Sunteți pe pagina 1din 19

REPORTE DE ENCUESTA

Prcticas y Prioridades de
Pruebas de Seguridad
ON Osterman Research
Agosto 2016
SPON

sponsored by
Osterman Research, Inc.
P.O. Box 1058 Black Diamond, Washington 98010-1058 USA
Tel: +1 206 683 5683 Fax: +1 253 458 0934 info@ostermanresearch.com
www.ostermanresearch.com @mosterman
Agosto 2016 | Prcticas y Prioridades de Pruebas de Seguridad: Reporte de la encuesta de Osterman Research para Trustwave

Resumen Ejecutivo
Este reporte presenta los resultados de una encuesta que fue conducida por Osterman Research para
Trustwave. La encuesta fue realizada durante Julio del 2016 con miembros calificados del panel de
encuestas de Osterman Research. Para cualificar para la encuesta, los participantes tenan que tener
conocimiento y/o ser responsables de las pruebas de seguridad en sus organizaciones.

Esta investigacin se enfoca en pruebas de seguridad procesos de escaneos de vulnerabilidades de


base de datos, redes y sistemas de aplicaciones que puedan permitir que intrusos penetren y roben
informaciones sensibles y/o confidenciales, datos encriptados, desactivar funcionalidad, o alguna otra
forma de causar daos.

Conclusiones ms importantes

La mayora de las organizaciones no son proactivas con respecto a pruebas de


seguridad
Nuestra encuesta revela que menos de una de cada cuatro organizaciones se considera muy proactivo
en el contexto de pruebas de seguridad, mientras que casi la mitad se considera poco proactivo.

Muchas organizaciones no realizan pruebas de seguridad


La mayora de las organizaciones conducen pruebas de seguridad combinando recursos internos con
terceros, y dos de cada cinco organizaciones administran pruebas de seguridad internamente. Sin
embargo, encontramos que una de cada cinco organizaciones no ha hecho ninguna prueba de seguridad
de ningn tipo en los ltimos seis meses; entre todos los encuestados, 66% lo hacen mensualmente o
ms frecuente que mensualmente, y la mayora no realiza pruebas de seguridad regulares despus de
cada cambio en infraestructura.

La mayora piensa que las pruebas de seguridad son unas de las mejores prcticas de
seguridad
A pesar del hecho que muchas organizaciones no conducen pruebas de seguridad sobre los activos de
TI desarrollados internamente o comprados, dos tercios cree que las pruebas de seguridad son una de
las prcticas de seguridad ms importantes.

Las pruebas de seguridad y revisiones no son frecuentes en muchas organizaciones


Ambas, pruebas de seguridad y revisiones, no tienen fuerte presencia: solo 5% conduce revisiones
detalladas de seguridad para evaluar vulnerabilidades da a da y solo 24% lo hace semanalmente o
varias veces a la semana. Sin embargo, 25% de las organizaciones entrevistadas conducen revisiones
cada 3 meses o anualmente, y 20% solo cuando perciben la necesidad.

Los desafos de pruebas de seguridad abundan


Entre los desafos ms importantes descubiertos en la encuesta, los ms citados fueron la falta de
personal, la falta de tiempo para realizar las pruebas de seguridad, y la necesidad de habilidades para
apoyar pruebas ms frecuentes.

2016 Osterman Research, Inc. Todos los derechos reservados. 1


Utilizar terceros comenzar a ser ms popular
Para hacerle frente a estos temas de seguridad, una gran parte de los encuestados estn abiertos a la
idea de utilizar terceros, como proveedores de servicios de seguridad administrados, para conducir
pruebas para ellos. Treinta y cinco por ciento de ellos respondieron que ya lo estn haciendo, mientras
que el 21% planea asociarse con un MSSP (Managed Security Service Provider) el prximo ao. Solo
9% de aquellos encuestados no planean utilizar servicios de pruebas de seguridad.

Nadie es inmune a ciberataque


Nuestra investigacin revela que 71% de los entrevistados han sufrido un ataque phishing y/o de
ingeniera social durante los 12 meses anteriores a la encuesta, 59% de ellos fueron vctimas de
infiltracin de malware, y 28% sufrieron ataques DDoS (denial-of-service). Noventa y cinco por ciento de
los que respondieron a la encuesta enfrentaron al menos uno de la docena de temas comunes de
seguridad con vulnerabilidades detalladas en la encuesta.

Cada vez ms la nube es foco de aplicaciones corporativas


Ochenta y siete por ciento de las organizaciones entrevistadas lanzaron o actualizaron proyectos durante
los ltimos 12 meses y la plataforma ms mencionada fue la nube.

2016 Osterman Research, Inc. Todos los derechos reservados. 2


Conclusiones de la encuesta

Ataques a la seguridad y brechas son comunes


La mayora de las organizaciones encuestadas han sido vctimas de un nmero significativos de
ataques, incluido de ingeniera social/phishing e infiltracin de malware de diferentes tipos, como
muestra la Figura 1. Nuestra investigacin tambin encontr que ataques como distributed denial-of-
services (DDoS), ataques contra aplicaciones, y robo de datos de clientes en redes corporativas son
comunes.

El xito de phishing y otras infiltraciones vara dependiendo de varios de factores que incluyen: la culpa
de la vctima, su entrenamiento, la vulnerabilidad de la aplicacin, la infraestructura de la seguridad de la
compaa, entre otros. Sin embargo, hay cuatro razones claves por las cuales el phishing es exitoso hoy:

Muchas aplicaciones comunes tienen una o ms vulnerabilidades y el nmero de esas


vulnerabilidades contina en crecimiento, lo que significa que los criminales encuentran xito
fcilmente al introducir malware a travs de ingeniera social y ataques phishing. Osterman
Research descubri que entrenamiento en seguridad en la mayora de las organizaciones no es
adecuado para ayudar a los usuarios a defenderse contra ataques phishing.

2016 Osterman Research, Inc. Todos los derechos reservados. 3


Los usuarios comparten una enorme cantidad de informacin a travs de las redes sociales,
proporcionando a los cibercriminales con informacin que pueden usar para generar ataques
personalizados e inclusive mensajes mucho ms crebles.

Los cibercriminales son cada da mejores en penetrar las defensas corporativas, incluyendo
aplicaciones vulnerables. Mensajes perfeccionados y contenido personalizado hacen que los
intentos de phishing sean ms crebles; es ms probable que las victimas hagan click en los links
y en los archivos adjuntos.

Algunas soluciones anti-phishing no tienen una base de datos con inteligencia en tiempo real, lo
que las hace menos efectivas que aquellas que si tienen esa capacidad.

2016 Osterman Research, Inc. Todos los derechos reservados. 4


La nube domina las nuevas opciones de servicios
Siete de cada ocho organizaciones encuestadas han lanzado proyectos o actualizaciones de TI. Casi
dos tercios de las organizaciones encuestadas lanzaron proyectos o actualizaciones en la nube, mientras
que ms de la mitad lanzaron o actualizaron el portal en la web, como muestra la Figura 2.

Muchos creen que el uso de soluciones en la nube para lidiar con intentos de phishing y que otros
contenidos maliciosos lleguen hasta los puntos finales puede ser una de las mejores prcticas para
reforzar soluciones de seguridad existente o agregar niveles de defensas a una solucin en la nube.
Muchas organizaciones tienen mucho que enfrentar cuando hablamos de phishing y malware, por eso el
uso de soluciones basadas en la nube es visto como un suplemento importante para las defensas
existentes. Esto es parte de una tendencia global de mover funcionalidad hacia la nube, como muestra el
rpido crecimiento de aplicaciones de productividad para negocios que se mueven a la nube como CRM,
ERP, HR y otras.

2016 Osterman Research, Inc. Todos los derechos reservados. 5


Las organizaciones son proactivas con respecto a las pruebas de
seguridad?
En el contexto de pruebas de seguridad, los que toman las decisiones y los que ejercen influencia no
creen que sus organizaciones son altamente proactivas. Como muestra la Figura 3, menos de un cuarto
de los que toman las decisiones y los que ejercen influencia se clasifican como muy proactivos,
mientras que la mitad cree que sus organizaciones son algo proactivo. Sin embargo, casi una de cada
tres organizaciones se considera como algo reactivo, muy reactivo o no toma ningn paso con
respecto a las pruebas de seguridad.

Los datos que figuran arriba revelan que una de las razones por las cuales diferentes tipos de brechas
de seguridad son tan comunes es que, a pesar de que el nmero de vulnerabilidades alcanz nmeros
records, menos de un tercio de los que toman las decisiones y los que ejercen influencia cree que sus
organizaciones son altamente proactivas con respecto a pruebas de seguridad.

2016 Osterman Research, Inc. Todos los derechos reservados. 6


Cmo conducen pruebas de seguridad las organizaciones?
Cuando las organizaciones prueban la capacidad de seguridad de activos de TI nuevos o existentes y
productos disponibles en el mercado, casi la mitad utiliza una combinacin de personal interno y
recursos tercerizados, como proveedores de servicios de seguridad administrados (MSSPs - Managed
Security Services Providers), como muestra la Figura 4. Sin embargo, casi dos de cada cinco
organizaciones emplean solo personal y recursos internos, mientras que muy pocos utilizan
exclusivamente terceros para pruebas de seguridad.

2016 Osterman Research, Inc. Todos los derechos reservados. 7


Uno de cada cinco no realiza pruebas de seguridad
Nuestra investigacin encontr que la mayora de las organizaciones realizaron pruebas en redes
durante los seis meses anteriores a la encuesta, tres de cada cinco realizaron pruebas en aplicaciones y
aproximadamente dos de cada cinco realizaron pruebas en la base de datos, como muestra la Figura 5.
Sin embargo, aproximadamente una de cada cinco organizaciones report no haber realizado ningn
tipo de pruebas de seguridad durante los seis meses anteriores a la encuesta.

Es importante notar la gran diferencia entre pruebas de redes y otros tipos de pruebas, y las
vulnerabilidades que esto crea en las organizaciones. Como las aplicaciones, bases de datos, y
aplicaciones mviles sirven como puertas de entrada a datos sensibles, como emails e informacin de
clientes, es imperativo que se realicen pruebas en todas las reas con posibles vulnerabilidades.

2016 Osterman Research, Inc. Todos los derechos reservados. 8


La mayora percibe valor en pruebas de seguridad
A pesar de la frecuencia relativa de pruebas de seguridad o la revisin de estas pruebas, la mayora de
las organizaciones encuentra escaneos de vulnerabilidades automatizados y pruebas de penetracin en
profundidad valiosas o extremadamente valiosas, como muestra la Figura 6. Inclusive, si combinamos las
tres mayores calificaciones de nuestra encuesta (algo valiosas, valiosas, extremadamente valiosas)
escaneos de vulnerabilidades automatizados llega a un 91% de los encuestados, mientras que pruebas
de penetracin en profundidad a 89%.

Los datos en la figura de arriba revelan que mientras los que toman las decisiones estn enfocados en la
seguridad encuentran valor en escaneos de vulnerabilidad automticos y pruebas de penetracin en
profundidad. Ellos estn limitados por otros factores que a veces previene pruebas adecuadas de sus
propias redes, aplicaciones o bases de datos construidas internamente o aquellas que obtienen de
terceros.

2016 Osterman Research, Inc. Todos los derechos reservados. 9


Las pruebas de seguridad son espordicas: revisin de la frecuencia de las
pruebas de seguridad son inclusive menos frecuentes
Mientras que ms organizaciones conducen pruebas de seguridad mensualmente o con menos
frecuencia, las revisiones detalladas para evaluar vulnerabilidades son menos comunes. Como muestra
la Figura 8, solo 5% de las organizaciones encuestadas conducen revisiones de seguridad diaria,
mientras que casi dos tercios lo hacen menos que una vez por mes.

2016 Osterman Research, Inc. Todos los derechos reservados. 10


La mayora no conduce pruebas de seguridad regularmente antes de
cambios en infraestructura
Nuestra investigacin encontr que la mayora de las organizaciones implementan pruebas de seguridad
despus de que se realizan cambios en su infraestructura, pero muchas solo lo hacen ocasionalmente,
como muestra la Figura 9. Ms de uno de cada cinco organizaciones no realiza pruebas de seguridad
despus de cambios en infraestructura.

2016 Osterman Research, Inc. Todos los derechos reservados. 11


Hay varios desafos para pruebas de seguridad
Las organizaciones enfrentan una variedad de desafos en el contexto de pruebas de seguridad. Como
se muestra en la Figura 10, aproximadamente una mitad de los que toman las decisiones y los que
ejercen influencia reportan que ellos no tienen suficiente personal disponible para conducir pruebas de
seguridad regularmente, mientras que dos de cada cinco no tienen suficiente tiempo para dedicar a
pruebas de seguridad, ni tampoco cuentan con las habilidades internas. Interesantemente, una de cada
cuatro organizaciones reporta que uno de sus ms grandes desafos es que personas claves en la
organizacin no estn comprometidos con la importancia de realizar pruebas de seguridad.

A travs de la encuesta tambin preguntamos sobre las capacidades que las organizaciones les gustara
tener disponibles, pero que hoy no tienen. Las cinco habilidades ms importantes de la lista son:

Capacidad de realizar pruebas automticas

Personal adicional con habilidad de evaluar la seguridad de las aplicaciones

Mejores herramientas

Ms anlisis profundo y rpido sobre vulnerabilidades

Ms tiempo para conducir pruebas de seguridad

2016 Osterman Research, Inc. Todos los derechos reservados. 12


La mayora actualmente utiliza capacidades internas para lidiar con
incidentes de seguridad
Aproximadamente dos tercios de las organizaciones encuestadas emplean solamente personal y
recursos internos para lidiar con incidentes de seguridad, mientras que ms de un cuarto de los
encuestados utilizan una combinacin de recursos internos y externos, como proveedores de servicios
de seguridad administrados (MSSP - Managed Security Service Provider), como muestra la Figura 7.

Mientras que los datos en la figura de arriba parecen no tener lgica en el contexto de pruebas de
seguridad, en realidad revelan la dependencia excesiva en personal y recursos internos para lidiar con
incidentes de seguridad. Esto puede ser parte de un problema inclusive mayor, como es no tener
suficiente recursos para realizar pruebas de seguridad adecuadas. Por ejemplo, como muestra la Figura
9, muchas organizaciones no tienen suficiente personal, tiempo o experiencia interna para realizar
pruebas de seguridad. Esto resulta en una mayor probabilidad que vulnerabilidades queden sin ser
descubiertas y que esto lleve a brechas de seguridad.

2016 Osterman Research, Inc. Todos los derechos reservados. 13


Y qu sobre utilizar solo un tercero?
Aproximadamente uno de cada cinco profesionales encargados de tomar decisiones e influenciadores
prefieren usar solo un tercero para realizar pruebas de seguridad, mientras que otro tercio prefiere elegir
un proveedor por cada caso, como muestra la Figura 11. Aproximadamente uno en cinco organizaciones
no tienen preferencias sobre quien conduce las pruebas de seguridad o no ha tomado la decisin
todava.

2016 Osterman Research, Inc. Todos los derechos reservados. 14


Usarn terceros las organizaciones en el futuro?
Actualmente, aproximadamente un tercio de las organizaciones utilizan terceros, como MSSPs, para
pruebas de seguridad, como muestra la Figura 12. Sin embargo, 21% planea empezar usar un tercero el
prximo ao, mientras que 36% ir a hacerlo en ms de un ao o no est seguro de sus planes. Solo 11
profesionales indicaron algn tipo de oposicin a usar terceros para pruebas de seguridad.

2016 Osterman Research, Inc. Todos los derechos reservados. 15


Resumen y reas para Considerar:
Basado en los resultados de la investigacin de este reporte, existen algunos puntos de recomendacin
para consideracin con respecto a pruebas de seguridad:

Las organizaciones deben considerar asociarse con un MSSP (Managed Security Service
Provider) para hacerle frente a la falta de personal, habilidades y recursos. Si bien recursos
internos deben seguir siendo utilizados, est ms que claro que el personal interno est limitado
en su habilidad de realizar pruebas de seguridad adecuadamente y remediar brechas de
seguridad.

Considere plataformas de pruebas que puedan trabajar con bases de datos, redes y
aplicaciones. Es esencial que las organizaciones hagan pruebas en redes, en cada aplicacin y
en cada lugar donde se almacenen datos sensibles o informacin confidencial, para encontrar
vulnerabilidades que pueden acabar en una prdida de datos o fallando en satisfacer los
objetivos de cumplimiento.

Considere plataformas de pruebas que consigan realizar escaneos de vulnerabilidades


automatizados y que ofrezcan pruebas de penetracin en profundidad para descubrir la mayor
cantidad de vulnerabilidades posibles, inclusive despus de una actualizacin menor.

Finalmente, vulnerabilidades en las aplicaciones, base de datos y redes tiene que ser de alta
prioridad para cualquier organizacin, no simplemente un pensamiento una vez que una solucin
fue implementada o actualizada. Al hacerle frente a las vulnerabilidades antes que las soluciones
sean implementadas, las organizaciones pueden prevenir brechas de seguridad y reducir
substancialmente el riesgo corporativo al mismo tiempo.

2016 Osterman Research, Inc. Todos los derechos reservados. 16


Sobre la encuesta
En nombre de Trustwave, Osterman Research realiz la encuesta en Julio del 2016 con miembros de un
panel, la mayora de ellos situados en Estados Unidos. Para calificar para la encuesta, los encuestados
deberan tener conocimiento y/o ser responsables de las pruebas de seguridad en sus organizaciones.
Con un promedio un poco debajo de 14.700 empleados por compaa, el nmero promedio de usuarios
de email fue de 12.130. Un gran rango de industrias fueron incluidas en la entrevista, como muestra la
Figura 13. Un total de 126 de encuestas fueron completadas, brindando un margen de error mximo de
+/- 8.7%.

2016 Osterman Research, Inc. Todos los derechos reservados. 17


2016 Osterman Research, Inc. Todos los derechos reservados.

Ninguna parte de este reporte puede ser reproducido de ninguna manera o medio, tampoco podr ser
distribuido sin el permiso de Osterman Research, Inc., tampoco puede ser vendido o distribuido por
ninguna otra entidad que no sea Osterman Research, Inc. Sin autorizacin por escrito por Osterman
Research, Inc.

Osterman Research, Inc. no provee consejos legales. Nada en este documento constituye consejos
legalos, tampoco este documento o software referido en este documento sirve para el lector como
cumplimiento en frente de cualquier ley (incluyendo pero no limitado a ningn acta, estatuto, regulacin,
regla, directiva, orden administrativa, orden ejectvia, etc.) referenciada en este documento. Si es
necesario, el lector debe consultar con un consultor legal sobre las leyes referenciadas en el documento.
Osterman Research no representa o garanta que la informacin en este documento sea exacta o est
completa.

Este documento es otorgado como es sin ninguna garanta de ningn tipo. Todo lo expresado o
representado implcitamente, todas las condiciones y garantas incluyendo alguna garanta implcita
sobre la comercializacin o la destreza para un propsito particular, es rechazado, excepto en caso que
las declaraciones sean determinadas como ilegales.

2016 Osterman Research, Inc. Todos los derechos reservados. 18