INFORME 2015 DE VORMETRIC SOBRE AMENAZAS … · 1 informe 2015 de vormetric sobre amenazas internas...

1

INFORME 2015 DE VORMETRIC SOBRE AMENAZAS INTERNAS / EDICIÓN PARA MÉXICO Y BRASIL

INFORME2015 DEVORMETRIC SOBRE AMENAZAS INTERNAS

Investigación realizada por

Tendencias y directivas futuras en la seguridad de datosEDICIÓN PARA MÉXICO Y BRASIL #2015InsiderThreat

2

NUESTROS PATROCINADORES

ÍNDICE

ACERCA DE ESTE INFORME 3

Comprender la naturaleza y las fuentes de las amenazas internas 3

RESUMEN EJECUTIVO 4

México y Brasil están en riesgo, como el resto del mundo 4

Amenazas que evolucionan demasiado rápido para los estándares de cumplimiento y muchos equipos de seguridad 4

Violaciones de seguridad: Escalan los costos y aumenta la preocupación en el Directorio 4

Conclusión 5

LOS ENCUESTADOS INFORMAN VULNERABILIDAD GENERALIZADA 6

Índices de compromiso 7

Resumen 7

LAS MAYORES PREOCUPACIONES DE LOS ENCUESTADOS 8

Las amenazas internas que representan el mayor riesgo 8

Dónde se almacenan los datos sensibles y dónde están en riesgo 9

RIESGOS Y PREOCUPACIONES EMERGENTES DEBIDO A PROBLEMAS CON LA INFORMACIÓN EN LA NUBE Y BIG DATA 9

Servicios en la nube 9

¿Cómo deberían responder los proveedores de servicios en la nube? 11

Big Data: Índices de adopción y preocupaciones 11

Cómo responden las organizaciones a las amenazas 12

FOCO EN MÉXICO 14

FOCO EN BRASIL 15

RECOMENDACIONES CLAVE PARA TRATAR LAS AMENAZAS INTERNAS 16

ACERCA DEL INFORME 2013 DE VORMETRIC SOBRE AMENAZAS INTERNAS 17

ACERCA DE VORMETRIC 17

HARRIS POLL - FUENTE / METODOLOGÍA 17

MÁS INFORMACIÓN 17

3


ACERCA DE ESTE INFORME

La edición para México y Brasil del Informe 2015 de Vormetric sobre amenazas internas brinda información y análisis de las amenazas que enfrentan las organizaciones en esas regiones, así como los enfoques que se están tomando como respuesta. Este informe presenta los resultados de una encuesta en línea realizada en nombre de Vormetric por Harris Poll en la primavera de 2015. La encuesta recopiló las respuestas de 204 empleados encargados de tomar decisiones sobre TI; 102 de México y 102 de Brasil. Todos los encuestados pertenecían a organizaciones con ingresos por USD 100 millones y más. De los encuestados en México, el 88 % representaba a organizaciones con ingresos por USD 500 millones y más. En Brasil, el 78 % era de organizaciones con ingresos por USD 480 millones o más.

Este informe se centra en los hallazgos que resultan de los encuestados de México y Brasil. Asimismo, estos resultados se compararon con datos de nuestra encuesta global, que recopiló información de encuestados en los Estados Unidos, el Reino Unido, Alemania, Japón y la ANSEA o Asociación de Naciones del Sudeste Asiático (entre los países de la ANSEA que participaron en la encuesta se incluyeron Singapur, Malasia, Indonesia, Tailandia y Filipinas). Realizada en el otoño de 2014, esta encuesta global también fue llevada a cabo por Harris Poll y se usaron las mismas preguntas y metodología.

Comprender la naturaleza y las fuentes de las amenazas internas

Cuando se trata de evaluar y atacar amenazas internas, el entorno es cada vez más complejo. Y a medida que el panorama de las amenazas se vuelve cada vez más complejo, también crece el alcance de los desafíos. Puede parecer una contradicción, pero las amenazas internas surgen de un rango de infractores que no para de ampliarse. En la actualidad, las amenazas provienen de individuos o grupos que hacen cosas, ya sea intencional o accidentalmente, para poner a la organización y su información en riesgo. Los equipos de seguridad que intentan luchar contra las amenazas internas deben considerar los siguientes grupos:

• Usuarios privilegiados que administran la infraestructura de TI y tienen acceso total a los datos en los sistemas que manejan.

• Empleados, incluido personal de gerencia y ejecutivos superiores.

• Contratistas y proveedores de servicios externos con acceso a activos y redes de la organización. Esto incluye entidades como organizaciones de desarrollo externo y proveedores de servicios en la nube, entre otros.

• Delincuentes que falsifican las credenciales de cualquiera de esos grupos.

“El 87 % de los encuestados de México y el 69 % de Brasil calificaron a sus organizaciones como algo o más vulnerables a amenazas internas.”

4

RESUMEN EJECUTIVO

México y Brasil están en riesgo, como el resto del mundo

El alcance de los ciberataques es verdaderamente global, y las organizaciones en Latinoamérica no son inmunes. Las empresas de la región tienen la misma necesidad de soluciones de seguridad de datos que las ayuden a cumplir los requisitos de cumplimiento y evitar la pérdida de propiedad intelectual y financiera crítica. Por ejemplo, según un estudio sobre delitos cibernéticos realizado por el Registro de Direcciones de Internet de Latinoamérica y el Caribe, el fraude electrónico o phishing solo afecta a alrededor de 2500 bancos regionales y representa USD 93.000 millones en pérdidas anuales dentro de la región.

Los resultados de la encuesta dejan claro que, tanto en México como en Brasil y el resto del mundo, los encuestados están viendo el efecto de las violaciones de datos y están preocupados por su vulnerabilidad ante esos ataques. De las personas encuestadas, el 87 % en México y el 69 % en Brasil calificaron a sus organizaciones como algo o más vulnerables a amenazas internas. Además, el 48 % en México y el 26 % en Brasil indicaron que, durante el año pasado, sus organizaciones habían sufrido una violación de seguridad de datos o no habían superado una auditoría de cumplimiento. Esta falla al momento de proteger datos también se hizo eco alrededor del mundo mientras las organizaciones luchan para encontrar la manera de proteger su información crítica.

Amenazas que evolucionan demasiado rápido para los estándares de cumplimiento y muchos equipos de seguridad

Las amenazas continúan volviéndose más avanzadas, con nuevos ataques y tácticas que surgen cada día, sino cada hora. El ritmo de evolución de las amenazas sigue colocando a los equipos de seguridad y de TI en la postura, ya demasiado conocida, de tener que ponerse al día. Y si esos grupos se quedan atrás, aquellos responsables de establecer políticas de seguridad, mandatos de cumplimiento y lineamientos para todas las regiones e industrias ciertamente se enfrentan a un camino aún más difícil para mantener el ritmo. El resultado es que la cantidad y la gravedad de violaciones de seguridad continúan creciendo.

Esto hace que la confianza en el cumplimiento encontrada en los resultados de la encuesta sea una verdadera preocupación: el 52 % de los encuestados mexicanos y el 59 % de los brasileros identificaron el cumplimiento como muy efectivo o extremadamente efectivo para proteger la información. Estos números generan miedos sobre un sentido irrealista de la seguridad cultivado a partir de iniciativas de seguridad.

Violaciones de seguridad: Escalan los costos y aumenta la preocupación en el Directorio

Claramente, las violaciones de seguridad siguen creciendo y volviéndose más prevalentes y costosas. Si bien los informes de violaciones entrando a los canales de noticias han sido un tema recurrente durante años, en los meses recientes, la escala masiva, los costos en aumento y la naturaleza

“El 49 % de los encuestados en México y el 39 % en Brasil indicaron que sus organizaciones estaban protegiendo datos a causa de un episodio previo de violación de seguridad en su organización o en la de un socio o competidor.”


5

“El 53 % de los encuestados en México y el 52 % en Brasil están designando la prevención de violaciones de seguridad de datos como una de las principales prioridades de gastos de seguridad de TI.”

“Requisito: Capacidades de seguridad centradas en datos para cifrado, control de acceso, “tokenización” (creación de tokens), monitoreo y análisis de acceso de datos.”

Gráfico 1: Índices percibidos de vulnerabilidad ante amenazas internas

devastadora de las violaciones han llevado al escalamiento de la seguridad como una preocupación del Directorio. Esto ha sido acelerado por las remociones altamente públicas de principales directores de informática y directores ejecutivos, después de que organizaciones fueran golpeadas por violaciones de seguridad a gran escala.

Conclusión

Los tomadores de decisiones informáticas en México y Brasil están luchando con las mismas amenazas a los datos que se enfrentan en otras regiones. Además, estos encuestados también se encuentran con mayores requisitos regulatorios y de cumplimiento en sus mercados locales. No debería sorprendernos que la mayoría de los encuestados (el 53 % en México y 52 % en Brasil) informen que sus organizaciones están designando la prevención de violaciones de seguridad de datos como una de las principales prioridades de gastos de seguridad de TI.

¿Cómo deberían los tomadores de decisiones informáticas abordar esta prioridad? Ciertamente mantener sus enfoques actuales no es la manera. Las inversiones de seguridad de TI planificadas que fueron informadas por los encuestados apuntan a un enfoque poco consistente, con mayores gastos en toda la gama de seguridad de TI y un enfoque en defensas de redes y seguridad en el extremo final, las mismas defensas que siguen demostrando ser falibles ante determinados ataques.

En cambio, los tomadores de decisiones informáticas necesitan poner un foco mucho más fuerte en la protección de la información. Los equipos de seguridad en toda la región deben analizar en profundidad aquello que tendrá el mayor impacto en la protección de datos. Deben determinar cómo establecer defensas vitales que puedan detener a los atacantes una vez que estos atravesaron perímetros y redes. Esto requiere capacidades de seguridad centradas en datos para cifrado, control de acceso, “tokenización” (creación de tokens), monitoreo y análisis de acceso de datos. Estas herramientas reducen la vulnerabilidad de una organización, y habilitan la identificación de actividades sospechosas mientras están en proceso, por lo que las violaciones pueden detenerse antes de que se generen daños mayores.

Muy vulnerablePara nada vulnerable

Extremadamente vulnerableAlgo vulnerable

EE.UU.

Reino Unido

Alemania

ANSEA

Japón

México

Brasil

0% 20% 40% 60% 80% 100%

Niveles de amenaza percibidos

6

LOS ENCUESTADOS INFORMAN VULNERABILIDAD GENERALIZADA

Tanto en México como en Brasil, los encuestados tienen en claro los riesgos y su exposición ante amenazas internas. Una mayoría sustancial de los encuestados (69 % en Brasil y 87 % en México) indicó que sus organizaciones eran al menos “algo vulnerables”. Alrededor del 30 % de los brasileros encuestados consideraron que no son vulnerables, lo cual constituye el índice de respuesta más alta de todas las regiones del mundo. Sin embargo, eso aún deja 7 de cada 10 encuestados en la región que sienten algún grado de vulnerabilidad.

Además, tanto en México como en Brasil, se apuntó a altos índices de falla en la protección de datos. Los encuestados respondieron las siguientes preguntas:

• ¿Sufrieron una violación de seguridad de datos o no superaron una auditoría de cumplimiento durante el año pasado?

• ¿Están protegiendo datos a causa de un episodio previo de violación de seguridad en la organización de un socio o competidor?

• ¿Están protegiendo datos a causa de un episodio previo de violación de seguridad en su organización?

“Los encuestados en Brasil informaron el nivel más alto en la categoría ‘para nada vulnerable’ ante amenazas internas de todas las organizaciones alrededor del mundo (31 %), pero de todos modos, un 69 % de las organizaciones se sentían algo o muy vulnerables.”

México y Brasil están en extremos opuestos del espectro en términos de porcentajes de encuestados que indicaron que sus organizaciones sufrieron una violación de seguridad. Brasil se encontró entre los países con los índices más bajos de violación o incumplimiento, con solo un 26 % de los encuestados respondiendo que habían experimentado esta forma de violación o incumplimiento. Por otra parte, México se posicionó entre los más altos, con un 48 % informando que habían sufrido una violación de seguridad o incumplimiento.

En particular, las fallas en el cumplimiento representan un problema mayor que el que aparentan. Los mandatos de cumplimiento se mueven a un ritmo gradual, con nuevos estándares o estándares actualizados emitidos cada un par de años solamente. Por otro lado, las amenazas de seguridad evolucionan cada día, sino cada hora. Puede que en el pasado las normas de cumplimiento de las industrias hayan representado una regla de oro para mejores prácticas de seguridad, pero esto ya no es así. Si bien mantener el cumplimiento es un requisito clave, este esfuerzo es ahora realmente solo un punto de partida desde el cual deben construirse los marcos efectivos de seguridad.

Gráfico 2: Índice de sufrir una violación de seguridad de datos o no superar una auditoría de cumplimiento durante los últimos 12 meses

México

Brasil

Alemania

Reino Unido

EE.UU.

Global

ANSEA

Japón

20% 30% 40% 50%

Índices de falla al proteger datos sensibles

7


Gráfico 3: Protección de datos a causa de una violación de seguridad de datos anterior o una violación de seguridad en la organización de un socio o competidor

Gráfico 4: Calificación de los encuestados sobre la efectividad percibida del cumplimiento en la protección de datos

“Las respuestas de México y Brasil demostraron estar en extremos opuestos del espectro para episodios previos de violaciones de seguridad de datos — Brasil en lo más bajo con 26 % y México en lo más alto con un 48 %.”

Índices de compromiso

Tanto en el mundo en general, como en México y Brasil en particular, los índices de compromiso son altos. Los encuestados respondieron sobre si habían sufrido episodios de violaciones de seguridad en algún momento en el pasado y si algún socio o competidor había sufrido una violación de seguridad. En México, casi la mitad de los encuestados respondieron afirmativamente a una de estas preguntas, y casi el 40 % de los encuestados brasileros respondieron que sí a al menos una.

A continuación aparece la que es quizás la más alarmante de las estadísticas: A pesar de la frecuencia de las violaciones de seguridad, la gran mayoría de

los encuestados señalaron que el cumplimiento era efectivo. Más de la mitad de los encuestados dijeron que consideraban el cumplimiento como muy efectivo o extremadamente efectivo: 52 % de los encuestados mexicanos y 59 % de los brasileros entraron en una de esas categorías. Estos números generan preocupación sobre un sentido irrealista de la seguridad cultivado a partir del cumplimiento. Si los líderes de seguridad consideran que sus organizaciones cumplen con los estándares, no deberían conformarse, en especial a medida que las amenazas continúan evolucionando y volviéndose cada vez más sofisticadas.

Resumen

De manera similar al resto del mundo, estos números en México y Brasil brindan un panorama sombrío cuando se visualizan como un conjunto. Los encuestados se sienten cada vez más vulnerables ante violaciones de seguridad y auditorías no superadas. No obstante, a pesar de estas realidades, muchos depositan una confianza engañosa en el cumplimiento como un camino efectivo hacia la

seguridad, incluso a medida que se acumulan las pruebas que demuestran lo contrario. Las violaciones de seguridad en todo el mundo dejan en evidencia que cumplimiento no es igual a seguridad, y los analistas expresan abiertamente su opinión de que “no se trata de si sufrirá una violación de seguridad, sino cuándo la sufrirá”.

Violaciones de datos a unsocio o competidor

Episodio de violación de seguridad anterior(tiempo indeterminado)

EE.UU.

Reino Unido

Alemania

ANSEA

Japón

México

Brasil

Razones para proteger los datos

0% 10% 20% 30% 40%

Muy efectivo Para nada efectivo

Extremadamente efectivo Algo efectivo

Global

México

Brasil

0% 20% 40% 60% 80% 100%

Calificación de la efectividad percibida del cumplimiento

8

LAS MAYORES PREOCUPACIONES DE LOS ENCUESTADOS

Las amenazas internas que representan el mayor riesgo

Es interesante analizar las perspectivas de los encuestados en términos de quiénes son los usuarios internos más peligrosos, y también cómo esas perspectivas han cambiado. En el transcurso de las últimas décadas, las arquitecturas informáticas, los enfoques de seguridad y las amenazas de seguridad han cambiado drásticamente. Durante ese tiempo, un único grupo interno surgió como el que tiene mayor potencial de daño: los usuarios privilegiados.

Para poder llevar a cabo sus responsabilidades, estos administradores necesitan permisos para ejecutar tareas como instalación de software, configuración de sistemas, administración de permisos de usuarios, asignación de recursos y más. Por medio de este acceso, los administradores en la mayoría de las organizaciones casi siempre son capaces de acceder a los datos y servicios que se ejecutan en los sistemas que administran.

Aunque esta brecha de seguridad creada por los usuarios privilegiados no es nueva, sin dudas se ha vuelto cada vez más vital de abordar. En los últimos años, los usuarios privilegiados estuvieron detrás de algunas de las infracciones de más alto perfil, incluido Edward Snowden, responsable de las tan publicitadas filtraciones de la NSA, y el “revelador de secretos” del HSBC, Herve Falciani. Con la adopción cada vez mayor de la virtualización, los servicios en la nube y las implementaciones del Big Data, también se añadieron nuevas capas de administración, y de privilegios administrativos, que amplían potencialmente el riesgo.

Muchos encuestados en la encuesta más reciente parecían estar al tanto de los riesgos que presentan las amenazas internas con privilegios. En el informe de 2015, los usuarios privilegiados fueron la categoría principal para la mayoría de los usuarios internos peligrosos, con un 57 % a nivel mundial y un 68 % en México. Es importante analizar cómo este grupo ha trepado en protagonismo en los últimos años. Por ejemplo, en el Informe 2013 de Vormetric sobre amenazas internas, los usuarios privilegiados solo fueron elegidos por el 34 % de los encuestados, colocando esa categoría en el tercer puesto, bastante detrás de la categoría de “empleados comunes”, que fue seleccionada por el 51 % de los encuestados (para más detalles, vea la descripción del Informe 2013 al final de este documento).

“La amenaza interna más peligrosa: los usuarios privilegiados. Al igual que en otras respuestas, los encuestados mexicanos y brasileros informaron que los usuarios privilegiados eran sus empleados de mayor riesgo, en un 54 % para Brasil y un 68 % para México.”

“En todo el grupo global de encuestados, las bases de datos (50 %), los servidores de archivos (38 %) y la nube (36 %) son las áreas que encabezan el ranking de lugares donde los datos están en riesgo.”

Contratistas y Proveedoresde servicios

Gerencia ejecutiva

Empleados comunes

Otros empleados de TI

Socios con acceso interno

Usuarios privilegiados

0% 30% 40% 20% 10% 50% 60% 70%

Global Todos los EE.UU.

Amenazas percibidas por grupo de usuarios

México Brasil

Gráfico 5: La amenaza interna más peligrosa son los usuarios privilegiados.


9

Dónde se almacenan los datos sensibles y dónde están en riesgo

En todo el grupo global de encuestados, las bases de datos (50 %), los servidores de archivos (38 %) y la nube (36 %) son las tres ubicaciones que presentan el mayor riesgo en relación a la cantidad de datos sensibles almacenados. México sigue un patrón similar de respuestas: bases de datos (54 %), servidores de archivos (39 %) y la nube (41 %). Sin embargo, en México, los ordenadores y las estaciones de trabajo están cerca en el cuarto lugar, con un 36 % de las respuestas. En Brasil, los ordenadores y las estaciones empatan en el segundo puesto con los servidores de archivos (35 %), superadas únicamente por las bases de datos (53 %).

Para dispositivos móviles, parece obvio que, si bien el riesgo actual es bajo, existe una preocupación importante respecto de cuán seguros están los datos sensibles en ese tipo de dispositivos. En términos de riesgo real por volumen de datos, los dispositivos móviles sólo alcanzan un 21 % de las respuestas a nivel global, un 20 % de respuestas en México y un 23 % en Brasil. No obstante, cuando se trata de percepción del riesgo, los dispositivos móviles ocuparon un puesto alto del ranking, con la tercera respuesta más alta del 37 % a nivel global y un 31 % en México.

“En Brasil, el 63 % de los encuestados informó que almacenaban datos sensibles en entornos de nube de Infraestructura como Servicio (IaaS), en comparación con un 43 % en México.”

Gráfico 6: Percepción por parte de los encuestados del riesgo de los datos sensibles por categoría y volúmenes de datos sensibles dentro de esos entornos

RIESGOS Y PREOCUPACIONES EMERGENTES DEBIDO A PROBLEMAS CON LA INFORMACIÓN EN LA NUBE Y BIG DATA

Servicios en la nube

Esta encuesta y muchas otras, muestran que la dependencia de las empresas en los servicios de nube continúa creciendo y generalizándose y que estos servicios almacenan datos cada vez más sensibles. En Brasil, el 63 % de los encuestados almacenan datos sensibles en entornos de Infraestructura como Servicio (IaaS), posicionándolo como el país con mayor índice en este aspecto. Por otro lado, México, con un 43 %, fue el país con el índice de respuestas más bajo en esta categoría.

Si bien está claro que la nube almacena datos sensibles, también está claro que los datos sensibles que se

encuentran en esos entornos están sujetos a riesgos que no aplican a los activos almacenados dentro de los centros de datos empresariales tradicionales. Por ejemplo, los datos pueden estar expuestos a otros abonados (‘tenants’) dentro de estos entornos de tenencia múltiple. Además, si se pierde la integridad de las credenciales de un administrador que trabaja para el proveedor de servicios en la nube, los datos sensibles pueden verse expuestos. Asimismo, muchos proveedores de servicios siguen estando sujetos a citaciones del gobierno, por las que las autoridades gubernamentales exigen la entrega de datos de clientes.

SaaS

Ordenadores y estacionesde trabajo

Dispositivos móviles

Servidores de archivos

Bases de datos

Nube

Big Data

0% 20% 30% 10% 40% 50% 60%

Percepción del riesgo en Brasil

Riesgo real por volumen en Brasil

Riesgos de los datos sensible – percibidos y por volumen

Percepción del riesgo en México

Riesgo real por volumen en México

Percepción global del riesgo

Riesgo real por volumen anivel global

10

Todos los entornos de Seguridad como Servicio (SaaS) comprendidos en la encuesta tuvieron una alta percepción de riesgo. Más allá de los riesgos que enfrentan otros servicios en la nube, los equipos de seguridad tienen que luchar contra una visibilidad y un control aún más limitados en los entornos de SaaS. Por ejemplo, en los entornos de IaaS, los administradores pueden rastrear recursos a nivel de sistema operativo, almacenamiento y aplicaciones, mientras que las organizaciones que se ejecutan en entornos SaaS no tienen este nivel de visibilidad. A pesar de que todas las categorías de SaaS acumularon altos niveles de preocupación, tanto globalmente como en México y en Brasil, el respaldo de seguridad en línea y el almacenamiento en la nube obtuvieron el primer y segundo lugar, respectivamente.

Para abordar los riesgos planteados por la administración de datos sensibles en entornos IaaS, será cada vez más crucial que se implementen controles centrados en datos. Al aprovechar las capacidades como el cifrado y el control de acceso y tener la titularidad de claves usadas

para cifrar y descifrar datos, los equipos de seguridad pueden establecer controles persistentes y auditables sobre el acceso a activos sensibles. Dependiendo de los objetivos y requisitos técnicos, los equipos de seguridad a menudo pueden elegir retener las claves almacenadas en las instalaciones de la empresa o en la nube, mientras mantienen el control requerido.

Los equipos de seguridad también pueden mitigar los riesgos de guardar datos sensibles en entornos de almacenamiento de nube basados en SaaS. En este caso, pueden sacar provecho de puertas de enlace de cifrado en la nube que permiten el cifrado de archivos antes de que se suban a la nube. Como resultado, al retener el control sobre las claves de cifrado, los equipos de seguridad también pueden configurar y sostener controles sólidos respecto de quién accede a los datos, incluso cuando estos están almacenados en esos entornos externos de nube.

Global

EE.UU.

ANSEA

Alemania

Reino Unido

Japón

México

Brasil

Entornos de Infraestructura como Servicio (IaaS)

30% 40% 50% 60% 70%

Gráfico 7: Índices de respuestas sobre datos sensibles almacenados en entornos IaaS

Gráfico 8: Índices informados de preocupación sobre la protección de datos por tipo de entorno de SaaS

Respaldo de seguridad en línea

Almacenamiento en la nube

Herramientas de colaboración

Administración de relaciones con clientes

Planificación de recursos empresariales

Contabilidad en línea

Suites de oficina en línea

Gestión de tareas y proyectos

0% 20% 30% 10% 40% 50% 60% 70% 80% 90%

Global México Brasil

Preocupaciones por SaaS

11


¿Cómo deberían responder los proveedores de servicios en la nube?

Cuando se les preguntó sobre las preocupaciones en torno a la nube, los encuestados dijeron efectivamente “todas las anteriores”. Tanto en México como en Brasil, cada categoría de preocupaciones capturó una respuesta del 70 % o más.

¿Qué deberían hacer los proveedores de nube, incluidos los proveedores de SaaS, para contrarrestar este problema? Será vital que inviertan en tecnologías que brinden a los clientes la visibilidad y los controles que necesitan. Cada vez más, serán los proveedores de servicios en la nube que ofrezcan estas funciones los que incrementen su participación en el mercado y amplíen sus listas de clientes.

Big Data: Índices de adopción y preocupaciones

Sobre la base de respuestas relativas, parecería que los índices de adopción de Big Data en México y Brasil no son tan altos como en otros países. En consecuencia, los porcentajes, tanto en términos de riesgo real como de percepción de riesgo, son relativamente bajos en ambas regiones.

Al analizar preocupaciones específicas relacionadas con Big Data, el porcentaje más alto de encuestados tanto en México como en Brasil citó “violaciones de privacidad de datos que se originan en otros países”. En contraste, mientras el 49 % de los encuestados en Brasil y el 50 % en México seleccionaron esta preocupación, en promedio, este asunto constituyó una preocupación solo para el 32 % de los encuestados a nivel global.

Gráfico 9: Niveles de preocupación sobre los problemas de seguridad de datos en entornos SaaS

Abuso de usuarios privilegiados enla nube o proveedor SaaS1

Satisfacción de requisitos de cumplimiento2

Falta de visibilidad de las medidas de seguridad

Falta de control sobre la ubicación de los datos/Infracciones que involucran datos a través de fronteras

Falta de políticas de privacidad o compromiso de nivel de servicio de privacidad

Penetraciones internas o avanzadas persistentes(APT) en el proveedor del servicio

Vulnerabilidades mayores a partir dela infraestructura compartida

Custodia de los códigos de cifrado

60% 70% 75% 65% 80% 85% 90%

México Brasil

Preocupaciones por los entornos de nube y SaaS

1Incluye administradores de sistemas, administradores de nube, administradores de almacenamiento y administradores de virtualización2Ejemplos: Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCIDSS), leyes nacionales de protección de datos

12

“LAS DEFENSAS DE DATOS ESTÁTICOS SE CONSIDERARON EFECTIVAS PARA IMPEDIR AMENAZAS INTERNAS EN UN 69 % DE LOS ENCUESTADOS DE BRASIL Y UN 74 % EN MÉXICO.”

12


13

La información sensible puede almacenarse en cualquier lugar dentro del entorno

La seguridad de los informes que pueden incluir datos sensibles

El acceso de usuarios privilegiados a datos protegidos en la implementación

Violaciones de privacidad de datos originados en múltiples países

Falta de controles y marcos de seguridad dentro del entorno

0% 20% 30% 10% 40% 50% 60%

GlobalMéxico Brasil

México y Brasil: Preocupaciones relacionadas con el Big Data

Cómo responden las organizaciones a las amenazas

En líneas generales, en todo el mundo, y dentro de México y Brasil, muchos encuestados parecen estar incrementando su gasto en seguridad de TI a fin de luchar contra las crecientes amenazas.

Casi un cuarto (24 %) de los encuestados brasileros indicaron que los niveles de gastos serán “mucho mayores”, un porcentaje que supera a todo el resto de las regiones. Si se tiene en cuenta que un total de 72 % de los encuestados indicaron que el gasto será algo o mucho más alto, parece claro que los tomadores de decisiones en Brasil consideran las amenazas de seguridad como graves. En México, un porcentaje menor, pero aun así una sólida mayoría (55 %) indicó que el gasto será algo o mucho más alto.

¿Dónde están haciendo esas inversiones de seguridad los encuestados, y cuán efectivas piensan que son? Así como en otras regiones alrededor del mundo, los encuestados de México y Brasil parecieron no estar seguros sobre qué inversión arrojará los mayores dividendos. Estos resultados también parecen contradecirse con las noticias alrededor de las violaciones de seguridad en los últimos años. Por ejemplo, las defensas de redes y extremos finales están demostrando ser vulnerables, pero aun así los encuestados consideraron estos mecanismos como altamente efectivos, con respuestas de un 77 % y un 70 % de los participantes globales, respectivamente.

Gráfico 10: Mayores preocupaciones respecto de la seguridad de los datos con Big Data

14

Gráfico 11: Índices informados por los encuestados de cambios en los gastos para contrarrestar las amenazas a los datos durante los próximos 12 meses

Algo más altos Mucho más altos

Algo más bajosMás o menos los mismos

EE.UU.

Reino Unido

Alemania

ANSEA

Japón

México

Brasil

0% 20% 40% 60% 80% 100%

Planes de gastos en seguridad de TI

Mucho más bajos

Un porcentaje sustancial de encuestados también consideró a las tecnologías de datos estáticos como efectivas, recibiendo un índice de 3/4 a nivel global, 69 % en Brasil y 74 % en México. Además es interesante destacar una aparente discrepancia en las percepciones y las inversiones en México. Si bien el 74 % consideraron las defensas de datos estáticos como las más efectivas, menos de la mitad invirtió en estas soluciones.

En un alto nivel, parece que muchos encuestados están implementando el enfoque “todas las anteriores” al realizar inversiones de seguridad. Estos números indican que las organizaciones de los encuestados siguen implementando muchas de estrategias que han implementado durante algún tiempo. Si bien es posible que las tradicionales defensas perimetrales y basadas en la red hayan sido suficientes en años anteriores, esos días quedaron atrás.

Para luchar contra los ciberataques en evolución y cada vez más avanzados, y alinearse con las realidades cambiantes creadas por los servicios basados en la nube, Big Data y otra tendencias, los equipos de TI y seguridad tienen una orden clara de adaptar sus enfoques. Emplear una estrategia de defensa sólida en profundidad que saque provecho de múltiples tecnologías seguirá siendo crítico; no obstante, a medida que avanzamos, cada vez se hace más evidente la necesidad de un mayor enfoque en las defensas de datos estáticos.


15

“Muchos encuestados están implementando el enfoque “todas las anteriores” al realizar inversiones de seguridad... Si bien es posible que las defensas perimetrales y basadas en la red hayan sido suficientes en años anteriores, esos días quedaron atrás.”

Gráfico 12: Primer o segundo nivel de prioridades de gastos de seguridad de TI para las organizaciones de los encuestados

Satisfacer requisitos de cumplimiento y superar auditorías

Satisfacer requisitos de clientes, socios y clientes potenciales

Evitar un incidente de violación de seguridad de datos

Proteger propiedad intelectual clave

Proteger las finanzas y otros activos

0% 20% 30% 10% 40% 50% 60%

BrasilGlobal México

Prioridades de gastos en seguridad de TI

¿Cómo están cambiando las prioridades de gastos de seguridad? En los últimos años hemos presenciado un claro giro en las prioridades. En nuestro Informe 2013, analizamos cómo el cumplimiento era el principal impulsor del gasto de seguridad de TI (para más detalles, vea la descripción del Informe 2013 al final de este documento). A nivel global, y en México y Brasil, se ha dado un cambio hacia el enfoque completo en la prevención de violaciones de seguridad de datos, que fue la categoría de mayor adopción en todas esas regiones. La protección de propiedad intelectual clave y la protección de las finanzas y otros activos ocuparon el segundo y el tercer lugar, tanto globalmente como en México y Brasil. En la encuesta global, satisfacer los requisitos de cumplimiento ha caído al cuarto lugar de las cinco categorías.

FOCO EN MÉXICO

Los representantes de organizaciones mexicanas encuestados brindaron respuestas que eran reflejos cercanos de los participantes de otras partes del mundo. Las empresas se sienten vulnerables ante amenazas internas y la pérdida de integridad de sus credenciales por parte de amenazas externas (el 87 % se sintió algo o muy vulnerable). Y parece que tienen una buena razón para sentirse así:

• El 48 % informó que, durante el año pasado, sus organizaciones habían sufrido una violación de seguridad de datos o no habían superado una auditoría de cumplimiento (el nivel más alto medido en la encuesta).

• El 16 % estaba protegiendo datos a causa de un episodio previo de violación de seguridad de datos en su organización.

• El 33 % estaba protegiendo datos a causa de un episodio de violación de seguridad en la organización de un socio o competidor.

El nivel de estas respuestas representa una falla sistemática a la hora de proteger los datos afectados de la organización. Asimismo, dado que el cumplimiento ya no representa la mejor práctica para la protección de datos, el índice de respuesta de México citando el cumplimiento como muy a

16

extremadamente efectivo (52 %) genera otra preocupación más. Los requisitos de cumplimiento se están quedando atrás rápidamente tras los últimos ciberataques, y ahora representan una base mucho menos buena para la protección de datos: son la mejor práctica de protección contra los ataques de ayer. Como resultado, los regímenes de cumplimiento se han vuelto cada vez menos efectivos, mientras siguen drenando los fondos de seguridad de TI de una organización para satisfacer requisitos que son usualmente obsoletos.

Hay buenas señales de que las organizaciones de los encuestados mexicanos están tomándose en serio las amenazas a los datos:

• El reconocimiento de que los usuarios privilegiados representan la mayor amenaza a datos sensibles es fuerte, y los encuestados los determinan como las amenazas internas más riesgosas. En 68 %, las respuestas fue un 28 % más alta que la próxima categoría de socios con acceso interno en 40 %.

• El 55 % de los encuestados dijo que su gasto de seguridad de TI sería algo a mucho más alto para contrarrestar estas amenazas.

Sin embargo, las respuestas identificaron los mismos patrones que en el resto del mundo respecto de cómo se aplicará ese gasto. Con una mínima variación, hay planes de incrementar todas los gastos de seguridad en aproximadamente el mismo nivel (50 % a 70 %). Esto representa un fracaso a la hora de entender dónde aumentar las inversiones para prevenir mejor la pérdida de datos.

Los encuestados también reportaron el uso de datos sensibles dentro de los entornos de nube (41 %) y SaaS (18 %) comparable con los promedios globales, pero también informaron un uso menor de datos sensibles en entornos de Big Data respecto de otras regiones (15 % en México contra un promedio global de 27 %). Cuando se trata de entornos de IaaS, no obstante, México tuvo el nivel más bajo de uso de datos sensibles dentro de entornos de nube (43 %).

En general, las respuestas de México indican que los encuestados sienten que sus empresas están en riesgo de sufrir ataques de amenazas internas, ya sea a partir de la pérdida de integridad de credenciales de usuarios internos o de usuarios internos, contratistas o socios maliciosos. Muchas organizaciones también parecen estar tomando medidas al aumentar los gastos, pero se encuentran ante la misma confusión que otras organizaciones en el resto del mundo sobre qué debería priorizarse.

En este punto, las mejores incorporaciones al conjunto de defensas de TI en capas de la mayoría de las organizaciones son las mejoras que puedan proteger la integridad de los datos estáticos, mientras mantienen los datos disponibles para un uso comercial seguro. Los controles más efectivos para esto son el cifrado con controles de acceso, el monitoreo de acceso a datos y la creación de perfiles para accesos de datos, tanto a nivel del sistema como dentro de las aplicaciones. Esta combinación reduce las superficies de ataque al limitar el acceso únicamente a los usuarios y las aplicaciones que lo necesitan, y luego, al permitir que el uso sea rastreado para señalar cuando está ocurriendo una violación de seguridad.

“El 48 % de los encuestados mexicanos informó que, durante el año pasado, sus organizaciones habían sufrido una violación de seguridad de datos o no habían superado una auditoría de cumplimiento: el nivel más alto medido en la encuesta.”

17


17

FOCO EN BRASIL

Las respuestas de los tomadores de decisiones informáticas en Brasil señalaron que las organizaciones se sienten algo menos vulnerables que sus contrapartes en la encuesta global. Los informes de protección de datos a causa de un episodio previo de violación de seguridad (en su propia organización o en la de un socio o competidor) o porque sufrieron un episodio de violación de seguridad en los últimos 12 meses se encontraron entre los niveles más bajos informados globalmente.

• El 69 % se sentía vulnerable ante amenazas internas, lo cual representa el nivel más bajo medido entre todos los encuestados.

• El 26% de los encuestados dijo que había sufrido un episodio previo de violación de seguridad; esto representa un empate entre Brasil y Alemania por el nivel más bajo.

• El 39 % dijo que estaba protegiendo datos por una violación de seguridad en su propia organización o en la de un socio o competidor, lo cual representa el índice más bajo informado, a excepción de Japón.

De todos modos, estos números bastante altos indican que Brasil está expuesto a los mismos tipos de ataques y presiones que se sienten en otras partes del mundo, aunque a un índice algo menor que muchas otras regiones.

El uso de datos sensibles en nuevos entornos tecnológicos, como la nube, Big Dara y SaaS no parece ser la razón detrás de esta menor percepción de riesgo, ya que los encuestados informaron el uso de información sensible dentro de estos entornos en niveles similares a los promedios globales:

• Nube: 41 %, Brasil; 36 %, global

• SaaS: 18 %, Brasil; 21 %, global

• Big Data: 17 %, Brasil; 27 %, global

Los participantes brasileros de la encuesta también tuvieron índices de respuesta comparables con el promedio global acerca de la efectividad percibida del cumplimiento (índice de cumplimiento como muy o extremadamente efectivo en la protección de datos: Brasil, 59 %; global, 58 %). Como se destacó anteriormente, y a medida que se acumula la evidencia en contrario, esto representa una fe equivocada en el cumplimiento como un camino efectivo hacia la seguridad.

Al mismo tiempo, los encuestados en Brasil informaron que sus organizaciones estaban incrementando el gasto “mucho más” en el próximo año para combatir esas amenazas; este fue el índice más alto medido globalmente (24 %). También aumentaban el gasto en general en el índice más alto de todas las regiones medidas (72 %). Estas inversiones, no obstante, están esparcidas de forma bastante pareja a lo largo de áreas de inversión (redes, extremos finales/móviles, datos móviles, datos estáticos y herramientas de análisis/correlación), al igual que todo el resto de las regiones encuestadas.

Este grupo de datos demuestra claramente que los encuestados en Brasil comprenden que sus organizaciones están bajo amenaza, pero, al igual que

otras organizaciones en otros lugares, aún no han terminado de asimilar que su primera prioridad debería ser aislar los datos sensibles. Durante años, muchas organizaciones de TI se han centrado en proteger las redes, los extremos finales y las transacciones como la mejor manera de salvaguardar sus organizaciones, pero hoy los analistas señalan consecuentemente que las defensas periféricas de redes y extremos finales ya no son efectivas para mantener fuera a los atacantes o detener a usuarios internos maliciosos. Aquí también interviene probablemente la creencia de que los estándares de cumplimiento son una buena forma de lograr la seguridad. Al igual que sus pares globales, las empresas brasileras necesitan añadir énfasis en la protección de datos como primer paso, a fin de proteger activos sensibles cuando se pierde la integridad de cuentas y sistemas y se penetran las redes.

“LOS ENCUESTADOS BRASILEROS INFORMARON QUE ESTÁN AUMENTANDO EL GASTO PARA CONTRARRESTAR LAS AMENAZAS EN EL MÁXIMO ÍNDICE MEDIDO, 72 %.”

1818

RECOMENDACIONES CLAVE PARA TRATAR LAS AMENAZAS INTERNAS

A continuación se enumeran algunos principios clave que los encargados de seguridad y TI deberían tener en cuenta al buscar fortalecer sus defensas para protegerse contra amenazas internas:

• Establecer defensas de capas múltiples. Las soluciones de seguridad de red y extremo final fallan constantemente al intentar detener o incluso detectar ataques de usuarios internos o ataques avanzados que explotan credenciales de usuarios comprometidas. Como resultado, de cara al futuro será imperativo para los equipos de seguridad que establezcan una defensa en capas, que combine enfoques tradicionales con técnicas avanzadas de protección de datos, como cifrado de archivos o bases de datos con controles de datos, “tokenización”, enmascaramiento de datos, cifrado de capa de aplicación y puertas de enlace de cifrado en la nube.

• Asegurar los datos en la fuente. Cada vez más, los equipos de seguridad y TI demandarán una arquitectura de seguridad de TI multicapas que se enfoque en proteger los datos en su fuente, donde sea que estén. Para la mayor parte de las organizaciones, esto requerirá establecer controles sobre servidores y bases de datos en sus instalaciones, así como en entornos remotos de nube y aplicaciones de Big Data. El cifrado con controles de acceso basados en políticas es un punto de partida esencial para este enfoque.

• Apalancar las plataformas. Para abordar las demandas de seguridad mientras se maximiza la eficiencia de costos y personal, las organizaciones de seguridad y TI se beneficiarán al alejarse de herramientas puntuales y comenzar a apalancar plataformas de seguridad que ofrecen capacidades unificadas e integrales que abordan todas las demandas críticas de protección de datos de una empresa.

• Instituir el monitoreo efectivo de acceso a los datos. Para maximizar la seguridad, es vital implementar tecnologías y monitoreo integrado de datos, como los sistemas de administración de eventos y seguridad de la información (SIEM). Esto representa un medio clave para rastrear de forma efectiva el uso de los datos e identificar patrones de acceso inusuales y maliciosos.

• Ir más allá del cumplimiento. Para mantener toda la empresa segura, las organizaciones deben darse cuenta de que los mandatos de cumplimiento representan protecciones contra ataques del pasado, y deben ir más allá que los regímenes de cumplimiento para desarrollar una estrategia de seguridad de datos integrada y holística, que incluye el monitoreo, los controles de accesos relevantes y niveles elevados de protección de datos. A través de este enfoque, la seguridad puede dejarse en manos del equipo del director de seguridad de la información y fuera del Directorio.

19


ACERCA DEL INFORME 2013 DE VORMETRIC SOBRE AMENAZAS INTERNAS

El Informe 2013 de Vormetric sobre amenazas internas fue un proyecto colaborativo de investigación entre Vormetric y Enterprise Strategy Group (ESG). Este informe se basó en una encuesta de 707 profesionales de TI responsables de evaluar, adquirir o administrar servicios o tecnologías de seguridad de datos para sus organizaciones. Los encuestados provenían de empresas que representaban numerosas industrias y sectores del gobierno. Los tamaños de las empresas variaban ampliamente, con ingresos desde menos de $ 250 millones hasta más de $ 20.000 millones. La encuesta se completó en julio de 2013 y el informe se publicó en septiembre de 2013.

ACERCA DE VORMETRIC

Vormetric (@Vormetric) es el líder en el sector de las soluciones de seguridad de datos estáticos en entornos físicos, de Big Data y en la nube. Vormetric ayuda a más de 1500 clientes, incluidas 17 empresas Fortune 30, a satisfacer los requisitos de cumplimiento y proteger lo que realmente importa, sus datos sensibles, de amenazas tanto internas como externas. La Plataforma de Seguridad de Datos escalable Vormetric protege cualquier archivo, base de datos y datos de cualquier aplicación, donde quiera que estén, con un conjunto de soluciones de alto rendimiento, líder en el mercado.

HARRIS POLL - FUENTE / METODOLOGÍA

El Informe 2015 de Vormetric sobre amenazas internas realizado en línea por Harris Poll en nombre de Vormetric desde el 22 de septiembre hasta el 16 de octubre de 2014, entre 818 adultos mayores de 18 años que trabajaban a tiempo completo como profesionales de TI y tenían gran influencia sobre la toma de decisiones informáticas en sus empresas. En los EE.UU., se encuestaron 408 tomadores de decisiones informáticas (ITDM) de empresas con ingresos por al menos $ 200 millones: 102 de la industria de la salud, 102 de la industria financiera, 102 de la industria de venta minorista y 102 de otras industrias. Se entrevistaron alrededor de 100 ITDM en el Reino Unido (103), en Alemania (102), en Japón (102) y en la ANSEA (103), y otros 102 en Brasil y en México, entre el 20 de marzo y el 2 de abril de 2015. Fuera de los Estados Unidos, las empresas tenían ingresos por al menos $ 100 millones. La ANSEA está formado por países como Singapur, Malasia, Indonesia, Tailandia y Filipinas. Esta encuesta en línea no se basa en muestreos de probabilidad y, por lo tanto, no puede calcularse un error muestral teórico.

MÁS INFORMACIÓN Para más información sobre el Informe 2015 de Vormetric sobre amenazas internas - Edición Global, visite: www.vormetric.com/InsiderThreat/2015.

20

INFORME 2015 DE VORMETRIC SOBRE AMENAZAS INTERNAS — EDICIÓN PARA MÉXICO Y BRASIL

Vormetric.com/InsiderThreat/2015

©2015 Vormetric, Inc. Todos los derecho reservados.

INFORME 2015 DE VORMETRIC SOBRE AMENAZAS … · 1 informe 2015 de vormetric sobre amenazas internas...

Documents

Transcript of INFORME 2015 DE VORMETRIC SOBRE AMENAZAS … · 1 informe 2015 de vormetric sobre amenazas internas...