La encuesta realizada por Imperva, en colaboración con WhiteHat Securtiy y el Instituto Ponemon, ha descubierto que la mayoría de las empresas, a pesar de tener numerosas aplicaciones de “misión crítica” accesibles a través de sus websites, no asignaban suficientes recursos financieros y técnicos para asegurar y proteger sus aplicaciones web, dejando vulnerables los datos corporativos.

Según el estudio, titulado “El estado de las aplicaciones de seguridad”, la mayoría de los encuestados cree que las aplicaciones web inseguras representan la mayor amenaza de los datos corporativos. Sin embargo, el 70 por ciento señaló que sus compañías no ven las aplicaciones de seguridad como una iniciativa estratégica, ni tampoco creen que sus organizaciones tengan suficientes recursos en el presupuesto para hacer frente al riesgo.

Además, del estudio se desprende que sólo el 18 por ciento del presupuesto de seguridad estaba asignado para hacer frente a la amenaza planteada por las aplicaciones web, mientras que el 43 por ciento iba dedicado a la seguridad del host y la red, áreas que los encuestados consideraban de menor preocupación.

“La seguridad de los datos no se detiene en los firewall de red y los antivirus”, comenta Shlomo Kramer, CEO de Imperva. “El panorama de amenazas ha pasado de los intentos de hacer caer la red, al robo de datos, y ya es hora de dejar de librar la guerra de ayer”.

Datos más que preocupantes

En el “Top 10” de las violaciones de datos de 2009, de acuerdo con la Privacy Rights Organization, el 93 por ciento de los datos comprometidos fueron robados como consecuencia de ataques maliciosos o criminales contra aplicaciones web y bases de datos, y la mayoría de las empresas aún siguen estando muy expuestas.

El estudio de Ponemon reveló que el 61 por ciento de las organizaciones encuestadas tenían hasta 100 aplicaciones web de cara al público para realizar transacciones o acceso a millones de registros de clientes. Sin embargo, casi ninguna daba prioridad a las aplicaciones de seguridad. Este estudio también puso de manifiesto que la gran mayoría los desarrolladores estaban demasiado ocupados como para responder a las demandas de seguridad.

“Las más grandes y recientes violaciones de datos hasta la fecha han sido como resultado de ataques contra las aplicaciones web”, declara Jeremiah Grossman, fundador y CTO de WhiteHat. “Para hacer frente a las amenazas de hoy en día, las empresas deben cambiar su estrategia de seguridad y sus presupuestos, pasando de estar predominantemente basados en las infraestructuras para dar prioridad directamente a los datos y aplicaciones”.

Recomendaciones para una mayor seguridad 

• No se puede asegurar aquello que no se sabe que “le pertenece”. Es necesario hacer un inventario de las aplicaciones web para obtener una mayor visibilidad de lo que está en riesgo, para evitar que los atacantes puedan aprovecharse de las transacciones de dinero o datos.
• Nombrar un “defensor”. Es necesario designar a alguien que pueda impulsar y dirigir la seguridad de datos y que esté preparado para dirigir muchos equipos de apoyo.
• No esperar a que los desarrolladores se hagan cargo de la seguridad. Se debe implementar tecnologías de protección para mitigar el riesgo de las aplicaciones web vulnerables.
• Desplazar presupuesto de la infraestructura hacia la seguridad de aplicaciones web. Con la asignación de recursos, el riesgo se puede reducir de forma drástica e inmediata.

“Nuestra investigación confirma la utilidad de tomar una postura estratégica y prescriptiva a los muchos retos a los que se enfrentan las empresas en la protección de datos valiosos, incluyendo una tasa superior al 60 por ciento de mejora en la solución de las vulnerabilidades conocidas”, explica Larry Ponemon, presidente y fundador del Instituto Ponemon. “Lamentablemente, muchas organizaciones siguen estando paralizadas por la falsa idea de que la seguridad es un desafío demasiado complejo. Este estudio demuestra lo contrario: no hay excusa para no avanzar hacia una mayor y mejor seguridad”.

En la elaboración del estudio han participado 627 profesionales de TI y seguridad de más de 400 empresas multinacionales y organizaciones gubernamentales.