Si tradicionalmente la actividad de los ciberdelincuentes se ha centrado en el robo de información de entidades públicas, la tendencia parece cambiar ya que en los dos últimos años los ciberataques dirigidos a empresas privadas se han quintuplicado a escala global.
Según según el estudio de KPMG Data Loss Barometer se ha pasado de un escaso 8% del total de incidentes en 2010 hasta la sorprendente cifra del 52% en 2012.
Según el informe, que hace un seguimiento de las tendencias globales de pérdida, fuga y robo de información, las filtraciones de datos han afectado a más de 160 millones de personas en 2012 a causa de 835 incidencias distintas, lo que supone un salto de más del 40% con respecto al año anterior. De esta manera, los ciberataques representaron el 67% de la pérdida de datos por número de incidentes.
El socio responsable del área de IT Advisory de KPMG en España, Ramón Poch, comenta "lo que estamos presenciando es una transición desde la pérdida accidental de datos, robo para buscar notoriedad o simplemente diversión, hacia el robo organizado y deliberado para apropiarse o vender la información", a lo que añade que "en estos últimos meses, varias de las mayores empresas del mundo se han convertido en el objetivo de ciber-delincuentes que cuentan con medios cada vez más sofisticados".
Poch recalca que ya "no se trata de un individuo aislado encerrado en su habitación; en muchos casos son complejas estructuras altamente financiadas y respaldadas las que están a la cabeza de este nuevo fenómeno".
El estudio pone de manifiesto la gravedad de estos ataques, ya que en 2012, el 46% de los casos en los que se produjeron fallos en los sistemas de la seguridad conllevaron la fuga de información personal como por ejemplo, datos personales e información sobre tarjetas de crédito, unas estadísticas que según Poch "que suelen incluir incidentes cuando existe la obligación de informar o cuando el fallo en la seguridad ha pasado a ser de dominio público".
La importancia de lo confidencial
Por su parte, el director del área de Protección de la Información de KPMG en España, y responsable de los servicios de Seguridad, Privacidad y Continuidad, Diego Bueno, señala que "cuando se trata de confidencialidad, las organizaciones del sector público no son diferentes a las empresas del sector privado. Ambas tienen la obligación de velar por que los datos personales estén protegidos; más allá de la regulación, la situación actual nos obliga a adoptar medidas para proteger la información crítica o sensible para nuestros negocios".
Del estudio, también se extraen noticias más positivas, tanto de organizaciones privadas como del sector público, cuyos esfuerzos para abordar la seguridad internamente parecen estar dando sus frutos, ya que los fallos se redujeron en más de la mitad, desde 435 en 2011 hasta 198 en 2012. No obstante, la continua ofensiva en ciber-ataques junto con el constante cambio tecnológico, implica que sea necesario actualizar proactivamente los sistemas de protección.
Cómo reducir los incidentes
KPMG resume algunos métodos para que las organizaciones puedan reducir el número de incidentes:
- Revisar la información sobre documentos (metadatos) publicada en internet: Webs corporativas, redes sociales, etc., ya que esta información es una fuente inicial muy utilizada por los ciber-atacantes para preparar una intrusión.
- Asegurar que los sistemas expuestos son seguros: En Internet disponen de los parches de seguridad adecuados y de las últimas actualizaciones recomendadas por los fabricantes.
- Educar a todos los miembros de la organización: Es importante transmitir el valor y la sensibilidad de la información que manejan y de cómo deben protegerla tanto a nivel físico como en digital.
- Complementar la formación y concienciación de los empleados: Tanto con procedimientos operativos, como con la creación de una cultura empresarial concienciada con la Seguridad de la Información.
American Express: víctima de ciberataques