2016 Proteja su empresa durante el recorrido de la transformación digital Un informe técnico de comparativa empresarial de AMI-Partners Patrocinado por: Hewlett Packard Enterprise Deepinder Sahni Febrero de 2016 R esumen ejecutivo Las medianas empresas (100-1000 empleados) de todo el mundo están sometiéndose a la transformación digital. Aunque esta transformación impulsa un compromiso más profundo con los clientes, los empleados y los partners empresariales, también pone en riesgo los activos de datos de la empresa a consecuencia del transporte, el almacenamiento y el intercambio de los datos sensibles, tanto de la empresa como de los clientes, sobre redes y dispositivos móviles generales. Más del 40 % de las medianas empresas han sufrido infracciones de datos o seguridad en los últimos 12 meses, lo que ha costado a cada una alrededor de 35.000 dólares por incidente, de media. Casi 3 de cada 10 medianas empresas también perdieron clientes tras haberse comprometido sus datos. Resulta evidente que este tipo de incidentes puede dañar o incluso destruir una empresa que goza de buena salud. Es imperativo que las empresas minimicen la posibilidad de que ocurran fallos de este tipo utilizando soluciones de alta fiabilidad, protegiendo sus redes y preparándose con planes de contingencia que se enfrenten de forma eficaz a las interrupciones o los ataques. La respuesta de las medianas empresas está siendo priorizar una extensa gama de soluciones de seguridad. Mientras algunas han implementado una amplia variedad de soluciones avanzadas, otras han introducido unos pocos productos de seguridad básica. Este informe técnico analiza las diversas amenazas a las que se enfrentan las medianas empresas y explica por qué un enfoque completo de la protección y la capacidad de recuperación resulta interesante desde el punto de vista empresarial. Asimismo, ayuda a los directores de TI a comparar su política de seguridad con las de sus homólogos. AMI Partners, Nueva York, NY Página 1 Proteja su empresa durante el recorrido de la transformación digital 2016 I ntroducción La seguridad de las TI solía consistir en mantener fuera a los intrusos y seleccionar a los visitantes que podían entrar, algo que se conseguía con una serie de soluciones de seguridad perimetral y de punto de extremo. Este método funcionaba bastante bien, siempre que se entendieran bien los flujos de datos y que el número de usuarios responsables de generar esos flujos de datos se mantuviera a niveles gestionables. El paisaje ha cambiado drásticamente desde entonces, y gran parte de este cambio se ha acelerado en los 2 o 3 últimos años. La confluencia de varios factores está contribuyendo a crear un complejo entorno de amenazas para medianas empresas: una tormenta perfecta de usuarios móviles, dispositivos, marketing digital y multicanal, medios sociales, comercio electrónico y cadenas de suministro automatizadas, el Internet de las cosas (IoT), nubes híbridas y un entorno empresarial "siempre encendido", 24X7X365. de medianas empresas perdieron de forma permanente datos críticos el último año. L a transformación digital está dando forma al paisaje del riesgo empresarial • La carrera por mantenerse competitivo ha desatado la necesidad de una transformación digital entre las medianas empresas, pero también ha creado un entorno de riesgos de TI complejo y que no todo el mundo comprende en su totalidad. Los flujos de datos son ahora inmensos y desestructurados. Los profesionales de TI colaboran cada vez más con los especialistas de línea de negocio a medida que los procesos físicos se digitalizan con una amplia gama de soluciones de software. • Desde las máquinas de la fábrica hasta los productos individuales entregados en casa del cliente, todo se sigue, mide, analiza y optimiza. Para una mediana empresa típica, los datos fluyen hacia los centros de datos corporativos y de partners empresariales a través de miles de dispositivos, máquinas, vehículos y bienes. A continuación, se utilizan por diversas aplicaciones en entornos de nube y virtuales, donde los usuarios los ven, manipulan y comparten en sus dispositivos móviles, incluidos sus smartphones personales. AMI AMI Partners, Nueva York, NY Página 2 Proteja su empresa durante el recorrido de la transformación digital 2016 • Los datos son la nueva divisa en la que se basa la ventaja competitiva. Lamentablemente, el recorrido por el que fluyen estos datos presenta numerosos puntos en los que pueden comprometerse, lo que a su vez pone en riesgo la misma existencia de una empresa. Un entorno hipercompetitivo y la dependencia de los datos han generado la urgencia para proteger los activos de datos ante robos, pérdidas, sabotaje y corrupción. Con independencia de que sea un cibercriminal robando información corporativa o un empleado inocente que pierde el portátil, los activos de datos comprometidos pueden dañar gravemente la reputación, los clientes, la infraestructura y la economía de una empresa. • Simultáneamente, la digitalización está multiplicando los requisitos de conformidad, privacidad y protección de los datos aplicados por gobiernos extranjeros, nacionales y locales. Asegurar el cumplimiento de un horizonte normativo cambiante no es un trabajo demasiado habitual en una mediana empresa, y sin embargo resulta cada vez más importante que los directores de TI estén perfectamente informados sobre este frente. Salvaguardar los activos de datos en este entorno fluido requiere un enfoque exhaustivo de la protección y la continuidad empresarial. AMI AMI Partners, Nueva York, NY Página 3 Proteja su empresa durante el recorrido de la transformación digital C 2016 aracterísticas claves: capacidad de recuperación, protección y recuperación • Impacto de la movilidad: más del 50 % de las medianas empresas tienen empleados que acceden a datos empresariales desde dispositivos móviles propios o gestionados por ellos. A medida que aumenta el número de empleados y clientes a los que se otorga acceso móvil a las redes corporativas, el riesgo de que se produzcan infracciones de seguridad y pérdidas de datos crece exponencialmente. Asimismo, los clientes interactúan cada vez más con las empresas a través de una amplia variedad de dispositivos móviles, y en consecuencia, el comercio y el marketing móvil resultan críticos hoy en día para todas las compañías. Proteger la tarjeta de crédito y otros datos personales de un cliente al realizar transacciones móviles es uno de los requisitos básicos del recorrido de transformación digital. • Dependencia de los datos: los datos alimentan el entendimiento empresarial y son la base tanto de las mejoras de procesos como de las ventajas competitivas. Tanto los datos de los clientes como los internos propios de la empresa se distribuyen entre los sistemas de gestión de relaciones con los clientes (CRM) y de planificación de recursos empresariales (ERP), y a ellos acceden múltiples usuarios con diversos dispositivos todos los días. Para que una empresa opere eficientemente, estos datos siempre deben estar disponibles rápidamente, de forma segura, y deben ser precisos. No tener acceso a los datos adecuados en el momento oportuno puede interferir en la toma de decisiones de gestión, y en otros casos, dirigir a los clientes hacia el sitio web de un competidor. A medida que aumenta el número de empleados y clientes a los que se otorga acceso móvil a las redes corporativas, el riesgo de que se produzcan infracciones de seguridad y pérdidas de datos crece exponencialmente. I mpacto de la movilidad: el 89 % de las medianas empresas disponen de una fuerza de trabajo móvil. Estas empresas tienen una media de al menos 16 empleados que viajan 4 o 5 días al mes por motivos profesionales. No son sólo los trabajadores móviles los que acceden a las aplicaciones, sino que el acceso se produce cada vez más desde dispositivos móviles internos de la empresa. El acceso móvil se ha convertido en la norma para mantener las empresas en funcionamiento, incluso cuando los empleados se encuentran lejos de sus escritorios o espacios de trabajo físicos. Esto incluye variaciones de la elección de dispositivos para los empleados, entre las que se incluyen la tendencia "traiga su dispositivo" (BYOD, Bring Your Own Device), proporcionar a los empleados una lista de dispositivos aprobados o suministrarles dispositivos de la empresa. AMI AMI Partners, Nueva York, NY Página 4 Proteja su empresa durante el recorrido de la transformación digital 2016 Casi dos terceras partes (67 %) de las medianas empresas utilizan tablets con fines profesionales, y el 93 % utiliza smartphones. A menudo, la propiedad de estos dispositivos es de los propios empleados, quienes también se encargan de su gestión, aunque se utilicen para fines empresariales. En la actualidad, el 56 % de las medianas empresas cuenta con personal que accede a las aplicaciones de los procesos empresariales desde sus propios dispositivos. Con independencia de que los dispositivos se pierdan o sustraigan, se infecten con malware/virus, o sean atacados por código malicioso introducido por aplicaciones de consumo, la movilidad complica el nivel de amenaza ya existente en el siempre cambiante entorno digital. Los clientes que interactúan con las empresas en un escenario de dispositivos móviles representan otro nivel de riesgo adicional. Una mediana empresa normal puede realizar varios cientos de interacciones con clientes cada día, a través de sitios web de comercio electrónico, mensajes de texto, correos electrónicos o en el punto de venta. Un cliente cuyo dispositivo móvil esté infectado puede crear inconscientemente un riesgo de seguridad para la empresa. O un empleado empresarial puede perder su dispositivo móvil de punto de venta y poner en riesgo los datos de las tarjetas de crédito de los clientes. D ependencia de los datos: las medianas empresas gastaron más de 11.700 millones de dólares en hardware, software y servicios de almacenamiento durante 2015. Esta cifra representa un aumento del 6 % con respecto a los niveles de 2014. Se prevé que la inversión en almacenamiento relacionado con la nube aumente de 1.000 a 2.800 millones de dólares entre 2015 y 2020, un índice de crecimiento anual compuesto del 23 %. Los análisis empresariales representan una de las inversiones en TI de más rápido crecimiento entre las medianas empresas. Más del 44 % de las medianas empresas utilizan este software en la actualidad (ya sea in situ o en la nube); el 45 % utilizan la gestión de relaciones con los clientes (CRM), y el 44 %, la planificación de recursos empresariales (ERP). La inversión en software de análisis empresarial fue superior a 3.000 millones de dólares en 2015, y se espera que alcance 5.000 millones en 2020. Se trabaja con estimaciones parecidas para CRM, con un aumento de 2.400 millones a 3.700 millones de dólares, y para ERP, que pasaría de 5.300 a 7.000 millones de dólares. Los casos de uso para los análisis empresariales son enormemente diversos: marketing y ventas, financiero, operaciones, gestión de capital humano, logística y planificación de productos, entre otros. Con independencia de que creen modelos mixtos de marketing, realicen recomendaciones de ventas cruzadas en sitios de comercio electrónico u optimicen precios para maximizar los volúmenes de ventas, las empresas dependen ahora de los datos para cada aspecto de sus operaciones. Sin acceso a los datos AMI AMI Partners, Nueva York, NY Página 5 Proteja su empresa durante el recorrido de la transformación digital 2016 subyacentes ni la capacidad de analizarlos, ninguna empresa puede competir de forma realista en el entorno de hoy en día. Soluciones centradas en los datos del mercado intermedio a nivel mundial Fuente: Modelo de mercado global de AMI-Partners P érdida de datos/Infracciones de seguridad: una gran proporción de medianas empresas también está sufriendo amenazas de seguridad más allá del entorno móvil, como ciberataques, sabotaje interno, ataques distribuidos de denegación de servicio (DDoS) y el robo de información propia. El coste de estos ataques es significativo y aumenta cada año. Fuente: Encuesta anual de responsables de decisiones empresariales y de TI de medianas empresas globales de AMI-Partners En los últimos 12 meses, el 42 % de las medianas empresas han sufrido problemas de pérdidas de datos a consecuencia de dispositivos robados, fallos de hardware o ciberataques. De media, cada incidente cuesta a la empresa 35.000 dólares, que incluyen el coste del hardware, el software y los servicios necesarios para responder a la infracción de seguridad, así como a reconstruir/restaurar los datos robados. El coste de oportunidad (pérdida de ingresos empresariales actuales y futuros, incluida la pérdida de clientes, y los costes no cuantificables, como la pérdida de "conocimiento corporativo" integrado en los datos perdidos) es agregado y no se incluye en esta estimación. AMI AMI Partners, Nueva York, NY Página 6 Proteja su empresa durante el recorrido de la transformación digital 2016 La pérdida de datos se produce por diversos eventos Estos eventos de pérdida de datos pueden producir tiempo de inactividad del sistema, que a menudo afecta a su vez a la reputación de la empresa y provoca la pérdida de clientes. Una de cada tres empresas que sufren eventos de pérdida de datos notifican una pérdida permanente de datos críticos para la empresa, y más del 25 % indica que también pierde clientes. Impacto de los datos comprometidos AMI AMI Partners, Nueva York, NY Página 7 Proteja su empresa durante el recorrido de la transformación digital 2016 Estos eventos no sólo dañaban la productividad y la reputación, sino que también conllevaban un alto precio en pérdidas directas y gastos resultantes de restaurar los datos y la información. En 2015, las medianas empresas que sufrieron una infracción de seguridad o de datos declararon pérdidas de hasta 100.000 dólares por incidente. La pérdida de clientes se produce a un ritmo preocupante: prácticamente una de cada tres medianas empresas ha declarado que ha perdido clientes como consecuencia de este tipo de incidentes. La mayoría de las empresas obtienen el 80 % de sus ingresos del 20 % de sus clientes, lo que multiplica la gravedad de este problema. Los datos comprometidos pueden afectar directamente a los clientes, erosionar su lealtad y terminar en el fracaso incluso de las empresas de mayor éxito. Las empresas deben ser proactivas a la hora de diseñar una visión completa de su política de capacidad de recuperación, seguridad y resistencia, así como elaborar una hoja de ruta que les ayude a alcanzar sus objetivos con relativa rapidez. L as estrategias implementadas por el mercado intermedio impulsan la necesidad de capacidad de recuperación, protección y resistencia Una mirada a las principales prioridades generales de TI de las medianas empresas revela que otorgan un alto grado de importancia estratégica a asegurar la seguridad y disponibilidad. Las medianas empresas se están centrando en varias iniciativas claves de TI, que incluyen mejorar el ancho de banda y el acceso a Internet, la copia de seguridad y la recuperación, la supervisión de sistemas, la prevención de pérdidas de datos y la protección de los dispositivos móviles. Estas medianas empresas reconocen que la experiencia de cliente, la disponibilidad empresarial y la gestión de la reputación son claves para su posición competitiva y éxito económico, y que fortalecer sus activos de TI y datos forma parte de la gestión de las operaciones diarias. Iniciativas estratégicas de TI AMI AMI Partners, Nueva York, NY Página 8 Proteja su empresa durante el recorrido de la transformación digital 2016 Mientras cada tecnología/solución individual es utilizada por el 30-45 % de las medianas empresas, colectivamente, más del 70 % ha implementado una o más de estas soluciones combinándolas de diversas formas, en función de sus necesidades específicas. Siete de cada diez medianas empresas priorizan la copia de seguridad y la recuperación en caso de desastre como parte de sus iniciativas estratégicas de TI. Siete de cada diez medianas empresas priorizan varias iniciativas de protección de la organización como parte de su estrategia de TI. Más del 50 % de las medianas empresas ha implementado el cifrado para proteger y asegurar las comunicaciones que se desplazan dentro y a través de los cortafuegos corporativos. Hasta el 45 % ha implementado soluciones de replicación de datos y recuperación en caso de desastre, tanto in situ como basadas en la nube. Casi 1 de cada 2 ha implementado varias soluciones de copia de seguridad y restauración para la redundancia de datos. Aunque se trata de cifras de adopción globales del mercado intermedio, las empresas pueden encontrarse en distintas etapas de adopción de estas soluciones. Normalmente, las empresas recorren 3 etapas de fortalecimiento de su política defensiva, y en cada caso, el desencadenante es un evento de seguridad o recuperación que demuestra sus carencias: Etapa 1: Básica: se ponen en práctica medidas de seguridad y almacenamiento/copia de seguridad básicas: una combinación de antivirus, firewalls, así como de hardware y software de almacenamiento externo. Aunque se trata de un primer paso importante, resulta obvio que este nivel de protección no toma en consideración realmente todos los activos de datos y flujos de información que necesitan protección en un entorno comercial. Etapa 2: Intermedia: tras someterse a una serie de infracciones de seguridad o interrupciones relacionadas con el almacenamiento, las organizaciones empiezan a implementar soluciones adicionales, como el cifrado, la replicación y el archivo, a fin de mejorar la capacidad de recuperación, la protección y la resistencia. AMI AMI Partners, Nueva York, NY Página 9 Proteja su empresa durante el recorrido de la transformación digital 2016 Etapa 3: Avanzada: estas empresas comprenden perfectamente cómo los datos y la información alimentan sus empresas y el crecimiento futuro. Por ello, han dado los pasos necesarios para protegerse ante cualquier circunstancia. La mayoría ha instalado una amplia gama de soluciones para proteger no sólo el perímetro, sino también varios puntos claves a través de los cuales los datos fluyen continuamente. Prácticamente el 60 % cuenta con redes de área de almacenamiento (SAN) y/o almacenamiento conectado a la red (NAS) para proteger la disponibilidad de las aplicaciones y los datos, mientras que más del 80 % ha implementado la redundancia de datos con varias soluciones de copia de seguridad, replicación y archivo. ¿Qué eficacia ofrece su nivel de capacidad de recuperación y protección? U na política empresarial que incluya la capacidad de recuperación ofrece la confianza necesaria para crecer Como muestra esta valoración de las 3 clases de medianas empresas, el perfil de riesgo en cada grupo es relativamente parecido desde los puntos de vista de la movilidad y las redes con varios emplazamientos, AMI AMI Partners, Nueva York, NY Página 10 Proteja su empresa durante el recorrido de la transformación digital 2016 lo que implica que quienes no invierten en proteger sus infraestructuras están esperando, en modo "de reacción", a que ocurra un desastre. Los eventos de seguridad ocurren y seguirán haciéndolo, con toda seguridad, en el futuro. No obstante, aquellos que hayan invertido en mejorar sus políticas de seguridad y recuperación pueden volver a la normalidad más rápidamente, y entre tanto, gozan de mayor confianza a la hora de ampliar sus empresas. También demuestran un mejor rendimiento empresarial general. Resulta claro que un factor clave para poder ampliar su empresa (tal y como están haciendo las empresas de la Etapa 3) es saber que dispone de una infraestructura de TI segura y con capacidad de recuperación para apoyar la expansión. Intentar crecer sin unos cimientos de este tipo crea riesgos adicionales, algo que no se puede permitir ninguna empresa. E lija soluciones para proteger su empresa en el recorrido de la transformación digital La estrategia general de protección empresarial debe consistir en 3 reglas: 1. Evitar fallos iniciales: elija soluciones fiables con alta disponibilidad, capacidad de recuperación y fiabilidad integradas. 2. Proteger la red para minimizar las amenazas: elija soluciones que respondan a las necesidades de las redes tanto cableadas como inalámbricas. 3. Cuente con un plan de contingencia por si su empresa sufre una interrupción o un ataque: implemente un conjunto completo de soluciones que ofrezcan copia de seguridad, recuperación, archivo y recuperación en caso de desastre Al seleccionar soluciones específicas, céntrese en los 4 atributos siguientes para asegurarse de que su empresa esté bien protegida en el entorno de transformación digital de hoy en día. Concretamente, las mejores soluciones presentarán los siguientes atributos: 1. Completas. Serán completas y estarán integradas. No serán un mosaico de productos individuales que operan en un nicho y tienen problemas para interactuar con otros componentes de su estructura de seguridad. 2. Integradas. Estarán integradas con sus procesos, aplicaciones y flujos de datos, de modo que actúen como una vacuna: siempre fluirán por el flujo de datos y eliminarán los riesgos 24X7X365. 3. Multientorno. Abarcarán varios entornos; a través de las TI in situ y la nube, así como de los activos físicos y virtualizados, y podrán gestionarse con facilidad desde un punto central. 4. Modulares. Estarán disponibles como un conjunto de módulos interconectables que las empresas pueden implementar en función de la etapa del recorrido de seguridad y capacidad de recuperación en la que se encuentren en cada momento. Hewlett Packard Enterprise ofrece una gama completa de soluciones modulares diseñadas para mejorar la capacidad de recuperación de su mediana empresa. Estas soluciones responden a todos los flujos de datos de una forma integrada, desde la propia red y hasta los dispositivos móviles, los servidores, el almacenamiento y las aplicaciones. Se apoyan en servicios que simplifican la gestión de toda su infraestructura de datos y comunicaciones, incluidos los entornos virtualizados. AMI AMI Partners, Nueva York, NY Página 11 Proteja su empresa durante el recorrido de la transformación digital 2016 Varios de los productos de HPE se han categorizado como "Líderes" en el Cuadrante mágico de Gartner. La cartera HPE Just Right IT, compuesta por productos de red Aruba, servidores HPE ProLiant Gen9, la plataforma HPE Server Management, productos de almacenamiento HPE y servicios de soporte, permite a las medianas empresas proteger sus activos de datos de forma completa a la vez que asequible. Encontrará información adicional sobre la cartera Just Right IT de HPE aquí: http://www8.hp.com/us/en/business-solutions/smb/uptime.html Acerca de Hewlett Packard Enterprise HPE (HPE: NYSE) ayuda a los clientes a utilizar la tecnología para reducir el tiempo empleado en convertir las ideas en valor. Dondequiera que se encuentren en su recorrido empresarial, HPE dispone de tecnología y soluciones para ayudarlos a triunfar. La cartera HPE Just Right IT se ha diseñado para ayudar a las empresas a mantenerse siempre en funcionamiento, protegidas y seguras. Acerca de AMI-Partners AMI-Partners proporciona información práctica de mercado y asesoramiento para la comercialización a empresas de TI, comunicaciones y comerciales, con una fuerte orientación hacia los mercados empresariales. Desarrollamos estrategias basadas en los análisis para ayudar a nuestros clientes a triunfar en todo el mundo. AMI AMI Partners, Nueva York, NY Página 12