Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Diofanor Rodríguez Lozano

Oficial de la Policía Nacional de Bogotá en excedencia.
Certificado Profesional en Protección (CPP), por ASIS Internacional
Especialización en Seguridad Física y de Informática por la Escuela de Comunicaciones Militares de Bogotá

Gerente de Seguridad de Agroindustria UVE, S.A. (Colombia)

Algunas notas sobre el informe anual sobre delitos informáticos y seguridad de la información del CSI/FBI


En días pasados el CSI/FBI publicó su informe anual sobre delitos informáticos y seguridad de la información. La encuesta de donde salen los datos se hizo a 494 empresas, con un amplio espectro que incluye agencias de gobierno, instituciones, universidades y el sector tecnológico de EE.UU. El perfil de las personas que respondieron la encuesta corresponde a CIOs, CEOs, CSOs, CISOs, Oficiales de Seguridad y Administradores de sistemas.

Uno de los datos que más llama la atención es el hecho de que las pérdidas de 2007 son el doble de las reflejadas en el año anterior. Así mismo, el aumento del fraude financiero ha relegado al segundo lugar al antes indestronable malware.

Un problema que se agudiza es el hecho de que los empleados internos abusen de los recursos de la organización. También, un dato que da un poco de aliento es el hecho de que el presupuesto de seguridad invertido por las organizaciones mostró un mayor incremento, pues esta variación fue de 53% en 2006 y 61% en 2007, lo que según los expertos da una mejor perspectiva de resultados para 2008. El informe también resalta el hecho de que el aumento del presupuesto no debería ser solo aportado por la de IT, sino que igualmente otras áreas deberían realizar aportes, toda vez que la seguridad es un asunto de toda la organización. Un punto realmente preocupante de este informe es el hecho de que muchas de las empresas encuestadas manifiesta invertir menos del 1% de su presupuesto total en capacitación y entrenamiento.

Con respecto al outsourcing de la seguridad, los porcentajes se mantienen con respecto a los años anteriores. El 2% de los encuestados dice que delega el 80% o más de los trabajos de seguridad, pero la mayoría (61%) decide no delegar nada. En lo que respecta a la administración del riesgo la mayoría de empresas utiliza la transferencia vía seguros, manteniendo lo de años anteriores.

Un punto de relevancia en este informe es el hecho de que las empresas encuestadas hacen referencia a los ataques recibidos durante el año, pues a la pregunta ¿La organización experimento incidentes de seguridad dentro del año?, las empresas en su respuestas están divididas de la siguiente manera: Sí un 46% y No un 45%, el resto no sabe o no responde.

En cuanto a los incidentes detectados el incremento es notable, pues según los encuestados existen empresas que han sufrido más de diez ataques, lo que arroja un aumento del 9% al 26%; un 37% afirma sufrir pérdidas dentro de la organización mayores al 20% por acción del empleado interno y de hecho el 5% manifiesta que las pérdidas son más del 80%. Por otro lado un 36% dice no perder nada a consecuencia del empleado interno.

En cuanto al tipo de ataque recibido es de destacar que los ataques realizados por empleados internos va en aumento, pues crecen del 42% al 59%. Otro ítem que muestra un aumento es el hurto de las computadoras personales que va del 47% al 50%; esto nos indica que es importante dar un buen manejo a la información de las organizaciones y los lugares donde se guarda, sin descuidar las copias de seguridad y las políticas que se tienen para los accesorios portátiles (USB, Laptop, CD y discos duros externos)

En lo que a infecciones por malware se refiere y como mencioné al inicio han decrecido, de un 65% a un 52%. Se denuncia el hecho de que decrece el porcentaje de ataques a sitios web, en donde un 2% dice sufrir más de 10 de estos ataques anualmente (en 2006 este porcentaje fue del 59%), aunque un 56% dice no poder determinar la cantidad de ataques de este tipo.

Uno de los gráficos más importantes del informe es el que muestra el tipo de ataques que genera más pérdidas, dejando en el poco honroso primer lugar a los fraudes informáticos y en el segundo al malware. En cifras, los fraudes informáticos se estiman en US $21.1 millones y el malware en US$ 8.4 millones.

Estos datos permiten realizar dos lecturas sobre las razones por las cuales se han presentado estos sucesos. Una es el hecho de que en años anteriores el malware había podido elevarse por los gusanos de alta repercusión, lo cual no significa que las infecciones hayan decrecido, pero seguramente los malware existentes realizan menos bulla, con mejores evoluciones que en los años anteriores; y dos, es que lel phishing se ha convertido en toda una estrella de la Internet, lo que no deja duda que el interés de los delincuentes es y seguirá siendo el dinero.

En el informe también se hace alusión al tipo de herramientas utilizadas, pero en este espacio no se nota un cambio, se mantiene en comparación con años anteriores. Un tema que el informe pone sobre la mesa es la parte de educación al interior de las organizaciones, en donde los datos muestran lo siguiente:

El 18% de los encuestados ni siquiera usa un programa de educación dentro de la organización, el 35% no mide su efectividad y un porcentaje similar (32%) dice hacerlo a través de distintaspruebas o por el volumen de tickets creados en mesa de ayuda (22%).

El informe finaliza haciendo énfasis en los cambios vividos en la tecnología en los últimos años, haciendo marcada referencia a la forma de como el mercado se mueve de ofrecer productos a servicios (por ejemplo en la Web 2.0).

También se hace referencia a "nuevos" tipos de ataques como los perpetrados por el malware en el robo de información sensible para luego ser utilizado como base para otros ataques a la identidad de los usuarios.

Digamos entonces que las tendencias mundiales, no están lejos de pasar en Colombia y si bien es cierto que esta encuesta ha mostrado una radiografía de países primer mundistas, también es cierto que en nuestro caso Colombiano somos caldo de cultivo para que estos ciberdelincuentes cometan sus actos ilícitos.

Referencias:
www.segu-info.com.ar
Informe anual CSI 2007

 


Fuente: Diofanor Rodríguez Lozano
Fecha: 28/11/07

   Mas artículos de Diofanor Rodríguez Lozano       Otros Expertos   

Este experto ha sido visto por 2006 personas.