resultado importante se remarca que el promedio de pérdida anual de 2007 es del doble del año anterior (U$S 350.424 sobre U$S 168.000) y que por primera vez en mucho tiempo el fraude financiero supera a los ataques de malware, que ahora quedan relegados al segundo lugar.

El problema más persistentemente reportado es el abuso de los recursos de la organización por parte de personal interno (insiders).

Con respecto al presupuesto invertido en seguridad no deja de llamar la atención que el 61% de los entrevistados ha invertido 5% o menos de su presupuesto en seguridad. Lo que es "alentador" es que este porcentaje es levemente mayor al año anterior (53%) y que según los analistas el mismo seguirá creciendo durante 2008.

El informe remarca que este porcentaje no debería salir totalmente del presupuesto de IT sino de otras áreas debido a que la seguridad involucra a toda la organización.

Otro punto a remarcar (y que preocupa) con respecto al presupuesto es que la mitad (48%) de las empresas dicen invertir menos del 1% de su presupuesto en Awareness (capacitación y entrenamiento).

Desde 2004 se cuestiona a las organizaciones sobre las técnicas utilizadas para analizar el retorno de inversión y cuantificar los costos y beneficios de la aplicación de seguridad a la información.

Casi la mitad (49%) de los encuestados afirma utilizar ROI [1], siendo este el método más comúnmente conocido.

Con respecto al outsourcing de la seguridad los porcentajes se mantienen constantes a años anteriores. El 2% de los encuestados dice que delega el 80% o más de los trabajos de seguridad pero la mayoría (61%) decide no delegar nada.

Con respecto a la administración de riesgos a través de empresas aseguradoras, el 29% decide hacerlo, manteniendo los índices de años anteriores.

Uno de los puntos más importantes del informe es que el referido a los incidentes reportados durante el año. Al ser consultados sobre si la organización experimentó incidentes de seguridad durante el año, la cantidad de encuestados se iguala al responder que sí un 46% y que no un 45% (el resto no sabe/no contesta). Lo más interesante de estos números es que los incidentes han decrecido considerablemente (el 25%) en los últimos 7 años.

Con respecto a la cantidad de incidentes detectados se nota un índice creciente en la cantidad de encuestados que han sufrido más de 10 ataques (el porcentaje crece de 9% a 26%).

Un 37% dice sufrir un porcentaje de pérdidas dentro de sus organizaciones mayor al 20% a través de la acción de los insiders (de hecho, 5% de ellos dice perder más del 80%). Por otro lado un porcentaje igual (36%) dice no perder nada por acción de los insiders.

En lo que respecta a los tipos de ataques sufridos, los ataques de insiders, el último año crecen de un 42% a un 59% y el robo de laptops también crece en un porcentaje similar (47% a 50%). Esto denota la importancia que debe darse a la información que se maneja dentro de la organización y los lugares en la que la misma se almacena y se realizan copias de seguridad.

Con respecto a las infecciones de malware, como ya se mencionó, el porcentaje decrece de un 65% a un 52% pero se denuncian un decreciente porcentaje de ataques a sitios webs (defacement) en donde un 2% dice sufrir más de 10 de estos ataques anualmente (en 2006 este porcentaje fue del 59%), sin embargo un 56% dice no poder determinar la cantidad de ataques de este tipo.

Los encuestados coinciden que el monto de pérdidas ha decrecido en los últimos 5 años pero no así en el último año ya que un total de 194 personas denunciaron U$S 66.930.950, cuando en el 2006, 313 personas habían sumado U$$ 52.494.290. El promedio de pérdidas entonces ha sido de U$S 345.004, duplicado el año anterior que había sido de U$S 167.713 por organización.

Es notable como la cantidad de personas que responde sobre las pérdidas monetarias decrece año a año debido a lo sensible de esta información.

Sin duda uno de los gráficos más representativos del informe es el que muestra el tipo de ataques por los cuales se producen la mayor cantidad de pérdidas, mostrando que los fraudes informáticos este año se llevan el gran premio con U$S 21.124.750 dejando segundo al malware con U$S 8.391.800. Esto se debe a dos factores principales:

Con respecto a las herramientas utilizadas como siempre el 98% dice utilizar antivirus, y el 97% firewall, manteniendo constantes los índices de los últimos años. Lo mismo sucede con las demás herramientas (antispyware, IDS, cifrado, PKI, dispositivos biométricos, tecnología NAC, etc).

Este año se agregan a la encuesta las siguientes opciones:

Para evaluar y asistir la efectividad de las tecnologías utilizadas en seguridad, las auditorias internas (con 63% y decreciendo 20% con respecto a años anteriores), los Penetration Testing y las auditorias externas (ambas con 53%) y las herramientas automatizadas (con 49%) son las más populares.

Este año se considera por primera vez evaluar la efectividad de los programas de awareness dentro de la organización. De aquí se deduce que el 18% de los encuestados ni siquiera usa un programa de educación dentro de la organización, el 35% no mide su efectividad y un porcentaje similar (32%) dice hacerlo a través de distintas pruebas o por el volumen de tickets creados en mesa de ayuda (22%).

Cuestionados sobre la importancia del programa de educación dentro de la organización, el 78% coincide en dar capacitación a los administradores de red y el 73% a las áreas de management y un porcentaje similar (71%) dice que las políticas de seguridad son importantes.

Otra de las preguntas hace referencia a la importancia de compartir la información de ataques con distintos organismos para prevenir los mismos. Un importante 73% coincide en compartir esta información.

Con respecto a las acciones tomadas luego de detectar un incidente, el 61% dice intentar identificar al atacante y más de la mitad dice mejorar su política de patcheo e instalar software/hardware adicional de seguridad, mientras que un tercio dice denunciar los casos a las fuerzas del orden.

Con respecto al motivo de porque no denunciar los casos a la ley, un tercio coincide en que esto puede ser publicidad negativa para la organización o que puede ser una ventaja para la competencia. El 22% dice que la ley no puede ayudar en estos casos.

Consultados sobre los efectos de la aplicación de Sarbanes–Oxley (SOX) el 25% dice estar totalmente en desacuerdo y el porcentaje restante tiene distintos niveles de acuerdo con la misma.

Este año se agregó una pregunta libre sobre la consideración de cuales serán los mayores tipos de crímenes informáticos en los próximos 2 años. La mitad de los encuestados (49%) coincide en mencionar la protección de la información personal y los temas legales como mayores tópicos a tener en cuenta.

Para finalizar el informe, CSI remarca los cambios vividos en la tecnología en los últimos años, haciendo clara referencia a la forma en como el mercado se mueve de ofrecer productos a servicios (por ejemplo en la Web 2.0).

También se hace referencia a "nuevos" tipos de ataques como los perpetrados por el malware en el robo de información sensible para luego ser utilizado como base para otros ataques a la identidad de los usuarios, por ejemplo en el reciente caso de Monster [2].


[1] ROSI: el ROI de la Seguridad de la Información
http://www.segu-info.com.ar/terceros/
¿Existe un retorno de inversión en seguridad?
http://www.bsecure.com.mx/articulo-66-6557-375.html

[2] Caso Monster
http://seguinfo.blogspot.com/2007/08/roban-los-datos-personales-de-miles-de.html
http://seguinfo.blogspot.com/2007/08/sobre-la-informacin-robada-en-monster.html



Buenos Aires, 21 de octubre de 2007



Actualidad

Virus-Antivirus