México. Comstor unidad de negocio de Westcon-Comstor y uno de los principales mayoristas de tecnología Cisco, afirma que las empresas aún no planean sus estrategias de Protección Digital pensando en los riesgos.
La seguridad es uno de los temas más discutidos y tratados en el área de TI. No obstante, a cada nuevo estudio del sector se revela una realidad intrigante: a pesar de la alta información sobre alertas y vulnerabilidad, las empresas aún no planean sus estrategias de Protección Digital pensando en los riesgos.
Un estudio reciente de White Hat, empresa de seguridad en la Web, reveló que, aunque después de incontables advertencias sobre peligros de vulnerabilidad de aplicaciones, por ejemplo, las empresas aún no poseen un trabajo sistémico que priorice la contención de riesgos de seguridad en este ítem.
El informe, que concentra datos anuales sobre seguridad de la Web, evidenció que, además de la falta de planes para la contención de riesgos en lo referente a aplicaciones, las empresas pueden demorarse meses o hasta años para que la mayoría de las vulnerabilidades se comuniquen en todos los sectores de la organización. Igualmente, se demorarían también bastante tiempo para establecer medidas que eviten nuevos ataques semejantes o que abrirían camino a una serie de otros problemas de seguridad.
Para hacerse una idea del riesgo, el documento White Hat muestra que aproximadamente un tercio de los pedidos de seguro, casi 40% de las aplicaciones de servicios bancarios o financieros y mitad de las aplicaciones minoristas, por ejemplo, son siempre vulnerables y que el número de violaciones en esas aplicaciones ha crecido significativamente. Por otro lado, la seguridad de las aplicaciones no mejora a la misma proporción que los ataques.
Las empresas se han demorado, en promedio, 150 días para corregir las vulnerabilidades, pero apenas una parte significativa de ellas es corregida. Además, el tiempo promedio para corregir una vulnerabilidad después de que una violación alcanza los sistemas puede tardar de 2 a 5 años.
¿Qué es lo que esto quiere decir?
Especialistas traducen esos datos con preocupación, pues si vulnerabilidades críticas y de alto riesgo conocidas por las empresas no se corrigen rápidamente, ¿qué se puede esperar de nuevas amenazas? Y el tiempo de respuesta demorado en la detección y contención de violaciones significa que las empresas están cada vez más expuestas y que no hay aún, por parte de las empresas, un plan que defina prioridades en términos de seguridad Web enfocado en el riesgo sistemático de esas vulnerabilidades.
La recomendación es que las organizaciones hagan una mejor evaluación de la seguridad con enfoque en la construcción de estrategias y corrección, considerando el ciclo de vida del software.
En otro estudio estadístico, hecho por Akamai, empresa de Internet de EU, mostró un aumento de más del 20% en los ataques a las aplicaciones Web, en especial ataques a aplicaciones Web HTTPS, que subieron casi 234%. Curiosamente, también hubo un enorme aumento en los ataques de inyección SQL, con un salto de 87.3% en esa área.
Ya que el ambiente en las empresas está más orientado al aumento de la conectividad, hay una clara necesidad de adaptación a la infraestructura de seguridad, lo que incluye la atención al aumento y diversidad de diferentes dispositivos que estarán conectados, así como aplicaciones y puntos de integración en esas redes.
De esa forma, las empresas necesitan que haya un enfoque en la definición de políticas de protección y uso de monitoreo, agrupando la infinidad de tipos de productos disponibles para la construcción de una arquitectura de seguridad. Sin eso, los delincuentes tendrán un campo abierto para delinquir, sin cualquier tipo de plan de seguridad y contención de esas amenazas.
