Desde que las Tecnologías de Información empezaron a ser parte importante en las operaciones de las compañías el tema de la seguridad ha venido tomando cada vez mayor importancia, derivando en un sinfín de soluciones y estándares como el Payment Card Industry Data Security Standard (PCI-DSS).
Se ha comprobado que la efectividad de cumplir con el estándar PCI es muy alta pues según estadísticas las compañías que siguen esta regulación fortalecen los sistemas de seguridad y son poco vulnerables a los ataques cibernéticos alcanzado niveles de efectividad muy importantes.
“El estándar PCI es un estándar de seguridad que está orientado a enfrentar las nuevas modalidades de ataques, pues es bien sabido que con el paso del tiempo el hacking se ha ido industrializando, y sus técnicas y vectores de ataque continuarán su cada vez más rápida evolución, por lo que las empresas tendrán que enfrentarse a diferentes escenarios en donde su información sea más vulnerable” comentó Alejandro Guizar, gerente de Ingeniería en Imperva México.
Lo anterior, durante un evento de presentación de resultados de un análisis de valor de PCI y protección de datos, realizado por Imperva a nivel global.
Según el estudio, el 64% de las empresas que reconoce acatar el estándar PCI-DSS confirma no haber sufrido transgresiones relativas a los datos asociados a sus tarjetas de crédito en los últimos dos años, mientras que sólo el 38% de las compañías que no cumplen pudieron afirmar lo mismo.
Escenarios y realidades
Rob Rachwald, director de Estrategia de Seguridad en Imperva, estuvo en México en la presentación de los resultados. El directivo explicó que el hacking se ha industrializado y que 51% del tráfico de internet es automático, es decir, corresponde a actividad relacionada con botnets. Otro 21%, comenta Rachwald, se debe a ataques dirigidos o el uso de otras herramientas de ataque utilizadas por los hackers.
Los escenarios actuales se presentan de cinco formas, que Imperva resume en un listado de Realidades de la Seguridad de los Datos:
#1. Los hackers conocen mejor el valor del dato y les representa un gran capital, algo que los “buenos” aún tardan en comprender.
#2. Los hackers son los primeros adoptadores de tecnología (early adopters), ya que sus sistemas de ataque van dirigidos a Tarjetas de Crédito 6%, Passwords 12%, Spam & Phishing 6%, SQL Injection 29% y Non-Tech Related 26%. Los hackers, en general, son los más informados.
#3. Los “chicos buenos” tienen más vulnerabilidades que tiempo y recursos para administrar.
#4. Los organismos regulatorios están reaccionando en todo el mundo.
#5. Cada vez hay más brechas de alto impacto, pues los hackers y hacktivistas aprendieron que si buscan destruir a una compañía, deben dañar su imagen, explica Rachwald.
Los hackers se esfuerzan más
Los hallazgos del análisis de Imperva muestran que los atacantes pasan mucho tiempo ideando formas de romper la seguridad para obtener lo que buscan. El directivo incluso aclaró que los hackers utilizan métodos de inyección de SQL para robar datos o realizar ataques de negación de servicio. Pero lo importante es lo que está sucediendo por debajo de ese ataque de inyección de código.
“La seguridad hoy en día no debe ser técnica, se trata de un proceso de seguridad de negocio así que las organizaciones deben tener un proceso de seguridad de negocios y no un proceso de seguridad técnica”, dijo Rachwald.
Cumplimiento, PCI y mejoras de seguridad
Cuando se trata de violaciones de datos globales como por ejemplo información de una tarjeta de crédito el 63% de las organizaciones que cuentan con él no sufrió más que una única violación de sus datos, en comparación con el 22% de las compañías que no cuentan con él. Es importante mencionar que 26% de las empresas que no lo tienen fueron víctimas de más de cinco delitos en el mismo período de tiempo.
El directivo explicó que las compañías que se enfocaron en hacer bien todo su proceso de cumplimiento fueron aproximadamente 50% menos vulnerables que aquéllas organizaciones que solamente cumplen con el listado de requerimientos mínimos, o que no están preocupadas por cumplir con las regulaciones.
“Todas las empresas tienen que cumplir con alguna regulación, de lo que se trata ahora es de hacerlo mejor, más rápido y más barato. Y, como consecuencia, un buen cumplimiento ayuda a incrementar el presupuesto de seguridad, así como a reducir los riesgos y las posibilidades de fuga de datos”, comentó el estratega de seguridad de Imperva.
Conclusiones
De acuerdo con los resultados del estudio, en la mayoría de las organizaciones (30%) la responsabilidad de garantizar el cumplimiento con PCI DSS recae en los directores de negocio, mientras que un 15% de las compañías delegan esta responsabilidad a los directores de sistemas. Solamente un 14% confían esta tarea a los directivos de seguridad, seguidos por un 13% que responsabilizan al departamento legal.
Esto quiere decir, comenta Rachwald, que el negocio no confía en los CISO/CSO para delegar esta tarea. Por otro lado, añade, es claro que los directivos de seguridad deben escalar sus propuestas al menos a dos superiores para conseguir lo que necesitan.
En este sentido, el estratega de seguridad de Imperva sugiere que los profesionales se reúnan de manera constante con sus colegas, pues la oportunidad de compartir sus experiencias y lo que sucede en el mercado puede generar ideas, o tips de mejora para las estrategias de la organización.
@CIOMexico
@fueradelugar
