La capacidad de detectar filtraciones de datos dentro de pocos minutos es fundamental en la prevención de pérdidas de datos; sin embargo, solo el 35 por ciento de las empresas afirmó que tiene la capacidad de hacerlo. De hecho, más de la quinta parte (22 por ciento) indicó que necesitaría un día para identificar una filtración y un 5 por ciento señaló que este proceso tomaría hasta una semana. En promedio, las organizaciones informaron que el tiempo que tardan en reconocer una infracción de seguridad es de 10 horas.
“Si estás en una pelea, tienes que saber esto mientras que ocurre, no después de los hechos”, señaló Mike Fey, Vicepresidente ejecutivo y Director mundial de tecnología. “Este estudio demostró lo que habíamos sospechado hace mucho tiempo: que muy pocas organizaciones tienen acceso en tiempo real a la simple pregunta: ‘¿estoy siendo víctima de una infracción?’. Solo si sabemos esto podemos prevenirlo antes de que ocurra.”
La confianza inapropiada en la seguridad que pone en riesgo a las organizaciones
Casi tres cuartos (73 por ciento) de los encuestados afirmaron que pueden evaluar su estado de seguridad en tiempo real y también respondieron con confianza en su capacidad de identificar en tiempo real las amenazas internas (74 por ciento), las amenazas perimetrales (78 por ciento), el malware zero-day (72 por ciento) y los controles de cumplimiento (80 por ciento). Sin embargo, del 58 por ciento de las organizaciones que indicaron que sufrieron una infracción de seguridad durante el año pasado solo la cuarta parte (24 por ciento) la identificó dentro de unos pocos minutos. Además, cuando se trata de encontrar realmente el origen de la infracción, solo un 14 por ciento podría hacerlo en pocos minutos, mientras que el 33 por ciento señaló que tardaría un día y el 16 por ciento indicó que tardan una semana.
Esta confianza falsa destaca una desconexión entre el departamento de TI y los profesionales de seguridad dentro de las organizaciones, lo que queda aún más en evidencia cuando los hallazgos de Una aguja en una pila de datos se comparan con un informe reciente de incidentes de seguridad, Investigación de filtraciones de datos. El análisis de 855 incidentes mostró que el 63 por ciento tardó semanas o meses en ser descubierto. En casi la mitad (46 por ciento) de los casos, los datos se recogieron dentro de segundos o minutos en estas organizaciones.
Las organizaciones están cada vez más expuestas a las amenazas avanzadas persistentes
Una aguja en una pila de datos detectó que, en promedio, las organizaciones almacenan aproximadamente entre 11 y 15 terabytes de datos de seguridad en una semana, una cifra que según una predicción de Gartner Group se duplicará anualmente hasta el año 2016. Para dimensionar esto, 10 terabytes equivale a la colección impresa de la Biblioteca del Congreso de los Estados Unidos. A pesar de almacenar esos volúmenes inmensos de datos, el 58 por ciento de las empresas admitió que solo los conserva durante menos de tres meses, lo que anula muchas de las ventajas de almacenarlos.
De acuerdo con el Informe de amenazas de McAfee, en el cuarto trimestre del año 2012, la aparición de nuevas amenazas avanzadas persistentes (APT) se incrementó en el segundo semestre del año 2012. Este tipo de amenazas pueden permanecer ocultas dentro de una red durante meses o incluso años, como lo indican numerosos ejemplos notables y recientes que incluyen ataques a algunos de los periódicos más destacados de los Estados Unidos. La retención a largo plazo y el análisis de datos de seguridad para revelar patrones, tendencias y correlaciones es crucial para que las organizaciones puedan localizar y lidiar rápidamente con estas APT.
Reconocer el valor de los grandes volúmenes de datos de seguridad
Para lograr la inteligencia de amenazas en tiempo real en una era en que el volumen, la velocidad y la variedad de la información llegaron a forzar a los sistemas heredados hasta el límite, las empresas deben adoptar el análisis, el almacenamiento y la administración de los grandes volúmenes de datos de seguridad. Estos volúmenes crecientes de eventos, además de activos, amenazas, usuarios y otros datos pertinentes, han creado un desafío de grandes proporciones para los equipos de seguridad. Para triunfar en este juego, las organizaciones exitosas han pasado de las arquitecturas de administración de datos tradicionales a sistemas que se construyen especialmente para manejar la administración de los datos de seguridad en la era de las APT.
Con esta necesidad de identificar ataques complejos, las organizaciones deben ir más allá de la coincidencia de patrones para lograr un verdadero análisis y modelo basados en riesgos. Idealmente, este enfoque se debe respaldar con un sistema de administración de datos capaz de conducir análisis complejos en tiempo real. Además de la capacidad de divisar las amenazas en tiempo real, las organizaciones deben tener la capacidad de identificar las tendencias y los patrones potencialmente siniestros en el largo plazo. Más allá de encontrar una “aguja en una pila de datos”, las organizaciones deben ampliar el plazo con un contexto basado en riesgos, para encontrar la aguja correcta y poder lidiar, así, en forma proactiva con las amenazas actuales.