Cisco publica su primer informe anual sobre seguridad: Cisco 2007 Annual Security Report. El informe destaca los riesgos y desafíos que las empresas, las organizaciones gubernamentales y los consumidores deben enfrentar cada vez más y brinda sugerencias acerca de cómo protegerse de ellos.

El Informe, publicado en conjunto con el lanzamiento del sitio Cisco Security Center ofrece un resumen de los temas más importantes de los últimos años.


El mismo ofrece predicciones de amenazas a la seguridad en 2008 y recomendaciones de parte de profesionales de seguridad en Cisco, como John Stewart (Jefe de Seguridad) y Dave Goddard (Vicepresidente de Programas para la Seguridad de los Clientes). Si bien muchos informes de fin de año de la industria se centran en el contenido de las amenazas a la seguridad (virus, gusanos, troyanos, spam y phishing), el informe de Cisco amplía el debate a un conjunto de siete categorías de administración del riesgo, muchos de los cuales van más allá de los temas de seguridad aislados.

Las categorías son vulnerabilidad, aspectos físicos, legal, confianza, identidad, humanitario y geopolítica, y juntos abarcan los requisitos de seguridad que implican la protección contra el malware, protección de fuga de datos, la administración de riesgos empresariales y la planificación de desastres, entre otros. Los resultados del informe refuerzan el hecho de que las amenazas de seguridad y los ataques se han vuelto más sofisticados y globales.


Según Stewart, la seguridad de la información ya no es una batalla contra un ataque de virus o de spam. Ahora hay frecuentemente factores de índole legal, de identidad y geopolíticos también involucrados. Como ejemplo, señala Stewart, esta primavera se produjo el robo de identidad en los principales comercios minoristas, y un reciente ataque de denegación de servicio distribuido supuestamente lanzado por hackers guiados por motivos políticos dentro de Rusia sobre su vecina Estonia. El ataque cibernético, que al parecer es una derivación de la indignación que habría provocado la decisión de las autoridades estonias de mover de un parque un monumento a los caídos de la era soviética, hizo caer muchos de los sitios web gubernamentales.

De acuerdo con Stewart y Goddard, la clave es la educación.
El reporte de Cisco ofrece varias recomendaciones para cada una de las siete categorías de administración de los riesgos. Algunas de las recomendaciones son:

  • Realizar auditorías periódicas dentro de las organizaciones sobre objetivos que pueden resultar atractivos, y evaluar las vías que se pueden utilizar para atacarlas. "Los exploits son exitosos muy a menudo porque no se siguen principios básicos de seguridad como los siguientes: prevención de intrusiones basada en el host, los parches y actualizaciones con la mira en la seguridad, y auditorías periódicas", dice Stewart.
  • Comprender la noción de que las amenazas siguen patrones de uso. "Hacia donde la mayoría vaya (explica Goddard), hacia allí irán los atacantes. Cada vez que una nueva aplicación o dispositivo entre, surgirán nuevas amenazas."
  • Cambiar la mentalidad de los empleados, los consumidores y los ciudadanos que se consideran a sí mismos transeúntes inocentes, y capacitarles para tener una posición activa, en cuanto al compartir responsabilidades en materia de seguridad. Si bien los equipos de IT deben ayudar a llevar esta carga, éste problema no es exclusivamente de ellos.
  • Considerar la posibilidad de algo más que el rendimiento cuando se está construyendo una red segura. Focalizarse en la capacidad de la red para colaborar, inspeccionar, adaptar y resolver problemas de seguridad de punta a punta, desde los gateways o puertas de enlace y servidores hasta los ordenadores de sobremesa y los dispositivos móviles.


Los fabricantes de soluciones de seguridad necesitan ofrecer herramientas que se extienden a través de toda la infraestructura de la red, la combinación de aplicaciones y los datos en sí mismos.

Para descargar el documento completo (PDF, inglés, 661 Kb, 36 páginas), pulsa aquí.