Ciberseguridad: muchos gastos, poca efectividad • Forbes México


Hoy, tanto en Mexico como en muchos lugares del mundo, el 84% de las brechas de la seguridad en las empresas se producen en las aplicaciones internas, externas, puestas y moviles. 

Por Hèctor Morales 

Quien diría que un simple correo electrónico puede voltear de cabeza a un gran consorcio. En leyenda ya se ha convertido la historia de un ataque de phishing que se brincó, como borreguito en pleno sueño, la cerca de seguridad impuesta mediante una inversión millonaria por una conocida tienda departamental en México, y que en vez de arrullarla la despertó de su letargo.

Después de eso, ya nada puede ser igual. ¿De qué sirve levantar bardas de 10 metros de alto, instalar decenas de puertas con claves y códigos de acceso, sistemas de reconocimiento de voz y rostro, cámaras de vigilancia, registro de identidad y huellas dactilares, si como en cárcel de alta seguridad el asalto se gesta silencioso, subterráneo, a rastras desde el subsuelo, en la grácil inocencia de un email, por donde irremediablemente se fugará la información?

De acuerdo con los más recientes estudios, tanto en México como en muchos lugares del mundo, el 84% de las brechas de la seguridad en las empresas se producen en las aplicaciones internas, externas, puestas y móviles. Vulnerar desde la web ya no es necesario para los cibercriminales. ¿Para que desgastarse en romper las barreras a golpes de hackeo como antes, si ahí están miles de aplicaciones que encima de una ancha puerta tienen un gigantesco letrero que con amabilidad dice: “Pase usted”?

Algo tiene que cambiar, empezando por el gasto destinado a la seguridad perimetral, cuya proporción reporta Gartner Maverick Research es un bestial 23 a 1, con respecto a lo que se invierte en seguridad aplicativa. Parece que levantar muros con más ladrillos no resulta efectivo cuando se pelea contra topos.

Estamos hablando de gastos de millones de dólares aplicados en cubrir el perímetro, hasta que llega alguien, entra hasta la base de datos, compromete los datos, se los lleva y los expone. Entonces, ¿a quién le echamos la culpa: al correo electrónico, a los programadores, al jefe, a los frameworks?

A esto se añade que los desarrolladores no nacemos como tales pensado en la seguridad. El enfoque, lastimosamente, es más pragmático: acabar rápido, entregar y cobrar, sin cifrar ni proteger absolutamente nada. Ese es el problema esencial. Basta hacer un análisis de vulnerabilidad o una prueba de penetración, para exhibir todos los trapitos al astro rey.

Y ahora que deambulamos gozosos en las nubes para ciertas tareas, tampoco está de más seguir el consejo de cifrar todo lo que se suba a esas alturas, a menos que se esté hosteando el servicio, y aun así hay un ingrediente de seguridad compartida que exige asegurar las aplicaciones.

El día de hoy se han desarrollado nuevas herramientas para abatir al máximo los riesgos. Una marcada tendencia en ciberseguridad es Endpoint Detection and Response (EDR)  –una tecnología que en vez de prevenir se enfoca en detectar, responder y remediar las embestidas de las amenazas avanzadas–, cuya función no se basa en firmas de virus sino utiliza la inteligencia contextual para revelar patrones de comportamiento malicioso, mediante la correlación de todos los datos recogidos, en tiempo real.

Otro elemento vital es el escáner de vulnerabilidades para establecer el alcance de éstas en las aplicaciones, que diagnostica y ofrece reportes y estadísticas.

No obstante, la principal vertiente de mitigación es la concientización. Y como que a las empresas al fin les empieza a caer el veinte, así como a los propios desarrolladores, de construir aplicaciones menos vulnerables. Hacerlo así, mitiga más de 90% los riesgos.

En México 73 millones de mexicanos están conectados a internet, desde casa o vía un smartphone, la gran mayoría de los cuales se sumergen en las aguas profundas de las redes sociales, cuya seguridad es altamente etérea, por lo que es imprescindible prestar atención a la manera como navegan en Internet, comparten imágenes y todo tipo de información.

En este mundo no sobra una pequeña dosis de paranoia, y siempre tener en mente que si ese dato se pierde, mis clientes pierden y yo también, no sólo en términos de recursos financieros sino en la propia reputación. La tecnología en nuestros desarrollos está creciendo demasiado rápido, más aún que nuestro nuevo modo de vida.

*  El autor es director de Seguridad Aplicativa en Optimiti Network.Fuente: forbes

Saludos

Mario Meneses

Account Manager

mario@c2csmartcompliance.com   +52 1 7711871152

C2C Smart Compliance es una empresa con presencia internacional con plataformas para gestión del cumplimiento, nos especializamos en la gestión de calidad, operaciones de seguridad, seguridad de la  información ,continuidad de negocio, etc. con experiencia en la implementación de ISO 9001, ISO 20000, ISO 27001, ISO 22301, BS 25999,  ISO 17025, ISO 18788, NIST 800 53, y muchas otras normas, leyes y mejores prácticas. 

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.