¿Qué se debe tener en cuenta para virtualizar una PyME?

octubre 2, 2013 § 1 comentario

Por Damián Kalnins, Virtualization Presales Specialist de Softline

La virtualización es unde las soluciones a los problemas de continuidad más utilizadas en el mercado en los últimos años. Algunas de las preguntas que puede hacerse una PyME en el momento de migrar la infraestructura física hacia un entorno virtual son: ¿qué virtualizar?, ¿cuáles son los beneficios?, ¿hacia dónde vamos?. Se debe tener en cuenta que virtualizar es sinónimo de inversión, si se analiza como un gasto, estamos distantes de dar ese primer paso.

Cuando las Pymes deciden implementar tecnologías de vanguardia -como la virtualización- amplían su potencial comercial sin necesidad de una gran inversión en recursos. El uso de herramientas avanzadas de gestión permite transformar los procesos de negocio, aumentar la satisfacción del cliente, mitigar los riesgos y proteger la información de la empresa.

Cuando la cultura de la compañía es netamente física existe miedo al cambio. En estos casos, la desinformación es una de las principales barreras a superar. Por eso es clave que quienes estén involucrados en el proceso de migración analicen la situación actual del entorno físico y los beneficios que se lograrán con la virtualización, algunos de los cuales son:

  • Desarrollo de una nueva metodología de trabajo.
  • Mayores oportunidades de crecimiento comercial.
  • Garantía de continuidad del negocio.
  • Aumento de la competitividad de la Pyme, a partir de la optimización de los recursos.
  • Reducción de costos.

Asimismo, se obtendrá una mejor performance de la infraestructura de operaciones, la administración centralizada del centro de datos y la reducción de cantidad de servidores físicos, lo cual implica una disminución del espacio requerido para el datacenter, de los costos internos de administración y de los costos de soporte abonados a los proveedores de dichos equipos.

Si bien los primeros pasos requieren tiempo, compromiso y capacitación, la inversión que implica la virtualización nunca será mayor al beneficio de adoptar esta tecnología. Además, una infraestructura que no garantiza un alto nivel de servicio impacta negativamente en el negocio al generar pérdidas, insatisfacción de los usuarios y al obligar a los profesionales de sistemas a atender problemas en forma reactiva. Este impacto se genera a partir de paradas programadas de mantenimiento o caídas imprevistas, cuyo tiempo de recuperación podría mejorar significativamente mediante cambios de infraestructura.

Existen varios puntos relevantes que se recomiendan tener en cuenta a lo largo de este gran cambio:

1°) Considerar que una infraestructura adecuada debería garantizar: la reducción de cantidad de servidores físicos, la administración centralizada deldatacenter, la disminución de costos en la creación de ambientes de prueba y la provisión del espacio necesario para sumar más máquinas virtuales.
2°) Tener presente que, para virtualizar un ambiente por primera vez, es vital comparar entre servidores (Rackeables o Blades, dos estándares en el mercado) y Storage (iSCSI o SAS).
3°) En relación al licenciamiento, existen diversas opciones en el mercado que se ajustan a las necesidades de cada organización: la solución a elegir debe contrastarse con la criticidad del ambiente a virtualizar. Dependiendo de las aplicaciones, se requerirán capacidades como: movimiento de máquinas virtuales en caliente, alta disponibilidad, backup, entre otras. En este punto, también hay que considerar el precio y el tipo de soporte adecuado para cada plataforma.
4°) Luego de la elección del hardware y del producto a implementar, el siguiente nivel es la contratación de servicios de implementación de la solución. Los proveedores del mismo deben ser analizados con cuidado, ya que, una vez realizada la elección, son ellos quienes acompañarán a la empresa hasta el día en que la nueva plataforma virtual se encuentre operativa. Esta última fase posee diferentes etapas:

  • Planificación: El primer paso es una correcta planificación, lo que permitirá conocer el alcance, la metodología de trabajo y el calendario sobre los que se basará el proyecto.
  • Diseño: Se procede a definir la infraestructura virtual, relevar el equipamiento disponible, el cumplimiento de los requerimientos mínimos y el plan de pruebas que se llevarán a cabo una vez finalizada la implementación. El diseño es la plantilla que respalda los lineamientos del proyecto de virtualización.
  • Implementación: Definir la infraestructura virtual, relevar el equipamiento disponible, el cumplimiento de los requerimientos mínimos y el plan de pruebas que se llevarán a cabo una vez finalizada esta etapa. El diseño es la plantilla que respalda los lineamientos del proyecto de virtualización. La ejecución del proyecto culmina en la puesta en marcha de la plataforma de virtualización adoptada. Es un requerimiento prioritario que el equipo de TI se integre al proceso de implementación ya que es un error común que los técnicos pierdan presencia en las pruebas sobre el entorno virtual y se encuentren con un mundo desconocido cuando comienzan a administrarlo.

Fuente: CIOAL

Anuncios

Los 10 errores típicos de una PyME en materia de seguridad

mayo 31, 2013 § Deja un comentario

No cabe duda de que en los últimos años hemos avanzado mucho en Seguridad de la Información. Poco a poco, entre las empresas comienza a implantarse la idea de que la seguridad es un ámbito al que hay que prestar una atención específica e independiente, más allá de lo que muchos consideran “los informáticos”. Sin embargo, si no es bueno caer en el catastrofismo, no debemos ser demasiado indulgentes: queda mucho camino por recorrer y los avances no siempre se producen a la velocidad a la que, afortunadamente para los delincuentes, serían recomendables o deseables. A diario se producen noticias de empresas u organizaciones con una fuerte inversión en seguridad cuya infraestructura tecnológica es vulnerada, lo que da una idea del desequilibrio de fuerzas existente.

En esta línea, aun persisten muchos errores y creencias que podemos identificar como los diez errores típicos de las PYMEs en materia de seguridad y que marcan el camino a seguir estos próximos años.

1. Pensar que su información o sus sistemas no interesan a nadie. Este es, sin duda alguna, el principal escollo en la mejora de la seguridad de la información de una organización: pensar que no son el objetivo de nadie. Existen varios poderosos argumentos para desmontar esta creencia. En primer lugar, cualquier equipo es útil para las “botnets” o redes de PCs zombies controlados remotamente, sea un PC corporativo o el portátil de un adolescente; mientras pueda controlarse remotamente puede ser utilizado, con otros miles, para divulgar spam o atacar sistemas. En segundo lugar, quizá nadie esté interesado en nuestros sistemas, pero un escaneo por parte de un gusano puede detectar por simple casualidad un equipo vulnerable. Por último, muchas organizaciones infravaloran el valor de su información, tanto para la competencia externa como interna: balances contables, tarifas de precios, márgenes, procesos de producción, innovaciones, etc.

2. Creer que la seguridad es sólo técnica y por tanto sólo compete a los informáticos. Limitar la seguridad a los controles técnicos, evidentemente necesarios, conduce a descuidar aspectos tan importantes como los legales y organizativos. Gestionar las incidencias, definir responsabilidades o abordar los requerimientos de carácter legal son aspectos vitales para evitar amenazas como la ingeniería social o el phishing.

3. Un antivirus y un firewall son suficientes. Este es, principalmente, el progreso con el que introducíamos esta entrada: pocas organizaciones actualmente carecen de un antivirus e incluso de un cortafuegos. Sin embargo, esto conduce a una falsa sensación de seguridad que hace olvidar que existen otras muchas amenazas, tanto técnicas como no técnicas, que requieren la adopción de medidas más específicas.

4. Pensar que la seguridad es un producto y no un proceso. Este error persiste de épocas lejanas en las que la seguridad era un aspecto más dentro de las muchas tareas del personal del área de informática. Sin embargo, las cosas han cambiado significativamente y la seguridad ha adquirido un estatus propio. Cualquier persona que trabaje en un departamento de RRHH, producción, logística o contabilidad tiene que llevar a cabo un mantenimiento diario, ya sea actualizando sus conocimientos, manteniendo los sistemas, implantando nuevos procesos o adaptando su funcionamiento a nuevos requerimientos legales; las áreas y departamentos se adaptan a los cambios constantemente. Sin embargo, la seguridad sigue considerándose un ámbito que no requiere mantenimiento o seguimiento alguno. Nada más lejos de la realidad.

5. La confidencialidad es algo de espías y grandes multinacionales. Es cierto que los espías y las grandes multinacionales firman acuerdos de confidencialidad. Y aunque a muchas empresas todavía le suenan a ciencia ficción, eso no los hace innecesarios en el ámbito de la PYME. Tanto con proveedores, clientes como con trabajadores y en definitiva cualquier persona física o jurídica que vaya a acceder a la información de la empresa, es vital firmar acuerdos de confidencialidad cuya finalidad no es otra que proteger la información de la organización. Pocas veces un esfuerzo tan pequeño trae unos beneficios tan grandes. Ni más, ni menos.

6. No contemplar la seguridad en los contratos corporativos. Hoy en día, la hoja de pedido, sin más, sigue siendo en muchos casos el procedimiento para contratar servicios. No existe un contrato de servicios ni cláusulas de confidencialidad. No se contemplan requerimientos legales como la Ley Orgánica de Protección de Datos ni se tienen en cuenta, por ejemplo, las medidas que el proveedor puede estar aplicando sobre la información que le proporcionamos. En definitiva, la seguridad, en cualquiera de sus ámbitos, todavía brilla por su ausencia en los contratos que muchas PYMEs firman con sus proveedores y/o clientes.

7. La Ley Orgánica de Protección de Datos, esa gran desconocida. A pesar de que la LOPD lleva en marcha desde 1999 y que incluso existía un reglamento de una ley anterior que concretaba, con mayor o menor detalle, las medidas a implantar en el ámbito de protección de datos, casi catorce años después muchas empresas ignoran sus obligaciones en esta materia y algunas de las que las conocen deciden no llevar a cabo acción alguna. Ya sea por evitar sanciones o por responsabilidad social con las personas que nos confían sus datos, cualquier empresa debería adoptar las medidas necesarias para garantizar la seguridad de los datos de carácter personal de sus clientes, empleados, proveedores…

8. Mirar hacia fuera pensando que las amenazas siempre son externas. Sin ánimo de criminalizar y a pesar de lo que las noticias pueden a menudo hacernos pensar, es bien sabido en el ámbito de la seguridad que la mayor parte de los problemas de seguridad provienen de dentro de las propias organizaciones. En algunos casos, por usuarios malintencionados con los que se deben adoptar las medidas que subsanan muchos de los errores anteriores. Sin embargo, en muchos otros casos se trata de simple desconocimiento: un empleado que utiliza un USB infectado, abre un adjunto o pincha en un enlace que le llega en un correo o simplemente tira a la papelera información confidencial. En este caso, se hace imprescindible adoptar una estrategia permanente de concienciación en seguridad de la información, incluyendo al personal directivo que maneja información sensible, que evite y mitigue comportamientos peligrosos tanto para la organización como para el propio empleado.

9. Ofrecer servicios a través de Internet sin tener en cuenta su seguridad. Un servicio ofrecido a Internet es accesible virtualmente por miles de millones de personas, algunas de las cuales no tendrán desde luego buenas intenciones. Sin perder de vista los requerimientos legales necesarios (y en muchos casos bastante sencillos de cumplir) que ya hemos visto, la historia se repite una y otra vez: entre otros, servicios que contienen formularios vulnerables a ataques que ya existían hace una década o servidores web incorrectamente configurados… o directamente sin configurar.

10. Descuidar la gestión de la red y los sistemas. Por último, pero no menos importante, muchas empresas todavía descuidan de manera continuada el mantenimiento de la seguridad de sus servidores y redes, lo que conduce a dispositivos de red vulnerables, puntos WiFi que permiten a una persona al otro lado de la calle acceder a nuestra red corporativa, bases de datos de uso interno accesibles desde Internet, o servidores sin actualizar desde hace años. Sin entrar en que esto además conduce a la ignorancia más absoluta sobre lo que sucede en las infraestructuras de la organización, donde un intruso puede por tanto campar a sus anchas. El resto queda a la imaginación.

Este decálogo de errores típicos, más habituales de lo que cabría pensar, podría sin duda ser completado con muchos otros problemas más específicos que las PYMEs cometen a diario. Sin embargo, si en unos años pudiésemos tachar al menos la mitad de estos errores, ya habríamos avanzado mucho en la seguridad de nuestras empresas.

Fuente: Security Art Work

Las PYMES son el objetivo del 31% de los ataques de ciberespionaje

abril 16, 2013 § Deja un comentario

El número de ciberataques ha crecido un 81% en el 2011, según el estudio anual de Symantec Internet Security Threat Report, Volume 17 [PDF]. Además, alertan de que el número de tipos de malware ha incrementado un 41%, así como los ataques bloqueados por día que han crecido un 36%. Sin embargo, una buena notícia es que el spam vía email ha descendido considerablemente, de 88.5% en 2010 a 75.1% en 2011. Symantec alerta que los ciberataques se han extendido a una gama amplia de sectores de mercado, a diferencia de otros años que principalmente estaban dirigidos al sector público.

Más del 50% de ataques avanzados los han dirigido a organizaciones con menos de 2,500 empleados y casi el 18% a empresas con menos de 250 trabajadores. De este modo, Symantec expone la creciente necesidad de gestión de la seguridad en las PyME, que a menudo carecen de recursos y el personal de IT para proteger adecuadamente los datos y las redes.

“Las organizaciones de todos los tamaños tienen que estar atentos para proteger su información”, ha declarado Stephen Trilling, director en jefe de tecnología de Symantec.

Además, el número de ataques diarios también ha crecido, junto con las técnicas de malware y de ingeniería social utilizada por los cibercriminales. Hemos pasado de 77 ataques diarios en 2010 a 82 a finales del 2011.

Otro problema que ha experimentado un aumento en el 2011 ha sido la pérdida de datos y el robo de identidad, puesto que 232 millones de identidades han sido robadas durante el año pasado.

Los ciberataques a compañías y organizaciones han sido la principal causa de la pérdida de información personal con 187 millones de datos robados, seguido por la pérdida o robo de computadoras portátiles, teléfonos celulares o USB. Con esto se nota la necesidad de gestionar el uso de móviles y el dispositivo remoto que limpia los equipos.

Asimismo, el informe de Symantec ha revelado que las vulnerabilidades móviles han crecido un 93% en el último año, principalmente con amenazas al sistema operativo Android, con lo que concluye que es necesario tener seguridad para este tipo de dispositivos.

“Hemos visto un gran aumento en los ataques a dispositivos móviles, lo que hace que los atacantes vean a la plataforma más viable para atacar en la selección de datos sensibles”, concluyó Trilling.

Fuente: Norton Fan Club

ISO 29110: Calidad en el desarrollo de software para PyMEs

julio 31, 2012 § Deja un comentario

La actividad económica desarrollada por la industria del software está tomando cada vez más importancia a nivel mundial. La cantidad de empresas dedicadas al desarrollo software está experimentado un fuerte crecimiento, en línea con el incremento de la demanda de productos del sector. Según los últimos datos publicados en (INTECO, 2008), el sector del desarrollo de software español ha experimentado un alza del 8% en 2006 para situarse en unas cifras de facturación global de cerca de 1.600 millones de facturación.

La citada industria del software está formada principalmente por PyMEs (pequeña y medianas empresas) y micro PyMEs (PyMEs de aproximadamente 20 empleados), las cuales suponen el mayor porcentaje de empresas dentro del sector (Fayad, Laitinen, & Ward, 2000). Y en este tipo de empresas la calidad del software tiene un papel fundamental, por su repercusión en los costes finales, como elemento diferenciador de la competencia y de imagen frente a sus clientes. Estudios como (Pino, Garcia, & Piattini, 2006), muestran que estas empresas desean mejorar la calidad de sus procesos software, implicando así la mejora de sus productos, implementando modelos de mejora de procesos.

Entre los múltiples modelos de mejora de procesos que en la actualidad son un referente para la mejora de la calidad, CMMI-DEV (SEI, 2006), ISO 12207 (ISO, 2007), ISO 15504 (ISO, 2004) e ISO 9001 (ISO, 2000) se han convertido en los de mayor uso en la industria. Pero numerosos estudios y encuestas como (Hareton, & Terence, 2001); (Saiedian, & Carr, 1997); (Staples, Niazi, Jeffery, Abrahams, Byatt, & Murphy, 2007), confirman que dichos modelos están orientados a grandes organizaciones y no abordan las necesidades de las pequeñas empresas, donde la aplicación de estos resulta costosa en términos económicos y de esfuerzo, ya que requieren una gran inversión en dinero, tiempo y recursos, sus recomendaciones son complejas de aplicar y el retorno de la inversión se produce a muy largo plazo.

No obstante estas iniciativas si bien suponen un importante paso en la creación de modelos para PyMEs adolecen de su carácter regional, dónde se echa en falta iniciativas de carácter internacional y avaladas por grandes organismos. En esta línea y para apoyar a la pequeña empresa, ISO ha creado el grupo de trabajo denominado SC7-WG24 con el objetivo de que sus estándares para la mejora de procesos software sean más accesibles a este tipo de empresas. Este grupo de trabajo está estableciendo un marco común para describir perfiles (conjunto de procesos para ayudar a aplicar una norma ISO) evaluables del ciclo de vida software de uso en las pequeñas empresas.

Si bien el trabajo de dicho grupo continúa, ya se han desarrollado un conjunto de informes técnicos que serán la base sobre la cual se estructurará el futuro estándar ISO para la mejora de procesos en pequeñas empresas: el ISO/IEC 29110 for VSE (Very Small Enterprise). En la siguiente sección, se presenta una visión general de los informes técnicos referentes a ISO/IEC 29110.

Los perfiles se definen con el propósito de empaquetar referencias a y/o partes de otros documentos de manera formal, con el fin de adaptarlos a las necesidades y características de las VSE. Preparar un perfil implica producir dos tipos de documentos:

  • Marco de trabajo y taxonomía (TR29110-2): Especifica los elementos comunes a todos los perfiles (estructura, conformidad, evaluación) e introduce la taxonomía (catálogo) de los perfiles ISO/IEC 29110.
  • Especificaciones de perfil (TR29110-4): Proporciona la composición definitiva de un perfil, los enlaces normativos al subconjunto normativo de estándares usados en el perfil, y los enlaces informativos (referencias) a documentos de “entrada”. Para cada perfil existe un documento de este tipo.Un ejemplo de una especificación de perfil es el documento 29110-4.1 (Especificación– Perfil Básico). Su objetivo es definir una guía de gestión de proyectos y desarrollo desoftware, adaptada a las necesidades de las VSE, para un subconjunto de procesos de ISO/IEC 12207.

Cada vez más se está comprobando que la aplicación de grandes modelos de mejora de procesos (CMMI, ISO 15504, etc.) no se adapta bien a PyMEs, y de ahi la necesidad de adecuar los modelos actuales al tamaño y necesidades de este tipo de empresas. Los objetivos que ISO pretende alcanzar con la creación del estándar internacional ISO/IEC 29110 abordarían el problema que rodea a las pequeñas empresas del sector del desarrollo software en la implementación de los modelos de mejora de proceso actuales. Este estándar puede ser la solución a multitud de pequeñas empresas, ya que el propósito del mismo es, como se ha expuesto anteriormente, hacer las normas actuales de ingeniería del software más accesibles a este tipo de empresas, adaptándolas a su tamaño y necesidades de negocio, lo cual es importante para su supervivencia en los mercados y para lograr competitividad, enfrentándose a problemas como la globalización creciente de los mercados y los cambios tecnológicos que se están produciendo.

Fuente: Soft Develop Standard

Las PYMEs reciben el 36% de los ataques dirigidos

julio 12, 2012 § Deja un comentario

Symantec ha publicado un informe [PDF] en el que se aprecia un aumento del interés de los ciberdelincuentes por este tipo de empresas. pese al crecimiento de los ataques contra pymes, las grandes compañías siguen acaparando la mayoría de las acciones dirigidas por hackers.

La necesidad de las empresas de mejorar su seguridad informática aumenta cada día. Las amenazas no paran de crecer y todas las compañías, independientemente de su tamaño, son objetivos para los hackers. Symantec ha publicado su informe Symantec Intelligence de junio de 2012 en el que se comprueba que las necesidades de seguridad son aplicables tanto a pymes como a grandes compañías.

Según la empresa de seguridad, se ha detectado que el 36% de todos los ataques dirigidos a objetivos específicos durante los últimos seis meses se centraron en pequeñas y medianas empresas. Se trata de un porcentaje muy elevado, sobre todo si se compara con el registrado en el último semestre de 2011, en el que las pymes eran el objetivo del 18% de estos mismos ataques.

Las grandes empresas siguen siendo el objetivo predilecto de estos ataques, pero las pymes cada vez sufren un mayor número. En total, el número de ataques diarios dirigidos a objetivos específicos ha aumentado a una tasa mínima del 24%, lo que es una prueba más de la necesidad de mantener los sistemas protegidos.

“Parece existir una correlación directa entre el aumento de los ataques contra las pequeñas empresas y la disminución de los ataques llevados a cabo contra las grandes organizaciones. Casi parece que los atacantes están llevando sus recursos directamente de un grupo a otro”, ha comentado Paul Wood, director de inteligencia en ciberseguridad en Symantec.

Fuente: CIO América Latina

La sofisticación de las ciberamenazas dificulta a las pymes mantener sus infraestructuras actualizadas

junio 21, 2012 § Deja un comentario

Planteamientos como el cloud computing y el crecimiento de las ciberamenazas suponen un desafío para la seguridad en las pymes. Con todo, y según un estudio de Vanson Bourne para Sophos, el 93% de las pymes están integrando políticas de trabajo remoto dentro de su estrategia de seguridad.

El crecimiento de las ciberamenazas y las redes no preparadas son particularmente preocupantes dada la amplitud de los desafíos a los que se enfrentan hoy las pymes. Así lo recoge la encuesta realizada a 571 responsables y directores de TI de América del Norte, Europa y Australia por Vanson Bourne para un estudio de Sophos.

Con respecto a la seguridad de la red, el 44% de los encuestados cita la creciente necesidad de utilizar servicios basados en la nube como una de las principales inquietudes. Y una quinta parte (21%) carece de confianza en la seguridad de las redes inalámbricas. Asimismo, un 39% muestra preocupación por las amenazas sofisticadas, e idéntico porcentaje por el manejo de los dispositivos móviles, mientras que un 35% considera la pérdida de datos como un desafío importante.

Dichas preocupaciones están justificadas teniendo en cuenta que uno de cada cinco encuestados ha sido infectado por malware en los últimos 12 meses, lo que ha provocado la caída de su red. Por su parte, la encuesta también revela el 34% de los encuestados afirma no haber sustituido su firewall de red durante cinco años o más, y que este promedio de uso ha provocado que, en los últimos 12 meses, uno de cada cinco encuestados haya sufrido un corte en la red, causado por una infección de malware. Ambos aspectos destacan la difícil tarea de mantenerse al día con las últimas tecnologías y amenazas, si bien más de un tercio (36%) de las empresas aplica políticas de seguridad consistentes en todas las oficinas.

Al elegir una solución de seguridad de red, la mayor prioridad para las pymes es el bajo coste de propiedad (30%), señala el estudio de Sophos, seguido por la facilidad de uso (24%), y el soporte ofrecido por el fabricante (22%).

Con todo, la investigación también arroja estadísticas alentadoras, en particular con respecto a los presupuestos de TI. Casi la mitad (44%) ha hecho referencia a que en su inversión destinada a TI se incluyen virtualización (48%), cloud computing (44%), trabajo a distancia (44%) y la mejora de la red inalámbrica (49%). Asimismo, la gran mayoría (70%) de las empresas está planeando apoyar estas tecnologías con una mayor inversión en seguridad.

“Es alentador ver que las compañías planean invertir en infraestructuras TI”, explica Gerhard Eschelbeck, CTO de Sophos. “El quid de la cuestión será cómo se invierte este presupuesto adicional. Cualquier adición de tecnología tendrá un impacto significativo en la infraestructura de seguridad de las empresas. Con un 70% planeando incrementar su presupuesto de TI de seguridad para el próximo año, es muy importante que esta inversión mejore la seguridad de todo el negocio, siendo tan robusta como sea posible y en las mejores condiciones para apoyar las nuevas tecnologías y las que estén por llegar, no desperdiciándolos en mejoras fragmentadas”.

Fuente: CSO

Las PyMEs se interesan por la virtualización pero no protegen sus datos

noviembre 11, 2011 § Deja un comentario

Symantec Corporation anunció los resultados de su Encuesta 2011 sobre Virtualización en las Pequeñas Empresas [PDF] que analizó la adopción de la virtualización en las pequeñas empresas (aquellas que tienen entre 5 y 249 empleados) y su impacto en las organizaciones. De acuerdo con la encuesta, las pequeñas empresas a nivel mundial tienen un fuerte interés en esta tecnología, aunque todavía están aprendiendo cómo adoptarla.

En algunos casos, cuando las pequeñas empresas implementan la virtualización de servidores, ponen en riesgo sus datos. La encuesta, basada en 658 encuestados de 28 países del mundo, varios de ellos en América Latina, reveló que las empresas más pequeñas no están adoptando medidas básicas para garantizar la seguridad y proteger los entornos virtuales.

“Contrario a lo que se podría pensar, las pequeñas empresas están evaluando cómo la virtualización puede beneficiar a sus organizaciones. Aún estamos empezando el ciclo de aprobación, pero la virtualización permite a las pequeñas empresas reducir los gastos y satisfacer la demanda creciente de mayor productividad y eficiencia. Sin embargo, sin importar que las pequeñas empresas estén listas o no para hacer la transición hacia las tecnologías virtualizadas, es fundamental que siempre garanticen la seguridad de sus datos sin importar el tipo de entornos que tengan”, dijo Steve Cullen, Vicepresidente senior de Estrategia y Mercadotecnia en Symantec Corp.

Aspectos destacados de la encuesta:

  • Los beneficios financieros determinan la decisión de virtualizar. Setenta por ciento de los encuestados dijo que sus organizaciones están considerando la virtualización. No es de extrañar que los beneficios financieros sean una de las principales razones para adoptar la virtualización de servidores. Menor gasto de capital fue citado por un 70 por ciento, mientras que el 68 por ciento dijo que los gastos operativos reducidos podrían influenciar sus decisiones para implementar la virtualización. Otros beneficios incluyen la capacidad para utilizar menos servidores para la misma cantidad de aplicaciones (67 por ciento) y escalabilidad mejorada de servidores (65 por ciento).
  • Habilidades de TI limitadas frenan a algunas pequeñas empresas. A pesar de su interés, las pequeñas empresas tienen dificultades para pasar de la teoría a la práctica. Sólo el 10 por ciento de los encuestados ha implementado servidores virtualizados y está centrando sus esfuerzos incipientes en áreas de aplicación más simples y menos críticas. Los principales desafíos son desempeño (60 por ciento), copias de seguridad (56 por ciento) y administración de seguridad y parches (56 por ciento). Casi un 33 por ciento de las pequeñas empresas que no están ahora planeando la virtualización, citó la falta de experiencia como un factor.
  • Datos en servidores virtualizados carecen de protección básica de seguridad. A medida que las pequeñas empresas adoptan entornos virtuales, no protegen ni garantizan la seguridad de sus datos. Sólo el 15 por ciento siempre realiza copias de seguridad de sus servidores virtualizados y 23 por ciento realiza copias de seguridad con poca frecuencia o no lo hace nunca. Las PyMEs tampoco están esmerándose en la protección de sus datos, pues solo 40 por ciento está completamente protegido. Los encuestados dicen que problemas como el presupuesto y personal les impide tomar estas acciones esenciales. Incluso aquellos que dijeron que están protegidos o muy protegidos, en realidad están menos protegidos de lo que piensan. Un sorprendente 78 por ciento no tiene antivirus en sus servidores virtuales, 48 por ciento no tiene firewall y 74 por ciento no tiene protección para endpoints.

Recomendaciones
Afortunadamente, las pequeñas empresas pueden tomar medidas sencillas para asegurarse de proteger adecuadamente sus datos y sistemas, como:

1. Definir una estrategia de virtualización. Pueden trabajar con un consultor de TI para desarrollar una estrategia, elaborar directrices de manera proactiva y evaluar sus necesidades de protección y seguridad de los datos. Deben determinar si adoptar servicios en la nube es adecuado para su empresa. Cuando tengan una estrategia, deben desarrollar un plan y seguirlo.

2. Proteger los entornos virtuales. Las empresas deben considerar qué soluciones de seguridad necesitan para proteger el entorno virtual, como seguridad de firewall, antivirus y endpoints. Las empresas deben asegurarse de que se hayan establecido las prácticas de seguridad como un nivel adicional de protección.

3. Proteger los datos: tener un enfoque simplificado para realizar las copias de seguridad. Implementar una solución que proteja los entornos físicos y virtuales. Considerar la posibilidad de implementar una solución de deduplicación de datos para ahorrar tiempo y espacio.

Fuente: DiarioTI

¿Dónde estoy?

Actualmente estás explorando la categoría pymes en Seguridad Informática.