Llegamos a ustedes gracias a:



Reportajes y análisis

Por qué importa la seguridad ahora

[06/04/2010] Las más fascinantes tecnologías de hoy en día son las que están dando los mayores dolores de cabeza a las empresas. Sitios de redes sociales como Twitter, Facebook y LinkedIn mejoran la colaboración y ayudan a que las compañías se conecten con sus clientes, pero también hacen más fácil que sus empleados compartan datos y secretos de la compañía con extraños.

La virtualización y el cómputo en la nube permiten simplificar la infraestructura física de TI y los costos operativos, pero solo estamos empezando a ver los riesgos de seguridad involucrados. Poner más de su infraestructura en la nube lo ha dejado vulnerable ante los hackers, quienes han redoblado esfuerzos para lanzar ataques de denegación de servicio contra nada menos que Google, Yahoo y otros proveedores de servicios basados en Internet. Un apagón masivo de Google a principios del año pasado ilustra la clase de interrupciones que los negocios dependientes de la nube pueden sufrir.
Pero también hay buenas noticias. A pesar de que la peor recesión económica en décadas ha obligado a las empresas a gastar menos en servicios de seguridad tercerizados y hacer más in-house, los presupuestos de seguridad está aún resistiendo firmemente. Y son más las empresas que están empleando un jefe de seguridad (Chief Security Office, CSO).
Tales son las grandes conclusiones de la séptima encuesta anual Global Information Security, realizada por las revistas CIO y CSO junto con PricewaterhouseCoopers el año pasado. Respondieron casi 7300 empresas y ejecutivos de tecnología de todo el mundo, de una variedad de industrias, incluyendo gobierno, cuidado de la salud, servicios financieros y comercio minorista.
Estas tendencias están formando la agenda en seguridad de la información. Cada compañía se preocupa por proteger sus datos, especialmente los datos de sus clientes, señala Charles Beard, CIO de Science Applications International Corp. (SAIC). Bajo el viejo modelo de negocios, todos tenían que estar juntos en el mismo edificio, en la misma área geográfica. Ahora todo el mundo está usando Internet y dispositivos móviles para trabajar uno con otro. Ahí es donde nosotros vemos la promesa de cosas como las redes sociales. El giro es que estamos expuestos al lado oscuro del ciberespacio. La adopción de esta tecnología está por delante de los esfuerzos de asegurarla y gobernarla apropiadamente.
Siga leyendo para saber qué encontramos.
Principales Prioridades de Seguridad TI
Las nuevas inversiones están enfocadas en proteger datos y autentificar usuarios
1. Biométrica
2. Filtros de contenido web
3. Prevención de fuga de datos
4. Contraseñas/tarjetas inteligentes/tokens desechables
5. Software reducido o de único acceso
6. Seguridad en Voz sobre IP
7. Seguridad Web 2.0
8. Administración de la identidad
9. Encriptación de medios removibles
Tendencia #1: La promesa y el peligro de las Redes Sociales
En menos de dos años, las redes sociales han ido de una curiosidad abstracta a una forma de vida para mucha gente. Cuando alguien actualiza su estado en Twitter, Facebook o LinkedIn, puede estar haciéndolo en el trabajo durante el día; o a través de una laptop -propiedad de la compañía-a desde su casa en la noche.
Lo que preocupa a los ejecutivos TI es la facilidad con la cual los usuarios pueden compartir datos de clientes o actividades sensibles de la compañía, mientras dicen que están almorzando. Los cibercriminales saben esto y usan las redes sociales para lanzar fraudes de phishing. Un ataque popular es aquel mediante el cual envían a sus víctimas mensajes que parecen estar viniendo desde un amigo de Facebook. El amigo envia una URL que insiste en que revise. Puede estar disfrazada como una noticia sobre la muerte de Michael Jackson o una lista de tips de la bolsa. En realidad, el enlace lleva a la víctima a un sitio web sospechoso que automáticamente suelta un malware en su computadora. El malware profundiza en busca de algún dato valioso almacenado en la computadora o en la red de la compañía, ya sea números de tarjetas de crédito o la secreta receta de una nueva droga contra el cáncer.
No es sorpresa entonces que cada líder de TI encuestado admitiera que teme a los ataques basados en ingeniería social. 45%, específicamente, teme a los ataques de phishing contra las aplicaciones de Web 2.0.
No obstante, para muchos ejecutivos, bloquear las redes sociales es impensable debido a sus potenciales beneficios de negocios. Las compañías ahora claman por enviar sus mensajes hacia afuera a través de estos sitios, de modo que el reto para los CIO es encontrar el balance adecuado entre seguridad y utilidad.
La gente todavía es increíblemente ingenua sobre qué tanto deben compartir con otros, y tenemos que hacer un mejor trabajo educándola sobre qué es y qué no es apropiado compartir, señala H. Frank Cervone, vicerrector de servicios de información de la Universidad Purdue Calumet. Tenemos que hacer un mejor trabajo mejorando nuestro entendimiento de qué información interna de la organización no debería ser compartida.
Y aun así, en esta oportunidad -la primera en la cual preguntamos a los encuestados sobre medios sociales, solo 23% dijo que sus esfuerzos de seguridad incluyen ahora provisiones para defender las tecnologías Web 2.0 y controlar lo que puede ser posteado en los sitios de redes sociales. Un signo positivo: Cada año, más compañías dedican personal a monitorear cómo los empleados usan los bienes en línea -57% en el 2009, comparados con el 50% del año anterior y el 40% del 2006. 36% de los encuestados monitorean lo que los empleados están posteando en blogs externos y sitios de redes sociales.
Para prevenir el escape de información sensible, 65% de las compañías usan filtros de contenido web detrás del firewall, y 62% se aseguran de estar usando la versión más segura del navegador escogido. 40% señalaron que cuando evalúan productos de seguridad, son esenciales el soporte y la compatibilidad para Web 2.0.
Desafortunadamente, la inseguridad de las redes sociales no es algo que uno pueda arreglar solo con tecnología, indica Mark Lobel, un socio en la oficina de seguridad de PricewaterhouseCoopers.
Los problemas son culturales, no tecnológicos. ¿Cómo educar a la gente a usar estos sitios de manera inteligente?, pregunta. Históricamente, la gente de seguridad ha salido del sendero tech, no del sendero sociológico. Así que tenemos un gran camino por seguir para encontrar el balance de seguridad correcto.
Guy Pace, administrador de seguridad del Washington State Board para la Comunidad y Escuelas Técnicas, señala que su organización toma muchas de las precauciones descritas arriba. Pero él concuerda con Lobel en que el verdadero campo de batalla es el de la cultura en la oficina, no la tecnología. La mitigación más efectiva es la educación del usuario, y programas creativos y efectivos de conciencia de la seguridad, agrega.
Tendencia #2: Saltando dentro de la nube, sin paracaídas
Dados los gastos de mantener una infraestructura TI física, la idea de reemplazar cuartos de servidores y dispositivos fortuitamente configurados con servicios en la nube es- simplemente- muy difícil de resistir para muchas compañías. Pero apresurarse hacia la nube sin una estrategia de seguridad es una receta para el riesgo.
De acuerdo con la encuesta, 43% de los encuestados están usando servicios en la nube tales como software como servicio o infraestructura como servicio. Incluso más están invirtiendo en la tecnología de virtualización que ayuda a permitir el cómputo en la nube. 67% de los encuestados dicen que ahora usan servidor, almacenamiento y otras formas de virtualización de bienes TI. Entre ellos, 48% de hecho cree que la seguridad de su información ha mejorado, mientras 42% indica que su seguridad es más o menos al mismo nivel. Solo 10% señala que la virtualización ha creado más agujeros de seguridad.
Nube Oscura
¿Cuál es el mayor riesgo de seguridad para su estrategia de cómputo en la nube?
La habilidad de reforzar las políticas de seguridad del proveedor: 23%
Entrenamiento inadecuado y auditoría de TI: 22%
Control de acceso en el sitio del proveedor: 14%
La habilidad de recuperar datos: 12%
La habilidad de auditar al proveedor: 11%
La proximidad de los datos de la compañía a alguien más: 10%
La existencia continuada del proveedor: 4%
La conformidad con la normativa del proveedor: 4%
La seguridad podría haber mejorado para algunos, pero expertos como Chris Hoff, director de soluciones en la nube y virtualización en Cisco Systems, cree que tanto los clientes como los proveedores necesitan asegurar que entienden los riesgos asociados con los cambios técnicos, operativos y organizacionales que estas tecnologías traen.
Cuando observa cómo la gente piensa de la virtualización y lo que significa, la definición de virtualización es o muy estrecha -eso tiene que ver con consolidación de servidores, virtualizar sus aplicaciones y operar sistemas, y consolidar todo justo hasta unas pocas cajas físicas- o tiene que ver con cualquier número de otros elementos: computadoras de escritorio del lado del cliente, almacenamiento, redes, seguridad, señala. Luego, añade a la confusión, el concepto de cómputo en la nube. Se queda rascándose la cabeza, preguntándose qué significa para usted como compañía. ¿Cómo impacta en su infraestructura?
Afortunadamente, hay muestras de compañías que están procediendo con cautela. Un ejemplo es Atmos Energy que está usando Salesforce.com para acelerar el tiempo de respuesta a los clientes y ayudar al departamento de márketing a manejar un número creciente de clientes, de acuerdo con su CIO, Rich Gius.
El esfuerzo es exitoso hasta ahora, así que Gius está investigando la viabilidad de llevar el correo electrónico de la compañía a la nube. Nos ayudaría a abordar el reto creciente de los dispositivos móviles habilitados con correo electrónico, como BlackBerrys, que están proliferando ampliamente entre la fuerza laboral, agrega. Pero él no está listo para dar un paso tan grande debido a los riesgos, incluyendo seguridad, que se mantiene difícil de concretar. Un ejemplo de la interrupción que las compañías dependientes de la nube pueden experimentar vino en mayo, cuando el gigante de las búsquedas Google -cuyo contenido representa 5% de todo el tráfico de internet. sufrió un apagón masivo. Cuando cayó, muchas compañías que habían empezado a basarse en sus aplicaciones de negocios basadas en la nube (como el correo electrónico) fueron incapaces de funcionar.
El apagón no fue causado por hackers, pero hay señales de que los cibercriminales están explorando formas de explotar la nube para propósitos maliciosos. En los talones del apagón, los atacantes añadieron insultos a la injuria inundando los resultados de búsqueda de Google con enlaces maliciosos, provocando que el Equipo de Respuesta para Emergencias de Cómputo de Estados Unidos (U.S. CERT) emitiera una advertencia sobre peligros potenciales a los sitios de servicio basados en la nube.
El ataque envenenó varios miles de sitios web legítimos explotando fallas conocidas en el software de Adobe para instalar un programa malicioso en las máquinas de las víctimas, señala el US CERT. El programa entonces robaría credenciales de acceso a FTP de las víctimas, y usaría la información para propagarse a sí mismo, aún más. También secuestró el navegador de la víctima, reemplazando los resultados de búsqueda en Google con enlaces escogidos por los atacantes. Aunque los sitios que resultaron víctimas no fueron específicamente aquellos que ofrecían servicios basados en la nube, engaños similares podrían estar dirigidos a los proveedores de servicios de la nube.
Las organizaciones TI generalmente hacen más fácil el trabajo de un atacante al configurar tan pobremente sus activos TI físicos y basados en la nube con fallas fáciles de encontrar y explotar. Al preguntarles por las vulnerabilidades potenciales en sus ambientes virtualizados, el 36% citaron una mala configuración y una pobre implementación, y 51% citó la falta de personal de TI adecuadamente entrenado (cuya falta de conocimiento lleva a errores de configuración). De hecho, 22% de los encuestados citaron el entrenamiento inadecuado, junto con la insuficiente auditoría (para descubrir vulnerabilidades), como los mayores riesgos de seguridad para la estrategia de cómputo en la nube de su compañía.
Es esta comprensión la que hace que Gius de Atmos Energy proceda con cautela. No tenemos un CSO. Si fuéramos una firma de servicios financieros podría ser otra historia, o si tuviéramos un enorme número de personas, señala Gius. Pero somos una compañía pequeña a mediana, y las limitaciones de personal hacen que este tipo de implementaciones sean más difíciles.
Incluso con los recursos adecuados, la seguridad en la nube es una cuestión de manejar una variedad de riesgos a lo largo de múltiples plataformas. No hay una sola nube. En lugar de eso, hay muchas nubes, no están unidas, no interoperan nativamente a nivel de aplicación, y son mayoritariamente propietarias en su plataforma y operación, indica Hoff. La noción de que estamos todos corriendo para poner nuestro contenido y aplicaciones en algún repositorio común [y seguro] en la infraestructura de alguien más, no es realista.
Lobel, de PricewaterhouseCoopers, señala que la seguridad perfecta no es posible. Tiene que enfocarse activamente en los controles de seguridad mientras dan un salto a estos servicios, añade. Es difícil para las compañías retroceder una vez que han dejado salir sus datos y aplicaciones, porque generalmente son rápidos para deshacerse del hardware y las habilidades que necesitarían para traer estos servicios de vuelta al interior de la empresa.
Si se sumerge profundamente en un pozo sin una soga, podría encontrar el agua que quería, pero no va a salir del pozo sin la soga, agrega. ¿Qué pasa si tiene una brecha y necesita dejar la nube? ¿Puede salir si tiene que hacerlo?.
Tendencia#3: Manejo de los recursos internos de seguridad
Hace unos pocos años, los analistas de tecnología estaban prediciendo un crecimiento ilimitado para los proveedores de servicios de seguridad administrados (MSSP). Muchas compañías luego vieron la seguridad como un concepto extraño, pero leyes como la Sarbanes-Oxley, el Acta de Responsabilidad y Portabilidad de Seguro Médico y el Acta Gramm-Leach-Bliley (que afecta a los servicios financieros) los estuvieron forzando a abordar la defensa contra los intrusos, la administración de parches, la encriptación y el manejo de registros.
Peligros para los datos
Los ataques a los datos se han incrementado más rápidamente que cualquier otra explotación de la seguridad. El objetivo principal: las bases de datos.
 
Cómo obtienen sus datos los atacantes
Bases de datos: 57%
Aplicaciones para compartir archivos: 46%
Laptops: 39%
Medios removibles: 23%
Cintas de respaldo: 16%
Múltiples respuestas permitidas
Convencidas de que no podían hacerlo por sí mismas, las compañías escogieron a terceros que lo hicieran por ellas. Gartner estimó que el mercado de MSSP solo en América del Norte alcanzaría los 900 millones de dólares en el 2004, y que crecería otro 18% para el 2008.
Luego vino el tsunami económico, que parece haber lanzado una nube sobre los planes de tercerización, a pesar de que los presupuestos de seguridad están resistiendo firmemente. Aunque 31% de los encuestados están confiando en terceros para ayudarlos a administrar las funciones de seguridad del día a día, solo 18% señalaron que planean hacer de la tercerización de la seguridad una prioridad en los siguientes 12 meses.
Cuando se refiere a funciones específicas, el cambio ya ha comenzado. En el 2008, 30% de los encuestados dijeron que estaban tercerizando la administración de firewalls de aplicaciones, comparado con el 16% del 2009. Los encuestados citaron reducciones similares en la tercerización de firewall de red y de usuario final. Las compañías también han recortado en la tercerización de la administración de encriptación y la administración de parches.
Al mismo tiempo, más compañías están gastando dinero en éstas y otras funciones de seguridad. 69% dijeron que están presupuestando firewalls de aplicación, ligeramente superior comparada a los últimos dos años. Mientras tanto, más de la mitad de los encuestados señalaron que están invirtiendo en encriptación para laptops y otros dispositivos de cómputo.
Los resultados sorprendieron a Lobel de PricewaterhouseCoopers. Cuando piensa sobre ello de manera lógica, algunas organizaciones de TI tienen los recursos y la madurez para manejar sus sistemas operativos y parches, pero muchas no los tienen, observa. Con suerte, los números simplemente significan que las compras de TI han crecido en madurez en su entendimiento de la seguridad.
Los presupuestos de seguridad se mantienen firmes
Más compañías están aumentando el gasto en lugar de recortarlo
 
Dirección de los gastos
Aumenta: 38%
Se mantienen igual: 25%
Disminuye: 12%
No sabe: 24%
Los números pueden no sumar 100% debido al redondeo
Gius de Atmos Energy, ofreció otra posible explicación: las compañías ven mucho caos en el mercado de seguridad, con una avalancha de fusiones y adquisiciones. Un fabricante independiente de seguridad tras otro se ha fusionado o ha sido adquirido por otras compañías. Los ejemplos incluyen la adquisición que hizo BT de Counterpane y la adquisición de Internet Security Systems por IBM. Los líderes de TI están simplemente quitándose del camino hasta que la industria se calme.
Gius señala que Atmos Energy está manejando la mayoría de su seguridad de manera interna ahora. Perseguimos varias soluciones de fuente abierta y bajo costo para administrarnos a nosotros mismos, agrega. Invertimos en dos personas para ayudar a asegurar que teníamos las habilidades de manejar ese ambiente. Pero a él le gustaría tercerizar más si tuviera sentido financieramente. Él nota que la seguridad se está integrando progresivamente a las plataformas provistas por empresas como Microsoft, Cisco y Oracle, así como por los proveedores de telecomunicaciones. Para él tiene sentido tener a esos proveedores administrando la seguridad de sus sistemas.
Beard, de SAIC, señala que no importa qué es lo que dirige las decisiones de gastos en seguridad, las compañías deberían entender sus estrategias de seguridad específicas, y dónde los proveedores de seguridad administrada podrían ofrecer un valor único. Los ejecutivos de negocios inteligentes entienden que deben mantener el control de todo el panorama en todo momento, incluso si un tercero está administrando muchos de los mandos. Mantener un ojo en los proveedores de servicios de seguridad y los riesgos que están encontrando es esencial. Los CIO y los oficiales de seguridad podrían tercerizar ciertas funciones en varios grados, pero nunca deberían tercerizar su responsabilidad, aconseja Beard.
Tendencia # 4: Un nuevo compromiso corporativo
Los CIO todavía podrían batallar con la calidad de la seguridad de sus datos, pero la respuesta a la encuesta sugiere que sus pares ejecutivos han estado de acuerdo, finalmente, en que la seguridad no puede ser ignorada.
Los planes de presupuesto de la compañía dicen parte de la historia. No solo hay más compañías invirtiendo en tecnologías de seguridad, sino que las inversiones generales en seguridad están mayormente intactas, a pesar de la economía.
12% de los encuestados esperan que sus gastos de seguridad declinen en los siguientes 12 meses. Pero 63% dice que sus presupuestos resistirán firmemente o aumentarán.
Para empezar, más compañías están contratando CSO o directores de seguridad (CISO). 85% de los encuestados dijo que sus compañías tienen ahora un ejecutivo de seguridad, por encima del 56% del año anterior. Menos de un tercio de los jefes de seguridad reportan a los CIO, 35% a los CEO, y 28% a las juntas directivas.
Dos factores están influenciando a las compañías para mantener la seguridad como una prioridad corporativa: 76% dicen que el ambiente de mayores riesgos ha elevado la importancia de la ciberseguridad entre los principales de la organización, mientras que 77% señaló que la cada vez más intrincada red de regulaciones y estándares de la industria ha añadido un sentido de urgencia.
Se le preguntó a los encuestados qué tan importante se habían vuelto varias estrategias de seguridad en el contexto de las más rudas realidades económicas. 70% citó la creciente importancia de la protección de datos, mientras 68% citó la necesidad de fortalecer el gobierno, el riesgo y los programas de conformidad de la compañía.
Mauricio Angée, gerente senior de seguridad TI y conformidad, y CSO de Universal Orlando, anota: Para propósitos de separación del deber, es interesante ver cómo a las compañías les están pidiendo contratar administradores de seguridad TI con un conjunto mucho más definido de roles y responsabilidades. Tales roles incluyen establecer la política de seguridad de la compañía, hacer el argumento del presupuesto de seguridad (en lugar del CIO) y delegar responsabilidad entre administradores e ingenieros de seguridad TI de menor nivel. 
Cuánto le cuesta el cibercrimen
Pérdidas por incidentes promedian los 833 mil dólares.
 
El impacto de negocios de las brechas de seguridad
Pérdidas financieras: 42%
Marca o reputación comprometida: 30%
Robo de propiedad intelectual: 29%
Home Page alterada o desfigurada: 20%
Fraude: 17%
Se permitieron múltiples respuestas
Sin embargo, ninguno de estos desarrollos hizo un enfoque en que la seguridad de la información fuera una apuesta segura ante los ojos de los líderes de TI. Solo porque las compañías sientan que tienen que gastar más dinero en seguridad, no significa que los ejecutivos la vean como un proceso de negocios esencial e incluso benéfico, en lugar de una tarea muy molesta que les fue impuesta.
Angée señaló que los CIO y los líderes de seguridad todavía tienen que luchar duro por cada centavo. Mientras tanto, los ejecutivos de seguridad no tienen el mismo poder para tomar decisiones que otros líderes en cada compañía, indica Lobel de PricewaterhouseCoopers. Los CIO pueden traer a un CSO o un CISO sin una estrategia y presupuesto para que esa persona trabaje, y terminar sin conseguir nada. Si algo va mal, concluye, todo lo que tiene es alguien a quien culpar y despedir.
Bill Brenner, CIO.com