Los riesgos que corren las empresas por las fallas de seguridad
1 de junio- El riesgo que corren las empresas relacionado con las amenazas a la seguridad en Internet es real. Estas amenazas tienen un importante impacto en empresas de todo el mundo.
Según una reciente encuesta de Seguridad y delito informático de la CSI/FBI, los costos asociados a los sitios Web paralizados, la penetración no autorizada a las redes y la pérdida de información supusieron más de 200 millones de dólares en el año 2003. Según la misma encuesta, se robó información patentada por un valor superior a los 70 millones de dólares. Y el riesgo de ataques no se limita únicamente a unas pocas organizaciones puesto que el 82% de las empresas encuestadas reportaron virus informáticos.
Según otro reciente estudio, a finales del año 2003, las pérdidas por improductividad y los costos de recuperación relacionados con los gusanos Blaster, Welchia y SoBig habían sobrepasado los 2 mil millones de dólares.
Las amenazas en Internet crean riesgos reales para las empresasLas cifras son sorprendentes. Sin embargo, cobran mayor importancia cuando se analiza cuidadosamente el impacto transcendental de las amenazas de la seguridad en Internet en una organización.
Muchas pérdidas directas son realmente tácticas y pueden ser debidas a robo de dinero, de recursos informáticos y de información. Sin embargo, también pueden causar problemas menos evidentes a largo plazo.
Por ejemplo, imagine que un hacker entra a una importante institución financiera y roba 15 millones de dólares americanos. El dinero robado, que probablemente está asegurado, representa un problema relativamente menor. Es la pérdida de la confianza y otras impresiones negativas por parte de los clientes, quienes podrían pasarse a la competencia, lo que supone un riesgo mayor a largo plazo.
Igualmente, cuando las empresas electrónicas son víctimas de ataques de negación de servicio que interrumpen el servicio y perjudican las relaciones con los clientes se produce también un impacto negativo en la imagen de la marca de los productos de esa empresa.
En nuestras conversaciones con los ejecutivos empresariales alrededor del mundo, se nos informó que el posible impacto negativo en la marca de los productos y la consiguiente caída en las ventas es el riesgo principal relacionado con las amenazas a la seguridad en Internet. Por eso, es importante considerar riesgos estratégicos indirectos relacionados con estas amenazas.
Hay, no obstante, otros riesgos estratégicos que considerar, tales como la improductividad que puede ser el resultado de la malversación de fondos, los gastos relacionados con interrupciones en la continuidad de las empresas, información alterada y costosas operaciones de recuperación.
También existen riesgos jurídicos importantes relacionados con las amenazas a la seguridad en Internet, tales como el incumplimiento de los requisitos de contratos y las reglamentaciones gubernamentales, y la incapacidad para controlar la actividad ilegal. Estos riesgos dejaron claro que la seguridad en Internet es un asunto empresarial estratégico y no técnico.
Los logros de los ataquesLas amenazas a la seguridad en Internet serán un problema en la medida en que la frecuencia con que suceden los ataques siga aumentando. El informe de Symantec más reciente sobre la Seguridad en Internet, publicado en marzo de 2004, revela que el 50% de las compañías analizadas reportaron una grave brecha de seguridad durante el segundo semestre de 2003, lo que significó un aumento importante comparado con el 16% de las empresas que reportaron graves brechas en el primer semestre del mismo año.
Existen buenas razones para que aumente la frecuencia con que ocurren los ataques. Los atacantes hoy en día tienen acceso a herramientas mejores y más sofisticadas, y a la información. Las nuevas herramientas de "hacer clic y hackear" implican que ya no es necesario tener muchos conocimientos para llevar a cabo un ataque. Con más personas capaces de realizar ataques, es inevitable que continúen aumentando la frecuencia y la magnitud de los ataques.
La evolución de las amenazasAparte de ser más frecuentes, los ataques también están evolucionando para volverse más complejos y peligrosos. Pueden comprobar la evolución que han experimentado. En pocos años, pasamos de los virus sencillos, la desfiguración de la Web y los ataques de negación de servicio en equipos individuales a las complejas amenazas combinadas, los ataques escalonados, ataques de negación de servicio dirigidos por gusanos distribuidos, el robo de información a nivel nacional y el hackeo a infraestructuras complejas.
Y los riesgos son mayores que antes. En 2001, un suceso de hackeo que duró dos semanas contra California Independent System Grid (la red de suministro eléctrico) casi interrumpe el fluido eléctrico en el estado. En Australia, un hacker hizo que la planta de tratamiento del sistema de alcantarillado vertiera miles de litros de aguas residuales en parques, ríos y en un hotel importante. En el futuro, estas amenazas serán aún más complejas y peligrosas. Creemos que las amenazas combinadas se convertirán en "amenazas flash", que son capaces de desplazarse por Internet en segundos, en lugar de días o semanas.