Mantenerse al tanto de las tendencias más importantes en ciberseguridad puede ser un desafío, no por falta de datos, sino por la gran cantidad de información que podemos encontrar. Los analistas, proveedores, equipos de investigación y otros producen cantidades muy importantes de datos sobre infracciones, tendencias de malware, amenazas emergentes, hábitos y tendencias sobre presupuestos de seguridad, esfuerzos y multitud de otros temas relacionados.
Los datos pueden alertarnos sobre las cosas que deberíamos estar cuidando o al meno sobre las que deberíamos mostrar cierto interes, cómo se comparan nuestros controles y procesos, donde estan centrando los atacantes sus esfuerzos, si nuestra inversión es suficiente o cómo se comparan con nuestros esfuerzos de cumplimiento con los indicados. Pero, ¿cómo separamos los datos que importan de los datos que solo aumentan el ruido?
Para ayudar a enfocarte en lo que importa, os traemos numerosos informes de investigación, análisis de proveedores y documentos técnicos, concentrando la información que agrega nuevos conocimientos o actualizaciones.
Las Violaciones de datos en números
1,579: Número total de infracciones de datos reveladas públicamente en 2017
Más organizaciones revelaron violaciones de datos el año pasado que nunca. En 1,579, el número de incumplimientos en 2017 fue 44.7% más alto que los 1,091 divulgados en 2016. Las organizaciones empresariales, como las de los sectores minorista, hotelero, comercial y de servicios públicos, representaron el 55% de las infracciones, seguidas por las consultas médicas y industria de la salud, con un 23.7%
Fuente: Revisión de fin de año de incumplimiento de los datos anuales de 2017
1,946,181,599: Cantidad total de registros que contienen datos personales y otros datos confidenciales que se han visto comprometidos entre el 1 de enero de 2017 y el 20 de marzo de 2018
Tan asombrosamente grande como podría parecer ese número, en realidad es más pequeño que los más de 4.800 millones de registros expuestos en violaciones de datos en 2016. Dos incumplimientos que Yahoo reveló en 2017 representaron aproximadamente 1.500 millones de los registros expuestos el año pasado, mientras que uno divulgado por Myspace representó otros 360 millones de registros.
Fuente: Cronología de las violaciones de datos
75%: Porcentaje de violaciones de datos causadas por atacantes externos
Contrariamente a algunas percepciones, los actores externos continúan representando una amenaza mucho mayor para las organizaciones que los internos. Entre los actores externos, los grupos organizados de ciberdelincuentes representaron más de la mitad (51%) de las infracciones, mientras que el 18% de los ataques involucraron a grupos afiliados al estado. Las personas descuidadas, negligentes y maliciosas con acceso legítimo a los sistemas y a los datos causaron el 25% de las infracciones.
Fuente: Informe de Investigaciones de Brecha de Datos 2017 de Verizon
71%: Porcentaje de empresas estadounidenses de un total de 1.200 empresas que informaron haber sufrido al menos una violación de datos
Más de 7 de cada 10 organizaciones en los EEUU se vieron afectadas de alguna manera por una filtración de datos en los últimos años. Alrededor del 46% de las organizaciones estadounidenses experimentaron un incidente de incumplimiento en el último año, un aumento sustancial del 24% reportado en 2017 y el 20% que dijo que habían sufrido una infracción en 2016. En todo el mundo, las cifras son ligeramente inferiores, con El 67% de los encuestados informaron al menos de una infracción.
Fuente: Informe Global de Amenazas 2018 del grupo Thales
3.62 millones de dolares: Costo promedio de una violación de datos en 2017
Si bien las brechas se hicieron más grandes, el coste promedio de una violación de datos disminuyó un 10% en 2017, a 3,62 millones. El coste promedio asociado con los registros perdidos y robados que contienen información confidencial también disminuyó sustancialmente, a 141 dólares resecto a los 158 por registro de 2016. Al mismo tiempo, el número de registros comprometidos por infracción aumentó a 24,000.
Fuente: Estudio de incumplimiento del costo de los datos de 2017 del Instituto Ponemon
Detección y respuesta a incidentes
***77%: Porcentaje de encuestados de un total de 2.800 profesionales de TI que dijeron que sus organizaciones no tienen un plan formal de respuesta a incidentes de ciberseguridad
A pesar de la gran preocupación por las violaciones de datos, más de tres cuartas partes de las organizaciones no tienen un proceso formal para respuesta ante las mismas. El veintiséis por ciento solo tiene un proceso ad-hoc o informal, y el 27% no aplica su plan de respuesta ante incidentes de formalmente en toda la empresa.
Fuente: Tercer estudio anual sobre la organización ciberresistente de Ponemon Institute para IBM Resilient
91 días: El tiempo promedio que las organizaciones tardan en identificar una violación de datos
Una brecha de más de seis meses entre cuando ocurre una violación y cuando se identifica por primera, algo que puede parecer terrible. Pero 191 días es en realidad una mejora en el promedio de los 201 días que las organizaciones tardaron en detectar una infracción en 2016.
Fuente: Estudio de incumplimiento del costes de los datos de 2017 del instituto Ponemon por IBM Security
66 días: El tiempo promedio necesario para contener por completo una violación de datos en 2017
El número de días que demoraron las organizaciones para contener una violación en 2017 varió de 10 a 164 días, con un promedio de 66 días. Las violaciones causadas por ataques maliciosos y delictivos generalmente demoraron más (77 días) o más para identificar (214 días) que las infracciones causadas por errores humanos (64 y 168 días, respectivamente).
Fuente: Estudio de incumplimiento del costo de los datos de 2017 del Ponemon Institute para IBM Security
Ciberseguridad para altos mandos
45%: Porcentaje de encuestados de un total de 9.500 ejecutivos de 122 países que dijeron que su junta corporativa participa activamente en el establecimiento de presupuestos de seguridad
Sobre la necesidad de que la seguridad se convierta en un problema a nivel de junta, muchas juntas todavía parecen no estar involucradas en la estrategia de seguridad de la organización. Solo el 39% participa activamente en el establecimiento de políticas de seguridad, el 36% participa en el proceso de selección de tecnología, y menos de un tercio (31%) revisa activamente los riesgos actuales de seguridad y la privacidad.
Fuente: Encuesta Global de Seguridad de la Información 2018 (PwC)
87%: Porcentaje de empresas que dicen necesitar hasta un 50% más de presupuesto para ciberseguridad
Las organizaciones están gastando más que nunca en seguridad. Sin embargo, 7 de cada 10 directivos dicen que necesitan al menos un 25% más de gasto, y un 17% desean hasta un 50% de aumento del presupuesto. Sin embargo, solo el 12% cree que en realidad recibirá un aumento en el presupuesto de seguridad de más del 25%. El resto claramente tendrá que arreglárselas con cualquier aumento que obtengan.
Fuente: EY Global Information Security Survey 2017-18
76%: Porcentaje de organizaciones que probablemente aumentarían los recursos disponibles para ciberseguridad despues de una brecha que causara daños significativos
Más de tres cuartas partes de las organizaciones dijeron que una brecha de datos significativa sería un catalizador para aumentar la imversión en ciberseguridad. Pero es poco probable que muchas de esas mismas organizaciones aumenten la inversión en caso de una violación que no cause daños. Sesenta y cuatro por ciento de las organizaciones dicen que un ataque que no causase daño no desencadenaría aumentos de presupuesto.
Fuente: EY Global Information Security Survey 2017-18
29%: Porcentaje de encuestados de un total de 9.500 ejecutivos de 75 industrias en 122 países que dijeron que los CISOs tienen la responsabilidad de la seguridad de la IoT
Las organizaciones a menudo implementan dispositivos IoT sin pensar en las implicaciones de seguridad. Solo el 34% de los encuestados, por ejemplo, incluso planea evaluar los riesgos potenciales para la seguridad empresarial al conectar más dispositivos a Internet. Sin embargo, casi 3 de cada 10 creen que la organización de seguridad debería ser responsable de garantizar el entorno IoT.
Fuente: Encuesta Global de Seguridad de la Información 2018 de PwC
Tendencias en ciberataques
77%: Porcentaje de ataques a endpoints en 2017 que debido a el uso de malware y exploits sin archivos
El malware que se ejecuta en la memoria es mucho más difícil de detectar y detener que el malware instalado en los sistemas, por lo que los agentes de amenazas han comenzado a utilizar malware sin archivos en sus ataques. El 54% de los encuestados de un total de 665 profesionales TI dijeron que sus organizaciones sufrieron uno o más ataques que comprometieron sus datos y/o la infraestructura. De esos ataques, el 77% involucró malware y exploits sin archivos.
Fuente: Informe de riesgo de seguridad del 2017 de Ponemon Institute para Barkly
56%: Porcentaje de organizaciones en una encuesta de un total de 1.300 responsables de TI que identificaron ataques de phishing como su mayor amenaza sobre la ciberseguridad actual
De todas las amenazas a las que se enfrentan las organizaciones en la actualidad, los ataques de phishing siguen siendo los más grandes para muchos, y el 56% lo identifican como su principal preocupación. Otras amenazas que mantienen a los gerentes de seguridad despiertos por la noche son las amenazas internas (51%), el ransomware/malware (48%) y las cuentas privilegiadas no aseguradas (42%). El 42% de los encuestados identificó las amenazas a los datos en la nube como otro gran problema.
Fuente: [Informe global de amenazas avanzadas del año 2018 por CyberArk(https://www.cyberark.com/resource/cyberark-global-advanced-threat-landscape-report-2018/)
26,2%: Porcentaje de los destinatarios del ransomware en 2017 que eran usuarios comerciales
Los proveedores de ransomware el año pasado volcaron su enfoque a las empresas. Los ataques de WannaCry en mayo pasado, el brote de NotPetya en junio y los ataques de BadRabbit de octubre fueron los mayores ataques de ransomware dirigidos a las empresas, pero también hubo otros. Eso convirtió a 2017 en el año del ransomware para las empresas.
Fuente: Informe de Kaspersky Lab
87%: Porcentaje de ataques de ejecución remota de código a fines del año pasado que involucraron malware criptográfico
El "secuestro" de computadoras con fines de minería de cifrado se está convirtiendo rápidamente en un problema importante para las empresas de la misma manera que el ransomware se convirtió en una gran amenaza hace un par de años. Casi el 90% de todos los ataques de ejecución remota de código en diciembre pasado implicó intentos de descargar subrepticiamente de cripto-mineros.
Fuente: Informe de Imperva
Presupuestos y gastos en ciberseguridad
86%: porcentaje de organizaciones estadounidenses que planean aumentar el gasto en ciberseguridad este año
Casi 9 de cada 10 empresas planean aumentar el gasto en ciberseguridad este año, un 10% mas que el 76% que dijo lo mismo en 2017. Las cifras mundiales son ligeramente más pequeñas, con el 78% informando sobre planes para aumentar la inversión en ciberseguridad en comparación con el 73% del año pasado.
Fuente: Informe Global de Amenazas 2018 del Grupo 451 para Thales
96.3 mil millones: El total de organizaciones en todo el mundo que planea gastar en ciberseguridad en 2018
Las preocupaciones sobre la violación de datos y los temores de amenazas como el WannaCry o el NotPetya llevarán a los gastos en ciberseguridad a otro nivel este año. Los 96,3 mil millones que las organizaciones gastarán en productos y servicios de seguridad este año representan un aumento del 8% con respecto a 2017 y un aumento de más del 17% sobre los 82,2 mil millones que las organizaciones en todo el mundo gastaron en 2016.
Fuente: Nota de Gartner
75.200 millones: Cantidad que las organizaciones de todo el mundo gastarán en servicios de protección y seguridad de infraestructura en 2018
Gartner espera que la externalización de TI, las pruebas de seguridad y la información de seguridad y gestión de eventos sean los segmentos de más rápido crecimiento dentro de las categorías de protección y servicios de infraestructura este año. El segmento de administración de identidades y acceso tendrá un gasto de 4.7 mil millones este año, y el segmento de seguridad de red representará 11.7 mil millones en gastos generales.
Fuente: Nota de Gartner
Cumplimiento y gobierno
74%: Porcentaje de encuestados de EEUU en una encuesta de un total de 1.200 organizaciones que sienten que los requisitos de cumplimiento es "muy" efectivo o "extremadamente" efectivo
A pesar del debate sobre cumplimiento versus seguridad, casi tres cuartas partes de las organizaciones en los EEUU creen que cumplir con los mandatos regulatorios e industriales, como PCI DSS, es una excelente forma de mejorar la seguridad. Por el contrario, un 64% más pequeño de las organizaciones en todo el mundo tienen una visión similarmente positiva sobre el cumplimiento.
Fuente: Informe Global de Amenazas 2018 del Grupo 451 para Thales
88%: Porcentaje de un total de 300 CIOs, CPOs, consejeros generales y otros altos cargos de las empresas estadounidenses, británicas y japonesas que informaron haber gastado más de 1 millón en cumplimiento de la GDPR
Las organizaciones que se apresuran a cumplir con el plazo para cumplir con los requisitos generales de protección de datos de la UE están gastando más en aumentar sus programas de privacidad y seguridad. De las compañías que han completado sus preparativos, el 88% dijo que gastó al menos 1 millón, y el 10% dijo que gastaron en torno a 10 millones. Entre las empresas que aún no terminaron sus proyectos, el 60% espera gastar al menos 1 millón en el cumplimiento de la GDPR, y el 12% gastará más de 10 millones.
Fuente: Informe GDPR de PwC
15 mil millones: Presupuesto propuesto para la ciberseguridad federal sobre el presupuesto del año fiscal 2019
La cantidad en el propuesto es un aumento de 583.4 millones con respecto a la estimación del año fiscal 2011 para la ciberseguridad federal. Como de costumbre, más de la mitad del coste corresponde al Departamento de Defensa de los EEUU, que el año pasado recibió 8,500 millones en fondos para la ciberseguridad.
Fuente: Fondos para la ciberseguridad de EEUU
971 millones: Cantidad solicitada por el Departamento de Seguridad Nacional de los EEUU para las operaciones de ciberseguridad en 2018
De esta cantidad, el DHS ha asignado 437 millones a la dirección de ciencia y tecnología para investigación y desarrollo y 279 millones en esfuerzos continuos de diagnóstico y mitigación de ciberseguridad.
Fuente: Informe de Statista
52%: Porcentaje de encuestados de un total de 200 responsables de TI de departamentos civiles y de Defensa que ven las regulaciones y los mandatos de seguridad cibernética como un obstáculo para la gestión de riesgos
Más de la mitad de los responsables de la toma de decisiones de TI en las agencias federales consideran que los mandatos como el Marco de gestión de riesgos del NIST complican los esfuerzos de ciberseguridad, en lugar de ayudar. El 55% dijo que el Cybersecurity Framework del NIST ha ayudado al menos a promover un diálogo de gestión de riesgos en las organizaciones.
Fuente: Encuesta Federal de Ciberseguridad de SolarWinds
54%: Porcentaje de tomadores de decisiones de TI en agencias federales que consideran que los empleados y contratistas descuidados y desentrenados presentan el mayor riesgo de seguridad
Contrariamente a la percepción, los empleados descuidados y negligentes a menudo representan una amenaza mayor para la ciberseguridad que los maliciosos. Las preocupaciones sobre el tema parecen estar creciendo, considerando que solo el 48% citó a personas descuidadas como un riesgo de seguridad en 2016 en comparación con el 54% que dijo lo mismo en 2017.
Fuente: Encuesta Federal de Ciberseguridad de SolarWinds
Ciberseguridad en sistemas móviles, IoT y de control industrial
100%: El porcentaje de organizaciones de una muestra de 850 organizaciones con al menos 500 dispositivos móviles que experimentaron un ataque móvil en 2017
Todas las organizaciones que permiten el uso de dispositivos móviles para el trabajo experimentaron alguna forma de ataque, pero no siempre lo sabían. De hecho, las organizaciones fueron atacadas 54 veces en promedio. No todos los ataques resultaron en infracciones.
Fuente: [Los ciberataques móviles afectan a todas las empresas, informe de Check Point]http://pages.checkpoint.com/mobile-impact-report.html?utm_source=blog&utm_medium=cp website&utm_campaign=CM_BLG_17Q4_US_Mobile Impact Rpt Blog)
54%: Porcentaje de encuestados en una encuesta de un total de 359 profesionales de ciberseguridad que informaron al menos de un incidente de seguridad que involucró un sistema de control industrial en los últimos 12 meses
Las preocupaciones sobre las fallas de seguridad catastróficas en las organizaciones con sistemas críticos de control industrial parecen estar superando el número de incidentes reales. Aun así, más de la mitad han experimentado incidentes de seguridad que involucran malware o actores terceros.
Fuente: El estado de la ciberseguridad industrial 2017 de Business Advantage para Kaspersky
55%: porcentaje de organizaciones industriales que permiten a terceros, como proveedores, socios y proveedores de servicios, acceder a su red de control industrial
A pesar de la creciente preocupación por los riesgos de terceros, más de la mitad de las organizaciones industriales permitieron a personas ajenas, acceder a los sistemas críticos de forma remota. Como era de esperar, las organizaciones que permiten el acceso de terceros también tienen un 63% más de probabilidades de experimentar una infracción de ciberseguridad frente a aquellas que no permiten dicho acceso.
Fuente: El estado de la ciberseguridad industrial 2017 de Business Advantage para Kaspersky
40%: Porcentaje de líderes empresariales en una encuesta a 9.500 profesionales de TI que están preocupados por un ciberataque en las redes de IoT y otras tecnologías emergentes que causan interrupciones operativas
A pesar de los beneficios potenciales de la automatización y los sistemas robotizados, muchos líderes organizacionales se preocupan por la vulnerabilidad de las tecnologías emergentes y sus amenazas cibernéticas. Además de las interrupciones operativas, el robo de datos es una preocupación para el 39% y el 32% teme que la calidad del producto se vea afectada por un ciberataque exitoso en las tecnologías emergentes como el IoT.
Fuente: Encuesta Global de Seguridad de la Información 2018 de PwC
61%: Porcentaje de organizaciones que han implementado algún nivel de tecnologías IoT y que tuvieron que lidiar con un incidente de seguridad relacionado con IoT en el último año
La mayoría de los incidentes de seguridad que involucran redes IoT se deben a ataques reales, como infiltración de malware (24%) y ataques de phishing/ingeniería social (18%). Más de 1 de cada 10 (11%) incidentes de seguridad de IoT involucraron problemas de configuración incorrecta del dispositivo, 9% involucraron escalado de privilegios y 6% resultaron en un robo de credenciales.
Fuente: Preparación para la ciberseguridad de Internet of Things, investigación de Osterman para Trustwave