Las brechas de seguridad en las aplicaciones de colaboración

7 Ene 2009 en Seguridad

Las empresas avanzan en la implementación de aplicaciones de colaboración porque ven aumentar la productividad de sus empleados al tiempo que bajan los costos operativos como comunicaciones y viajes, entre otros.
Se realizó una encuesta a ejecutivos de IT de diversos tamaños de empresas en donde se habían implementado aplicaciones como portales Web, aplicaciones Web 2.0, Common Internet File Systems, IBM Lotus Notes de IBM, sistemas de administración de contenidos o SharePoint de Microsoft. El objetivo de estas aplicaciones era la colaboración interna y con partners externos de negocio.
Un 71% de los entrevistados señaló que en sus organizaciones no se había implantado una seguridad suficiente para la protección de los datos en un entorno de colaboración.
Acceso de usuarios no autorizados a las aplicaciones, datos, información y archivos, sumados a los riesgos de pérdida o brecha en datos, estaban entre las principales preocupaciones.
La empresa que condujo esta encuesta es Rohati Systems. Su CEO, Shane Buckley, reconoce que la colaboración es indispensable para generar productividad e ingresos pero que, a la vez, “es necesario comprender quién accede a qué. Es sorprendente ver que en muchas empresas no se tenga eso en cuenta y que se basen sólo en presunciones.”
Una vez que se determina quién usa cada aplicación, será necesario instalar los controles. “Pero los controles no existen en las aplicaciones de colaboración, que por su naturaleza son casi virales. Como no es posible recodificar las aplicaciones, conviene tener una especie de firewall reforzada en el centro de datos,” agrega Buckley.
En un 79% de los casos contemplados se utilizaba autenticación básica de usuario y password para asegurar las aplicaciones colaborativas. En un 31% de las empresas se usaba secure sign-on como Kerberos, por ejemplo; en otro 26% se utilizaban sistemas ampliados de autorización, como tokens o smart cards.
Con todos esos recursos en funcionamiento, los responsables de IT manifestaron que no alcanzaban para tener la clase de control que garantizara la seguridad en aplicaciones de colaboración.
Un 49% de los entrevistados consideró que su principal problema es el de no poder forzar políticas de acceso consistentes en todas las aplicaciones y datos. Otro 16% destacó su incapacidad para auditar y reportar el acceso y uso para observar requerimientos de normativas (compliance) y un 13% se sentía preocupado por la falta de visibilidad de las acciones de los usuarios.
El acceso no autorizado a las aplicaciones, datos e información, fue otro punto saliente en un 40% de los casos. Un 29% temía fugas y brechas en sus datos; un 14% se preocupaba por el uso no autorizado o malicioso de archivos almacenados en los repositorios de información y un 13% pensaba que los usuarios podrían hacer cambios no autorizados a los datos.
Respecto a los riesgos, la mitad consideró que el mayor riesgo proviene de sus propios empleados y contratados internos. Sólo un 28% mostró preocupación por partners o contratistas externos.