Verizon Business - O relatório de 2009 sobre fugas e roubo de informação

A Verizon Business publicou, pelo segundo ano consecutivo, o seu relatório anual sobre fugas e roubo de informação empresarial. Este documento é baseado na análise de incidentes em que as equipas de investigação da Verizon foram envolvidas, desde 2004 até agora. Apesar da análise ser focada em dados de 2008, a evolução das tendências, presente no relatório, assenta na estatística acumulada ao longo dos últimos quatro anos.

Os aspectos que merecem maior destaque, em sumário, são os seguintes:

  1. Quem esteve envolvido nos incidentes?
    • 74% dos casos analisados incluíram elementos externos à organização;
    • 20% incluíram elementos internos;
    • 32% incluíram parceiros de negócio;
    • 39% envolveram uma combinação dos anteriores.
  2. Como aconteceram?
    • 67% foram facilitados por erros em configurações e/ou procedimentos internos;
    • 64% resultaram de acções de hacking;
    • 38% incluíram a utilização de malware;
    • 22& envolveram o abuso de privilégios;
    • 9% ultrapassaram a segurança física (e.g. roubo de equipamentos).
  3. Existem factores comuns aos incidentes?
    • 69% foram descobertos por entidades externas;
    • 81% das entidades afectadas não tinham uma certificação PCI;
    • 83% dos ataques não eram muito difíceis;
    • 87% dos ataques podiam ser evitados através de controlos simples/pouco complexos;
    • 99,9% dos dados foram comprometidos a partir de servidores e aplicações.
  4. Quais são as acções de mitigação recomendadas?
    • Garantir que os controlos mais básicos, mais essenciais, estão activos;
    • Identificar a informação sensível, avaliá-la, e conhecer os fluxos — o seu ciclo de vida;
    • Gravar e monitorizar os registos de eventos (e.g. de aplicações e de segurança);
    • Auditar as contas dos utilizadores e as suas credenciais; e
    • Testar e rever as aplicações (e.g. aplicações web).

O documento é detalhado e inclui uma análise ponto por ponto que suporta, para cada item, as conclusões deste sumário. Está disponível online sob o título 2009 Data Breach Investigations Report e é, na minha opinião, uma referência importante para gestores de segurança e, claro, gestores de IT.