BLOG

Hábitos de seguridad de las personas altamente seguras de sí mismas

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 13 de marzo de 2017

Perspectivas del estado de la entrega de aplicação de 2017

Tanto los ejecutivos como los profesionales de seguridad son un grupo pragmático, al menos en términos de sus niveles de confianza en resistir ataques a la capa de aplicação .

Curiosamente, no es probable que ninguno de los dos grupos sea pesimista sobre sus posibilidades de combatir tales ataques. Solo el 5% de cada grupo en nuestra encuesta sobre el estado de la entrega de aplicação no tenía confianza en la capacidad de sus organizaciones para resistir un ataque a la capa de aplicación. Pero eso tampoco significa que sean optimistas sobre sus posibilidades. Solo el 10% de los profesionales de seguridad y el 13% de los ejecutivos estaban completamente seguros de que podían luchar contra los malos y ganar en el juego de la seguridad de las aplicaciones.

Ejecutivos vs. confianza en seguridad

De hecho, sus opiniones estaban mucho más sesgadas en algún punto intermedio, donde se encuentra el pragmatismo (realismo).

El cuarenta por ciento (40%) del personal de seguridad estaba indeciso, ni más ni menos seguro. Un porcentaje similar de ejecutivos (37%) estuvo de acuerdo. Lo cual parece una postura razonable a adoptar hoy en día. Puedes tener confianza en que puedes soportar lo que sabes, en este momento, que está ahí afuera. Pero ese es el problema con la seguridad: lo desconocido está a punto de convertirse en una amenaza.

Entonces, ¿qué hace que ese 10% aproximadamente de profesionales y ejecutivos de seguridad tengan tanta confianza en la postura de seguridad de su organización? ¿Qué saben ellos que quizá otros no saben?

Servicios desplegados por Confianza Soad17

Para averiguarlo, comencé a analizar y segmentar datos. Mencionamos en el informe completo que aparentemente la implementación de un firewall de aplicação web y, en menor medida, protección DDoS, contribuyeron a los niveles de confianza de los encuestados con respecto a resistir ataques a la capa de aplicação . Pero, por supuesto, estos no son los únicos dos servicios de seguridad disponibles; estamos rastreando ocho de ellos en este momento.

Parecería razonable, entonces, suponer que otros servicios de aplicaciones de seguridad podrían tener un impacto en la confianza que la gente tiene en la postura de seguridad de sus organizaciones. Un análisis rápido de los datos mostró que ese podría ser el caso.

Para cada uno de los ocho servicios de seguridad que estamos rastreando, encontramos un mayor porcentaje de servicios implementados por aquellos con mayor confianza. La diferencia en el estado de implementación según el nivel de confianza de cada servicio fue generalmente dramática. En promedio, los encuestados con menor confianza tenían un estado de implementación de los servicios de seguridad de las aplicaciones un 24 % inferior en general. Menos servicios de seguridad, menor confianza. ¿Coincidencia? No me parece.

Pero no es solo la implementación de servicios de seguridad lo que podría contribuir positivamente (o negativamente) a la confianza de que las personas pueden resistir un ataque a la capa de aplicación. La forma en que se emplean esos servicios de aplicaciones para proteger las aplicaciones también es importante.

Protección de superficies por confianza soad17

Cada año preguntamos a la gente cómo protegen sus aplicaciones. Identificamos tres superficies de ataque principales que necesitan protección: el cliente, la solicitud y la respuesta. Esto se debe a que cada uno ofrece un punto único en el tiempo con diferentes tácticas de seguridad (y, por lo tanto, servicios) para proteger y defender mejor las aplicaciones y sus valiosos datos. Pedimos a los encuestados que describan con qué coherencia aplican las políticas de seguridad a cada una de las tres superficies: siempre, nunca o a veces. A estas alturas, estoy seguro de que a nadie le sorprenderá saber que las personas con mayor confianza siempre protegen las tres superficies. Y a la inversa, los que tienen los niveles más bajos tienden a no proteger nunca ninguna de las superficies. 

Obviamente este no es el único factor que influye en el nivel de confianza. Un pequeño porcentaje de personas con menor confianza siempre protege estas superficies de ataque. Y a la inversa, algunos con la mayor confianza nunca protegen estas superficies. El hecho de que las personas con menor confianza a veces deban proteger estas superficies indica que es un factor que contribuye, pero ciertamente no el único o habría una correlación mayor entre no proteger nunca las superficies y la menor confianza. 

Aun así, más de la mitad de los que tienen mayor confianza siempre protegen al cliente (60%), la solicitud (61%) y la respuesta (57%).

¿Coincidencia? Repito, no lo creo.

Por supuesto, no podemos establecer una relación causal entre la implementación y la aplicação de servicios de aplicaciones de seguridad y los niveles de confianza, pero podemos ver claramente que existe una correlación entre ellos.

Los profesionales de TI con mayor confianza en su capacidad para resistir ataques a la capa de aplicação tienen más probabilidades de implementar servicios de aplicaciones de seguridad y proteger de forma proactiva las tres superficies de ataque que sus contrapartes más pesimistas. Algo a tener en cuenta si te sientes un poco "meh" acerca de tus posibilidades de defenderte contra lo que pueda traer el mañana.