Fuente: SearchSecurity.com

Los profesionales de TI están bajo presión de los ejecutivos de nivel superior para abrir las puertas a las últimas plataformas basadas en web, relajando la política de seguridad web, según una nueva encuesta de 1,300 gerentes de TI.

La encuesta, realizada por la firma de investigación independiente Dynamic Markets Ltd., fue encargada por Websense Inc., proveedores de seguridad web, DLP y correo. Dynamic Markets realizó entrevistas a gerentes de TI en Alemania, Australia, Canadá, China, Francia, Alemania, Hong Kong, India, Italia , el Reino Unido y los EE.UU.

Casi todos los encuestados dijeron que permitían el acceso a algunos servicios basados en web, como webmail, mashups y wikis. Pero más empleados están recurriendo a plataformas de colaboración en línea; algunos se dirigen a Google Apps, que se integran con la plataforma de Google Gmail, y otros se dirigen a sitios populares de redes sociales, como Twitter y Facebook. Algunos usuarios están evadiendo las políticas de seguridad web para acceder a estos servicios, de acuerdo al 47% de los encuestados.

La presión para relajar la política de seguridad web es cada vez mayor. La encuesta encontró que 86% de los gerentes de TI informó sentir presión para permitir un mayor acceso a los sitios web de redes sociales, herramientas de colaboración en línea y otras tecnologías basadas en la nube. La presión proviene de múltiples fuentes, incluyendo la alta gerencia y los departamentos de mercadeo y ventas.

A pesar de las presiones, el 80% confía en sus prácticas de seguridad web en las organizaciones. Sin embargo, la encuesta reveló que muchas organizaciones carecen de firewalls de aplicaciones web y otras herramientas para la defensa contra ataques basados en web.

Sesenta y ocho por ciento dijo que carecía de la capacidad de realizar análisis en tiempo real de contenido Web para evitar fugas de datos. Casi el 60% carecía de la capacidad para prevenir re-direccionamiento de URL y más de la mitad no tiene herramientas para detectar código maligno en sitios web de confianza.

Los ataques basados en la web han ido en aumento, impulsados por herramientas de hacking automatizadas y fáciles de utilizar, que hackers principiantes pueden comprar en el mercado negro. Las últimas herramientas aprovechan fallos en los sitios web, inyectando código malicioso en ellas para atacar a los visitantes con navegadores Web y aplicaciones vulnerables. Los ataques de descargas pasajeras fueron resaltados esta semana por el Equipo de Respuesta ante Emergencias Informáticas de los EEUU (US-CERT, por sus siglas en inglés). La organización dijo que los ataques pasajeros se han visto en sitios web legítimos, y a veces atacan silenciosamente el equipo de la víctima con malware que monitorea el tráfico de la red y roba información sensible.

Chenxi Wang, principal analista de Forrester Research Inc., dijo que el uso de los servicios basados en la nube (Cloud-based Services) a menudo complica la seguridad de los datos y la privacidad. Wang considera como un servicio basado en la nube cualquier servicio Web que aloje datos fuera de la empresa.

La organización puede perder la visibilidad y el control cuando los datos se encuentran en otra red, dijo. Un reciente estudio de Forrester encontró que el 40% del personal está utilizando algún tipo de servicio de nube externo, ya sea con o sin consentimiento de seguridad de IT.

“Las empresas a menudo no saben, cuando pasan una funcionalidad en la nube, el impacto que tiene en las prácticas internas de seguridad y privacidad,” Wang dijo. “Muchas de estas aplicaciones Web 2.0 son aplicaciones de nube, y realmente no lo entienden completamente.”