La mayor parte de las websites corporativas no son seguras
Según un estudio realizado por Imperva y el Instituto Ponemon, las compañías sólo dedican a la seguridad el 18% del presupuesto.
Un estudio realizado por la firma Imperva y el Instituto Ponemon pone de manifiesto que la mayoría de las empresas, a pesar de tener numerosas aplicaciones de misión crítica accesibles a través de sus websites, no asignaban suficientes recursos financieros y técnicos para asegurar y proteger sus aplicaciones web, dejando vulnerables los datos corporativos.
Según el estudio, la mayoría de los encuestados cree que las aplicaciones web inseguras representan la mayor amenaza de los datos corporativos. Sin embargo, el 70% señaló que sus compañías no ven las aplicaciones de seguridad como una iniciativa estratégica, ni tampoco creen que sus organizaciones tengan suficientes recursos en el presupuesto para hacer frente al riesgo.
Además, del estudio se desprende que sólo el 18% del presupuesto de seguridad estaba asignado para hacer frente a la amenaza planteada por las aplicaciones web, mientras que el 43% iba dedicado a la seguridad del host y la red, áreas que los encuestados consideraban de menor preocupación.
En cuanto al Top 10 de las violaciones de datos de 2009, de acuerdo con la Privacy Rights Organization, el 93% de los datos comprometidos fueron robados como consecuencia de ataques maliciosos o criminales contra aplicaciones web y bases de datos, y la mayoría de las empresas aún siguen estando muy expuestas.
El estudio de Ponemon reveló que el 61% de las organizaciones encuestadas tenían hasta 100 aplicaciones web de cara al público para realizar transacciones o acceso a millones de registros de clientes. Sin embargo, casi ninguna daba prioridad a las aplicaciones de seguridad. Este estudio también reveló que la gran mayoría los desarrolladores estaban demasiado ocupados como para responder a las demandas de seguridad.
Entre las recomendaciones para una mayor seguridad, el Instituto Ponemon señala que es necesario hacer un inventario de las aplicaciones web para obtener una mayor visibilidad de lo que está en riesgo, para evitar que los atacantes puedan aprovecharse de las transacciones de dinero o datos. Además, indica que es necesario designar a alguien que pueda impulsar y dirigir la seguridad de datos y que esté preparado para dirigir muchos equipos de apoyo. Se recomienda implementar tecnologías de protección para mitigar el riesgo de las aplicaciones web vulnerables y desplazar presupuesto de la infraestructura hacia la seguridad de aplicaciones web.