Todos los números indican que es hora de Concientizar. ¿Nos comprometemos para el 2017?

Todos los números indican que es hora de Concientizar. ¿Nos comprometemos para el 2017?

No dejo de sorprenderme cada vez que comparo informes de seguridad que provienen de EEUU con otros provenientes de Latam. El nivel de madurez alcanzado por el país del norte en materia de ciberseguridad, en especial en concientización y capacitación en Seguridad Informática a usuarios finales, es tan superior, que me cuesta creer lo poco que estamos haciendo desde este lado del mundo.

El tiempo que llevan concientizando en EEUU es uno de los indicadores de la madurez y evolución que tienen sobre el tema. Hay empresas con más de 10 años de antigüedad que vienen ofreciendo capacitación en formato CBT (Computer Based Training) y, desde hace 5 años, otras nuevas empresas que se suman al mercado reciben importantísimas inversiones, demostrando la prioridad que se le da al rubro para bajar el número de incidentes.

Los números lo evidencian

Veamos ahora, con datos estadísticos de los informes “Reporte ESET Latinoamérica 2016” y “KSN Report Ransomware 2014 – 2016” como los incidentes de seguridad en las empresas, en los que en muchas ocasiones  podrían ser evitados por usuarios,   siguen creciendo en Latinoamérica.  

En un primer gráfico podemos ver el  crecimiento de incidentes en Latam  de los últimos años. El promedio de las empresas que sí padecieron un incidente  se incrementó  respecto a los años anteriores, pasando  del 75% en 2013 al 78% en 2015. 

Como podemos observar sigue creciendo el porcentaje de las que sí reportan incidentes, que en la mayoría de los casos son empresas de medianas a grandes según el reporte. Esto no significa que en las pequeñas no sean atacadas al igual que el resto, pero resulta más difícil que puedan identificar este tipo de amenazas. Para lo cual es muy importante incluir en las estrategias de seguridad, campañas en las que los  usuarios sean capaces de reportar incidentes.

Otro gran problema en el que los  usuarios pueden contribuir para evitar la amenaza , es el Ransomware. En un principio los más afectados eran usuarios hogareños pero veamos cómo estos reportes indican que hoy ya es un problema también de las empresas.

Crecimiento del Ransomware en el ambiente corporativo

El informe KSN Report Ransomware 2014 -2016 indica que las pequeñas empresas se enfrentaron a  8 veces más   de ataques de Ransomware   en el tercer trimestre de 2016  que en el mismo del 2015. Además indica que el tipo de usuarios atacados por ransomware cambió hacia  usuarios corporativos.  En el período del 2014-2015 al 2015-2016  aumentaron los usuarios corporativos atacados  del  6,8%  al  13,13%.

Actualmente existe el teletrabajo y dichos usuarios utilizan diferentes dispositivos móviles, existiendo la posibilidad de ser afectados por diferentes vectores de ataques que son cada vez más dinámicos y cambiantes. Ya no podemos confiar solamente en las medidas técnicas y tecnológicas implementadas en nuestras organizaciones.

El Ransomware también afecta a usuarios en dispositivos móviles

La actividad del  Ransomware móvil , aunque no es tan difundido por los medios de comunicación como el Ransomware de PC, también  se disparó  durante el período cubierto por el reporte que va desde abril del 2014 hasta marzo del 2016. Especialmente en la segunda mitad. 

A este panorama de evolución de los atacantes, podemos agregar al  Phishing , ya que a pesar de ser una técnica cada vez más conocida, logra su objetivo a través de la aplicación efectiva de  técnicas de Ingeniería Social . En otras palabras, sus creadores buscan explotar  vulnerabilidades en las personas .

Phishing

Estos ataques buscan llegar a la mayor cantidad posible de potenciales víctimas, aunque en los últimos años, han cambiado este propósito hacia objetivos concretos,  personas específicas , lo que se ha denominado  Spear Phishing .

Al analizar los resultados de las encuestas del Reporte de Eset, es posible ver que los  países más afectados  por casos de phishing  son Ecuador  (24%), seguido por  Perú  (22%) y  Guatemala  (20%). El mapa completo de la región se puede ver en el siguiente gráfico:

Estos números dejan en claro cómo con técnicas nuevas, los ciberdelincuentes siguen causando estragos  provocando incidentes que son dirigidos a usuarios . Veamos ahora cómo se está actuando en respuesta, respecto a campañas de seguridad en esta región.

Capacitación y concientización a usuarios finales en Latam

 El 55% de las  grandes empresas  realizan actividades de concientización para sus empleados, pero queda un  amplio rango del 45% por cubrir.

Sobresale además que en las  empresas pequeñas y medianas ,  el porcentaje de   aquellas que NO  llevan a cabo actividades de concientización,  supera a las que sí  las realizan. 

Los números lo evidencian. ¿Será  el 2017  un año para realmente comprometernos e  incluir a los usuarios  en nuestra  estrategia de seguridad ? ¿Podremos  reducir la brecha  con los países más maduros en materia de seguridad de la información corporativa?

Sin duda, es una tarea fundamental para enfrentar a las amenazas modernas y debemos comprometernos todos para mitigar estos riesgos crecientes y mejorar el panorama. 

En próximos post veremos casos reales, análisis de inversiones en concientización, explicaremos sobre ROI/ROSI, y hablaremos sobre la importancia de las métricas y uso de dashboards en las campañas de capacitación en seguridad de la información.

Fuentes

Reporte ESET Latinoamérica 2016

http://www.welivesecurity.com/wp-content/uploads/2016/04/eset-security-report-latam-2016.pdf

KSN Report Ransomware 2014 -2016

https://securelist.com/files/2016/06/KSN_Report_Ransomware_2014-2016_final_ENG.pdf

Fernando Testa

Cofundador de SMARTFENSE. Coordinador del equipo de soporte técnico. Ingeniero implementador para el territorio europeo, con foco en el mercado italiano. Más de 20 años de experiencia en gestión, soporte IT, ciberseguridad, educación y docencia universitaria.

Deja un comentario