¿Has tenido algún incidente de seguridad?

Publicado el 30 agosto 2013 por Alfredo Abad Domingo @AlphesTIC

Leyendo unas noticias de Check Point sobre seguridad, que publicaba hace algún tiempo MKM (Diario Informático), y que te copiaré después, me hacía cargo del volumen estadístico de incidencias relacionadas con seguridad:

El 79% de las empresas han sufrido algún incidente de seguridad móvil durante 2012. 

Claro, que estas empresas son las que se han enterado del incidente, bien porque el desastre fuera público o porque no siendo público tuvieron la valentía de hacerlo público. Supongo yo que habrá habido compañías, sobre todo pequeñas, que ni siquiera se hayan enterado de que han sufrido -o están sufriendo- algún problema en su seguridad.El ONTSI (Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información), dependiente del Ministerio de Industria, Energía y Turismo del Gobierno Español publicaba también una estadística de incidentes de seguridad personales y extraía las siguientes conclusiones:

Los problemas de seguridad informática con mayor incidencia sobre la población internauta son en primer lugar los virus informáticos, que han disminuido 0,8 puntos porcentuales desde el año 2011 alcanzando en 2012 un 55%, y en segundo lugar los correos electrónicos no solicitados ni deseados (el denominado spam) con un 47,3% de incidencia, cuyo nivel ha aumentado casi 5,8 puntos porcentuales con respecto a sus cifras de 2011. La incidencia de los fraudes con tarjetas de crédito llegó al 3% en  2012.

(Nota: En la fuente gubernamental aparece erróneo "tercer semestre" por "segundo semestre".)


Ahora, querido lector, reflexiona sobre lo leído: ¿sigues pensando que este problema de seguridad no te afecta? No pienses que es un problema solo técnico, también es estructural y de RRHH.
¿Quieres un ejemplo?

Conozco una empresa, cuyo nombre no puedo revelar por razones obvias, que empezó a sufrir ataques desde el exterior sin que nadie en la empresa lo advirtiera: parece ser que el hacker solo hacía labores de vigilancia a la espera de que el botín engordara para asestar su golpe final. Algún experto descubrió el agujero de seguridad y lo comentó discretamente con los encargados de seguridad de las dos divisiones de la empresa a las que afectaba el problema: el de una de la divisiones asumió el aviso y trató de corregirlo, mientras que el de la otra división ignoró la advertencia.

¿Por qué no hizo caso este segundo gestor de la seguridad de esta llamada de atención? Porque le dio miedo hacer público que no estaba haciendo bien su trabajo: quizás no tenía las herramientas adecuadas, no se atrevió a poner en patente lo que estaba latente, no le aprobaron el presupuesto necesario, ¿Qué se yo? Hasta que llegó el día del desastre.

A veces, el miedo del estrato inferior hace que losde arriba no se enteren de lo que realmente sucede.


¿No es esto un problema de recursos humanos? Si el CEO de esta compañía se enterara de la totalidad de esta historia, ¿qué crees que haría con él?  Pues te puedo asegurar, que ese CEO -después de dos años- aún no lo sabe. Fíjate como el mismo aviso dado a dos divisiones de la compañía fueron acogidos de modos diversos y con resultados diametralmente opuestos. Fíjate también qué grande es la dificultad de reportar los problemas de seguridad latentes hacia las líneas de mando. Cuando una empresa no funciona bien en sus recursos humanos, pasan cosas de este estilo.

Y ahora, lector, puedes opinar y así iniciamos un debate: ¿Quién te parece más responsable del incidente y sus trágicas consecuencias? ¿El hacker? ¿El administrador de seguridad? ¿El jefe del administrador? ¿El CEO? ¿Quien advirtió del problema?

Te puedo asegurar que quien sutilmente pasó aviso del problema no se fue de rositas (parece mentira, pero no lo es).
Y si miras hacia otro lado, acabarás concluyendo que fue responsabilidad de las herramientas de hacking.

Bienvenido al mundo: ¡acabas de pulir tu ingenuidad!


Por si quieres más información te copio el artículo prometido basado en un informe de Check Point:

Check Point ha publicado su segundo informe sobre Seguridad Móvil donde revela que la mayoría de las compañías (el 79%) sufrió algún incidente de seguridad relacionado con movilidad durante el pasado año, y donde queda patente que el coste del mismo fue sustancial para la corporación. El nuevo informe detectó que para el 42% de las compañías encuestadas el coste vinculado a estos episodios ascendió hasta los seis dígitos (más de 100.000 dólares), incluyendo un 16% de las corporaciones donde específicamente la cifra se reveló superior a los 500.000 dólares.
Desde smartphones a tablets, los dispositivos móviles continúan siendo motivo de preocupación constante para los equipos de TI responsables de la seguridad de la información. Los datos y la información corporativa sensible pueden ser transportados fácilmente, filtrados o perdidos, al mismo tiempo que la tendencia BYOD (Bring Your Own Device) incrementa sustancialmente el número de incidentes de seguridad de alto coste para las compañías. Aun así, la información corporativa, incluyendo información confidencial de los propios clientes, se almacena cada vez más en dispositivos móviles personales, fuera de la gestión de los responsables de TI de las empresas.
“La tendencia BYOD supone un desafío para las corporaciones de todo el mundo y aquí en España, donde tenemos unas impresionantes cifras de penetración de smartphones -las más altas de Europa-, la preocupación es más que palpable en empresas de todos los tamaños. La empresa española, fundamentalmente pyme y donde la movilidad se ha disparado sustancialmente en los dos últimos años en casi todos los sectores, demanda una respuesta eficaz que le permita gestionar la información sensible contenida en todos los dispositivos móviles, ya sean smartphones o tablets, y que no comprometa el desarrollo de su actividad ni la forma de trabajo de sus empleados”, destaca Mario García, director general de Check Point Iberia.
Basado en una encuesta a cerca de 800 profesionales de TI, el nuevo informe de Check Point cuantifica el extraordinario crecimiento de la tendencia BYOD, revela la frecuencia y el coste de los incidentes de seguridad móvil e identifica los principales desafíos a los que se enfrentan empresas de todos los tamaños. Las principales conclusiones del informe son:
•    Aumento de los dispositivos móviles personales que se conectan a las redes corporativas: Entre las compañías que permiten su uso, el 96% afirma que el número de dispositivos personales conectados a su red está aumentando y el 45% señala que se ha multiplicado por cinco en los dos últimos años.
•    Incidentes de seguridad móvil comunes y costosos para empresas grandes y pequeñas: Más de la mitad (52%) de las grandes empresas reportan que los incidentes de seguridad relacionados con movilidad les han supuesto un coste de más de 500.000 dólares en el último año. Incluso para el 45% de las empresas encuestadas con menos de 1.000 empleados, los incidentes de seguridad superaron los 100.000 dólares en el último año.
•    La plataforma móvil  con los mayores riesgos de seguridad percibidos: Android fue citada por el 49% de las empresas como la plataforma con mayor percepción de riesgos de seguridad (frente al 30% que se revelaba en la encuesta del pasado año), comparada con Apple, Windows Mobile y Blackberry.
•    La Información corporativa no es gestionada en los dispositivos móviles: A pesar del coste que suponen los incidentes de seguridad móvil, el 63% de las compañías no gestiona la información corporativa de los dispositivos personales de sus empleados y el 93% tiene dificultades para adoptar políticas específicas de BYOD.
•    Cada vez más dispositivos móviles almacenan información confidencial de clientes: Más de la mitad (53%) de las compañías encuestadas señalan que existe información confidencial de sus clientes en dispositivos móviles, estando por encima del 47% el pasado año.
“Sin lugar a dudas, la explosión de BYOD, las aplicaciones móviles y los servicios en la nube, han convertido la protección de la información corporativa en una ardua tarea tanto para las empresas grandes como pequeñas”, señala Tomer Teller, evangelista de seguridad e investigador de Check Point. “Una estrategia eficaz en materia de seguridad móvil debería centrase en la protección de la información corporativa en todo el amplio abanico de dispositivos existentes y en la aplicación de controles de acceso seguros y adecuados a la información y a las aplicaciones on the go. Es igualmente importante educar a los empleados acerca de las mejores prácticas, ya que en la mayoría de las compañías muestran más preocupación en referencia a los empleados que comenten negligencias que por los propios cibercriminales”.

Alfredo Abad Domingo.
Twitter: @AlphesTIC,  https://twitter.com/AlphesTIC#CuriositaTICs
Facebook: https://www.facebook.com/alfabad 
Linkedin: http://www.linkedin.com/in/alfabad