No dejo de sorprenderme cada vez que comparo informes de seguridad que provienen de EEUU con otros provenientes de Latam. El nivel de madurez alcanzado por el país del norte en materia de ciberseguridad, en especial en concientización y capacitación en Seguridad Informática a usuarios finales, es tan superior, que me cuesta creer lo poco que estamos haciendo desde este lado del mundo.
El tiempo que llevan concientizando en EEUU es uno de los indicadores de la madurez y evolución que tienen sobre el tema. Hay empresas con más de 10 años de antigüedad que vienen ofreciendo capacitación en formato CBT (Computer Based Training) y, desde hace 5 años, otras nuevas empresas que se suman al mercado reciben importantísimas inversiones, demostrando la prioridad que se le da al rubro para bajar el número de incidentes.
Los números lo evidencian
Veamos ahora, con datos estadísticos de los informes “Reporte ESET Latinoamérica 2016” y “KSN Report Ransomware 2014 – 2016” como los incidentes de seguridad en las empresas, en los que en muchas ocasiones podrían ser evitados por usuarios, siguen creciendo en Latinoamérica.
En un primer gráfico podemos ver el crecimiento de incidentes en Latam de los últimos años. El promedio de las empresas que sí padecieron un incidente se incrementó respecto a los años anteriores, pasando del 75% en 2013 al 78% en 2015.
Como podemos observar sigue creciendo el porcentaje de las que sí reportan incidentes, que en la mayoría de los casos son empresas de medianas a grandes según el reporte. Esto no significa que en las pequeñas no sean atacadas al igual que el resto, pero resulta más difícil que puedan identificar este tipo de amenazas. Para lo cual es muy importante incluir en las estrategias de seguridad, campañas en las que los usuarios sean capaces de reportar incidentes.
Otro gran problema en el que los usuarios pueden contribuir para evitar la amenaza , es el Ransomware. En un principio los más afectados eran usuarios hogareños pero veamos cómo estos reportes indican que hoy ya es un problema también de las empresas.
Crecimiento del Ransomware en el ambiente corporativo
El informe KSN Report Ransomware 2014 -2016 indica que las pequeñas empresas se enfrentaron a 8 veces más de ataques de Ransomware en el tercer trimestre de 2016 que en el mismo del 2015. Además indica que el tipo de usuarios atacados por ransomware cambió hacia usuarios corporativos. En el período del 2014-2015 al 2015-2016 aumentaron los usuarios corporativos atacados del 6,8% al 13,13%.
Actualmente existe el teletrabajo y dichos usuarios utilizan diferentes dispositivos móviles, existiendo la posibilidad de ser afectados por diferentes vectores de ataques que son cada vez más dinámicos y cambiantes. Ya no podemos confiar solamente en las medidas técnicas y tecnológicas implementadas en nuestras organizaciones.
El Ransomware también afecta a usuarios en dispositivos móviles
La actividad del Ransomware móvil , aunque no es tan difundido por los medios de comunicación como el Ransomware de PC, también se disparó durante el período cubierto por el reporte que va desde abril del 2014 hasta marzo del 2016. Especialmente en la segunda mitad.
A este panorama de evolución de los atacantes, podemos agregar al Phishing , ya que a pesar de ser una técnica cada vez más conocida, logra su objetivo a través de la aplicación efectiva de técnicas de Ingeniería Social . En otras palabras, sus creadores buscan explotar vulnerabilidades en las personas .
Phishing
Estos ataques buscan llegar a la mayor cantidad posible de potenciales víctimas, aunque en los últimos años, han cambiado este propósito hacia objetivos concretos, personas específicas , lo que se ha denominado Spear Phishing .
Al analizar los resultados de las encuestas del Reporte de Eset, es posible ver que los países más afectados por casos de phishing son Ecuador (24%), seguido por Perú (22%) y Guatemala (20%). El mapa completo de la región se puede ver en el siguiente gráfico:
Estos números dejan en claro cómo con técnicas nuevas, los ciberdelincuentes siguen causando estragos provocando incidentes que son dirigidos a usuarios . Veamos ahora cómo se está actuando en respuesta, respecto a campañas de seguridad en esta región.
Capacitación y concientización a usuarios finales en Latam
El 55% de las grandes empresas realizan actividades de concientización para sus empleados, pero queda un amplio rango del 45% por cubrir.
Sobresale además que en las empresas pequeñas y medianas , el porcentaje de aquellas que NO llevan a cabo actividades de concientización, supera a las que sí las realizan.
Los números lo evidencian. ¿Será el 2017 un año para realmente comprometernos e incluir a los usuarios en nuestra estrategia de seguridad ? ¿Podremos reducir la brecha con los países más maduros en materia de seguridad de la información corporativa?
Sin duda, es una tarea fundamental para enfrentar a las amenazas modernas y debemos comprometernos todos para mitigar estos riesgos crecientes y mejorar el panorama.
En próximos post veremos casos reales, análisis de inversiones en concientización, explicaremos sobre ROI/ROSI, y hablaremos sobre la importancia de las métricas y uso de dashboards en las campañas de capacitación en seguridad de la información.
Fuentes
Reporte ESET Latinoamérica 2016
http://www.welivesecurity.com/wp-content/uploads/2016/04/eset-security-report-latam-2016.pdf
KSN Report Ransomware 2014 -2016
https://securelist.com/files/2016/06/KSN_Report_Ransomware_2014-2016_final_ENG.pdf
Deja un comentario