JJ'Studio - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Por qué a los departamentos de TI les falta la higiene básica de seguridad TI

Los departamentos de TI no logran parchar los agujeros de seguridad en el software debido a una desconexión entre la seguridad y los equipos de operaciones, según una encuesta.

Una encuesta de 300 operaciones de TI y 300 profesionales de seguridad de TI ha encontrado una gran brecha en la percepción sobre quién asume la responsabilidad de parchar los sistemas de TI.

En la encuesta, realizada por Vanson Bourne para la firma de consultoría 1E, tres cuartas partes (75%) de los profesionales de TI coincidieron en que el equipo de operaciones de TI en su organización tiene una mentalidad de «mantener las luces encendidas», centrándose en la disponibilidad sobre la seguridad.

Casi dos tercios (62%) creen que el equipo de seguridad de TI sabe cómo hacer que la organización sea más segura, pero las operaciones de TI hacen que sea más difícil asegurar el negocio.

El panorama de seguridad está cambiando constantemente, pero en un panel de discusión relacionado con el informe Cómo poner en orden su casa de 1E basado en los hallazgos de la encuesta, hubo la sensación de que muchos departamentos de TI no logran entender correctamente los aspectos básicos.

El analista senior de Forrester, Paul McKay, dijo: «Hubo un período en el que cada ataque era muy sofisticado, pero la mayoría de los ataques son muy básicos, como cuando las personas hacen clic en el correo electrónico. De ahí es de donde vienen la mayoría de los ataques. Estos son problemas de higiene».

Talal Tajab, quien dirige los programas de seguridad nacional y cibernética de TechUK, citó el reciente informe Encuesta de brechas de seguridad cibernética del Departamento de Cultura, Medios y Deportes (DCMS) para ilustrar que se ha avanzado poco en la mejora de la seguridad de TI en las empresas en todo el Reino Unido. «Estamos viendo el mismo nivel de errores básicos que siguen ocurriendo», dijo.

Los panelistas estuvieron de acuerdo con los hallazgos de la encuesta de que existía una brecha entre el rol de las operaciones de TI y el rol de la seguridad de TI.

En el informe, Jason Sandys, cuyo título de trabajo es el «profesional más valioso» de Microsoft, dijo: «Hay una falta de cohesión y una disparidad de objetivos. La seguridad de TI piensa que es visto como el enemigo, el bloqueador de la productividad. Las operaciones de TI impulsarán un proyecto, pero el equipo de seguridad de TI lo inhibirá, porque, naturalmente, debe ser cauteloso. Falla la colaboración».

Spencer Summons, un CISO independiente que trabaja en una compañía de gas, dijo: «Lo que estoy viendo en el terreno, particularmente en términos de operaciones de TI y seguridad de TI, es que existe un conflicto debido a que [los dos equipos tienen] diferentes objetivos».

Según su experiencia, esto conduce a conversaciones acaloradas entre los dos equipos, comunicaciones deficientes y una falta de integración en el trabajo que comparten. A veces, dijo, «la seguridad de TI solo se incluye al final de un proyecto, lo que hace que sea más difícil y costoso modernizar la seguridad».

Cuando hay una violación de datos, la seguridad de TI se convierte en el sabor del mes, dijo Summons. Sus propias experiencias son un reflejo de la investigación del analista Forrester, que descubrió que las empresas que gastaron el 30% de sus presupuestos de TI en seguridad de TI fueron las que habían experimentado una reciente violación de datos.

Summons argumentó que abordar un enfoque táctico para TI es defectuoso. «No comprender las amenazas impulsa una forma táctica de abordar la seguridad de TI», dijo.

En cambio, instó a las organizaciones a tener visibilidad de lo que está sucediendo en toda la organización. «Al crear visibilidad desde una perspectiva de seguridad, podemos comenzar a analizar todo en una empresa», dijo.

Esto proporciona un tipo de cadena de valor comercial, que permite a la organización utilizar iniciativas como el cumplimiento del Reglamento de protección de datos en general (GDPR) para generar nuevas oportunidades, agregó.

El estudio descubrió que, a pesar de la inversión significativa en seguridad cibernética en muchas áreas, ha habido una mejora muy limitada con el factor más importante en la vulnerabilidad organizativa: Mantener los puntos finales adecuadamente parchados y actualizados. Si bien gran parte del sector de la seguridad se fija en las últimas palabras de moda, amenazas y soluciones, dijo 1E, las brechas más grandes continúan ahí a la vista.

Sumir Karayi, CEO de 1E, dijo que los ataques de Wannacry y NotPetya muestran cómo las vulnerabilidades masivas pueden ser explotadas para atacar sistemas no parchados. La encuesta descubrió que, en promedio, los encuestados tienen una visibilidad del 64% del total de software de su organización, y solo el 66% de este software está actualizado. Por ejemplo, dijo Karayi, «un tercio de los negocios no están en Windows 10, que es un sistema operativo que tiene cuatro años».

Advirtió que los delincuentes cibernéticos conocen todas las vulnerabilidades que están presentes en las PC con Windows 7. Desde la perspectiva del departamento de TI, dijo, «las organizaciones no tienen el control de un tercio de sus máquinas, por lo que ni siquiera pueden ver si estas máquinas están infectadas con malware».

Dada la desconexión entre las operaciones de TI y la seguridad de TI, dijo Karayi, «seguridad de TI no es confiable para parchar estas máquinas». Al mismo tiempo, operaciones de TI no suelen tratar los parches como una alta prioridad, agregó.

“Los CIO tienen el desafío de explicar la necesidad fundamental de áreas como parches, que pueden parecer mundanos. Pero sin esta higiene, las empresas deben defenderse constantemente contra nuevas vulnerabilidades o arriesgarse a una violación importante”.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close