Una pregunta rápida. ¿Qué es más alto? 1) El porcentaje de estadounidenses que entienden correctamente que la Tierra gira alrededor del Sol, o 2) el porcentaje de organizaciones que admitieron que un ataque de phishing había penetrado sus defensas en 2015. ¿El ganador? #El 2, por un cómodo margen.
In 2012, the National Science Foundation surveyed 2,200 Americans and asked them: “Does the Earth go around the Sun, or does the Sun go around the Earth?” 74% got it right.[1] {Insert your own American educational system joke here.}
En la primavera de 2016, un estudio patrocinado por Cloudmark encuestó a 300 empresas, todas ellas con más de 1.000 empleados, y el 84% admitió que un ataque de spear phishing había penetrado sus defensas de seguridad en el último año[2].
En el mundo de la estadística, el 84% es abrumador. Si el parte meteorológico dice que hay un 84% de posibilidades de que llueva, ¿cuánta gente se arriesga con el 16% y deja el paraguas en casa? Los candidatos necesitan un mínimo del 15% en varias encuestas para poder participar en los debates presidenciales de este año; si obtienes un 16%, se te considera apenas relevante. Si los pronosticadores de Las Vegas creen que tu equipo tiene un 16% de posibilidades de ganar el domingo, ganarías 7 veces tu apuesta si dan la sorpresa; nadie aceptaría una apuesta igualada con un 16% de posibilidades de ganar.
Y admitámoslo, ese 16% es probablemente inferior. De las 48 empresas (16%) encuestadas que afirmaron no haber sufrido ataques de spear-phishing, ¿cuántas evitaron realmente la penetración y cuántas simplemente no fueron atacadas en los últimos 12 meses?
Sorprendentemente, sin embargo, los usuarios de las actuales herramientas de monitorización de amenazas de proveedores apuestan por el 16% de posibilidades de evitar que los sofisticados atacantes actuales penetren en las defensas de redes externas. La tecnología de supervisión de amenazas de proveedores se centra actualmente en el análisis y la puntuación de las defensas de red externas de un proveedor, la higiene de IP, la web oscura o las conversaciones en redes sociales, la aplicación de parches o el mantenimiento de certificados SSL/TLS: información que tiene muy poca -o ninguna- relevancia para la capacidad de una organización de evitar un ataque de phishing con éxito. Es difícil de aceptar, pero un cortafuegos es el equivalente moderno de la línea Maginot.
Los teléfonos móviles han sustituido a los fijos. Las noticias de Yahoo han sustituido a los periódicos. Google maps ha sustituido al AAA TripTik[3]. Juego de Tronos ha sustituido a Los Soprano. Y la detección ha sustituido a la prevención. El hecho de que los proveedores estén preparados para proteger los datos sensibles de unaprimera parte tiene que ver en un 95% con lo que hacen detrás del cortafuegos y en un 5% con lo que hacen delante de él.
O quizá sea 84% a 16%... pero ya te haces una idea.
[1] http://www.npr.org/sections/thetwo-way/2014/02/14/277058739/1-in-4-americans-think-the-sun-goes-around-the-earth-survey-says
[2] https://blog.cloudmark.com/2016/01/13/survey-spear-phishing-a-top-security-concern-to-enterprises/
[3] Sí. El autor de este blog es viejo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
