Estado de la ciberseguridad en la empresa española

Continuando mi anterior post y aprovechando el estudio que presento Luis Corrons, PandaLabs Technical Director,  en la séptima edición de la ENISE hoy voy a presentar algunas de las conclusiones a las que llega ese estudio.

"Entre el 2% y el 8% de los PCs corporativos están infectados en cualquier momento de tiempo" Gartner

“92% de los ataques son identificados por terceros” Verizon DBIR 2013

“El 85% de los ataques permanecen sin ser detectados durante varias semanas o más” Verizon DBIR 2013

“34% de las vulnerabilidades urgentes no están resueltas” Ponemon Institute

“22% de los ataques usan técnicas de ingeniería social” Verizon DBIR 2013

Los antivirus, posiblemente sean la herramienta más vista en escenarios empresariales dedicada a la ciberseguridad, sin embargo el problema radica en que con demasiada frecuencia es la única y hay que entender que si bien es una buena medida de seguridad, es insuficiente ya que los antivirus no están diseñados para clasificarlo todo. Su funcionamiento se basa en conocer malware y si lo detecta o detecta algo que se le parece, bloquearlo. En estas condiciones se calcula que un 19% del malware se escapa a diario. Esto se debe a diferentes factores como pueden ser la heurística y el tamaño del filtro o el tiempo de actualización de listas negras.

Para conocer el estado actual de la empresa española en materia de ciberseguridad Panda analizó 4.834 equipos entre servidores y estaciones de trabajo durante un periodo de 7 meses. Detectó casi 100.000 aplicaciones diferentes (aunque hay que tener en cuanta que la misma aplicación en diferente versión cuenta como aplicaciones diferentes)

Panda, para su estudio consideró como aplicaciones vulnerables, y por tanto críticas, aquellas que no estuvieran actualizadas a la última versión y/o fueran activamente explotadas como vector de infección (Exploit Kits). Sabiendo eso, el estudio arroja unos resultados sorprendentes:

En el top 3 de aplicaciones vulnerables nos encontramos con viejos conocidos como son Java, Adobe PDF Reader y Adobe Flash Player. La créme de la créme que se suele decir. Sin embargo, aunque los datos sobre agujeros de seguridad están ahí, el porcentaje de equipos infectados, aunque alarmante, no es tan elevado.

Es decir, prácticamente uno de cada cinco equipos del parque informático que poseen las empresas en nuestro país se encuentra infectado por algún tipo de malware. Sin embargo no todo el malware es igual, así, el estudio también arroja como el 80% de las aplicaciones son adware, spyware o toolbars y el 20% restante es donde está realmente el peligro grave y extremadamente dañino para una empresa con la instalación de troyanos, ransomware, APTs, etc

Como conclusiones de este estudio podemos sacar:

• Un antivirus no es suficiente para asegurar una empresa, independientemente de su tamaño
• El 5% de los equipos empleados en empresas a día de hoy cuentan con software muy dañino que puede provocar fugas de información, borrado de datos o ciberespionaje entre otras muchas con las consecuentes pérdidas económicas que en algunos casos pueden incluso suponer el cierre de la empresa.
• El **20% de los equipos tienen instalado software no deseado **que produce una disminución de la productividad.
• El 99% de los equipos que poseen las empresas españolas están a día de hoy en alto riesgo de alojar algún tipo de malware perjudicial en múltiples grados para la empresa a la que pertenece el equipo.

Todo estos datos, en mi opinión, se pueden resumir en la demostración clara de que, a día de hoy, la empresa española es claramente insegura en cuestiones de ciberseguridad y necesita urgentemente una adaptación que permita su operatividad de una forma confiable.

Entonces, ¿porque no cambiamos la forma de actuar? En un ambiente empresarial, donde podemos controlar el uso de aplicaciones, podemos actuar del modo contrario y realizar un inventario de aplicaciones aceptadas y bloquear todas las demás. Además, se pueden monitorizar continuamente las acciones realizadas por los programas confiables para evitar que puedan ser explotados a través de vulnerabilidades. Por último, se añaden características de control del acceso a los datos: quién, qué, cuándo, cómo... así como registros detallados de las acciones realizadas por cada una de las aplicaciones.

¿Alguno de vosotros tiene experiencia en respuesta ante incidentes de ciberseguridad? ¿Que opináis al respecto? ¿Creéis que el panorama va a cambiar próximamente? Y por último, a mi me sorprende que no haya muchos más ataques cibernéticos, ¿tú que opinas?