Un estudio mundial de ISACA ha indicado que una de cada cinco organizaciones (21%) ha sufrido un ataque de tipo amenaza persistente avanzada (APT) y el 66% piensa que es solo una cuestión de tiempo antes de que sus empresas se vean atacadas por un AP. Solo el 15% de las empresas piensa que se encuentran muy preparadas para un ataque APT. Asimismo, entre las compañías atacadas, solo una de cada tres puede determinar la fuente del ataque.
ISACA, una asociación mundial que ofrece servicio a 115.000 profesionales de seguridad informática, riesgos, aseguramiento y gobernanza, realizó el estudio entre 1.220 profesionales de seguridad para determinar la evolución de los APT desde 2013. El estudio sobre APT de 2014 es el primer proyecto de investigación que se da a conocer dentro de la nueva iniciativa Cybersecurity Nexus de ISACA.
“Los APT son ataques sigilosos, incesantes, enfocados a objetivos determinados y con un propósito principal: extraer información como, por ejemplo, investigaciones valiosas, propiedad intelectual o datos gubernamentales”, indicó Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, y anterior presidente internacional de ISACA. “En otras palabras, es absolutamente crítico que las empresas se preparen para estos ataques, ya que esta preparación requiere algo más que simplemente contar con los métodos de control tradicionales”.
“Las amenazas son avanzadas y son persistentes. De acuerdo. Pero nuestra seguridad debe ser igual de avanzada y persistente y programas como CSX de ISACA ayudarán a combatir este reto, entre lo tecnológico y lo social. Europa y España, más concretamente, han sufrido recientemente ataques a centrales eléctricas y compañías de suministros vitales con un impacto potencialmente devastador. Disponer de un programa de ciberseguridad robusto y sólido es instrumental para el éxito. La seguridad es una actitud y conocer cómo dar respuesta a ataques en ciberseguridad, una necesidad” ha dicho Ramsés Gallego, International Vice Presided de ISACA y Security Strategist & Evangelist en Dell Software.
La mayoría de las organizaciones entrevistadas afirma que su principal defensa ante un APT son los controles técnicos como, por ejemplo, firewalls, listas de acceso y anti-virus, unas herramientas esenciales para defendernos contra amenazas tradicionales, pero que no son suficientes para evitar los ataques APT. Cerca del 40% de las empresas afirma que no usan formación sobre seguridad y controles para defenderse contra un APT – unos componentes esenciales dentro de un buen plan de ciberseguridad. Pero lo peor es que, más del 70% no usa controles móviles, aunque el 88% de los encuestados reconoce que los dispositivos móviles de los empleados son, a menudo, unas puertas para los ataques APT.
Aunque un mayor número de empresas afirman que están revisando este año sus prácticas en gestión de proveedores (23%) y los planes de respuesta a incidentes (56%) para ocuparse de los ataques APT, estas cifras aún necesitan mejorar significativamente.
“La buena noticia es que más empresas están intentando preparase mejor para los ataques APT este año”, comentó Robert Stroud, CGEIT, CRISC, presidente internacional de ISACA y vicepresidente de CA Technologies. “La mala noticia es que aún existe una gran diferencia de conocimientos en relación a los ataques APT y sobre cómo defendernos para hacer frente a este tipo de acciones, por lo que necesitamos de forma esencial más formación sobre seguridad”.
El informe completo sobre el estudio de los ataques tipo APT se encuentra disponible en http://www.isaca.org/apt-wp. El 30 de septiembre tendrá lugar un webimar gratuito de ISACA titulado “Amenazas Persistentes Avanzadas”, en donde se ofrecerán pautas adicionales sobre las APTs, además de estudiar este asunto con mayor profundidad. Para recursos adicionales sobre ciberseguridad, incluyendo una guía sobre defensa contra los APT, visite www.isaca.org/cyber.
