Kaspersky encuestó a 5,500 empresas de todo el mundo para el informe, el cual encontró que las pequeñas y medianas empresas (PyMEs) reportaron daños promedio por una brecha a la infraestructura física de 26 mil dólares, pero los daños saltaron a casi 60 mil dólares cuando se trataba de sistemas virtualizados. Kaspersky utilizó el término daños "esperados" en el informe, que algunos expertos asumieron significaban que las cifras eran estimaciones. Pero Andrey Pozhogin, gerente senior de marketing de producto de Kaspersky Lab, aclaró que las cifras "se calcularon en base a los costos reales notificados por las empresas encuestadas”.
Kaspersky continuó señalando en el informe que la razón principal de los altos costos asociados con una brecha de los sistemas virtuales es que las empresas tienden a utilizar estos entornos para proteger sus operaciones más importantes.
Jon Oltsik, analista principal senior de la firma de consultoría Enterprise Strategy Group Inc., dijo que la forma en que estos datos son presentados es algo engañosa.
"[El informe] establece que los costos asociados a una violación de datos de la infraestructura virtual serían mayores debido a que la infraestructura virtual se utiliza a menudo con las aplicaciones de misión crítica", dijo Oltsik. "Esta es una comparación de manzanas con naranjas. Para evaluar si los costos de una violación de datos son más altos con la infraestructura virtual –en oposición a la infraestructura física–, ¿no hay que medir esos costos en cargas de trabajo idénticas?”.
Pozhogin dijo que la comparación que se hace en el informe es válida parcialmente porque Kaspersky cree que "todas las partes de la infraestructura corporativa merecen la misma atención en términos de seguridad", pero también porque el valor de los datos que son protegidos fue solo una de las razones por las cuales los costos fueron más altos.
"Hemos observado que el 56% de las empresas no están plenamente preparadas para hacer frente a los riesgos de seguridad en un entorno virtual, y solo el 52% dice que comprenden plenamente los riesgos asociados con los entornos virtuales", dijo Pozhogin. "Por lo tanto, la infraestructura virtual acoge con frecuencia operaciones de misión crítica y, al mismo tiempo, su agenda de seguridad es más difícil de entender para las empresas. Es a una combinación de estos dos resultados a lo que sentimos que las empresas deben prestar mucha atención”.
Pozhogin dijo que no era el objetivo implicar que los entornos virtualizados son menos seguros, sino que la "seguridad de cualquier tipo de infraestructura depende de la calidad de la protección”.
Kaspersky encontró en la encuesta que el 34% de los encuestados no estaban usando los servicios de seguridad especialmente diseñados para entornos virtualizados, y que además no eran conscientes de la diferencia entre estos servicios especializados y servicios tradicionales. Además, la encuesta encontró que otro 39% sí era consciente de la diferencia, pero aún así no usaba tales servicios. Pozhogin dijo que los servicios especializados podrían reducir tanto el costo total de propiedad, como el riesgo de un fallo de seguridad.
Oltsik dijo que la investigación y las conclusiones del informe de Kaspersky eran probablemente "defectuosos", pero que era cierto que asegurar las infraestructuras virtuales requieren herramientas y habilidades especializadas.
“Si usted sabe cómo configurar las cosas correctamente y utilizar herramientas virtuales/conscientes de la nube, realmente puede mejorar las defensas de seguridad", dijo Oltsik. "Desafortunadamente, estas habilidades son bastante esotéricas, por lo que muchas organizaciones se van por defecto a lo que conocen, y tratan de usar sus herramientas existentes en formas para las que no fueron diseñadas. Esto crea un problema, que es el punto principal del ridículo informe de investigación de Kaspersky”.
Oltsik dijo que la clave para la seguridad de la virtualización es utilizar herramientas con "conciencia virtual", y monitorear las herramientas que se conectan a las API de hipervisor, con el fin de mantener la visibilidad.
Larry Ponemon, presidente y fundador del Ponemon Institute LLC, dijo que, en su investigación, ha encontrado a menudo que la ciberseguridad se reduce a cuestiones de complejidad y recursos, y lo mismo debe ser cierto para la seguridad de la virtualización.
"El ambiente de TI es muy complejo en términos de minimizar el riesgo, por lo que se puede esperar que cuanto más complejo sea el entorno, más difícil es de asegurar", dijo Ponemon. "Hemos encontrado que, en algunos aspectos, la virtualización reduce la complejidad. Así que, si eso es cierto, usted encontrará que la virtualización es menos costosa si todos los demás factores son iguales”.
Oltsik expandió en esto, explicando que los entornos virtualizados son "más complejos, ya que usted está compartiendo una caja física a través de un hipervisor, switches virtuales, tarjetas NIC virtuales, almacenamiento virtual, etc”.
"Puede fingir que estas cosas no existen y establecer seguridad para VM como lo haría para una caja física. Este es el punto al que llega Kaspersky, que muchas organizaciones hacen esto", dijo Oltsik. "Los problemas generales aquí son que usted puede perder visibilidad hacia el tráfico de redy el comportamiento del sistema, y que algunas herramientas de seguridad puede ser consumidoras de recursos”.
Ponemon estaba intrigado por la encuesta, pero dijo que se necesita más investigación para confirmar los resultados, ya que estos resultados pueden estar influenciados por "efectos de confusión", u otras variables que no fueron medidas o aplicadas.
"Es posible que los resultados estén sesgados hacia las pequeñas empresas", dijo Ponemon. "Las PyMEs pueden no tener los recursos para asegurar adecuadamente los entornos virtuales. Si usted no tiene los recursos para aplicarlos a todo, los aplicará a sus joyas de la corona”.
