El costo de una brecha de datos aumentó por quinto año consecutivo a 204 dólares por registro comprometido en 2009, pero una serie de factores, incluyendo un aumento en el uso de los servicios de violación de los datos y la experiencia adquirida con el manejo de las brechas anteriores, están frenando los aumentos de gastos, según un estudio anual realizado por el Instituto Ponemon.

La firma de investigación basada en Michigan, Estados Unidos, entrevistó a 45 empresas, muchas de las cuales habían sufrido múltiples brechas de datos, y determinó que el coste promedio anual de una brecha de datos aumentó de 6.65 millones en 2008 a $ 6.75 millones en 2009. El “Quinto Informe Anual sobre Costo de Brecha de Datos en EE.UU.”, financiado en parte por el proveedor de encriptación PGP Corp., determina el costo anual de una brecha mediante el establecimiento de los costos para una compañía en términos de negocios perdidos como resultado de un incidente, los gastos efectuados en notificar sobre la brecha a los individuos y las autoridades, los costos relacionados con honorarios de abogados y empresas de consultoría, así como las nuevas inversiones realizadas en tecnología y educación de los empleados.

La brecha de datos más cara reportada por una de las 45 empresas que participaron en el estudio afectó más de 100,000 registros de clientes y tuvo un costo de $ 31 millones para ser resuelta.

“No hay manera real de evitar una brecha de los datos, va a suceder”, dijo Larry Ponemon, presidente y fundador del Instituto. “La buena noticia es que las empresas mejoran con la experiencia en el manejo de una brecha y esto se traduce en menores costos”.

Alrededor del 82% de las empresas entrevistadas en el estudio de Ponemon reportó más de una brecha de datos. La experiencia adquirida a través de una violación anterior ayudó a las empresas a gestionar mejor el impacto asociado con una violación. El coste por víctima de una primera violación de datos es $228 contra $198 para empresas que experimentan dos o más incidentes.

“Las compañías que han sufrido una brecha en el pasado se toman su tiempo, no toman decisiones abruptas y a menudo contratan a un consultor para ayudar a gestionar la respuesta,” dijo Ponemon.

Las empresas que notifican rápidamente a las víctimas potenciales experimentan costes promedios mayores que aquellas que se mueven más lentamente y determinan exactamente cuántos clientes se vieron afectados.

Mientras tanto, el estudio encontró que muchas de las brechas se asociaron con portátiles y unidades USB perdidas (40%), los errores del sistema y estados de cuenta confundidos (36%) también contribuyeron a la violación de datos de la empresa. Los ataques maliciosos representaron alrededor del 24% de las brechas, Ponemon dijo. Pero quizás el mayor problema que contribuye a las brechas de datos son los errores por parte de terceros proveedores y socios de la empresa, como los contratistas y consultores, Ponemon dijo. Los errores fueron asociados con las brechas en el 42% de las empresas encuestadas.

Más dinero se gasta en la defensa legal que nunca antes, Ponemon dijo. A pesar de que muchas demandas legales colectivas son rechazadas en la corte, las empresas están contratando equipos jurídicos para luchar contra las reclamaciones.

“Todo lo que necesita para causar problemas es una demanda judicial exitosa”, dijo Ponemon.

El estudio encontró que las entidades de servicios financieros, comunicaciones y del sector de la salud experimentan el más alto nivel de pérdida de clientes como resultado de una brecha. Ponemon dijo que estas industrias dependen de la confianza para mantener la actividad comercial y una brecha contribuye a la erosión de esa confianza. Los minoristas, empresas de energía y las compañías de medios con menos contacto directo de los consumidores parecen experimentar una menor pérdida de clientes global lo que resulta en costos más bajos como resultado de la brecha de datos. Por ejemplo, la empresa TJX, que sufrió una violación masiva en 2007, se recuperó en menos de un año, anunciando trimestres rentables consecutivos a pesar de la recesión económica mundial. La empresa celebró un día de reconocimiento de los clientes y se valió de los descuentos para atraer de vuelta a los clientes.

“Si se maneja adecuadamente las empresas sobreviven a una violación”, dijo Ponemon. “No hay excusa para no tomar un enfoque de defensa en profundidad en torno a la seguridad y mantener un entorno seguro, sólo porque la empresa sobrevivirá no quiere decir que quiera pasar por el dolor o someter a sus clientes ante la agravación de tener una brecha”.

Los comerciantes que necesiten ayuda para asegurar sus redes inalámbricas para cumplir con el estándar de seguridad de datos PCI ahora cuentan con una guía paso a paso.

El Consejo de Estándares de Seguridad PCI lanzó el jueves la guía de seguridad inalámbrica, desarrollada por su Grupo de Interés Especial (GIE) sobre las tecnologías inalámbricas. La Guía Inalámbrica de PCI DSS de 28 páginas analiza los requisitos aplicables de PCI DSS y proporciona recomendaciones para su aplicación.

“El propósito de esta guía es proporcionar claridad a un número de personas que lo necesitan”, dijo Doug Manchester, director de producto de seguridad de VeriFone Holdings Inc., basada en San José, California y presidente del grupo de interés especial de Inalámbrico. Por ejemplo, alguien que opera una tintorería puede fácilmente configurar una red inalámbrica, pero él / ella puede necesitar ayuda para entender la forma en que el PCI DSS aplica en esta parte, expresó.

La guía se centra en la tecnología Wi-Fi, ya que es ampliamente utilizada para transacciones de tarjetas de pago, dijo: “Wi-Fi parece ser el objetivo más urgente”. Añadió que el GIE próximamente abordará la tecnología Bluetooth, un protocolo inalámbrico que también es muy utilizado para las transacciones de tarjetas de pago.

Una prioridad fundamental para el GIE era abordar la cuestión de lo que en el ámbito de aplicación del estándar PCI en lo que se refiere a inalámbrico y lo que no está en el ámbito de aplicación, dice Manchester. Entre las recomendaciones de la guía de seguridad inalámbrica se encuentran el cambio de configuración por defecto, no depender de LANs virtuales para la segmentación de redes inalámbricas, y el mantenimiento de un inventario de hardware para garantizar que no se instalen redes inalámbricas no autorizadas. El documento incluye gráficos y diagramas de flujo.

“El objetivo aquí es facilitar el procesamiento seguro”, dijo Manchester. “La tecnología inalámbrica está aquí para quedarse y queremos dar a todos la misma oportunidad de aprovechar la tecnología.”

Más de 40 organizaciones que representan a los comerciantes, proveedores de punto de venta, bancos y empresas de seguridad de redes participaron en el GIE de inalámbrico. El PCI SSC, que gestiona el estándar de PCI, formó el pasado verano el GIE de inalámbrico. El consejo también tiene GIEs que se centran en el alcance, la virtualización, y la pre-autorización, el grupo de inalámbrico es el primero en publicar sus trabajos.

Ciberdelincuentes han explotado vulnerabilidades en redes inalámbricas para robar datos de tarjetas de crédito, poniendo de relieve la necesidad de seguridad inalámbrica. La violación en 2007 de las empresas TJX Inc., que dejó por lo menos 45,7 millones de tarjetas de crédito y débito expuestas a los posibles fraudes, involucró debilidades en las redes inalámbricas, según los investigadores. Estos descubrieron que los hackers aprovecharon un agujero en la red Wi-Fi de TJX y utilizaron una versión modificada del programa sniffer para monitorear y capturar los datos de los sistemas transaccionales de TJX. Los investigadores dijeron que TJX estaba utilizando el protocolo de encriptación Wired Equivalent Privacy (WEP), un estándar de seguridad más antiguo y vulnerable que fue sustituido por Wi-Fi Protected Access (WPA). Es compatible con el último estándar IEEE 802.11i, conocido como WPA2, que utiliza el Advanced Encryption Standard (AES).

El estándar PCI DSS v1.2 requiere que las organizaciones descontinúen el uso de WEP a más tardar el 30 de junio de 2010 y cambien a estándares de encriptación y autenticación más seguros, como el estándar IEEE 802.11i.

Roger Nebel, un auditor independiente de PCI DSS y director de seguridad estratégica de FTI Consulting Inc., una firma basada en Baltimore, Md., dijo que las recomendaciones técnicas en la guía de seguridad inalámbrica de PCI son sólidas y, en caso de aplicarse, debería mejorar la seguridad inalámbrica.

“La cuestión principal sigue siendo que la aplicación de estas recomendaciones será relativamente costosa para muchos comerciantes, ya que tendrán que sustituir la tecnología antigua que sólo soporta WEP para junio de 2010″ dijo. Los comerciantes se enfrentan con el gasto de comprar nuevos equipos y software en un apretado entorno económico, añadió.

Manchester dijo que el costo fue una de las consideraciones en la elaboración de la guía. Dijo que el documento está diseñado para ofrecer opciones como la segmentación y “no necesariamente poner la carga en el comerciante para hacer grandes inversiones en equipo”.

Sin embargo, esta práctica de jugar a la ruleta rusa con el riesgo de la información ha demostrado ser el talón de Aquiles para muchas organizaciones que probablemente se encontraban en una postura similar. Si analizamos los incidentes sufridos por TJX, Heartland, RBS Worldpay y otras instituciones que han sido víctimas de las brechas de datos más grandes de la historia, las cuales han ocasionado pérdidas multi-millonarias y han puesto a las mismas al borde de la quiebra, podemos especular que las mismas probablemente no preveían un ataque de este tipo, probablemente nunca fueron advertidas, no tenían experiencia previa con incidentes de esta magnitud ni se imaginaban que podían estar siendo atacadas o en la mira de los criminales. Los hechos indican, que tanto en el caso de TJX como de Heartland, los hackers habían comprometido los sistemas hacía meses, y se encontraban capturando datos silenciosamente.

Dónde estuvo la falla? La respuesta puede radicar en cualquier fase del ciclo de seguridad, pero lo que podemos inferir por los detalles revelados sobre estas brechas, es que probablemente no detectaron correctamente las amenazas, la actividad sospechosa en la red y las vulnerabilidades en sus sistemas. Tal vez subestimaron el riesgo, tal vez no tenían las herramientas, procesos o personas para basar sus análisis de riesgo en datos concretos. Quizás no sabían lo que estaba pasando en su red y consideraron que la falta de noticias eran buenas noticias. La falla pudo haber estado en la detección, capacidad de respuesta y/o prevención. Lo que sí sabemos es que el atacante encontró una debilidad y la aprovechó.

Otra vez, me parece que Schneier está en lo cierto. Él dice que en seguridad el atacante tiene la ventaja, ya que los que defienden tienen que proteger contra cada posible vulnerabilidad, mientras el atacante sólo tiene que encontrar una vulnerabilidad para comprometer el sistema completo.

Aún estas empresas nunca hayan sido atacadas, lo que es muy poco probable, la estrategia de depender de la suerte para permanecer desapercibido es una mala práctica de seguridad que raya en la negligencia. La próxima vez que nos veamos tentados a pensar que no nos puede pasar a nosotros, pensemos que en todos estos grandes casos probablemente los atacantes no necesitaron hacer inteligencia por varios meses, orquestar el ciberataque más sofisticado de toda la historia, y quizás no escogieron estos objetivos por considerarlos el “Santo Grial”. Probablemente todo lo que necesitaron fue un día, un hueco, y dejaron como resultado una enorme brecha.

TJX Companies, Inc., que ha sido sometido a un aluvión de demandas judiciales como consecuencia de una violación masiva de los datos de sus sistemas, acordó pagar US$9.75 millones, solucionando una demanda presentada por los Procuradores Generales de 41 estados.

La empresa matriz de las tiendas T.J. Maxx y Marshall, publicó en enero de 2007 que sus sistemas habían sido hackeados, exponiendo por lo menos 45.7 millones de tarjetas de crédito y débito a un posible fraude. Bajo los términos del acuerdo, la compañía pagará $2.5 millones de dólares para crear un fondo de seguridad de datos para los estados y una suma de $5.5 y $1.75 millones de dólares para cubrir los gastos relacionados con las investigaciones del estado.

Además, TJX dijo que acordó certificar que el sistema informático de TJX cumple con requisitos detallados de seguridad de datos especificados por los Estados Unidos, y fomentan el desarrollo de nuevas tecnologías para hacer frente a vulnerabilidades sistémicas en el sistema de tarjetas de pago de EEUU.

“En virtud de este acuerdo, TJX y los Procuradores Generales se han puesto de acuerdo para asumir papeles de liderazgo en la exploración de nuevas tecnologías y enfoques para buscarle solución a los problemas sistémicos de la industria de tarjetas de pago de los EEUU que continúan afectando a empresas e instituciones, y que hacen de los consumidores en los Estados Unidos en todo el mundo los objetivos para el aumento de la delincuencia cibernética”, dijo en un comunicado Jeffrey Naylor, director financiero y administrativo de TJX.

Naylor reiteró la postura de TJX a lo largo del incidente que la empresa no violó ninguna ley de protección al consumidor o de seguridad de datos. “La decisión de entrar en este acuerdo refleja el deseo de TJX de concentrarse en su negocio principal, sin distracciones, y de promover medidas de ciber-seguridad que beneficiarán a todos los consumidores”, dijo la compañía.

Según los investigadores, a lo largo de un período de 18 meses, hackers se aprovecharon de un agujero en la red Wi-Fi de TJX y utilizaron una versión modificada de un programa sniffer para vigilar y capturar los datos transaccionales de TJX. Investigadores dijeron que TJX estaba utilizando el protocolo de encriptación Wired Equivalent Privacy (WEP), un estándar de seguridad anticuado. El Wi-Fi Protected Access (WPA) sustituye a la norma original de seguridad WEP. Además, es compatible con el último estándar, IEEE 802.11i, también conocido como WPA2.

Once acusaciones fueron anunciadas por el Fiscal de los Estados Unidos en el 2008. Hasta la fecha, dos de los acusados se han declarado culpables y otros dos se declararon culpables de cargos relacionados.

“Este fue una herida auto infligida, y TJX ha hecho mucho trabajo desde entonces, pero está claro que la violación fue el resultado de procesos deficientes y de negligencia”, dijo Jon Oltsik, analista senior, Enterprise Strategy Group.

Aunque TJX se ha convertido en la muestra de lo que podría suceder cuando una compañía sufre una violación masiva, Oltsik dijo que es probable que haga falta una violación de propiedad intelectual u otros datos que pongan a una empresa fuera de negocio, antes de todas las empresas tomen en serio la seguridad de los datos. Desde entonces, ha habido otras violaciones masivas. El Heartland Payment Systems Inc. se encuentra en medio de una investigación de violación de datos que afecta a millones de titulares de tarjetas y los investigadores de supermercados Hannaford descubrieron que los programas maliciosos habían saqueado 4.2 millones de números de tarjetas de crédito y débito de los sistemas de la tienda.

“La diferencia entre TJX y cualquier otra empresa no es más que la suerte del sorteo. Tenían zonas donde no se cumplía con el DSS de PCI, pero la mayoría de las empresas si cumplen, si las ves lo suficientemente de cerca”, dijo Ed Moyle, cofundador de consultoría de seguridad de IT Security Curve. “Algunos de estos entornos son bastante complejos, especialmente las compañías con muchos puntos de venta.”

Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) se ocupan de la seguridad de los datos de clientes de tarjetas de pago. Sin embargo, Oltsik dijo que no queda claro qué tanto es el fraude en el proceso de auditoría, ya que hay relativamente poca supervisión por entidades fuera de la industria de transacciones de pago.

“PCI es un buen comienzo, pero hay mucho margen para abusos y fraudes”, dijo Oltsik.

Los legisladores se han envuelto con docenas de estados pasando normas para la notificación de violación de datos, y con dos estados, Massachusetts y Nevada, enfocándose en la seguridad de los datos y las normas de encriptación. El gobierno federal ha abordado el problema por industria, empujando a la industria de la salud con fuertes normas HIPAA y abordando los problemas en la industria financiera. Por el contrario, la Unión Europea ha abordado la cuestión con un enfoque en la privacidad.

En diciembre de 2007, TJX concluyó una demanda de decenas de bancos, acordando pagar US$40.9 millones para cubrir los gastos relacionados a la violación masiva de los datos. Los grupos de banca alegaron en una demanda que la violación comprometió 94 millones de cuentas, muchas más que las 45.7 millones anunciadas por TJX.

La empresa también concluyó varias demandas colectivas hechas por los clientes que afirmaron que fueron víctimas de la violación. La empresa aceptó ofrecer a los clientes afectados tres años de servicios de monitoreo de crédito y seguro contra robo de identidad.