La seguridad computacional es el atributo más crítico de las redes corporativas, según una nueva encuesta e informe sobre la estrategia de conectividad y de negocios de AT&T en colaboración con el Economist Intelligence Unit (EIU). La seguridad pasó del segundo lugar en el estudio de 2003 a la primera posición de la lista, según la percepción que tiene el 78% de los ejecutivos, quienes desplazaron la confiabilidad y disponibilidad como los atributos más críticos de la Red.

La encuesta del EIU, realizada a escala mundial entre 254 ejecutivos de alto rango sobre el futuro de la conectividad corporativa, evidenció la preocupación creciente de la gran mayoría de los ejecutivos por la seguridad ante la necesidad de abrir más sus redes a socios, clientes y trabajadores móviles. Para disgusto de muchos ejecutivos de TI, esta apertura también puede aumentar su vulnerabilidad.

 "En una economía global de conectividad e interoperabilidad de internet, el aislamiento lleva a las empresas que no pueden proteger sus redes a la inconsecuencia”, señaló Hossein Eslambolchi, presidente de AT&T Global Networking Technology Services. “A menos que la seguridad se administre en forma efectiva, los ejecutivos tienen razón al pensar que los ciberataques todavía pueden ser la amenaza más fuerte al desarrollo sostenido de la empresa con conexión en Red”.

El costo del impacto mundial de los ataques cibernéticos ha crecido constantemente de 3.300 millones de dólares en 1997 a un monto estimado en 12.000 millones de dólares en 2003, según el Computer Economics de Carlsbad, California. Como resultado, la protección de las redes contra los intrusos malintencionados y actividades no autorizadas se ha vuelto esencial para los negocios. Las amenazas exponencialmente crecientes de los ciberataques y las mayores vulnerabilidades, están incidiendo en los costos de operación al ser el rubro con mayores incrementos en el área de la tecnología de la información (TI). En promedio, las empresas de esta encuesta dedicaron 9% del presupuesto de TI a la seguridad de la Red en 2002. La cifra se elevó a 11% el año pasado, y se espera que llegue a 13% en 2004.

Los encuestados señalan el estrecho vínculo entre la adopción de recursos tecnológicos en sus empresas y sus principales vulnerabilidades de información. Más de 80% de los ejecutivos cree que el objetivo de ofrecer acceso remoto a las redes corporativas para hacer más fácilmente disponible a sus empleados información y detalles financieros sobre sus clientes, deja a sus compañías vulnerables o extremadamente vulnerables ante amenazas de seguridad.

 La mayor vulnerabilidad está en la propia planta de empleados. Los encuestados estiman que 83% de los ataques se origina en forma interna, derivándose de acciones como el sabotaje, el espionaje o los errores accidentales. Un descubrimiento sorprendente fue que 78% de los encuestados admitió haber abierto por lo menos un archivo adjunto a un correo electrónico de un remitente desconocido durante el año pasado.

Es probable que en los próximos años el enfoque del gasto en seguridad se oriente más hacia la implantación de herramientas nuevas o mejoradas de prevención de ataques y mitigación rápida de efectos de los ataques, en lugar del empleo de capas perimetrales de protección y detección de intrusión que resultan insostenibles conforme se habilitan más transacciones y comunicaciones electrónicas.

Muchas empresas están recurriendo a los proveedores de servicios administrados de seguridad para atender sus cada vez más complejos requerimientos de seguridad. 32% de los encuestados ya usa o planea usar servicios administrados de seguridad en los próximos dos años. Otro 14% se propone usarlos en el largo plazo. No obstante, 70% de estas compañías son empresas pequeñas y medianas.

La investigación señala también dos cambios significativos en la estructura organizacional en el sentido de que las políticas de seguridad de la Red son supervisadas por el director general o son responsabilidad de un director de seguridad. "Para cualquier compañía es virtualmente imposible garantizar la protección de sus activos sin una persona encargada de ese punto focal, quien es casi tan importante como un contralor”, indicó Ed Amoroso, director de seguridad de la información de AT&T.

La misma AT&T, líder en el área de seguridad de conexiones en red, ha desarrollado una serie completa de servicios de seguridad basados en las mejores prácticas derivadas de su propia experiencia para evaluar, proteger, detectar y responder. El portafolio de servicios administrados de seguridad de AT&T incluye su producto más importante, Internet Protect, que advierte oportunamente la presencia de amenazas, así como firewall, detección de intrusión, negación de servicio (por sus siglas en inglés DoS), negación-detección-mitigación distribuidas y autenticación de contraseñas aleatorias. La compañía también ofrece una amplia gama de servicios profesionales, como análisis de riesgos, evaluaciones de vulnerabilidad y el pirateo informático (hacking) ético, de manera que pueda diseñar, administrar y supervisar redes que actúen como “línea frontal” de defensa contra ataques u otras vulnerabilidades.