En los 2 últimos años

El phishing y las redes sociales son las principales fuentes de este tipo de amenazas en las que no se utilizan técnicas de hacking, sino que se manipula a los usuarios para que revelen contraseñas u otra información.

Check Point® Software Technologies Ltd. presentó las conclusiones de un nuevo informe que revela que un 48% de las empresas encuestadas ha sido víctima de ataques de ingeniería social y ha sufrido 25 o más ataques a lo largo de los dos últimos años.

El coste empresarial de estos incidentes de seguridad está entre 18.000 y 73.000 euros. Este tipo de ataques implica que un estafador, en lugar de utilizar técnicas de hacking, manipula o engaña a los usuarios para que realicen ciertas acciones o divulguen información personal.

El informe “Riesgo de la Ingeniería Social en la Seguridad Informática” señala el phishing y las redes sociales como las principales fuentes de amenazas y anima a las empresas a combinar estrategias tecnológicas y de concienciación para minimizar la frecuencia y el coste de los ataques.

Tradicionalmente, estos ataques tenían como objetivo a personas con información delicada o que tienen acceso a la misma. En la actualidad, los hackers recurren a una amplia gama de técnicas y aplicaciones para obtener información personal y profesional y detectar el eslabón más débil en una organización.

“Los resultados de la encuesta muestran que casi la mitad de las empresas encuestadas son conscientes de que han sufrido ataques de ingeniería social. Sabiendo que muchos de estos ataques pasan desapercibidos, debemos tener en cuenta que este es un vector de ataque muy amplio y peligroso que no debe ser ignorado”, señala Oded Gonda, vicepresidente de productos de seguridad de red de Check Point Software Technologies.

Si bien las técnicas de ingeniería social confían en aprovecharse de las vulnerabilidades de una persona, la omnipresencia de la Web 2.0 y las tecnologías móviles también han incrementado las alternativas de cara a acceder a información personal, creando nuevas vías de penetración para la ejecución de estos ataques concretos. Los nuevos empleados (60%) y contratistas (44%), menos familiarizados con las políticas de seguridad corporativas, fueron señalados como los colectivos más susceptibles de convertirse en víctimas de estas amenazas, seguidos por personal de contratas, administrativos, recursos humanos y el departamento de informática.

“A fin de cuentas, las personas son un componte crítico del proceso de seguridad, en tanto y en cuanto son susceptibles ser víctimas de los engaños de los criminales y cometer errores que pueden llevar a infecciones por malware o pérdidas de datos no intencionadas. Muchas organizaciones no ponen suficiente empeño en involucrar a sus usuarios, cuando, de hecho, los empleados deberían ser la primera línea de defensa”, añade Gonda. “Una buena manera de hacer que los usuarios sean más conscientes de su importancia es involucrarlos en el proceso de seguridad, otorgándoles capacidades para evitar y remediar incidentes de seguridad en tiempo real.”

Principales Conclusiones de Informe:

Las amenazas son reales – El 86% de los profesionales informáticos y de seguridad son conscientes o muy conscientes de los riesgos que comportan los ataques de ingeniería social. Aproximadamente el 48% de las empresas encuestadas admite haber sufrido más de 25 ataques en los dos últimos años.

Estos ataques salen caros – Los encuestados cifran entre 18.000 y 73.000 euros el coste de los incidentes de seguridad, teniendo en cuenta costes de disrupción de negocio, retrasos con clientes, pérdida de ingresos y daños de marca.

Las fuentes más comunes de ataques de ingeniería social – Los correos electrónicos de phishing ocupan el primer puesto en el ranking (47%), seguidos de las redes sociales, donde se expone información personal y profesional (39%) y dispositivos móviles inseguros (12%).

El ánimo de lucro es la principal motivación de estos ataques (51%) – seguido por el acceso a información propietaria (46%), la obtención de ventajas competitivas (40%) y la venganza (14%).

Los nuevos empleados son más susceptibles a las técnicas de ingeniería social – Según los encuestados, los nuevos empleados son los más expuestos a estos riesgos, seguidos por los contratistas (44%), secretarios/as de dirección (38%), recursos humanos (33%), altos ejecutivos (32%) y personal informático (23%). Independientemente de su función en la organización, tanto la implementación de programas de formación adecuados, como la concienciación, son componentes críticos en cualquier política de seguridad.

Falta de formación proactiva para evitar los ataques – El 34% de las empresas carece de políticas de seguridad o programas de formación para prevenir que sus usuarios sean víctimas de las técnicas de ingeniería social, si bien el 19% tiene previsto implementarlos.

Para alcanzar el grado de protección que los entornos informáticos modernos demandan, el concepto de seguridad tiene que ampliarse, otorgándole la misma consideración que a cualquier otro proceso efectivo de negocio, en lugar de verla como una mera colección de tecnologías dispares. 3D Security de Check Point ayuda a las empresas a implantar un esquema de seguridad que trasciende la tecnología, educando a los empleados involucrándoles en el proceso. “Así como los empleados cometen errores y son responsables de la aparición de amenazas o vulnerabilidades en la organización, también pueden desempeñar un papel crucial en la mitigación de los riesgos”, añade Gonda. Gracias a la tecnología UserCheck™ de Check Point, las empresas pueden informar y educar a sus empleados acerca de las políticas corporativas a la hora de acceder a la red, los datos y las aplicaciones corporativas—ayudando a las empresas a minimizar la frecuencia, los riesgos y los costes asociados a las técnicas de ingeniería social.

Puede acceder al informe y completar el sondeo online aquí www.checkpoint.com

“La seguridad no es sólo un problema para los administradores informáticos; sino que tiene que ser parte de las funciones de cada perfil profesional. A medida que las amenazas a las que se enfrenta la industria se hacen más sofisticadas y especializadas, la colaboración de los usuarios incrementa el grado de inteligencia y de efectividad de las tecnologías de seguridad,” concluye Gonda.

Anuncios

Informe de McAfee y CSIS

El 80% ha experimentado un ataque a gran escala y el 25% ha sido víctima de intentos de extorsión.

McAfee y el Centro para Estudios Estratégicos e Internacionales (CSIS) han anunciado las conclusiones de un informe que refleja el coste y el impacto de los ciberataques a infraestructuras críticas de sectores como el de la energía, petróleo, gas y agua.

La encuesta, realizada a 200 directores de seguridad de TI de empresas de infraestructuras críticas en 14 países, desvela que el 40% de ellos cree que la vulnerabilidad de la industria ha aumentado. El 30% piensa que su empresa no está preparada para un ciberataque y más de un 40% espera un importante ciberataque el próximo año.

El informe “Amenazas en la oscuridad. Las infraestructuras críticas se enfrentan a ciberataques”, fue encargado por McAfee y producido por el CSIS. “La adopción de medidas de seguridad en importantes industrias civiles no va en línea con el aumento de amenazas en el último año”, afirma Stewart Baker, que lideró el estudio para el CSIS.

Los directores de TI han hecho modestos progresos respecto al año pasado en lo que se refiere a la seguridad de sus redes, puesto que el sector de la energía aumentó su adopción de las tecnologías de seguridad en solo un punto porcentual (51%), y en el caso de las industrias del petróleo y el gas, el aumento fue del 3% (48%).

“Estamos viendo que las redes de distribución de energía eléctrica inteligente no lo son tanto”, afirma Phyllis Schneck, vicepresidente y CTO del área de inteligencia para el sector público de McAfee. “El año pasado, vimos una de las formas más sofisticadas de malware en Stuxnet, que estaba especialmente diseñado para sabotear los sistemas de TI de las infraestructuras críticas. El hecho es que los sistemas de este tipo de infraestructuras no fueron creados teniendo en cuenta la ciberseguridad y las organizaciones necesitan implementar mejores controles de red, para evitar ser vulnerables a los ataques.”

Otras conclusiones clave del informe:

– Un 80% de los encuestados se ha enfrentado a un ataque de denegación de servicio (DDoS) y un cuarto de ellos informó diaria o semanalmente de ataques de este tipo y/o fueron víctimas de extorsión a través de ataques de red.

– Uno de cada cuatro encuestados ha sido víctima de extorsión a través de ciberataques o de amenazas de ciberataques. El número de compañías susceptibles de ser extorsionadas aumentó un 25% el año pasado, y los casos de extorsión estaban distribuidos por igual entre los diferentes sectores de infraestructuras críticas.

– Llas medidas de seguridad sofisticadas impuestas a los usuarios fuera de las instalaciones son escasas, ya que solo un cuarto de los encuestados implementa herramientas para analizar la actividad de red, y el 36% utiliza herramientas para detectar comportamientos anómalos.

– Más de la mitad de los encuestados afirma haber sufrido ataques procedentes de gobiernos.

Fuente: McAfee.

6,6 millones de dólares

El coste medio para resolver un problema de fuga de información es de 6,6 millones de dólares.

Sophos afirma que el 70% de las empresas han sufrido como mínimo una fuga de datos en el último año. Este y otros datos se han dado a conocer en una webcast que, bajo el título “Implicaciones empresariales de una filtración de datos”, se ha organizado con profesionales de seguridad de la Administración Pública, de empresas privadas y de partners.

Realizada por Pablo Teijeira, Corporate Account Manager de Sophos Iberia, también ha confirmado que el 75% de las filtraciones de datos empresariales son accidentales. Y este dato empeora si se tiene en cuenta que el 86% de los profesionales informáticos afirma que alguien de su empresa ha perdido o le han robado el ordenador portátil y el 61% informa de que, como resultado, sufrieron pérdida de datos.

Estos datos vienen a confirmar la preocupación por una información que es el principal activo de cualquier empresa. Hoy en día la cantidad de datos electrónicos que manejan las empresas crece exponencialmente y, además, cada vez están más dispersos. De hecho, lo que ocurre frecuentemente es que en dispositivos móviles se concentran grandes cantidades de información empresarial confidencial.

La filtración de datos es la preocupación de seguridad empresarial principal para los profesionales informáticos (38%) por delante del cumplimiento de las normas (33%) e, incluso, de los virus informáticos (27%).

Las filtraciones de datos pueden llevar consigo graves consecuencias de muy diferente índole, pero que se agrupan en tres aspectos: financieras, sociales/políticas y legales.

“Esto quiere decir que la fuga de datos puede dejar maltrechas las cuentas de una empresa puesto que el coste medio para resolver un problema de fuga de datos es de 6,6 millones de dólares”, afirma Pablo Teijeira.

En cuanto a los costes sociales/políticos son más difíciles de cuantificar, pero no por ello son menos importantes, ya que puede suponer una pérdida de clientes y dificultades para conseguir otros nuevos por la imagen negativa que provoca, así como la pérdida de reputación en el mercado y de confianza de los clientes.

En cuanto a los costes legales, también puede llegar a ser muy elevados, derivados de condenas por infringir las leyes de protección de datos y posibles demandas interpuestas por los afectados. De hecho, los gobiernos cada vez dan más importancia a la protección de datos y, como resultado de ello, crean nuevas leyes y mayores sanciones para castigar las fugas de datos.

Fuente: Sophos.

1% del mercado de empresarial de e-mail en 4 años

A juicio de Tom Rizzo, director senior de Microsoft Online Services, la posición actual de Google coincide con la que Microsoft tenía hace 20 años.

Google desafía a Microsoft con servicios empresariales como por ejemplo soluciones basadas en la nube, como Google Apps. Sin embargo, esta situación parece no preocupar al gigante de Redmond.

En una entrevista con la edición estadounidense de ComputerWorld, Tom Rizzo, director senior de Microsoft Online Services, declaró que Google no entiende el mercado corporativo, al contrario que Microsoft, “que creció en tal mercado”.

Según Rizzo, Google se encuentra donde Microsoft estaba hace 20 años. Esta situación lleva a Rizzo a dudar que Google “vaya a estar aquí a largo plazo”. Citando estadísticas de Gartner, indicó que Google ha participado en el mercado empresarial de correo electrónico y colaboración durante cuatro años, pero tiene una cuota inferior al 4% del mercado.

Según Rizzo, Google ha fracasado en el segmento empresarial. “Yo diría que los resultados demuestran que no han tenido éxito en este mercado. Hemos tenido clientes que han migrado hacia Google y que después han regresado a Microsoft”.

Rizzo también criticó las actitudes de Google frente a la privacidad de las personas, señalando que Google conserva la información de sus usuarios, incluso después que éstos le han solicitado expresamente borrarla.

“La gente como Google, debido a que intentan venderte anuncios, es escanear tus datos y conservarlos. Nosotros no escaneamos tu información, ni conservamos tus datos. Si deseas que te devolvamos tus datos, lo hacemos y los borramos de nuestras bases de datos”, aseguró Rizzo.

“En Google necesitan tus datos para saber qué anuncios mostrarte, y que así hagas clic en ellos”, agregó Rizzo ante ComputerWorld Estados Unidos.