Por Michael Osterman – Enero 27 de 2021
Recientemente, Osterman Research realizó una encuesta internacional detallada para los tomadores de decisiones e influyentes enfocados en la seguridad en las grandes organizaciones. Nuestro objetivo era comprender la gravedad de varios problemas de seguridad y qué están haciendo las organizaciones para abordarlos. Realizamos la encuesta en América del Norte, América Latina, Europa y varios países de la región de Asia-Pacífico en una serie de industrias. Se realizó un total de 205 encuestas.
Hubo varias sorpresas en la investigación, como las que consideramos que son "desconexiones" o temas que están causando problemas graves dentro de las empresas y que los tomadores de decisiones no están haciendo lo suficiente para abordar.
Desconexión #1: Bots maliciosos
Los bots maliciosos son un problema grave, pero pocos han implementado las herramientas correctas para lidiar con ellos. Nuestra investigación encontró que poco más de cuatro de cada cinco organizaciones encuestadas (82%) habían sido víctimas de algún tipo de ataque generado por bots. Por ejemplo, en el 38% de las organizaciones los ataques de bots de denegación de servicio distribuido (DDoS) ocurren al menos una vez por semana, y en el 62%, una vez por mes. También encontramos una alta frecuencia de ataques de bots enfocados en cosas como raspado web, apropiación de cuentas y fraude digital, entre otras formas de ataques.
A pesar de la alta frecuencia y gravedad de varios ataques de bots, solo el 24% de las organizaciones utiliza algún tipo de herramienta dedicada a la gestión de los bots. El resultado es que el 34% de los encuestados admitió que es muy probable que los ataques de bots atraviesen las defensas de seguridad existentes, y el 28% admitió que hay una "buena probabilidad" de que haya muchos de estos ataques de los cuales la organización no está consciente. Esto ha llevado a una situación en la que el 61% de los encuestados sostuvo que no confiaba en poder lidiar con los ataques de bots sofisticados.
Desconexión #2: Malentendidos en las responsabilidades de seguridad
Los malentendidos conducen a violaciones de los datos. La gran mayoría de las organizaciones han migrado, o están en el proceso de migrar, sus aplicaciones y almacenamiento de datos a la nube. Si bien este proceso continúa a buen ritmo, la comprensión de los responsables de la toma de decisiones sobre muchos de los inconvenientes que se pueden generar se ha retrasado.
Por ejemplo, muchos clientes no comprenden el “modelo de responsabilidad compartida” inherente en virtualmente todos los servicios en la nube. Si bien muchos tomadores de decisiones creen que una vez que migran las aplicaciones y los datos a la nube el proveedor se convierte en responsable de la seguridad de los datos y copia de seguridad para garantizar su disponibilidad, ese no es realmente el caso. Si bien los proveedores de la nube realizan estas actividades en la medida en que sea necesario para garantizar el correcto funcionamiento de sus servicios, la responsabilidad principal de las actividades como la seguridad y la copia de seguridad aún recae en el cliente.
Nuestra investigación encontró que entre las organizaciones que utilizan proveedores de nube pública, el 11% ha sufrido exposiciones de sus datos debido a los malentendidos sobre quién tiene la responsabilidad de su seguridad. Si bien el 45% informó que no hubo tales exposiciones de datos como resultado de malentendidos sobre quién es responsable de proteger los datos de los clientes, el 43% sostuvo que no hubo exposiciones de datos "de las que estaban al tanto", lo que implica que podría haber muchas más violaciones de datos aún por descubrir.
Desconexión #3: Influencia vs. presupuesto
Desequilibrio entre influencia de seguridad y responsabilidad del presupuesto. La encuesta encontró que, si bien TI tiene la mayor influencia en la seguridad del entorno de desarrollo de aplicaciones, en el 37% de las organizaciones la función de seguridad de la información está en segundo lugar, y solo el 31% de las organizaciones le da al equipo de seguridad de la información una mayor influencia durante el desarrollo de las aplicaciones.
Sin embargo, la función de seguridad de la información rara vez cuenta con un presupuesto de seguridad de las aplicaciones: solo el 11% de las organizaciones permite que su equipo de seguridad de la información sea el principal responsable de dicho presupuesto. En cambio, es más probable que los propietarios de las empresas y de TI sean los responsables del presupuesto. En el 78% de las organizaciones, es uno de estos dos grupos el que tiene a cargo el presupuesto de seguridad, a pesar de que solo en el 51% estos grupos combinados ejercen la mayor influencia sobre la seguridad de la aplicación.
Conclusiones
Tres conclusiones que surgen de estas desconexiones y que se deben considerar:
Implemente herramientas dedicadas de gestión de bots que lidien con los problemas generados por los bots maliciosos sofisticados. Si bien los firewalls de las aplicaciones web, por ejemplo, pueden ayudar, las capacidades dedicadas centradas específicamente en el comportamiento de los bots maliciosos son esenciales.
Asegúrese de que sus equipos de TI y seguridad comprendan claramente el modelo de responsabilidad compartida y quién se supone que debe hacer qué. No comprender por completo las funciones de los clientes y de los proveedores de nube pública pone a las organizaciones en mayor riesgo de pérdida de datos.
Si tiene sentido poner al equipo de seguridad de la información a cargo de la seguridad del entorno de desarrollo de aplicaciones, probablemente también tenga sentido ponerlo a cargo del presupuesto.