INFORME TÉCNICO SPON. Mejores prácticas de seguridad en medios sociales, correo electrónico e Internet. Publicado en enero de 2014 PATROCINADO POR

Transcripción

1 INFORME TÉCNICO N en medios sociales, correo electrónico e Internet Un informe técnico de Osterman Research Publicado en enero de 2014 PATROCINADO POR SPON sponsored by sponsored by Osterman Research, Inc. P.O. Box 1058 Black Diamond, Washington USA Tel.: Fax: info@ostermanresearch.com twitter.com/mosterman

2 RESUMEN EJECUTIVO Las herramientas de medios sociales, correo son de uso generalizado en la gran mayoría de organizaciones. Por ejemplo, Osterman Research ha observado que un profesional en información típico pasa 153 minutos por día laboral en el correo electrónico y 51 minutos en los medios sociales, lo cual constituye el 42.5% de una jornada laboral normal de ocho horas, sin mencionar el uso personal y laboral de sitios web que se lleva a cabo diariamente. Por ende, la seguridad de todas estas herramientas debe ser de suma importancia para los responsables de la toma de decisiones debido a la importante oportunidad que estas representan en la introducción de software malicioso y otras amenazas. Por ejemplo, nuestra investigación encontró que solo durante los últimos 12 meses: En el 74% de las organizaciones se infiltró software malicioso a través de la navegación por Internet. El 64% ha sufrido una infiltración de software malicioso a través del correo electrónico. El 22% ha sufrido filtración maliciosa o accidental de información confidencial a través del correo electrónico. En el 14% de las organizaciones se introdujo software malicioso en su red a través de aplicaciones sociales u otras aplicaciones Web 2.0 A los responsables de la toma de decisiones les preocupan diversos temas relacionados con la seguridad de sus redes en el contexto de cómo se utilizan el correo electrónico, las aplicaciones web y los medios sociales. Como resultado, la seguridad de todos los puntos a través de los cuales podrían entrar las amenazas o podría filtrarse la información de una organización debe abordarse como un problema de máxima importancia. ACERCA DE ESTE INFORME TÉCNICO Este informe técnico examina los resultados de una encuesta realizada por Osterman Research a mediados de noviembre de La encuesta fue realizada únicamente entre líderes de opinión y responsables de la toma de decisiones de seguridad en el panel de la encuesta de Osterman Research. Se encuestó a un total de 157 personas pertenecientes a una amplia gama de industrias. El promedio de empleados en las organizaciones encuestadas fue de empleados y el de los usuarios de correo electrónico de usuarios. Este informe técnico analiza los resultados de una encuesta realizada por Osterman Research. Este informe técnico también proporciona una descripción general de las soluciones de seguridad ofrecidas por Trustwave, patrocinadora de este informe. Al final del informe se proporciona información sobre la empresa y sus soluciones pertinentes. ES NECESARIO MEJORAR LA SITUACIÓN ACTUAL DE LA SEGURIDAD EXISTEN VARIOS PROBLEMAS QUE SON MOTIVO DE PREOCUPACIÓN Osterman Research descubrió una amplia variedad de temas que suscitan preocupación entre los líderes de opinión y los responsables de la toma de decisiones. Por ejemplo, como se ilustra en la Figura 1, a la mitad o más de estos responsables de la toma de decisiones les preocupa mucho el software malicioso que puede entrar en la red corporativa a través de la navegación por Internet que realizan los empleados o por el uso de su correo web personal, distintos tipos de ataques de suplantación de identidad y la pérdida de datos a través de correo electrónico. Además, hay un gran número de problemas de seguridad en medios sociales, correo que tienen bastante preocupados a los responsables de la toma de decisiones Osterman Research, Inc. 1

3 Figura 1 Inquietudes sobre diferentes problemas de seguridad % que respondió Problema grave o muy grave Problema % Introducción de software malicioso a través de la navegación en Internet por parte de los empleados 58% Introducción de software malicioso a través de correo web personal de los empleados 56% Ataques de suplantación de identidad 53% Pérdida de datos a través de empleados que envían información confidencial a través de correo electrónico 50% Pérdida de datos a través de empleados que envían información confidencial a través de herramientas basadas en la nube, como Dropbox 48% Introducción de software malicioso a través de computadoras personales de los empleados 42% Infecciones de software malicioso/gusanos/virus 42% Introducción de software malicioso a través del uso de aplicaciones Web 2.0 por parte de los empleados 37% Filtraciones de información confidencial interna 36% Filtraciones de información confidencial de los clientes 35% Desfase entre los nuevos ataques de virus y el momento en que nuestro proveedor de antivirus (AV, por sus siglas en inglés) emite una actualización para hacer frente a dichos 34% ataques Software malicioso en dispositivos móviles 33% Ataques directos de piratas informáticos 32% Usuarios que trabajan en casa y crean problemas de seguridad 30% Pérdida de datos por empleados que envían información confidencial a través de medios sociales 30% Correo electrónico no deseado, la cantidad que recibe su organización 29% Correo electrónico no deseado, su dirección IP es incluida en la lista negra debido a un ataque de correo saliente 27% Tiempo que pasan los administradores de correo electrónico resolviendo el problema del software malicioso 25% Ataques de denegación de servicio 25% Empleados que ven contenido inapropiado en Internet 25% Tiempo que pasan los administradores de correo electrónico resolviendo el problema del correo electrónico no deseado 23% Correo electrónico no deseado, la cantidad de falsos positivos causados por su sistema contra correo electrónico no deseado 21% Tiempo que pasan los empleados resolviendo el problema del correo electrónico no deseado 21% LA INFILTRACIÓN Y LAS FILTRACIONES SON PROBLEMAS COMUNES Nuestra investigación también descubrió que la infiltración de software malicioso y las filtraciones de información son problemas bastante comunes. Por ejemplo, como se muestra en la Figura 2, casi tres de cada cuatro organizaciones han sufrido infiltración de software malicioso a través de la navegación por Internet, casi dos tercios han sufrido una infección de software malicioso a través del correo electrónico y más de una de cada cinco han perdido datos confidenciales a través de filtración de correo electrónico, todo esto en los últimos 12 meses. Durante muchos años Osterman Research ha indagado en nuestras encuestas acerca de infiltraciones de seguridad, la mayor parte de esta investigación se centra en organizaciones medianas y grandes, y ha descubierto que Internet ha ido creciendo como un vector de amenazas durante los últimos años, como se muestra en la Figura 3 en el período entre 2007 y Aunque hemos observado disminuciones periódicas en el nivel de amenazas de diferentes tipos de infiltraciones, estamos observando un crecimiento continuo en el número y la gravedad de las amenazas basadas en la web. También es importante tener en cuenta que si las organizaciones carecen de la capacidad de identificar con éxito los riesgos en materia de seguridad, es probable que los responsables de la toma de decisiones nunca se enteren de que se produjo un evento determinado. Por ende, aunque los responsables de la toma de decisiones reconozcan adecuadamente los riesgos en materia de seguridad que conocen, los que desconocen plantean un desafío mucho mayor Osterman Research, Inc. 2

4 Figura 2 Eventos ocurridos durante los 12 meses anteriores % que respondió Problema grave o muy grave Se infiltró con éxito software malicioso en nuestra red a través de la navegación por Internet Se infiltró con éxito software malicioso en nuestra red a través de correo web Se infiltró con éxito software malicioso en nuestra red a través de aplicaciones Web 2.0 / medios sociales Se infiltró con éxito software malicioso en nuestra red a través de mensajería instantánea Se filtró información confidencial de forma accidental o maliciosa a través del correo electrónico Se filtró información confidencial de forma accidental o maliciosa a través de herramientas basadas en la nube, como Dropbox Se filtró información confidencial de forma accidental o maliciosa a través de aplicaciones Web 2.0 / medios sociales Figura 3 Problemas de seguridad que han ocurrido Internet La mayoría de las organizaciones afirman que sus problemas de seguridad se mantienen igual o están empeorando. Correo electrónico Mensajería instantánea ESTÁN MEJORANDO LAS SOLUCIONES? Evidentemente, el objetivo de cualquier solución de seguridad es remediar la variedad de amenazas de Internet, correo electrónico, medios sociales y otras que puedan infiltrarse en las redes, robar datos, crear pérdidas financieras, etc. Aunque muchas organizaciones informan que las soluciones de seguridad para Internet, correo electrónico no deseado y software malicioso están mejorando con el tiempo, la mayoría de las organizaciones afirman que sus problemas de seguridad se mantienen igual o están empeorando, como lo ilustra la Figura Osterman Research, Inc. 3

5 Figura 4 Desempeño de las soluciones de seguridad a lo largo del tiempo % que respondió Problema grave o muy grave Correo electrónico no deseado Software malicioso Amenazas de Internet Está mejorando Se mantiene igual Está empeorando Por otra parte, sigue existiendo un amplio margen para reducir el índice de falsos positivos causados por los sistemas contra el correo electrónico no deseado. Evidentemente, incluso una fracción de un porcentaje de falsos positivos puede hacer que un gran número de mensajes válidos sean clasificados erróneamente y no estén disponibles para su fin comercial previsto. Aunque muchos responsables de la toma de decisiones no consideran que los falsos positivos generados por las soluciones contra correo electrónico no deseado sean atractivos, el asunto de los falsos positivos es un problema enorme que debe ser solucionado. Por ejemplo, Osterman Research ha encontrado que el usuario medio recibe un promedio de 80 correos electrónicos al día. Si suponemos un año laboral de 260 días para el empleado común, cada empleado recibirá correos electrónicos al año: Una organización de 750 empleados recibirá 15,6 millones de correos electrónicos al año. Teniendo en cuenta una tasa de falsos positivos promedio de la industria de 0,15% al año, eso significa que se identificarán como correo electrónico no deseado correos electrónicos que en realidad son válidos y se eliminarán o se pondrán en cuarentena. Esto crea dos problemas: Los usuarios deben dedicar tiempo a la búsqueda de correos electrónicos válidos clasificados incorrectamente en la carpeta en cuarentena para correo electrónico no deseado a fin de asegurarse de que no se pasa por alto contenido crucial para la empresa, como consultas de clientes u órdenes de compra. Esto no solo hace perder tiempo a los empleados, sino que además puede ocasionar que se pasen por alto mensajes válidos. Cuando los empleados buscan en la carpeta en cuarentena, podrían etiquetar erróneamente algunos correos electrónicos como válidos cuando en realidad no lo son. Esto puede permitir la reintroducción de correo electrónico de suplantación de identidad, software malicioso y otras amenazas en el sistema de correo electrónico. USO DE MEDIOS SOCIALES Y SEGURIDAD QUÉ ES UNA APLICACIÓN DE MEDIOS SOCIALES LEGÍTIMA? El crecimiento de los medios sociales en las organizaciones de todo el mundo ha sido extraordinario. Por ejemplo, Osterman Research ha encontrado que un profesional de la información típico dedica 51 minutos a medios sociales por asuntos laborales durante un día de trabajo normal, aún muy por debajo de los 153 minutos al día que dedica al correo electrónico, pero aumenta a un ritmo considerable. Por otra parte, como lo ilustra la Figura 5, hay un número considerable de herramientas de medios sociales que los líderes de 2014 Osterman Research, Inc. 4

6 opinión y los responsables de la toma de decisiones consideran legítimas para su uso en un contexto de trabajo. El uso de los medios sociales crea un grave dilema para muchas organizaciones. Por ejemplo, mientras que un 62% de las organizaciones consideran a Facebook como una aplicación legítima, el 42% consideran que su uso en la red corporativa es un riesgo o supone un alto riesgo. Además, tal y como se ilustra en la Figura 6, menos de una tercera parte de las organizaciones creen estar muy bien protegidas contra el software malicioso y otros ataques que pueden ser introducidos a través de los medios sociales. Figura 5 Percepción de la legitimidad de las principales aplicaciones de medios sociales Legítima No legítima Figura 6 Percepción de la protección contra software malicioso con origen en los medios sociales y otros ataques El uso de los medios sociales crea un grave dilema para muchas organizaciones. Muy bien protegida Razonablemente bien protegida No muy bien protegida No estoy seguro 2014 Osterman Research, Inc. 5

7 QUÉ MEDIDAS SE ESTÁN TOMANDO CON RESPECTO A LA SEGURIDAD DE LOS MEDIOS SOCIALES? En las organizaciones que no permiten el uso de determinados servicios de medios sociales, es más probable que los servicios considerados actualmente como de moda sean bloqueados de forma activa a que no se permita su uso de forma pasiva. Esto incluye herramientas de medios sociales como Facebook, Twitter y Skype. Los servicios que estaban de moda tienen la dinámica opuesta, es más probable que no se permita su uso a que sean bloqueados de forma activa. La Figura 7 muestra las medidas tomadas por las organizaciones para diferentes tipos de las principales herramientas de medios sociales. Figura 7 Prácticas para permitir o bloquear el uso de los principales medios sociales % que respondió Problema grave o muy grave Permitido Prohibido pero no bloqueado Bloqueado HACER FRENTE A LAS AMENAZAS La cantidad, la variedad y la gravedad de las diferentes amenazas a través de medios sociales, correo continúan creciendo con el tiempo. Quizás el evento reciente más notable fue la filtración de 110 millones de registros de cuentas de crédito y débito de un gran minorista de Estados Unidos, a raíz de un software malicioso en el sistema de punto de venta de la empresa i, pero eso representa solo la punta del iceberg con respecto a los distintos tipos de amenazas que las organizaciones pueden enfrentar. A continuación se ofrece una breve descripción de algunos de los principales vectores de amenazas que las organizaciones deben tener en cuenta: Correo electrónico no deseado El correo electrónico no deseado es quizás la menos interesante de las diferentes amenazas de correo electrónico que enfrentan las organizaciones, en gran parte debido a que la proporción de correo electrónico no deseado de todo el correo electrónico se ha reducido desde finales de No obstante, el correo electrónico no deseado sigue representando la mayoría del correo electrónico recibido por las organizaciones; por ejemplo, Trustwave encontró que en la semana que finalizó el 22 de diciembre de 2013 ii el 60,8% de todo el correo electrónico fue correo electrónico no deseado. Este porcentaje es muchísimo menor que los niveles del 80 a 90% experimentado por la mayoría de las organizaciones antes de finales de 2010, pero el número de mensajes de correo electrónico no deseado que consume ancho de banda y almacenamiento sigue siendo enorme. Plataformas móviles Los delincuentes explotan cada vez más el rápido aumento de la utilización de smartphones y tabletas. Por ejemplo, los clientes de una importante empresa de servicios financieros han sido víctimas de un ataque con intermediario [Man in the 2014 Osterman Research, Inc. 6

8 Middle o MITM, por sus siglas en inglés] (una variante de Zeus) que instala software malicioso diseñado para interceptar códigos de acceso enviados a dispositivos BlackBerry y Symbian a través de mensajes de texto, como parte de un esquema de autenticación de dos factores iii. Por otra parte, el primer software malicioso dirigido al SO Android de Google fue descubierto en agosto de 2010, pero Webroot reveló que el 12% de todas las aplicaciones de Android hoy en día son maliciosas. Añada esto al hecho de que el 79% de las 50 mejores aplicaciones para ios y Android están asociadas con conductas de riesgo o problemas de privacidad iv. El software malicioso dirigido a Android, que representa el grueso de las nuevas variantes de software malicioso, creció en muestras durante el tercer trimestre de 2013, un aumento de un tercio con respecto al trimestre anterior v. Amenazas de sitios web El software malicioso puede entrar en una organización a través de diferentes métodos, esto es, a través de la navegación por Internet o el uso de aplicaciones basadas en la web. Por ejemplo: o o o o Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés) que ataca sitios web de apariencia inocente para generar solicitudes a varios sitios. Los ataques CSRF se han aprovechado de vulnerabilidades en Twitter, permitiendo a los propietarios del sitio adquirir los perfiles de Twitter de sus visitantes. Debido a que las aplicaciones Web 2.0 suelen aprovechar aplicaciones XML, XPath, JavaScript y JSON, Adobe Flash y otras aplicaciones completas de Internet, a menudo estas aplicaciones son vulnerables a los ataques de inyección mediante el uso de estos entornos. Estas tecnologías pueden ser utilizadas para evadir las defensas de los antivirus. Cuando dos piezas inofensivas de código malicioso aparecen en la misma página web, se produce un ataque de múltiples componentes, por separado son inofensivas y difíciles de detectar, pero cuando aparecen simultáneamente en una misma página pueden infectar con software malicioso las computadoras de los usuarios. Los ataques de inyección de código SQL tienen lugar cuando se insertan comandos y metacaracteres en los campos de entrada en un sitio web, cuyo objetivo es ejecutar el código de configuración SQL. Los ataques de lenguaje de comandos entre distintos sitios insertan etiquetas en los URL, cuando los usuarios hacen clic en estos enlaces puede ejecutarse un código JavaScript malicioso en sus computadoras. Otra amenaza de sitio web es la descarga oculta o drive-by download que se produce cuando un usuario visita un sitio web y el software malicioso se descarga automáticamente en su plataforma. En algunos casos, un usuario visita un sitio web y ve una ventana emergente, al hacer clic en el botón ACEPTAR de la ventana emergente, se instala una aplicación Java, un control ActiveX, etc. en la computadora del usuario, sin su consentimiento. Varios sitios web legítimos han sido pirateados y han introducido software malicioso en las computadoras de visitantes desprevenidos. Este es un problema particularmente grave para sitios web operados por empresas más pequeñas, a mediados de 2013 una fuente informó haber observado que cerca de sitios nuevos por día son utilizados para distribuir software malicioso vi. Redes de bots Las redes de bots son responsables de una gran cantidad de piratería informática exitosa y de ataques de suplantación de identidad contra blancos de alto perfil. Por ejemplo, Citigroup, el Senado de Estados Unidos, el Fondo Monetario Internacional, Sony, Northrup Grumman, Lockheed Martin y RSA, todos han sido víctimas de ataques de red de bots. La consecuencia ha sido que millones de registros se han visto expuestos, lo cual se traducirá no solo en la divulgación de información personal y confidencial, sino también en demandas y otras medidas correctivas costosas. La red desperimetrizada Los usuarios que trabajan fuera de la red corporativa, como los que trabajan desde casa o en otros sitios remotos, representan otra fuente de amenazas. Un usuario sin Los usuarios que trabajan fuera de la red corporativa, como los que trabajan desde casa o en otros sitios remotos, representan otra fuente de amenazas Osterman Research, Inc. 7

9 protección que utiliza un recurso corporativo, como Outlook Web Access al que no se accede a través de una VPN, o en una computadora portátil que se infecta y luego es conectada a la red corporativa, pueden constituir una amenaza grave. Esto se está convirtiendo en un grave problema para la mayoría de las organizaciones dado que los usuarios emplean dispositivos de consumo como sus smartphones e ipads personales así como otros dispositivos de consumo tradicionales en un entorno laboral. Errores de los usuarios Algunas veces los usuarios, por error, pueden instalar software malicioso o código afectado en sus plataformas. Esto se produce al descargar codecs, instalar controles ActiveX o instalar varias aplicaciones destinadas a suplir ciertas necesidades percibidas (como una capacidad no respaldada por TI o que un usuario considera que debe tener al trabajar desde casa), o al responder a scareware y a software de antivirus falso (Rogue AV o AV falso). Rogue AV es un tipo de software malicioso particularmente peligroso, principalmente porque ataca a los usuarios que intentan hacer lo correcto para proteger sus computadoras contra virus y otro software malicioso. Incluso los usuarios bastante experimentados pueden ser engañados por un mensaje Rogue AV bien elaborado. Consultas peligrosas en motores de búsqueda Las consultas en motores de búsqueda que son secuestrados por ciberdelincuentes son otro método para distribuir software malicioso. Este método de ataque se basa en el envenenamiento de las consultas de búsqueda, lo que resulta en la visualización de pantallas de sitios repletos de software malicioso durante las consultas web. El envenenamiento de los motores de búsqueda resulta especialmente eficaz para términos de búsqueda populares y oportunos, como los últimos chismes de las celebridades o noticias acerca de desastres naturales. Ataques directos Los ataques directos por parte de piratas informáticos pueden incluir una serie de ataques, entre los que se incluyen los de piratas informáticos que atacan una vulnerabilidad conocida en un navegador web, o ataques a una versión anterior de un navegador o un control ActiveX. Este es un problema particularmente grave para los trabajadores a distancia que podrían utilizar una computadora de su hogar u otra plataforma personal, la cual podría actualizarse con tanta frecuencia como su plataforma de trabajo. AVANZANDO HACIA UNA MEJOR SEGURIDAD EL COSTO DE LA SEGURIDAD El costo total de propiedad (TCO, por sus siglas en inglés) de una solución de seguridad puede variar ampliamente dependiendo de diferentes factores entre los que se incluyen: El costo inicial de adquisición del hardware, software o servicio en la nube. El costo de la mano de obra de TI necesaria para administrar el sistema de manera continua. Costos de mantenimiento y licencias de software. El costo de cualquier hardware necesario para ejecutar el software. La capacidad de volver a utilizar el hardware existente. Además, las diferencias de costo entre las soluciones de la competencia variarán dependiendo de las diversas características y funciones que incluya cada una. Es importante evaluar tanto el costo total de la propiedad (TCO, por sus siglas en inglés) como el costo total de adquisición (TCA, por sus siglas en inglés) de cualquier solución de seguridad, ya que estos pueden tener un impacto considerable en el rendimiento sobre la inversión de esa solución. Nuestra investigación encontró que la seguridad no es un problema que las organizaciones pueden resolver de manera económica. Por ejemplo, hemos observado que la organización típica que encuestamos invierte horas de personal de TI al año por cada usuarios de correo electrónico. Si suponemos que el costo total del salario anual para un miembro del personal de TI es de $ , eso se traduce en un costo de $131,22 por usuario al año, o $10,93 por usuario al mes Osterman Research, Inc. 8

10 LA DESCONEXIÓN ENTRE LAS SOLUCIONES ACTUALES Y LAS PREFERENCIAS Nuestra investigación también descubrió cierta desconexión entre los modelos de entrega de seguridad actuales y las preferencias de estos modelos, como lo ilustra la Figura 8. Por ejemplo, se encontró que el 35% de las organizaciones encuestadas han implementado las mejores soluciones locales, pero en realidad solo el 16% cita este como su método de entrega de seguridad preferido. También se encontró que mientras que solo el 14% usa una solución de seguridad basada en la nube y administrada en forma central con una interfaz única, en realidad el 24% prefiere este modelo. Figura 8 Modelos de entrega de seguridad preferidos y actuales Las mejores soluciones locales, cada una de las cuales tiene interfaces diferentes Soluciones locales, administradas en forma central con una sola interfaz Soluciones basadas en la nube, administradas en forma central con una sola interfaz Una solución de seguridad administrada En funcionamiento en la actualidad Prefiere tener Las mejores soluciones basadas en la nube, cada una de las cuales tiene interfaces diferentes No estoy seguro La realidad para la seguridad hoy en día es que muchas organizaciones han dado más importancia a los criterios de eficacia del producto que a la simplicidad. La mayoría ha adoptado varias de las mejores soluciones de seguridad para garantizar un alto nivel de eficacia, pero este enfoque no está exento de problemas. Los responsables de la toma de decisiones indican una preferencia por la reducción de la complejidad interna y los gastos generales necesarios para administrar las mejores soluciones, y preferirían ver un aumento en el uso de un solo proveedor o métodos basados en la nube. La percepción de una mayor eficacia de los mejores métodos está aminorando la migración a gran escala hacia soluciones integradas de un solo proveedor. No obstante, es importante señalar que la tendencia general parece ser regresar a las mejores soluciones y alejarse un poco de las soluciones administradas de forma centralizada. Aunque creemos que esta última volverá a ser la opción dominante para la administración de la seguridad, el regreso temporal hacia las mejores soluciones puede reflejar el creciente número de terminales que deben ser administradas y el gran número de soluciones de punto único, disponibles actualmente, para satisfacer necesidades de seguridad específicas. IMPLEMENTACIÓN DE PUERTAS DE ENLACE DE SITIOS WEB Nuestra investigación encontró que los líderes de opinión y los responsables de la toma de decisiones tienen varias razones importantes para implementar puertas de enlace de sitios web seguros, aunque la prevención de la infiltración de software malicioso es una de las principales razones para implementar estas soluciones, como lo ilustra la Figura 9. La realidad para la seguridad hoy en día es que muchas organizaciones han dado más importancia a los criterios de eficacia del producto que a la simplicidad Osterman Research, Inc. 9

11 Figura 9 Razones para la implementación de puertas de enlace de sitios web seguros % que respondió Problema grave o muy grave Problema % Bloquear sitios maliciosos 84% Evitar que se introduzcan virus en la red 83% Reducir la cantidad de software malicioso que entra en la red 82% Reducir la cantidad de software malicioso que podría robar datos y evitar la pérdida de datos confidenciales mediante la salida de mensajes 74% Bloquear la entrada de contenido no deseado, como pornografía o juegos de azar 67% Bloquear las descargas no deseadas de los empleados 58% Mejorar el comportamiento de los empleados, ya que son supervisados 51% Cumplir con requisitos reglamentarios generales o específicos 50% Reducir los requisitos de crecimiento de ancho de banda 47% Iniciar sesión e informar el comportamiento de navegación en Internet del usuario 45% Reducir la responsabilidad de las empresas por el mal comportamiento de los empleados 41% Bloquear el uso de los empleados de correo web personal 27% MÉTODOS DE ENTREGA DE SEGURIDAD Osterman Research ha revelado que los responsables de la toma de decisiones prevén un menor uso de servidores locales y dispositivos contra software malicioso, sistemas contra correo electrónico no deseado y capacidades de seguridad web, como lo ilustra la Figura No obstante, es importante señalar que las soluciones locales han sido durante largo tiempo el método predominante para la implementación de seguridad, aunque con el tiempo un mayor número de estas soluciones se trasladarán a la nube. El alto riesgo de los problemas de seguridad derivados de infecciones de software malicioso da credibilidad al uso de múltiples estrategias de protección, lo que no logra un método, tal vez un segundo (o un tercero) podría lograrlo. Osterman Research cree que hay suficiente margen para un método dual de un servicio contra el software malicioso basado en la nube, combinado con cualquiera de los servidores locales o dispositivos contra el software malicioso. Figura 10 Modelos de entrega para la capacidad contra el software malicioso Servicio basado en la nube Dispositivos Software implementado en servidores internos 2014 Osterman Research, Inc. 10

12 Las organizaciones están haciendo una transición más rápida hacia servicios basados en la nube de sus sistemas contra el correo electrónico no deseado que de aquellos contra el software malicioso. Eso representa un cambio importante en el panorama de los sistemas contra el correo electrónico no deseado y refleja los beneficios de eliminar el correo electrónico no deseado antes de que pueda entrar en la red corporativa. El paso a la nube por sus capacidades contra el correo electrónico no deseado, que está en pleno desarrollo, podría cumplir la promesa de entregar mensajes válidos y limpios a las organizaciones. Figura 11 Modelos de entrega para la capacidad contra correo electrónico no deseado Servicio basado en la nube Dispositivos Figura 12 Modelos de entrega para la capacidad de seguridad en Internet Software implementado en servidores internos El paso a la nube por sus capacidades contra el correo electrónico no deseado, que está en pleno desarrollo, podría cumplir la promesa de entregar mensajes válidos y limpios a las organizaciones. Servicio basado en la nube Dispositivos Software implementado en servidores internos 2014 Osterman Research, Inc. 11

13 ASPECTOS IMPORTANTES A CONSIDERAR ENTENDER LOS RIESGOS Un paso importante para abordar las mejores prácticas para la seguridad y para prácticas de TI en general, es entender los riesgos a los que una organización se enfrenta. Muchos de los responsables de la toma de decisiones subestiman estos riesgos simplemente porque están demasiado ocupados, no cuentan con suficiente presupuesto o no le han prestado la suficiente atención al creciente número de riesgos que enfrentan. Por ejemplo, los responsables de la toma de decisiones en las corporaciones pueden permitir el uso irrestricto de medios sociales, sin ser plenamente conscientes de los riesgos inherentes de actividades peligrosas, como hacer clic en URL abreviadas en Twitter o hacerse amigos por error de cuentas peligrosas en Facebook. Si bien cada organización tiene limitaciones en sus recursos de TI, eso simplemente no será excusa suficiente para no identificar los riesgos clave. Por otra parte, una vez que los responsables de la toma de decisiones han identificado los riesgos, pueden establecer un orden de prioridades y evaluar su nivel actual de preparación para enfrentarlos. Es sumamente importante identificar proyectos e iniciativas clave a través de distintas tecnologías, educación/capacitación de usuarios y un desarrollo de políticas mejoradas. Los responsables de la toma de decisiones enfrentan varios riesgos a causa del uso de correo electrónico, Internet y medios sociales por parte de sus empleados: Los empleados pueden utilizar estas herramientas de forma inapropiada, como por ejemplo enviando mensajes de acoso sexual mediante correos electrónicos, tweets, mensajes de texto, etc. Los usuarios pueden enviar sin darse cuenta contenido que infrinja las leyes de violación de datos, como enviar contenido confidencial sin cifrar, lo que resulta en multas considerables, requisitos de notificación, sanciones y otras consecuencias. Las organizaciones que permiten el uso de dispositivos personales para acceder a correo electrónico corporativo, archivos y otros contenidos deben administrarlos para asegurar el cumplimiento de las obligaciones legales y reglamentarias, así como varias de las mejores prácticas para asegurar que la información o datos confidenciales no sean interceptados por terceros no autorizados. No proteger de manera adecuada todas las plataformas desde las que los empleados trabajan (como computadoras portátiles, smartphones o tabletas personales) puede dar como resultado la infiltración de software malicioso en la red corporativa. Este es un problema creciente a medida que prácticas como Traiga su propio dispositivo (Bring Your Own Device o BYOD) y Traiga su propia aplicación (Bring-Your-Own-Application o BYOA) están cada vez más arraigadas en la mayoría de las organizaciones. No controlar el uso de aplicaciones implementadas personalmente como Dropbox puede aumentar drásticamente los riesgos relacionados con la seguridad en diferentes niveles, tales como infiltración de software malicioso o filtración de datos. La falta de DLP, cifrado, control, archivo u otras capacidades puede permitir que los usuarios, inadvertidamente, violen las políticas corporativas con mayor facilidad. Por ende, es fundamental que la dirección entienda estos riesgos antes de decidir un curso de acción para la implementación de nuevas soluciones de seguridad o modelos de entrega. DEFINIR DÓNDE DEBE TENER LUGAR LA SEGURIDAD Una cuestión clave para la dirección es determinar si la administración interna de la seguridad de medios sociales, correo, así como otra parte de la infraestructura de TI, constituyen o no una competencia básica que es fundamental para el éxito de la organización. Las preguntas clave que los responsables de la toma de decisiones deben responder son estas: Logrará la administración de seguridad contribuir más al balance final usando infraestructura local, administrada internamente por el personal de TI, que usando un proveedor basado en la nube? Mejorará la seguridad si las soluciones siguen administrándose localmente? Debería emplearse un método híbrido que use soluciones tanto locales como basadas en la nube? En caso afirmativo, para cuáles sistemas? 2014 Osterman Research, Inc. 12

14 Muchas organizaciones están considerando la entrega a través de la nube para los distintos tipos de servicios de seguridad a causa de que, a veces, tiene menor costo, el carácter más previsible de los costos de servicio en la nube en comparación con la infraestructura local, la capacidad de liberar personal interno de TI para otras tareas, y la ventaja de bloquear correo electrónico no deseado, software malicioso, correo electrónico de suplantación de identidad y otros contenidos no deseados antes de que puedan llegar a la red corporativa. Por otra parte, el uso de una arquitectura de seguridad híbrida permite que gran parte de este contenido no deseado sea eliminado en la nube, dejando que los sistemas locales realicen una inspección de contenido más exhaustiva de la CPU. DEFINICIÓN DE POLÍTICAS La mayoría de las organizaciones aún no han establecido políticas detalladas y exhaustivas para los distintos tipos de herramientas de medios sociales, correo que han implementado o que permiten utilizar. Como resultado de ello, recomendamos que el primer paso de cualquier organización sea el desarrollo de políticas detalladas que se centren en todas las herramientas de medios sociales, correo que se utilizan o puedan utilizarse. Estas políticas deben centrarse en obligaciones legales, reglamentarias y de otra índole para: Supervisar comunicaciones, blogs, comentarios en medios sociales, etc. en busca de software malicioso Cifrar contenido si contiene información confidencial Administrar el uso de dispositivos personales que tienen acceso a recursos corporativos Fijar políticas ayudará a los responsables de la toma de decisiones no solo a determinar cómo y por qué se está utilizando cada herramienta, sino que también ayudará a determinar qué capacidades pueden migrar o no a soluciones de seguridad basadas en la nube y cuáles deben seguir administrándose internamente. Por ejemplo, si una organización determina que su política de retención de contenido está influenciada por obligaciones reglamentarias para retener datos solo en ciertas jurisdicciones, esto ayudará a determinar si pueden utilizarse servicios de archivo en la nube y, de ser así, cuál proveedor debe utilizarse. Aunque archivar no es un problema aparentemente relacionado con la seguridad, la seguridad y el archivo constituyen decisiones clave, centradas en las políticas, que deben tomarse de manera conjunta. ENTENDER LOS COSTOS Y LOS COSTOS DE OPORTUNIDAD Un requisito clave para que los responsables de la toma de decisiones evalúen con precisión si utilizan o no soluciones de seguridad basadas en la nube es entender el verdadero costo total de la propiedad (TCO) de la administración de la infraestructura local actual. A través de los años, Osterman Research ha observado de manera constante que muchos responsables de la toma de decisiones no comprenden bien estos costos y no se sienten seguros sobre sus cálculos. Si los responsables de la toma de decisiones no entienden con precisión cuánto le cuesta a su organización suministrar determinado servicio a sus usuarios, esto lleva a que se tomen decisiones con escasa información y a una incapacidad para determinar posibles ahorros y el rendimiento sobre la inversión de soluciones de seguridad de la competencia. La seguridad es la esfera de interés más importante para los negocios y para los responsables de la toma de decisiones de TI en el contexto de sus soluciones de seguridad, de correo electrónico e Internet. RESUMEN La seguridad es la esfera de interés más importante para los negocios y para los responsables de la toma de decisiones de TI en el contexto de sus soluciones de seguridad, de correo. Debido a la gran posibilidad de que el software malicioso y otras amenazas afecten a las organizaciones a medida que estas acceden a sistemas de correo electrónico corporativo, aplicaciones web y herramientas de medios sociales, y a la enorme posibilidad de que puedan causar pérdidas financieras y otros daños, los responsables de la toma de decisiones deben centrarse, en gran medida, en las soluciones concretas que se emplearán, y si estas soluciones serán parte de una serie integrada de soluciones o si se implementarán basándose en las mejores, y en los modelos que se utilizarán para su entrega Osterman Research, Inc. 13

15 PATROCINADOR DE ESTE INFORME TÉCNICO Trustwave ayuda a las empresas a combatir la delincuencia cibernética, proteger datos y reducir los riesgos de seguridad. Las soluciones de seguridad de contenido de Trustwave ayudan a los negocios a protegerse contra el software malicioso, los ataques dirigidos y las amenazas combinadas, a la vez que mejoran el control sobre los datos confidenciales y la productividad de los usuarios. Las soluciones de seguridad de contenido disponibles a través de Trustwave incluyen su Puerta de enlace a sitios web seguros, la cual está disponible tanto para administración local como para servicio de seguridad administrado, su Puerta de enlace a correo electrónico seguro, disponible tanto localmente como en la nube, y su tecnología de prevención de pérdida de datos (Data Loss Prevention). Trustwave Para obtener más información acerca de Trustwave, visite Osterman Research, Inc. Todos los derechos reservados. Ninguna parte de este documento puede ser reproducida de forma alguna por ningún medio, tampoco puede distribuirse sin la autorización de Osterman Research, Inc., ninguna entidad aparte de Osterman Research, Inc. podrá revender ni distribuir este documento sin una autorización por escrito de Osterman Research, Inc. Osterman Research, Inc. no proporciona asesoramiento legal. Nada en este documento constituye asesoramiento legal, este documento o cualquier producto de software u otra oferta a la que se haga referencia en este documento no servirá tampoco como sustituto del cumplimiento de cualquier ley (incluyendo, a manera de ejemplo, cualquier legislación, estatuto, reglamento, regla, norma, orden administrativa, orden ejecutiva, etc. (colectivamente, las Leyes )) por parte del lector a la que se haga referencia en este documento. De ser necesario, el lector debe consultar un asesor legal competente con respecto a cualquier ley a la que se haga referencia en este documento. Osterman Research, Inc. no se responsabiliza ni garantiza la integridad o exactitud de la información contenida en este documento. ESTE DOCUMENTO SE PROPORCIONA TAL CUAL SIN GARANTÍA DE NINGÚN TIPO. TODAS LAS REPRESENTACIONES EXPRESAS O IMPLÍCITAS, LAS CONDICIONES Y GARANTÍAS, INCLUYENDO CUALQUIER GARANTÍA DE IDONEIDAD O COMERCIABILIDAD IMPLÍCITA PARA UN PROPÓSITO PARTICULAR, ESTÁN EXCLUIDAS, EXCEPTO EN LA MEDIDA EN QUE DICHAS EXCLUSIONES SEAN DETERMINADAS ILEGALES. REFERENCIAS i ii iii iv v vi ing_customers.html Osterman Research, Inc. 14