Seguridad: los ataques llegan desde la tercera plataforma
IDC estima que en 2014 los ataques van a ser más inteligentes y dirigidos, y que muchas organizaciones se interesarán por la seguridad como servicio; de hecho, prevé que este modelo tenga un ritmo de crecimiento cuatro veces superior al del resto de servicios TI durante los próximos cinco años. Así lo desgranó en el primer webinar de la serie "Top 10 IDC Predictions" que irá emitiendo IDGtv a lo largo del segundo trimestre de 2014.
La primera sesión online, celebrada en directo el pasado 18 de marzo, estuvo dedicada a la predicción de seguridad y contó con Antonio Flores, Research manager de IDC España; Gonzalo Rivas, director comercial de Iron Mountain; y Raúl Dolado, Senior Security Consultant de Verizon, quienes examinaron el estado actual de la seguridad y su futuro.
Hoy en día, la llegada de la cloud, la movilidad, el big data o el social business se han convertido en caldo de cultivo para nuevos ataques. Por ejemplo, “cuando el atacante ve social business, ve al usuario, el punto más débil de la cadena de seguridad para generar nuevos ataques”, expuso Antonio Flores, de IDC, quien también apuntó otras tendencias en seguridad para 2014, como menos malware nuevo pero más sofisticado y potente; ataques de ciberterrorismo contra organizaciones y gobiernos; ataques al cloud, donde las empresas suben información cada vez más relevante, o un fenómeno de obsolescencia de aplicaciones como “Java que se convierten en puntos vulnerables para nuevos atacantes”.
Todas estas circunstancias “tendrán un efecto colateral en la seguridad ofensiva. Muchas organizaciones, ante la imposibilidad de controlar lo que está pasando, van a sobrecargar sus escudos de seguridad y se disparará el número de falsos positivos”, añadió el analista de IDC. Asimismo, señaló un cambio en el paradigma de la seguridad donde entran en juego las normativas, los operadores móviles y políticas como BYOD que amplían el perímetro de seguridad de las organizaciones.
¿Dan las empresas la suficiente importancia a la seguridad? Con esta pregunta se dio paso al debate entre los tres ponentes. En este sentido, se puso de manifiesto la falta de concienciación que aún existe en el tejido empresarial español por la seguridad informática, quizá “por ser un país de pymes”, apuntó Gonzalo Rivas, director comercial de Iron Mountain. No obstante, Raúl Dolado, Senior Security Consultant de Verizon, afirmó basándose en uno de los estudios de la compañía realizado entre medianas y grandes empresas, que “no se gestiona la seguridad; se ponen parches. El 66% de los ataques se descubren meses o años después de haber ocurrido”.
También desde su perspectiva de proveedores, Iron Mountain y Verizon reseñaron algunas brechas de seguridad significativas como los dispositivos móviles o, incluso, el papel, “se trabaja mucho con documentos electrónicos y se baja la guardia con el archivo físico”, reseñó Rivas. Asimismo, se está viendo un repunte del phishing, que llega al móvil. “8 de cada 10 ataques exitosos se realizan mediante phishing”, señaló Dolado.
Varios fueron los puntos en los que se mostraron de acuerdo, como el calificar al usuario como el eslabón más débil o la necesidad de “identificar qué información es crítica para tu compañía y gestionar la seguridad”, apuntó el portavoz de Verizon. Otra idea para reforzar la protección es “tener claro que puedes ser objetivo y que cada día hay que ir protegiéndose un poco más y conocer las novedades en materia de seguridad”. El representante de Iron Mountain agregó que "hace falta concienciarse y dar empowerment a las personas adecuadas para influir".
En este sentido, ambos invitados manifestaron la necesidad de conceder al CSO un puesto cercano al CEO. “Las políticas de seguridad deben tener el respaldo de la dirección ejecutiva” y “los responsables de seguridad deben tener el poder suficiente para transmitir sus directrices” fueron algunas de las ideas mencionadas.
También durante la sesión se abordó la cuestión del presupuesto; un tema sobre el que “hay que hacer una continua inversión para proteger los sistemas, pero no solo los de fuera sino también los de dentro”, dijo Gonzalo Rivas.
Respecto al modo con el que hacer frente de una mejor manera a toda esta situación, a lo largo de la conversación se enumeraron varias propuestas como la exigencia de un compromiso de confidencialidad por parte de los empleados y la necesidad de involucrar a la empresa en un proceso de certificación. Desde IDC la solución está en “buscar una solución end-to-end, que haga que la probabilidad de ser atacado y de pérdida de información sea menor, así como abordar un planteamiento de seguridad gestionada y centralizada”.
Este webinar, así como la documentación relacionada, están disponibles bajo demanda en http://top10predictions.idgtv.es/seguridad
