Hacen falta nuevas herramientas para garantizar la seguridad empresarial

Recomendados:  Dermofarm cuida de su correo electrónico con Barracuda y Sothis Leer  Asegurando la calidad del dato con Data Quality Leer

Las empresas en proceso de digitalización están migrando cada vez más servicios críticos y aplicaciones a la nube, y está aumentando el uso de aplicaciones web API-Centric, conformando un ecosistema tecnológico complejo y difícil de proteger. Pero en el campo de la seguridad muchas empresas se han quedado atrás, y los responsables se ven en dificultades para proteger adecuadamente los sistemas. Un reciente estudio realizado por Fastly, proveedor de una plataforma cloud, indica que las empresas necesitan cambiar hacia un enfoque de seguridad más unificado, moderno y sencillo de utilizar.

La preocupación de los responsables de seguridad proviene en gran medida del creciente número de falsos positivos y ofertas obsoletas, y a los ineficaces sistemas de bloqueo de amenazas que se utilizan en su organización. Atender estas cuestiones consume mucho tiempo y recursos que deberían dedicarse a otras áreas de seguridad más importantes, y se complica sobremanera la protección de los servicios de misión crítica en la nube y de aplicaciones web centradas en API, entre otros sistemas.

Esto revela que los sistemas de seguridad tradicionales no están a la altura de las necesidades de las organizaciones digitalizadas, que necesitan más flexibilidad, agilidad y velocidad para avanzar de forma segura en la era digital. A medida que evoluciona el ecosistema de desarrollo de aplicaciones y progresa el despliegue de arquitecturas basadas en microservicios las empresas modernas deberían actualizar sus herramientas de seguridad a los nuevos tiempos.

Kelly Shortridge, principal tecnólogo senior de Fastly, explica que “uno de los mayores retos de seguridad que vemos hoy en día es que las tecnologías están evolucionando rápidamente para servir mejor a la creciente demanda de experiencias digitales, pero las ofertas de seguridad que protegen esas tecnologías no están experimentando el mismo nivel de transformación, y a menudo erosionan los beneficios de los modernos stacks tecnológicos”. Afirma que “las herramientas de seguridad deberían impulsar la innovación, apoyar activamente la resiliencia de los servicios y minimizar la interrupción de los flujos de trabajo de entrega de software, en lugar de ralentizar los ciclos de desarrollo y producir datos inconexos, inoperantes o irrelevantes”.

Su investigación revela que, a pesar de que las empresas invierten una media de más de 2 millones de euros en soluciones de seguridad para las aplicaciones web y las APIs, el 75% dedican tanto tiempo a los falsos positivos como a las amenazas reales, lo que es insostenible y peligroso. Sus datos muestran que las empresas han sufrido una media de 60 ataques exitosos en los últimos 12 meses. Y que, a pesar de este nivel de amenaza tan elevado, el 91% de las 500 empresas que han participado en esta encuesta reconoce que ha desactivado las herramientas de seguridad o las ha dejado en modo monitorización por miedo a los falsos positivos. Y, entre las que lo han hecho, un 82% lo hicieron menos de un mes después de haber implementado estas herramientas.

Así, en torno a la mitad de los encuestados afirma que garantizar una protección adecuada de las aplicaciones web y las APIs es más difícil que hace dos años. Pero el 64% prevé que la mayoría o todas sus aplicaciones utilizarán APIs en los próximos dos años, lo que da una medida del gran riesgo que enfrentan las organizaciones. Por ello, está aumentando rápidamente la preocupación por las vulnerabilidades, el malware y el robo de datos en los puntos finales.

Las conclusiones del estudio de Fastly son que, de media, las organizaciones utilizan 11 herramientas de seguridad para aplicaciones web y API, e invierten unos 3 millones de dólares al año en estas soluciones. Pero la complejidad aumenta, ya que las empresas necesitan proteger tanto las arquitecturas tradicionales como las nuevas y los entornos de la nube, que se están expandiendo. Ante este escenario, queda claro que las herramientas tradicionales son ineficaces y lastran el desarrollo del negocio, lo que lleva al 91% de empresas a desactivarlas o a ponerlas en modo monitorización.

Teniendo en cuenta que los falsos positivos provocan tiempos de inactividad similares a las amenazas reales, queda claro que las herramientas actuales son inoperantes y deben ser sustituidas por soluciones modernas, que sean capaces de enfrentarse a las complejidades cada vez mayores del ecosistema digital. John Grady, analista principal de ESG, comenta que “la responsabilidad de proteger los activos, los datos y los usuarios de la empresa frente a las ciberamenazas ya no recae únicamente en la organización de seguridad, aunque el panorama de las amenazas sea cada vez más complejo”.

Afirma que “la seguridad de las aplicaciones, en particular, es un deporte de equipo que requiere la aportación y la colaboración interfuncional de muchas partes de una organización. Como resultado, los profesionales de la seguridad se han frustrado con la naturaleza compleja y aislada de las soluciones tradicionales de seguridad de aplicaciones, que no logran abordar estos problemas”. Y concluye que “las empresas modernas requieren herramientas y enfoques uniformes que puedan minimizar las vulnerabilidades entre su infraestructura de nube pública, la arquitectura basada en microservicios y las aplicaciones heredadas, al tiempo que soportan una variedad de personas”.