Seguridad¿Y si tu presupuesto de seguridad no se centra en las amenazas adecuadas?

Executive Summary

Si dedica la mayor parte del presupuesto en seguridad a proteger la red y no las aplicaciones, es posible que esté exponiendo a su empresa a un riesgo injustificado. Muchas empresas dedican su presupuesto a "inversiones tradicionales" en lugar de cambiar a medida que los riesgos cambian, por eso, mientras que los gastos en los proveedores más conocidos se aprueban fácilmente, existe la posibilidad de que no se invierta lo suficiente en áreas de riesgo en evolución que son difíciles de cuantificar y vender a la junta directiva. La seguridad implica definir unos niveles de riesgo aceptables para su empresa para poder justificar el gasto como corresponde.

Executive Summary

Si dedica la mayor parte del presupuesto en seguridad a proteger la red y no las aplicaciones, es posible que esté exponiendo a su empresa a un riesgo injustificado. Muchas empresas dedican su presupuesto a "inversiones tradicionales" en lugar de cambiar a medida que los riesgos cambian, por eso, mientras que los gastos en los proveedores más conocidos se aprueban fácilmente, existe la posibilidad de que no se invierta lo suficiente en áreas de riesgo en evolución que son difíciles de cuantificar y vender a la junta directiva. La seguridad implica definir unos niveles de riesgo aceptables para su empresa para poder justificar el gasto como corresponde.

¿Inviertes bien tu dinero en seguridad de TI?

Si centras la mayoría de los gastos en el perímetro de tu red, a expensas de la seguridad de la aplicación y la gestión de identidades, puede que no estés distribuyendo bien el gasto.

Casi el 25 % de las empresas señala a las aplicaciones como origen de los ataques que sufren, aunque más de la mitad de los presupuestos para TI destinan un 1 % o menos a la seguridad de las apps, o desconocen cuánto gastan.

Casi el 25 % de las empresas señala a las aplicaciones como origen de los ataques que sufren, aunque más de la mitad de ellas (51 %), o bien destinan un 1 % o menos de su presupuesto para TI a la seguridad de las aplicaciones, o desconocen cuánto gastan. Casi tres cuartas partes (un 74,5 %) de las empresas admiten que los programas de seguridad de sus aplicaciones no son sólidos.

También está la cuestión de las identidades de usuario. Según a quién preguntes, la violabilidad de la identidad es la primera o la segunda causa de ataque.

74.5%

El 74,5 % de las empresas admite que la seguridad de sus aplicaciones no es sólida.

A la luz de estas estadísticas, parece increíble, pero la mayoría de las empresas sigue invirtiendo en la protección perimetral de la red la mayor parte del dinero que destinan a seguridad de TI. Si la tuya es una de ellas, deberías preocuparte seriamente.

El “perímetro de tu red” puede ser, en gran parte, imaginario

Debido al aumento de dispositivos móviles y la proliferación de apps basadas en la nube, es probable que tu perímetro sea bastante poroso. Puede haber cientos y hasta miles de dispositivos mayoritariamente desprotegidos. ¿Qué prevalencia tienen las apps de la nube? Cuatro de cada cinco empresas presentan aplicaciones en la nube, y el 20 % tiene previsto lanzar más de la mitad de sus apps a la nube este año. En 2018, habrá más de 12 000 millones de aparatos móviles en uso en todo el mundo. Si tus aplicaciones están presentes en cualquier parte y tus usuarios se conectan desde múltiples dispositivos, tu perímetro tradicional ha reventado.

Además está el hecho de que la gestión de identidades y accesos cada vez es más compleja. Tus apps requieren todas autenticación, ya sea local, de la nube privada o pública, o Software como Servicio (SaaS).  La empresa media tiene 700 aplicaciones en uso. Y es un dato oficial. Tus usuarios están cansados de las contraseñas, y la TI no da abasto para gestionar la expansión de las identidades y el acceso.

El hecho es que si los cibercriminales se encuentran bloqueados en tu red, suplantarán la identidad de un usuario inocente, o se infiltrarán en una aplicación web vulnerable. La naturaleza entera de la seguridad ha cambiado.

Cuatro pasos para reajustar tu gasto en seguridad de TI

¿Qué puedes hacer? Sigue los siguientes pasos de forma consecutiva.

Related

4 cosas a tener en cuenta sobre ángulos muertos en la nube

Paso 1. Prioriza lo que tienes que proteger

Las aplicaciones oficiales o desplegadas por TI, son relativamente fáciles de examinar, pero asegúrate de comprobar las apps SaaS, que se suelen pasar por alto. A continuación, identifica todas las aplicaciones informáticas en la sombra que utilizan tus empleados y evalúa el riesgo que suponen para tu empresa. No será fácil dar con ellas. Puedes preguntar en tus departamentos, revisar los registros de programas de filtrado web y los contratos firmados con proveedores de SaaS, pero este es un proceso muy laborioso. Aún así, debes priorizar entre las aplicaciones que identifiques y asegurar las que te hagan más vulnerable.

Paso 2. Comprueba la correspondencia entre presupuesto y amenazas

¿En qué gastas el dinero para tu seguridad en TI? Tu empresa puede estar encauzada en la dirección correcta, pero si consideras que tus superiores están tan centrados en cumplir objetivos, que pasan por alto las vulnerabilidades más básicas asociadas a la expansión de las aplicaciones e identidades, fundaméntalo. Documenta tus averiguaciones para poder identificar las áreas donde se gasta de más y de menos.

Paso 3. Expón tus averiguaciones

Presenta tus pesquisas a tus superiores y al consejo. Coméntales los desajustes que has detectado entre lo que se está protegiendo y lo que no. Haz propuestas concretas y prepara un análisis de rentabilidad de las inversiones que recomiendas para obtener la liquidez necesaria. Probablemente tengas que invertir en gestión de identidades y accesos, seguridad en aplicaciones y cortafuegos avanzados.

Paso 4. Efectúa controles y muestra cómo gestionas las amenazas

Documenta y supervisa la manera en qué gastas el dinero que de más que recibes, y presenta informes basados en hechos al consejo y a tus superiores, mostrando lo bien que va todo. Sigue existiendo la posibilidad de un ataque, así que contrata un ciberseguro y una empresa de respuesta ante incidentes (IR) para que intervengan y reduzcan los daños, en el caso de que ocurran.

Elige tus frentes

Por supuesto que nunca serás capaz de abordar todas y cada una de las vulnerabilidades de tu lista. Puedes llegar a la conclusión de que el coste de eliminar ciertos riesgos sería mayor que el coste de ignorarlos. Expón a tus superiores claramente tus ideas y planes para abordar todos los riesgos, hayas decidido actuar sobre ellos para mitigarlos o no. Deja que ellos también se encarguen de priorizar en qué se invierte el dinero, dentro de este nuevo mundo sin perímetro.

Puede que también le guste

Cómo administrar bien (o mal) tu presupuesto en seguridad

Todos tenemos un pasado. ¿Recuerdes las cintas de vídeo VHS, las botas Dr. Martens o la música grunge? Mientras los 90 son para muchos un vago recuerdo, siguen muy presentes en los centros de datos de muchas grandes empresas. No deja de sorprender el gran número de empresas de TI que siguen funcionando como si estuvieran ancladas en los 90.

Informar al consejo sobre los problemas y riesgos de seguridad

Ha llegado el momento. Tienes que presentar al consejo un informe sobre el estado de la seguridad de la empresa. Se trata de una presentación muy importante ya que la seguridad, la reputación y el estado financiero de ella dependen en gran medida de ti. Los miembros del consejo deben comprender a qué riesgos se enfrenta la empresa y tu plan para mitigarlos. Pero su tiempo y atención son limitados. Sé conciso y convincente.

4 cosas a tener en cuenta sobre ángulos muertos en la nube

Lo mismo que un buen conductor evita en lo posible el ángulo muerto mientras circula, tú también debes asegurarte de tener esos eventuales puntos ciegos cubiertos en la nube. Deslumbrados por la agilidad, reducción de gastos, eficiencia y aumento de productividad que ofrece la nube, muchos directores de TI olvidan cuatro peligros que no siempre están visibles.