Las soluciones de seguridad para correo y sandbox serán las que más crezcan

fortinet-day

Fortinet, empresa 100% de venta indirecta, reúne a sus socios de canal y usuarios finales para contextualizar su visión sobre el negocio, los nuevos retos a los que debe enfrentarse las empresas y actualizar conocimientos.

Mientras se celebraba el Fortinet Security Day entre más de 300 socios de canal y clientes finales, se estaban lanzando cada segundo desde múltiples lugares del mundo una docena de ciberataques con consecuencias económicas y reputacionales impredecibles. En esta lotería que nadie quiere jugar, es difícil que no toque el premio gordo algún día, solo es cuestión de tiempo, no de nombre.

Según el estudio presentado para la ocasión a la audiencia, “Estado de la Ciberseguridad, el Compromiso de la Dirección”, encargado este verano a la consultora independiente Loudhouse, el 84% de las empresas españolas reconocen haber sufrido una brecha de seguridad en los últimos dos años. “Por cada paso que dan las empresas para protegerse, los ciberatacantes avanzan dos. El compromiso de la alta dirección de la compañía es clave para reducir este desfase”, señaló Acacio Martín, director regional para España y Portugal de Fortinet. “Aunque falta concienciación y más apoyo por parte de la dirección, el estudio pone de relieve que el 72% de las empresas españolas destinan hoy más presupuesto a ciberseguridad que hace un año y que el 61% de las organizaciones revisaron sus presupuestos tras sufrir una brecha de seguridad (aunque en el 77% de los casos sea una simple actualización de los programas). Sin embargo, en esta cuestión vital para el negocio, deberíamos ver el vaso medio vacío y no medio lleno cuando casi la mitad de los responsables TI y decisores de compras consideran que la ciberseguridad todavía no es una prioridad en su empresa”.

Sólo cuando el WannaCry o el Petya de turno impacta de alguna manera en sus bolsillos es cuando se acuerdan del tema y el CEO pide responsabilidades al CIO, y este al CISO; entonces es el 63% de los jefazos cuando reconocen que la inversión es inadecuada. Al menos el 53% de las empresas españolas dedica un 10% de su presupuesto TI al tema de la seguridad, “una cifra nada desdeñable”, señala Acacio Martín. “A nosotros nos gustaría que fuera todo, el 100%, pero nos contentamos con que si aumenta la cantidad destinada a TI se mantuviera ese porcentaje”. No hay una cifra mágica que diga cuál es el porcentaje apropiado para garantizar la seguridad: “Depende”, añade. “Lo que sí hemos detectado que es un punto estratégico es la simplificación. Todo el mundo consultado declara que le gustaría reducir el número de proveedores que acompañen en esa transformación digital y ese viaje a la nube, y que la seguridad estuviera embebida y trabajara de manera automática. Por eso estamos trabajando en proporcionar soluciones integradas y mejorar los acuerdos de partnership, hemos abierto nuestras APIs para que las aplicaciones del mercado puedan interoperar en un mismo ecosistema, sean del fabricante que sea. Muchas empresas no se pueden permitir el lujo de tener un montón de soluciones inconexas que exigen un gran esfuerzo de gestión y contar con expertos en cada una”.

Quizás por ahí venga el interés demostrado por AccelOps en su día para reforzar parte del SIEM (Security Information & Event Management) y la apuesta decidida por las soluciones sandbox, lo que la sitúa según Gardner como la empresa más visionaria actualmente en su cuadrante mágico. “Tenemos un potente flujo de caja, y más de 1.000 millones de dólares para seguir invirtiendo y poder reforzarnos si hiciera falta”, avisa el country manager de Fortinet.

El estudio, que planteaba a 1.801 responsables ITDM de empresas de más de 250 trabajadores de 16 países (entre ellos España), entre otras cuestiones, cuál es el nivel de compromiso de la alta dirección con la ciberseguridad, si es ésta una de sus prioridades o cómo han influido las últimas brechas de seguridad en el cambio de estrategia, desvela que es el asunto regulatorio, en especial en la zona europea con el RGPD, cuando comienzan las llamadas para asegurarse de que esté todo controlado al enterarse de las fuertes multas en las que pueden incurrir. “Al menos un tercio de los encuestados españoles entienden que la concienciación de la dirección sobre la importancia de la seguridad se ha visto impulsada por la mayor presión regulatoria. Ante las posibles multas, que pueden afectar muy seriamente las finanzas de las organizaciones, la dirección no tiene más remedio que interesarse por ello”, se señala. “Pero aún son más los altos ejecutivos, casi la mitad si salen en los periódicos por alguna falla de seguridad, que actúan por reacción. Las brechas de seguridad han traspasado despachos, llevando al terreno de la dirección un tema hasta ahora circunscrito al departamento TI”.

En un futuro próximo el interés por la ciberseguridad será aún más prioritario, cuando alcance al 77-83% de los directivos. La transición a la nube será otro potente catalizador. “Hay que hacer entender que los datos ya no están en su CDP, sino repartidos por medio mundo, en un medio que ya no controlas directamente. Y aunque se venda que la seguridad es más alta, no por estar en AWS o Azure, que se presupone que ponen más medios que nadie, debe de dejar de ser una prioridad. Hay que estar concienciado y con más razón que nunca, el usuario debe seguir siendo el dueño de sus datos y responsable de su seguridad, no delegarla a otros”.

Filippo Cassini y Acacio Martín, en el Fortinet Security Day.
Filippo Cassini y Acacio Martín, en el Fortinet Security Day.

Formación imprescindible la empresa

El estudio revela una clave más. A la pregunta de ¿qué cosas hubiera hecho mejor? La mayoría de los encuestados señalan haber invertido más en formación para concienciar a los empleados. Una cosa que ya han realizado el 52% de las compañías españolas y que ya está en la agenda de 2018 para dos tercios de las empresas. “A los trabajadores se les escamotea tanto información de las consecuencias como formación específica para asimilar hábitos saludables. Se gasta mucho en conocer nuevas metodologías y programas corporativos, pero muy poco en cómo no meter la pata”, explicaba Filippo Cassini, vicepresidente senior Worldwide Systems Engineering. “El 90% de los ataques se producen en la primera capa, la del correo electrónico (por técnicas de phising) o en una segunda, de navegación web (por clicar donde no se debe). Eso se remedia con formación interna. Una tercera capa, toda la amplitud del sistema, requiere ya de una automatización de procesos (por ejemplo, sandboxes)”.

Según Cassini, hay una serie de retos para los que deben prepararse las organizaciones: el edge computing va a extender el perímetro a una red sin fronteras, “inabarcable”; lo lento no funciona, más equipos pones en la red, menos corre esta; y la complejidad es el mayor enemigo de la seguridad. “No es una cuestión de volumen, sino de velocidad y de rendimiento. La seguridad debe dejar de ser considerada una inversión de TI para formar parte de las decisiones estratégicas del negocio, dentro de una estrategia más amplia, la de la gestión del riesgo de las organizaciones”, explicaba Filippo Cassini. “De igual manera, la seguridad por diseño debe ser un concepto intencionado parte del negocio y no un añadido. Hay que saber incorporar las políticas de seguridad necesarias en las infraestructuras para que automáticamente sean trasladadas al negocio. Para ello deben estar escritas en el lenguaje del negocio y no en el de la tecnología, se requerirá poder traducirlas para que se entiendan mediante machine learning y machine-to-machine. Esa es la idea del ‘fabric’ en acción, inteligencia y protección completa para toda la superficie del ataque”.