SeguridadCómo administrar bien (o mal) tu presupuesto en seguridad

Executive Summary

La seguridad de las aplicaciones está superando rápidamente en importancia a la seguridad de la red a medida que los riesgos cambian para la empresa. Los métodos antiguos cada vez son menos efectivos. Descubra qué puede hacer y cómo.

Executive Summary

La seguridad de las aplicaciones está superando rápidamente en importancia a la seguridad de la red a medida que los riesgos cambian para la empresa. Los métodos antiguos cada vez son menos efectivos. Descubra qué puede hacer y cómo.

Related

¿Y si tu presupuesto de seguridad no se centra en las amenazas adecuadas?

Todos tenemos un pasado. ¿Recuerdes las cintas de vídeo VHS, las botas Dr. Martens o la música grunge? Mientras los 90 son para muchos un vago recuerdo, siguen muy presentes en los centros de datos de muchas grandes empresas. No deja de sorprender el gran número de empresas de TI que siguen funcionando como si estuvieran ancladas en los 90.

En aquellos años todo se almacenaba en servidores, detrás de un cortafuegos situado dentro de tu centro de datos. Los programas venían en cajas y se instalaban en aparatos enormes propios. Se podía identificar a todos los clientes de la red, de manera que controlabas el acceso a las aplicaciones y datos con bastante precisión. Las mayores preocupaciones eran las amenazas internas, las filtraciones accidentales y el malware ocasional, como por ejemplo el Virus Melissa que infectó a miles de ordenadores en todo el mundo.

Avancemos hasta hoy: el software de tu área de negocios se encuentra en la nube, en el servidor de alguien. Tus empleados, y quizás incluso algunos de tus clientes, tienen acceso a él a través de un explorador o aplicación de smartphone. Tus terminales están por todas partes y tus preocupaciones han pasado de tu red a cualquiera de los 3200 millones de personas conectadas a Internet que puedan tener malas intenciones.

La buena noticia es que no solo las amenazas han crecido en número e importancia, sino también los presupuestos para seguridad (las empresas invierten hoy más que nunca). La mala noticia es que si no inviertes de forma adecuada, tu exposición a las amenazas puede seguir creciendo. Si estás considerando invertir en tu propia seguridad, ten en cuenta estas cuatro verdades fundamentales.

Tus preocupaciones han pasado de tu red a cualquiera de los 3200 millones de personas conectadas a Internet que puedan tener malas intenciones.

1. Los ataques a aplicaciones van en aumento

Hoy día, el número de ataques a través de aplicaciones va en aumento, mientras que la mayoría de los presupuestos para seguridad en TI siguen centrándose en la red. El objetivo ahora es a nivel de apps, convertidas en portales hacia tus datos. Nadie dice que abandones la seguridad de la red, pero debes priorizar tu presupuesto y asegurarte de que el dinero fluya hacia donde tenga mayor impacto.

2. Son fundamentales los controles de identidad y acceso

TEn la era de la transformación digital, las dos áreas más importantes en materia de seguridad son la capacidad para verificar la identidad de un usuario en cualquier lugar y proteger una aplicación, donde quiera que se encuentre. En otras palabras, debes asegurar tanto el acceso a la aplicación como la aplicación en sí. La red es un componente más, no es lo primordial.

3. No puedes proteger lo que no entiendes

La visibilidad y el contexto son fundamentales. Debes saber cómo funcionan tus apps y si funcionan como tú esperas, porque el primer signo de un ataque es, a menudo, el comportamiento extraño de la aplicación. Esto significa que debes ser capaz de descifrar todo el tráfico y controlar todas las funciones y subfunciones de cada uno de los protocolos (HTTP, SSL y DNS). Sin visibilidad de los procesos y sin un conocimiento contextual de cómo operan tus apps, estás operando a ciegas.

4. La demanda de expertos supera a la oferta

El insaciable apetito de las empresas por lanzar apps mejores y más funcionales prácticamente no tiene fin. Sin embargo, el número de desarrolladores con experiencia en el mercado es limitado. Los principiantes tienen muchas más probabilidades de introducir fallos, bajo la presión de producir un mayor número de aplicaciones y de forma más rápida que nunca. Mientras tanto, los profesionales de la seguridad capaces de detectar los fallos y mitigarlos también escasean; recientes estimaciones indican que hay unos 200,000 puestos de ciberseguridad vacantes que no encuentran personas cualificadas para cubrirlos. Los creadores no experimentados unidos a la falta de profesionales expertos en seguridad son una bomba de relojería a punto de estallar. Si la contratación es un problema, considera la colaboración con un proveedor de servicios que te ofrezca herramientas, como el análisis dinámico de seguridad en aplicaciones (DAST), que funciona automáticamente para protegerte frente a vulnerabilidades nuevas o ya existentes.

Conclusión:

Si eres como la mayoría de las empresas de hoy día, seguramente destines la mayoría del presupuesto para seguridad a tu red. Puede que te estés colocando en una posición vulnerable. Pero hay cosas que puedes hacer. En primer lugar, céntrate en la seguridad de tus aplicaciones; tu prioridad absoluta es proteger las identidades y el acceso de usuario. Mejora la visibilidad en el tráfico, incluyendo datos encriptados, y establece directrices para identificar comportamientos anómalos. Por último, si no tienes un experto en seguridad de aplicaciones, búscate una empresa colaboradora que se encargue de la protección que tu empresa necesita.

Puede que también le guste

Informar al consejo sobre los problemas y riesgos de seguridad

Ha llegado el momento. Tienes que presentar al consejo un informe sobre el estado de la seguridad de la empresa. Se trata de una presentación muy importante ya que la seguridad, la reputación y el estado financiero de ella dependen en gran medida de ti. Los miembros del consejo deben comprender a qué riesgos se enfrenta la empresa y tu plan para mitigarlos. Pero su tiempo y atención son limitados. Sé conciso y convincente.

¿Y si tu presupuesto de seguridad no se centra en las amenazas adecuadas?

¿Inviertes bien tu dinero en seguridad de TI? Si centras la mayoría de los gastos en el perímetro de tu red, a expensas de la seguridad de la aplicación y la gestión de identidades, puede que no estés distribuyendo bien el gasto.

4 cosas a tener en cuenta sobre ángulos muertos en la nube

Lo mismo que un buen conductor evita en lo posible el ángulo muerto mientras circula, tú también debes asegurarte de tener esos eventuales puntos ciegos cubiertos en la nube. Deslumbrados por la agilidad, reducción de gastos, eficiencia y aumento de productividad que ofrece la nube, muchos directores de TI olvidan cuatro peligros que no siempre están visibles.