Seguridad y privacidad Septiembre 2006 Detener los ataques internos: cómo pueden proteger las organizaciones su información confidencial. Detener los ataques internos: cómo pueden proteger las organizaciones su información confidencial. Página 2 Índice 2 Introducción 3 La creciente amenaza de los ataques internos 5 Su organización en peligro: entender los riesgos 6 Crear medidas de seguridad más sofisticadas 11 Conclusión Introducción Cada año se realizan más transacciones comerciales electrónicamente y las organizaciones guardan un volumen cada vez mayor de información confidencial. Para muchas organizaciones, la información se ha convertido en un activo de incalculable valor, en la parte vital de sus operaciones. El acceso a esta información está al alcance de una base de usuarios en expansión, incluidos los empleados, socios comerciales, proveedores y clientes. Las infraestructuras de TI son cada vez más amplias, más complejas, más fraccionadas, y más accesibles. Esta interconexión ofrece muchas ventajas para empresas, organismos gubernamentales y consumidores similares pero, al mismo tiempo, introduce posiblemente una gran dosis de riesgo. Cuantos más puntos de acceso tenga una organización, mayor es la vulnerabilidad de los sistemas y la posibilidad de sufrir robo de datos. Y los riesgos son altos, especialmente como depositarios de información privada. Las empresas y organismos gubernamentales deben cumplir con estrictos requisitos normativos y proteger el capital intelectual ante competidores y entidades políticas subversivas. Y los consumidores son por lo general los que están más preocupados ante una posible usurpación de identidad y otras violaciones de privacidad. La creciente preocupación pública por la seguridad y la privacidad de los datos personales ha situado a muchas empresas y organismos gubernamentales en el centro de atención; y muchos países de todo el mundo han elaborado normativas concebidas para preservar la confidencialidad. Las leyes del Reino Unido, como la Ley de Protección de Datos de 1998, han evolucionado en los últimos años con el fin de combatir el fraude y la usurpación de identidad. En Estados Unidos, el estado de California aprobó su Ley de Notificación de Infracción contra la Seguridad que exige a las empresas (sea cual fuere su ubicación geográfica) que revelen los casos de violación de datos relacionados con ciudadanos del estado de California.1 Desde entonces, otros 23 estados han aprobado sus propias leyes de revelación de información. Y Canadá tiene la intención de adoptar medidas similares. Estas acciones legislativas recientes, así como las frecuentes noticias en los medios sobre infracciones contra la seguridad, han hecho que tales amenazas adquieran una clara preponderancia. Detener los ataques internos: cómo pueden proteger las organizaciones su información confidencial. Página 3 Puntos destacados En su informe sobre el nivel de seguridad global de las empresas de 2005, IBM informa de una incipiente tendencia hacia los ataques pequeños y selectivos, más que de amenazas globales arrolladoras como son los gusanos informáticos, el correo basura, los virus u otros programas informáticos maliciosos (malware).2 Los ataques internos, en particular, pueden constituir una seria amenaza para la seguridad y la privacidad de los datos. Este breve informe pretende proporcionar al lector una mejor comprensión de la cuestión sobre los ataques internos y da consejos que pueden ayudar a las organizaciones a mitigar sus riesgos. Las fuertes defensas del perímetro La creciente amenaza de los ataques internos pueden bloquear efectivamente Las organizaciones han invertido décadas tratando de equilibrar redes más abiertas, más extensas y mejor conectadas con defensas más fuertes contra intrusos, incluyendo firewalls, software antivirus, biometría y controles de identidad para el acceso. Estas medidas han hecho que el mundo de los negocios sea más eficaz en detener las amenazas desde el exterior, y han hecho que cada vez sea más difícil para los futuros piratas informáticos o los virus irrumpir en los sistemas. Estas tecnologías, sin embargo, son mayoritariamente pasivas en su modus operandi y han sido diseñadas para frustrar únicamente el acceso no autorizado; proporcionan sólo una primera línea de defensa. las amenazas externas, pero sólo proporcionan parte de la protección que necesitan las organizaciones. Aunque a menudo es eclipsado por los ataques del exterior, el riesgo de las amenazas internas es, sin embargo, una preocupación apremiante para prácticamente todas las organizaciones. Un estudio publicado en 2005 por PricewaterhouseCoopers y CIO, “The Global State of Information Security 2005,” reveló que el 33 % de los ataques contra la seguridad de la información fueron perpetrados por empleados internos, mientras que el 28 % procedían de antiguos empleados y socios.3 Aunque las empresas, los organismos gubernamentales y los analistas del sector ciertamente lo tienen en cuenta, el riesgo de infracciones contra la seguridad desde el interior se ve a menudo eclipsado por intrusiones más espectaculares, como los ataques de denegación de servicio, virus de difusión masiva, o robos flagrantes de capital intelectual o financiero. Detener los ataques internos: cómo pueden proteger las organizaciones su información confidencial. Página 4 Puntos destacados Los “miembros que no son honrados” de una organización pueden explotar la vulnerabilidad de ésta para cometer usurpación de identidad y para sacar a la luz información confidencial, para provecho propio o como parte de una red criminal de mayor envergadura. La Privacy Rights Clearinghouse mantiene una lista con cientos de violaciones de datos que tuvieron lugar en Estados Unidos desde febrero de 2005. Dar más importancia a las amenazas externas que a los peligros internos es un error, y puede acrecentar sobremanera la vulnerabilidad de las defensas de una organización. La empresa HSBC Electronic Data Processing (India) Private, de servicios de asistencia al cliente y procesamiento de tareas administrativas, informó en 2006 que un empleado, como parte de una red de ladrones más grande, había accedido a información de tarjetas de débito de clientes y la utilizó para defraudar 425.000 dólares EE.UU. a 20 clientes del Reino Unido.4 Este incidente es uno solo de los muchos que se produjeron en los últimos escasos años. La Privacy Rights Clearinghouse mantiene una lista con cientos de violaciones de datos ocurridas en Estados Unidos desde el caso flagrante de infracción que tuvo lugar en ChoicePoint en febrero de 2005.5 Muchas de estas infracciones se cometieron desde dentro de la organización, por personas a las que la lista se refiere como “miembros que no son honrados”. Fíjese en los siguientes ejemplos hallados en la lista de la Privacy Rights Clearinghouse: • En una compañía dedicada íntegramente a la inversión en la bolsa de valores, un antiguo empleado accedió de forma ilegítima a más de 100 registros de clientes. • Un miembro poco honrado o un pirata informático pusieron en peligro los sistemas de un hotel al sacar a la luz 55.000 registros: nombres, direcciones, datos de tarjetas de crédito, números de la seguridad social, números de permisos de conducir y datos sobre cuentas bancarias. • “Un miembro poco honrado o un software malicioso” accedió a los sistemas de una empresa de publicidad en Internet, sacando a la luz nombres, números de teléfono, direcciones, direcciones de correo electrónico, direcciones IP, nombres de usuario y contraseñas, tipos de tarjetas de crédito y cantidades de compra oline. • En una compañía de seguros, un empleado accedió a datos confidenciales, incluidos nombres, números de la seguridad social, fechas de nacimiento y direcciones de propiedades con ejecución hipotecaria, y usó esta información para beneficio propio. Otros casos tienen que ver con ordenadores portátiles robados, cintas de copias de seguridad perdidas o configuración o uso no autorizado de cuentas.5 Aunque estrictamente no sean atribuibles a “ataques internos”, estos incidentes pueden poner igualmente a una organización en peligro, explotando los canales autorizados para eludir las defensas del perímetro y escapar, así, a la detección. Detener los ataques internos: cómo pueden proteger las organizaciones su información confidencial. Página 5 Puntos destacados Puesto que los empleados tienen autorización legítima y conocimiento de los puntos vulnerables de la empresa, los ataques internos pueden ser más difíciles de detectar que los intentos de penetración desde el exterior. Según un estudio reciente, la actuación fraudulenta puede prolongarse durante un promedio de 18 meses sin ser detectada. Los ataques no detectados pueden causar graves daños, con efectos sobre la responsabilidad legal de los datos custodiados, la capacidad competitiva y el funcionamiento normal de la actividad comercial. Su organización en peligro: entender lo que está en juego Los ataques desde el interior conllevan el potencial de producir daños importantes que pueden compararse o incluso exceder los daños causados por agentes externos. Como miembro de confianza de la organización, el infractor cuenta con autorización válida y por lo general disfruta de una presencia y movimiento relativamente incuestionable dentro de la infraestructura TI de la organización. Los ataques suelen centrarse en información específica y explotan los puntos de entrada establecidos o puntos de vulnerabilidad recónditos. En muchos aspectos, los ataques internos pueden ser más difíciles de detectar que los intentos de irrupción desde el exterior. La Association of Certified Fraud Examiners (ACFE) en su “Informe a la Nación sobre el Fraude y Abuso Ocupacionales de 2006” indica que la mayoría de casos de fraude en general (apropiación indebida de bienes, corrupción o declaración fraudulenta) sale a la luz por accidente o a través de pistas reveladas por los empleados, que sugieren una carencia generalizada de medios de monitorización y supervisión eficaces. El informe indica también que la actuación fraudulenta puede prolongarse durante un promedio de 18 meses antes de que sea detectada.6 Los ataques internos que continúan si ser detectados pueden causar graves daños a una organización. Tal vez lo más significativo sea que pueden poner en peligro información personal de clientes o empleados. Una infracción de este tipo, ya sea usurpación de identidad, uso inapropiado de datos o venta de información confidencial, puede hacer recaer sobre una organización la responsabilidad legal por los daños asociados y estar sujeta a sanciones administrativas. Además, puede verse afectada la posición de competitividad de una empresa si un miembro de ésta utiliza propiedad intelectual o comercializa secretos para fines no autorizados. Los ataques pueden también estar concebidos para extorsionar a alguien o dañar la reputación de una organización. Si éstos tienen como objetivo dañar los sistemas o provocar la caída de la infraestructura de TI, pueden también afectar a las operaciones comerciales y reducir el valor de las inversiones en TI. Con tanto valor en juego, es cada vez más importante afrontar la amenaza de los ataques internos, antes de que se produzcan. Detener los ataques internos: cómo pueden proteger las organizaciones su información confidencial. Página 6 Puntos destacados Los entornos de trabajo expandidos a escala global y las condiciones empresariales en constante cambio requieren un equilibrio entre la accesibilidad del usuario final y la protección de datos. La protección contra los ataques desde el interior exige una mayor sofisticación y granularidad por parte de los sistemas de seguridad. Existen cuatro elementos básicos que pueden proporcionar la sofisticación necesaria para evitar los ataques internos. Crear medidas de seguridad más sofisticadas Hoy en día, la extensa distribución de los entornos de trabajo y las condiciones empresariales en constante cambio (a causa de las fusiones y adquisiciones, despidos y contratación de servicios externos a escala global) conllevan una vasta distribución geográfica de usuarios, un sistema con múltiples puntos de entrada y el posible descontento de los empleados. Como consecuencia, las organizaciones actuales corren un mayor riesgo de sufrir ataques internos. Cada organización debe adoptar una estrategia que le permita gestionar ese riesgo de forma eficaz, y conseguir un equilibrio razonable entre la accesibilidad del usuario final y la protección contra violaciones de la seguridad. Cuando se presta atención a los ataques internos (a diferencia de las amenazas externas), la cuestión relacionada con la seguridad pasa del enunciado “¿está autorizado el acceso?” a “¿es la conducta aceptable?” Mientras que la primera pregunta requiere una simple respuesta de sí o no en un momento determinado, la segunda pregunta entraña mayor complejidad. La conducta de un usuario comprende todos los sucesos que se dan durante una sesión determinada de principio a fin, e incluye los patrones de conducta a largo plazo y las variaciones sutiles. Responder a esta cuestión exige más sofisticación y granularidad por parte de los sistemas de seguridad. Tal como pretendemos mostrar en las páginas siguientes, existen cuatro elementos básicos: análisis de conductas, componentes de seguridad integrados, respuesta automática y un proceso de modelado iterativo que, como parte de una aproximación exhaustiva a la amenaza de ataques internos, pueden contribuir a proporcionar este nivel de sofisticación en la seguridad. Análisis de conductas La clave para frustrar un ataque interno reside en comprender el alcance de una conducta normal en un proceso empresarial determinado y localizar con precisión la conducta que se desvía de la normalidad. Por tanto, uno de los primeros pasos debe consistir en fijar normas; definir los parámetros que suponen una conducta aceptable dentro de un grupo con cometidos similares. Estos parámetros servirán de punto de partida para realizar análisis comparativos, de modo que es importante establecer perfiles de usuario basados en datos de historiales o experiencias concretas, no solamente en Detener los ataques internos: cómo pueden proteger las organizaciones su información confidencial. Página 7 Puntos destacados Los sistemas de seguridad deberían monitorizar automáticamente las actividades online de usuarios autorizados, detectar comportamientos anormales e incluso contribuir a evitar el posible uso indebido. El análisis de conductas puede ayudar a localizar con exactitud pequeñas desviaciones y patrones de conducta inusuales en entornos de trabajo dinámicos con mucho tráfico de información. expectativas empresariales que pueden o no ser realistas. Los parámetros demasiado abiertos pueden dejar escapar alguna que otra conducta peligrosa, mientras que los parámetros demasiado estrictos tienden a disparar una avalancha de falsas alarmas. Puesto que los cometidos de los usuarios cambian, las organizaciones deberían actualizar los perfiles en consecuencia. Al utilizar los parámetros como punto de partida para realizar análisis comparativos, los sistemas de seguridad deberían monitorizar automáticamente cada uno de los aspectos de las actividades online de los usuarios autorizados, desde el principio hasta el final de cada sesión. Los sistemas no solamente deberían tener la capacidad de identificar conductas anormales mediante análisis comparativos, sino que también deberían ser capaces de predecir e incluso ayudar a evitar el posible uso indebido, respondiendo inmediatamente a ciertos eventos que disparan las alarmas. Los sistemas deberían monitorizar variables como: • Conexión inicial: fecha y hora del inicio de sesión, direcciones IP implicadas y frecuencia de conexión. • Acceso a datos: solicitudes de datos, organizadas según tipos específicos. • Uso de aplicaciones: frecuencia y duración. • Uso global: tiempo de sesión total y solicitudes de uso de datos global. El análisis de conductas puede ser imprescindible en entornos de trabajo dinámicos con mucho tráfico de información, tales como centrales de recepción de llamadas, donde la información de los clientes puede ser vulnerable al fraude o al uso indebido. Los empleados que trabajan en estas centrales tienen amplio acceso a los registros de clientes, pero cabe esperar de ellos que accedan a un número predecible de dichos registros durante la jornada laboral. Por ejemplo, si se ha determinado mediante análisis históricos que cada agente de una determinada central de recepción de llamadas accede por lo general a entre 10 y 15 registros por día, puede ser razonable investigar a un agente que acceda a 30 o más. Asimismo, una organización puede juzgar sospechoso que un agente consulte información que normalmente no se requiere para interactuar con los clientes. Solamente mediante análisis controlados y continuos de conductas puede una organización identificar estas desviaciones. Detener los ataques internos: cómo pueden proteger las organizaciones su información confidencial. Página 8 Puntos destacados Los elementos de seguridad deberían interactuar discretamente, en tiempo real, para posibilitar los análisis minuciosos y la rápida respuesta ante posibles amenazas. Componentes de seguridad integrados Muchas organizaciones cuentan al menos con algunos elementos de seguridad necesarios para protegerse contra los ataques internos malintencionados: sistemas de autenticación, software de rastreo de activos, dispositivos y funciones de monitorización del uso de Internet, y otras herramientas. Es crucial, sin embargo, que estos componentes interactúen entre sí a la perfección, tanto como sea posible. De hecho, una de las razones por la que las organizaciones encuentran difícil detectar los ataques internos reside en el tiempo que invierten en analizar una ingente cantidad de datos procedente de un amplio despliegue de dispositivos, puntos de entrada y cuentas de usuario. Las organizaciones necesitan a su vez habilitar la comunicación, la correlación y el análisis a nivel granular entre una gran variedad de componentes de seguridad, entre los que se encuentran, pasarelas de autenticación, sistemas de seguridad físicos, herramientas de gestión de activos, medios de monitorización de la red y plataformas de seguridad Web. Estos sistemas deberían comunicarse en tiempo real, de modo que la organización pueda reaccionar rápidamente antes de que puedan utilizarse los datos para fines ilegítimos, y deberían incluso poder predecir y evitar los ataques malintencionados. Los sistemas que una organización pone en funcionamiento para supervisar la conducta de los usuarios debería concebirse también para simplificar la monitorización y las tareas de detección de patrones con el fin de agilizar el trabajo de los administradores. Los administradores deberían poder acceder a la consola central que recoge mensajes y sucesos de los sistemas que monitorizan todo lo que ocurre, desde el uso de dispositivos de red hasta el de aplicaciones. Revisar manualmente registros históricos de actividades y buscar relaciones complejas entres sistemas puede significar un derroche de esfuerzos que podrían emplearse en actividades de mayor valor y prioridad. La detección eficaz de patrones depende de la capacidad de correlacionar mensajes y sucesos desde sistemas de monitorización distintos ubicados por todo el entorno de TI. Piense en cuánto más eficaz pueden llegar a ser las funciones de detección de patrones de una organización si los eventos se correlacionan a través del entorno de TI. Por ejemplo, una organización podría ejecutar una aplicación confidencial a la cual no se debiera tener acceso por lo general desde un puesto remoto. Si un empleado inicia una sesión en esa aplicación sin haber Detener los ataques internos: cómo pueden proteger las organizaciones su información confidencial. Página 9 Puntos destacados pasado por los puntos de acceso físicos, tales como un lector de tarjetas identificativas o una terminal in situ, un sistema integrado puede identificar inmediatamente la conducta como inusual y potencialmente dañina. Sin esta correlación automática en tiempo real, el acceso remoto puede que no sea detectado con la suficiente rapidez. Una demora de pocas horas puede proporcionar un amplio abanico de oportunidades a un posible agresor. O, también a modo de ejemplo, un centro de llamadas de tarjetas de crédito puede devolver diversas quejas de clientes por facturación errónea durante semanas. Un administrador con registros de acceso de los empleados puede detectar rápidamente patrones de conducta anormales en el mismo periodo de tiempo. Respuesta automática Los sistemas de seguridad por sí mismos deben ser capaces de responder inmediatamente a las conductas inaceptables de los usuarios. La denegación automática de acceso puede frustrar ataques antes de que ocurran, y ofrecer así a los administradores de la red la oportunidad de definir un plan de actuación adecuado. Las organizaciones necesitan reconocer y responder a las desviaciones de la conducta normal tan rápido como sea posible. Confiar solamente en la detección y respuesta humanas puede no ser suficiente, especialmente si el ataque tiene lugar en horas no laborables. Para evitar o mitigar los daños, los sistemas deben ser capaces por sí mismos de actuar inmediatamente en respuesta a una conducta inaceptable. Cuando un comportamiento se aleja de la normalidad más allá de cierto límite, el sistema debería denegar el acceso a una aplicación o fuente de datos, por ejemplo. Esta respuesta casi inmediata da tiempo a los administradores de la red a recibir una alerta, analizar los patrones y determinar un plan de acción apropiado. Y el administrador de la red no tendría que poseer conocimientos de seguridad profundos para interpretar los datos o determinar los siguientes pasos. Los sistemas de seguridad deberían sugerir automáticamente una serie de respuestas relevantes basadas en las últimas investigaciones o conocimientos sobre amenazas contra la seguridad. Además, los sistemas deberían ser capaces de distinguir las falsas alarmas. Un sistema de alertas que simplemente transfiere información sin realizar siquiera un análisis de bajo nivel no añade ningún valor a los procesos de monitorización. Detener los ataques internos: cómo pueden proteger las organizaciones su información confidencial. Página 10 Puntos destacados Para ir un paso por delante de las amenazas a la seguridad en continua evolución, las organizaciones deben revisar y aumentar sus esfuerzos en seguridad. Deberían existir sistemas autorregulables que reaccionaran de forma apropiada e inteligente a las dinámicas condiciones de los negocios, sin intervención humana. Proceso de modelado iterativo No importa cuánto se prepare una organización para afrontar las amenazas actuales contra la seguridad, los riesgos continúan evolucionando. Los empleados vienen y van. Las infraestructuras de TI crecen e incorporan nuevas tecnologías que pueden introducir vulnerabilidades imprevistas. Para mantener protegidos los datos confidenciales, las organizaciones deben trabajar continuamente para ir un paso por delante de los posibles ataques. Los sistemas de seguridad debería desempañar un papel significativo en este constante esfuerzo. Es importante no limitar los sistemas de detección a normas específicas y bien acotadas, ya que la gama de conductas válidas cambia con el tiempo. En lugar de ello, las organizaciones deberían establecer sistemas autorregulables que pudieran reaccionar de forma apropiada e inteligente a las dinámicas condiciones de los negocios, sin tener que redefinir por completo las normas. Por ejemplo, un centro de llamadas puede alterar frecuentemente la duración media de una llamada para alcanzar ciertos objetivos relacionados con los costes o con la satisfacción de los clientes. O una campaña de marketing podría requerir agentes para acceder a datos que normalmente no son necesarios. Sin la habilidad de adaptarse de forma dinámica a este tipo de cambios, los sistemas de seguridad pueden agobiar a los administradores con falsas alarmas, menospreciando así la importancia de las alertas. Al mismo tiempo, los sistemas necesitan contar con umbrales que sean lo suficientemente sensibles como para detectar desviaciones sutiles en grandes muestras de datos sobre conductas. Llegar a un equilibrio razonable entre los dos extremos sólo puede conseguirse mediante un proceso de modelado iterativo, con el que los sistemas de monitorización puedan asimilar los ritmos naturales de la organización y barajar varias capas superpuestas de conductas aceptables. Detener los ataques internos: cómo pueden proteger las organizaciones su información confidencial. Página 11 Puntos destacados Las organizaciones deben prepararse para esquivar ataques dondequiera que se originen, incluso allí donde se desdibujen las líneas divisorias entre organizaciones, socios, usuarios y clientes. Conclusión Los acontecimientos recientes han demostrado que las organizaciones de cualquier sector no pueden permitirse continuar ignorando el potencial de los ataques internos. A medida que las organizaciones crecen, éstas emplean mano de obra que se va repartiendo cada vez más por todas las áreas geográficas; implementan sistemas que son más heterogéneos, más complejos y con más conexiones; guardan más información confidencial; y están sujetas a normativas que cambian constantemente. Las fronteras tradicionales entre organizaciones, socios, usuarios y clientes se han desdibujado, haciendo que sea más difícil definir y hacer cumplir las normas de seguridad. Las organizaciones deben estar preparadas para esquivar ataques dondequiera que se originen, abordando las vulnerabilidades que precisamente se hallan en esa brecha entre los negocios tradicionales y las organizaciones ramificadas y abiertas de hoy en día y del futuro. Para más información Como líder en el ámbito de la seguridad y la privacidad, IBM Global Services puede ayudarle a conocer mejor la amenaza que suponen los ataques internos y a considerar las distintas maneras de tratarla. Nuestro IBM Information Security Framework, concebido para proporcionar un enfoque metódico y eficiente sobre los temas clave de seguridad, puede ayudar a las organizaciones a afrontar las amenazas, riesgos y las exigencias del negocio en constante cambio, puesto que se relacionan con la protección de datos y la seguridad global. Además, el IBM Center for Business Optimization puede aportar puntos de vista singulares sobre temas de seguridad y privacidad, y puede ayudar a las organizaciones a elaborar estrategias eficaces sirviéndose de investigaciones en matemáticas avanzadas, gestión del rendimiento empresarial, sistemas inteligentes de negocios, software y computación avanzada. Para obtener más información, póngase en contacto con su representante comercial de IBM o envíe un correo electrónico a: IBM Center for Business Optimization Toby Cook, Associate Partner, IBM Center for Business Optimization— [email protected]. IBM Information Security Framework Michel Bobillier, Global Offering Executive, IBM Security and Privacy Services—[email protected] O visite: ibm.com/services © Copyright IBM Corporation 2006 IBM Global Services Route 100 Somers, NY 10589 U.S.A. Creado en Estados Unidos Septiembre de 2006 Reservados todos los derechos IBM y el logotipo de IBM son marcas registradas de International Business Machines Corporation en Estados Unidos o en otros países. Otros nombres de empresas, productos o servicios pueden ser marcas registradas o marcas de servicio de terceros. Las referencias en esta publicación a productos o servicios de IBM, no implican que IBM tenga intención de que estén disponibles en todos los países en los que IBM opera. IBM no asume ninguna responsabilidad en cuanto a la precisión de la información contenida en este documento y el uso que el receptor haga de la misma es responsabilidad suya. La información aquí contenida está sujeta a cambios o actualizaciones sin previo aviso. IBM puede asimismo llevar a cabo mejoras o cambios en los productos o los programas aquí descritos en cualquier momento y sin previo aviso. 1 California Security Breach Information Act (S.B. 1386), promulgada el 1 de julio de 2003; http://info.sen.ca.gov/pub/01-02/bill/sen/ sb_1351-1400/sb_1386_bill_20020926_ chaptered.html 2 IBM Global Business Security Index Report, 2005. 3 Scott Berinato (con el editor científico Lorraine Cosgrove Ware), “The Global State of Information Security 2005,” 15 de septiembre de 2005, publicado por PricewaterhouseCoopers and CIO; http://www.cio.com/archive/091505/global.html 4 “A Chronology of Data Breaches Reported Since the ChoicePoint Incident,” Privacy Rights Clearinghouse; 5 de agosto de 2006, utilizado con el permiso de la Privacy Rights Clearinghouse, www.privacyrights.org 5 John Ribeiro, “HSBC claims customer fraud in Indian services center,” Network World (IDG NewsService), 27 de junio de 2006; http://www.networkworld.com/ news/2006/062706-hsbc-claims-customer-fraud-in. html 6 “2006 ACFE Report to the Nation on Occupational Fraud and Abuse,” Association of Certified Fraud Examiners; http://www.acfe.com/fraud/report.asp GSW00316-USEN-00