Empresas usan tecnología obsoleta en su infraestructura

Aunque las vulnerabilidades son inevitables en cualquier software, incluir actualizaciones y parches de manera regular puede minimizar los riesgos. Es por este motivo que siempre se aconseja a los usuarios instalar las últimas versiones de software en cuanto estén disponibles, por más que las actualizaciones a veces sean complicadas o consuman tiempo.

Considerando que casi la mitad de las empresas latinoamericanas utilizan alguna tecnología o software obsoleto, el informe de Kaspersky deja claro que las organizaciones deben priorizar la renovación del software y estar preparadas para invertir y ahorrar dinero a largo plazo.

Ante una brecha de seguridad en las grandes empresas con tecnología obsoleta, tales como sistemas operativos sin parchar, software antiguo o dispositivos móviles no compatibles, los daños financieros pueden alcanzar un promedio de 1’252,000 dólares un 77% más que la media de las empresas con la tecnología completamente actualizada, 709,000 dólares.

En el caso de las PyMES de la región, el promedio de daños financieros alcanza los USD 112,000 para aquellas con tecnología obsoleta, es decir, 51% más que aquellas con TI actualizada, cuyas pérdidas ascienden a 74,000 dólares en el caso de una brecha de seguridad

Entre las razones para no actualizar la tecnología, una de las más comunes es la incompatibilidad con las aplicaciones desarrolladas internamente (49%), un factor que puede resultar crítico para aquellas organizaciones que desarrollan software a nivel interno para responder a sus propias necesidades o cuando utilizan aplicaciones muy específicas con soporte limitado. Otra razón habitual, mencionada por 47% de los encuestados, es la resistencia de los empleados a trabajar con las nuevas versiones de software, y en estos casos, se hacen excepciones. Por otra parte, el 39% de los participantes en el estudio afirmó que no se actualizaban las tecnologías porque eran propiedad de los miembros de la junta directiva y el 13% alegó que la empresa carecía de los recursos necesarios para actualizar todo a la vez.

Para minimizar el riesgo como consecuencia de vulnerabilidades de software, Kaspersky recomienda adoptar las siguientes medidas:

– Asegurarse de que la organización esté utilizando la última versión de su sistema operativo y sus aplicaciones, con las funcionalidades de actualización automática habilitadas para que el software esté siempre al día.

– Si no es posible actualizar el software, se recomienda a las empresas hacer frente a este vector de ataque mediante la separación de los nodos vulnerables del resto de la red, junto con otras medidas.

– Habilitar la funcionalidad de análisis de vulnerabilidades y administración de parches en una solución de protección de endpoints. Así se pueden eliminar automáticamente las vulnerabilidades en software para infraestructuras, parchearlas de manera proactiva y descargar actualizaciones de software esenciales.

– Es importante aumentar los conocimientos en seguridad y las habilidades en ciberseguridad de los responsables de TI, que están en la primera línea de las actualizaciones de las infraestructuras de seguridad. También puede ayudar realizar un curso específico de formación online en seguridad informática.

– En el caso de las TI críticas o los sistemas OT, es importante estar siempre protegido más allá de la disponibilidad de actualizaciones de software. Esto quiere decir que sólo se deben habilitar las actividades predeterminadas para los fines propios de los sistemas. KasperskyOS apoya este concepto de ciberinmunidad que puede utilizarse para diseñar sistemas de TI seguros por diseño.

El informe de Kaspersky, Cómo las empresas pueden minimizar el costo de una brecha de seguridad, es la segunda parte de la serie, IT Security Economics 2020, y está disponible aquí. La primera parte del informe, El ajuste de las inversiones: cómo alinear los presupuestos de TI con las cambiantes prioridades de seguridad, está disponible para su descarga en página web de la calculadora de seguridad TI de Kaspersky.