83% de las grandes organizaciones en el “铆ndice de pobreza” en ciberseguridad

Un estudio de RSA sobre ciberseguridad revela una preocupante falta de madurez en este terreno y una excesiva dependencia de la prevenci贸n.

RSA, la divisi贸n de seguridad de EMC (NYSE: EMC), ha presentado su estudio Cybersecurity Poverty Index, que re煤ne los resultados de una encuesta realizada entre m谩s de 400 profesionales de seguridad en 61 pa铆ses. El estudio permiti贸 a los participantes autoevaluar la madurez de sus programas de seguridad frente a ciberataques tomando como referencia el NIST Cybersecurity Framework (CFS).

El informe ofrece una visi贸n global sobre la manera en que las organizaciones valoran su madurez y pr谩cticas de ciberseguridad en general entre empresas de diferentes tama帽os, mercados y geograf铆as. Si bien las organizaciones m谩s grandes suelen ser consideradas como las que cuentan con m谩s recursos para dise帽ar una defensa cibern茅tica m谩s potente, los resultados de la encuesta indican que el tama帽o no es un factor determinante del nivel de preparaci贸n en cuanto a ciberseguridad y casi el 75% de los encuestados reconoci贸 que su nivel de madurez en lo que respecta a la seguridad inform谩tica es insuficiente.

Esta falta de preparaci贸n en general no es sorprendente, ya que muchas de las organizaciones encuestadas sufrieron incidentes de seguridad que dieron lugar a p茅rdidas o da帽os en sus operaciones en los 煤ltimos 12 meses. El 谩rea m谩s preparada en las empresas result贸 ser la de protecci贸n, y en concreto el desarrollo de soluciones preventivas, a pesar de la idea generalizada de que las estrategias y las soluciones preventivas solas son insuficientes frente a los ataques m谩s avanzados.

Adem谩s, la mayor debilidad de las organizaciones encuestadas est谩 en la capacidad de medir, evaluar y mitigar los riesgos de la ciberseguridad, y el 45% de los encuestados afirma que sus capacidades en esta 谩rea son “inexistentes”, o “ad hoc”, y s贸lo el 21% reconoce que est谩 preparado en este aspecto. En este escenario resulta muy dif铆cil o imposible justificar en algunos 谩mbitos la necesaria prioridad a la actividad de seguridad y a la inversi贸n, una actividad fundamental para cualquier organizaci贸n que quiera mejorar sus capacidades de seguridad.

En contra de lo que se podr铆a suponer, el estudio revela que el tama帽o de una organizaci贸n no es un indicador de madurez de sus programas de seguridad inform谩tica. De hecho, el 83% de las organizaciones encuestadas con m谩s de 10.000 empleados puntuaron sus capacidades como menos “desarrolladas” en el grado de madurez total. Este resultado sugiere que la experiencia de las grandes organizaciones en cuanto a las amenazas avanzadas les hace ser conscientes de la necesidad de una mayor preparaci贸n. Las bajas puntuaciones que las grandes organizaciones se han dado a s铆 mismas indican que entienden la necesidad de pasar a desarrollar soluciones y estrategias de detecci贸n y respuesta para una seguridad m谩s potente y madura.

Tambi茅n son muy reveladores los resultados de las organizaciones de servicios financieros, un sector a menudo citado como l铆der en el mercado en t茅rminos de madurez en 聽seguridad. A pesar de su experiencia, las organizaciones de servicios financieros encuestadas no se autocalificaron a s铆 mismas como la industria m谩s madura, y s贸lo un tercio se puntuaron como bien preparadas. Los operadores de infraestructuras cr铆ticas, el p煤blico objetivo inicial para el CSF, tendr谩n que hacer avances significativos en sus niveles actuales de madurez. Las organizaciones del Sector de Telecomunicaciones se clasificaron con el m谩s alto nivel de madurez; el 50% de los encuestados afirmaron tener capacidades desarrolladas o avanzadas. Las administraciones p煤blicas se situaron en el 煤ltimo lugar en todos los mercados en la encuesta, con s贸lo el 18% de los encuestados calific谩ndose como desarrollados o favorecidos. Los niveles m谩s bajos de autoevaluaciones de madurez en mercados que son maduros en otros 谩mbitos, demuestran una mayor comprensi贸n del panorama de amenazas avanzadas y de la necesidad de desarrollar capacidades mejoradas para ponerse a la altura.

El informe pone de manifiesto que el nivel de madurez de las organizaciones en Norteam茅rica se sit煤a por detr谩s de las regiones APJ y EMEA. Las organizaciones de APJ consideran que tienen estrategias de seguridad m谩s consolidadas, con un 39% que se clasifican como desarrolladas o por encima del nivel de madurez global, mientras que solo el 26% de las organizaciones en EMEA y el 24% en Norteam茅rica se posicionan como desarrolladas o aventajadas.

Amit Yoran, presidente de RSA, la divisi贸n de Seguridad de EMC “Esta investigaci贸n demuestra que las empresas contin煤an invirtiendo grandes cantidades de dinero en firewalls de nueva generaci贸n, antivirus y protecci贸n contra malware avanzado con el fin de detener las amenazas avanzadas. A pesar de la inversi贸n en estas 谩reas, incluso las grandes organizaciones no se sienten preparadas para hacer frente a las amenazas. Creemos que esta dicotom铆a es el resultado del fracaso de los modelos actuales de seguridad basados en la prevenci贸n para hacer frente a las amenazas. Tenemos que cambiar nuestra forma de pensar en cuanto a seguridad, comenzando por reconocer que la prevenci贸n por s铆 sola es una estrategia fallida y se necesita una mayor inversi贸n en una estrategia basada en la detecci贸n y la capacidad de responder a las amenazas”.

Metodolog铆a

Para evaluar su madurez en ciberseguridad, los encuestados autoevaluaron sus capacidades tomando como referencia el NIST Cybersecurity Framework (CSF). El CSF proporciona una gu铆a basada en las normas, directrices y pr谩cticas existentes para reducir los riesgos cibern茅ticos, que fue creada gracias a la colaboraci贸n entre la industria y gobierno. El CSF fue desarrollado inicialmente en Estados Unidos con el fin de ayudar a reducir los riesgos cibern茅ticos en una infraestructura cr铆tica, pero en la actualidad lo utilizan organizaciones de todo el mundo ya que ofrece un enfoque priorizado, flexible, repetible y rentable para la gesti贸n del riesgo cibern茅tico. Por tanto, se ha convertido en una referencia clave para evaluar la seguridad cibern茅tica y el nivel de madurez en la gesti贸n de riesgos en cualquier organizaci贸n.

Las organizaciones han calificado sus propias capacidades en los cinco par谩metros clave establecidos por el CSF: identificar, proteger, detectar, responder y recuperarse. Para las valoraciones, se ha utilizado una escala de 5 puntos, el 1 significa que la organizaci贸n no tiene capacidad en un 谩rea determinada, mientras que el 5 indica que tiene pr谩cticas bien consolidadas en un 谩rea concreta.


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.