Gran parte del presupuesto de seguridad informática se va en el aseguramiento de las redes y el perímetro. En últimas, es ahí donde se están registrando la mayoría de los ataques. La seguridad del perímetro es uno de los pilares más importantes para la protección de una organización. Sin embargo, según Oracle, gran parte del presupuesto se va en la protección de redes, dejando desnudos los servidores y las aplicaciones que guardan los datos corporativos y la información de los clientes. Eso es como ponerle un gran candado a la casa, pero dejando las joyas de la abuela encima del mesón. Si se logra ingresar a la casa, el criminal tendrá vía libre para hacer sus fechorías.

La encuesta realizada por el gigante de software incluyó 110 empresas en sectores tan diversos como servicios financieros, gobierno y tecnología. El 66% aseguró que gastan la mayoría de los recursos en la protección del perímetro informático de la organización. Menos de un cuarto invirtió recursos y personal para proteger los servidores, las unidades de almacenamiento, las aplicaciones y las bases de datos. Y en alguna medida, esto se puede justificar ya que el 44% de los encuestados dijo que los servidores están situados en los confines de sus redes, que de por sí, ya están protegidas.

Oracle está predicando una estrategia de protección de adentro hacia afuera. Esto quiere decir que es necesario proteger primero las unidades interiores -servidores y aplicaciones- para después ir expandiendo la seguridad hacia afuera. Según ZDNet, si alguien logra penetrar el perímetro usando la ingeniería social, por ejemplo, la organización quedará a la merced del hacker.

Otra cifra muy preocupante del estudio es que el 35% de las empresas que participaron en la investigación aseguró que la configuración del presupuesto de infosec está “influenciado por reportes sensacionalistas en vez de los riesgos reales de la organización”.

“Las organizaciones no pueden seguir gastando en los riesgos equivocados […] Cuando los atacantes logran vulnerar el perímetro aprovechan los laxos controles de seguridad en los sistemas esenciales por medio del acceso que tiene usuarios privilegiados”, dijo Mary Ann Davidson, Chief Security Officer de Oracle. “Las organizaciones no pueden fallar en lo fundamental: seguridad de la base de datos, seguridad de las aplicaciones y la administración de los usuarios”, agregó.

Lo más extraño de toda esta cuestión es que las empresas tienen muy clara la importancia de asegurar los servidores. Es más, la mayoría de las empresas afirmaron que la violación a la integridad de la base de datos es el mayor riesgo ya que contiene información corporativa, propiedad intelectual y datos de los clientes.