PDF de programación - La seguridad, cuanto más simple, más eficaz

La seguridad, cuanto
más simple, más eficaz

Ventajas de la seguridad basada en la nube para las pymes

Tsailing Merrem, director principal de marketing de productos

La mayoría de los proveedores dan por hecho que las pymes cuentan con la
misma experiencia y el mismo personal a tiempo completo para administrar
la seguridad informática que las grandes organizaciones. En el caso de las
PYMES, estos planteamientos genéricos suelen ocasionar costes más altos,
menos productividad y más riesgos.
En este artículo analizaremos la complejidad intrínseca de los productos
de seguridad para grandes empresas y las necesidades de las PYMES, que
son muy diferentes. Después, estudiaremos una alternativa más simple: la
protección para estaciones de trabajo basada en la nube.

Complejidad de la seguridad informática
La falta de atención a las PYMES por parte de los principales proveedores y productos del sector
no es ningún secreto entre los profesionales de la seguridad informática. Las grandes compañías
que dominan el mercado diseñan su oferta para clientes de grandes empresas con equipos de
seguridad dedicados y departamentos informáticos con personal suficiente.

Por desgracia, los productos que satisfacen a la perfección las necesidades de los profesionales
de la seguridad capacitados pueden tener el efecto opuesto y hacer más vulnerables a las pymes
en las que informáticos sin especialización (o los propios usuarios) se encargan de gestionar la
seguridad.

Una de las fuentes de complejidad en los productos de seguridad informática es histórica.
Los catálogos de los proveedores más importantes son el fruto de décadas de aprendizaje e
integraciones de productos. El resultado es una mezcla de tecnologías que se administran desde
una consola compartida con una interfaz saturada de opciones de coordinación y configuración.

Otro foco de complejidad es la parcialidad de los proveedores hacia los usuarios expertos. Los
especialistas en seguridad que necesitan proteger entornos de gran tamaño pueden preferir un
control más granular de todas las funciones y opciones de configuración. Pero para el administrador
de una PYME, tanto detalle puede sobrecargarle de información y llegar a paralizarle.

Crear productos sencillos que las pequeñas empresas puedan utilizar resulta caro y, por eso, la
mayoría de los proveedores se limitan a ofrecer las mismas soluciones con una imagen diferente.

Las pequeñas empresas son un objetivo importante
A pesar de que los proveedores parecen ignorar sus necesidades, las PYMES representan una
gran oportunidad para los ciberdelincuentes. La inmensa mayoría de los casi seis millones de
empresas que operan1 en los Estados Unidos tiene menos de 100 empleados. Según el informe
sobre filtraciones de datos de Verizon de 2013, el 40 % de los 621 incidentes de robos de datos
confirmados en 2012 afectó a empresas con menos de 1000 empleados.2

Los estudios más recientes indican que la seguridad de las empresas más pequeñas es menos
estricta. Según una encuesta patrocinada por Sophos y realizada por el Instituto Ponemon,
los directores informáticos de pymes se conceden una puntuación media de 6 sobre 10 en la
autoevaluación de sus capacidades para mitigar riesgos, vulnerabilidades y ataques. Por término
medio, los encuestados afirmaron disponer de menos de tres trabajadores a tiempo completo
totalmente dedicados a la seguridad informática. Además, pusieron de relieve una amplia gama de
dificultades como, por ejemplo, la falta de personal, presupuesto y expertos internos.

Esta situación podría parecer una gran oportunidad de mercado para los proveedores de seguridad
más importantes, pero la mayoría prefieren la facilidad y la rentabilidad de las ventas a clientes de
mayor tamaño.

Filtraciones de datos por
tamaño de la empresa

21,9 %

6,8 %

31,1 %

19,6 %

9,2 %

11,4 %

Tamaño de la empresa

N.º de filtraciones
de datos
193
57
71
122
42
136
621

1-100
101-1000
1001-10 000
10 001-100 000
Más de 100 000
Desconocido
Filtraciones totales
de datos:

1. http://www.census.gov/econ/smallbus.html
2. http://www.verizonenterprise.com/DBIR/2013/

Monográficos de Sophos. Mayo de 2014.

Fuente: Verizon

2

La seguridad, cuanto más simple, más eficaz El coste de la complejidad
Las pequeñas empresas que confían en productos de seguridad diseñados para grandes empresas
sin los especialistas necesarios para administrarlos, se exponen a una amplia gama de riesgos y
costes.

• Un informático no especializado puede tener dificultades para configurar de forma manual un
sistema de prevención de intrusiones en el host (HIPS) con cientos de reglas e inclinarse por
desactivar la mayor parte de las funciones del producto. Solo un 10 % de las empresas utilizan
todas las funciones de seguridad por las que pagan.

• Un cortafuegos o un sistema de prevención de intrusiones mal configurado puede dejar

agujeros en la seguridad o generar falsos positivos y bloquear a los usuarios, afectando a la
productividad del personal informático y a la empresa en general.

• El uso de políticas de seguridad web diferentes en los filtros de la red y las estaciones puede
crear interferencias y confusión, así como afectar a la velocidad e incluso bloquear el tráfico
legítimo.

• Los contratos de mantenimiento y los servicios de integración de terceros pueden aumentar

considerablemente los costes de seguridad.

• La capacitación continua de los informáticos no especializados en soluciones de seguridad

complejas suele exigir cursos anuales de varios días, que se suman a los costes y ausentan al
personal de la oficina.

Pero todo esto puede evitarse. Los productos de seguridad informática no son complicados
porque no se puedan simplificar para los usuarios menos expertos. Tan solo es necesario que los
proveedores integren parte de los conocimientos y experiencia de los especialistas en los propios
productos.

La sencillez de Sophos
ayuda a MSQ Partners
a recortar los costes
de administración de la
seguridad

"Antes dedicábamos horas
todos los días a intentar
administrar varias soluciones
diferentes en todo el mundo.
Nos costaba llegar a la raíz de
los problemas. Con Sophos, le
dedicamos dos días al mes."

GORDON O’BRIEN
Director informático de MSQ
Partners

Monográficos de Sophos. Mayo de 2014.

3

La seguridad, cuanto más simple, más eficaz Sophos Cloud permite
que un único recurso de
TI pueda gestionar 17
departamentos guber-
namentales de manera
eficaz.

"Sophos Cloud se ajusta
perfectamente a mis
necesidades, como un
departamento de TI de una
sola persona. Es la solución
antivirus más fácil que he
implementado".

JOEL ROHNE
Director de TI/GIS, Worth County

Posibilidades de la nube para simplificar la
seguridad
Hay un creciente movimiento hacia la seguridad como servicio basada y administrada en la
nube, lo que aporta una ocasión única para mejorar la experiencia de los usuarios, reducir las
complicaciones y aumentar la seguridad. Las soluciones actuales de seguridad informática
basadas en la nube son perfectas para PYMES ya que son fáciles de instalar, configurar y
administrar, y deberían ofrecer protección automática en tiempo real contra la mayoría de
amenazas.

Los productos de seguridad basados en la nube podrían proporcionar fácilmente funciones
sencillas como:

• Gestión de la seguridad unificada: los trabajadores con conocimientos utilizan múltiples
dispositivos para hacer su trabajo. Una solución de seguridad eficaz debe proporcionar una
gestión unificada para proteger dispositivos Windows, Mac y móviles

• Administración, presentación de informes y licencias centradas en los usuarios: proteja a
sus usuarios con independencia de qué dispositivos utilicen. La política basada en el usuario se
configura una vez y se aplica automáticamente en todos los dispositivos. Los administradores
de TI también obtienen una vista única del estado de la seguridad de la organización y pueden
profundizar por usuario o por dispositivo

• Opciones preconfiguradas: las suites de seguridad informática pueden pre-configurarse

para simplificar la configuración de funciones como HIPS, seguridad web y filtrado web, cuyo
despliegue y administración solían exigir conocimientos de especialista

• Filtrado de seguridad web incorporado: puesto que el 90 % de los ataques proceden de la
Web, Sophos ha incorporado el filtrado de seguridad web en todos los productos de seguridad.
El acceso a sitios Web maliciosos o infectados se bloquea automáticamente y los archivos
maliciosos son interceptados antes de que infecten a su organización.

• Política coordinada de filtrado de contenidos web: las capacidades de filtrado web

administradas en la nube e imposición en las estaciones de trabajo ofrecen una protección
uniforme y una imposición de políticas independientemente de dónde se conecten los usuarios.
Cuando un usuario remoto inicia una conexión a Internet, el cliente de seguridad del equipo
impone de forma automática las políticas de conexión y contenido sin necesidad de redirigir
el tráfico. La política predefinida le permite establecer fácilmente las políticas para hacer
frente a los requisitos de seguridad y de cumplimiento. Una vez establecidas, entran en vigor
automáticamente tanto en Windows como en Mac. También puede configurar las políticas
basadas en el tiempo para limitar la navegación no relacionada con el trabajo durante el horario
laboral.

• Despliegue rápido, sin mantenimiento y sin necesidad de configurar un servidor. Los

servicios de seguridad basados en la nube son fáciles y rápidos de instalar. Gracias a que no es
necesario instalar ningún servidor, el despliegue se puede completar en cuestión de minutos.
Es muy sencilla de administrar y no requiere mantenimiento, con actualizaciones automáticas
de software y de amenazas, así como actualizaciones de políticas en tiempo real.

Monográficos de Sophos. Mayo de