El 77% de las empresas admite no tener un plan formal de respuesta a incidentes de ciberseguridad (CSIRP) que se aplique sistemáticamente en toda la organización, mientras que alrededor del 50% reconoce que su plan se aplica ad hoc o no existe en absoluto. Pese a esta falta de planificación formal, el 72% de las organizaciones se sienten más “ciber-resilientes” que el año pasado.
Estas son algunas de las principales conclusiones del estudio anual “The 2018 Cyber Resilient Organization”, que ha llevado a cabo Ponemon Institute y patrocinado por IBM Resilient, para estudiar la resiliencia cibernética, es decir, la capacidad de una organización para protegerse y defenderse de los ciberataques.
Las organizaciones altamente resilientes atribuyen esta percepción de mayor “ciber-resistencia” a su capacidad para contratar personal cualificado, aunque el factor tecnológico también es relevante. De hecho, el 60% de los encuestados considera la falta de inversión en inteligencia artificial y aprendizaje automático como la mayor barrera para la resiliencia cibernética.
De todas formas, a pesar del incremento en la percepción de las empresas de su capacidad de resistencia a ataques informáticos respecto el año pasado, esta confianza puede ser infundada, ya que, según el estudio, los encuestados afirmaron que el tiempo necesario para resolver un incidente (57%) y la gravedad de los ataques (65%) habían aumentado. Además el informe muestra que solo el 31% de las organizaciones cuenta con un presupuesto de resiliencia cibernética adecuado y el 77% tiene dificultades para retener y contratar a profesionales especializados en seguridad informática.
La falta de un plan formal y consistente de respuesta a incidentes de seguridad cibernética (CSIRP) es una tendencia que se mantiene cada año a pesar del dato que reveló otro estudio elaborado por IBM en 2017 (Cost of a Data Breach Study): el coste de una fuga de datos es de media casi un millón de dólares menor cuando las organizaciones son capaces de contener la brecha de seguridad en menos de treinta días. De ahí la importancia de contar con un CSIRP fuerte.
Otras de las conclusiones del estudio son las siguientes:
– El personal para actividades relacionadas con la resiliencia cibernética es insuficiente. La segunda barrera más destacada para mejorar la resiliencia cibernética en una organización es no contar con suficiente personal cualificado dedicado a la ciberseguridad. El 29% de los encuestados señalaron que tener personal idóneo sería clave para lograr la resiliencia cibernética, el 50% afirmó que el actual CISO de su organización ha ocupado el puesto durante tres años o menos y el 23% señalaron que actualmente no tienen un CISO.
– Las organizaciones no están listas para el GDPR (Reglamento General de Protección de Datos). El GDPR entrará en vigor en mayo de 2018 y obligará a las organizaciones a implementar un plan de respuesta a incidentes de seguridad. El 77% de los encuestados no tiene un plan de respuesta a incidentes que se aplique de manera consistente en toda la empresa y en la mayoría de los países las organizaciones no muestran confianza en su capacidad de cumplir con el GDPR.
El resumen del estudio “The 2018 Cyber Resilient Organization”, basado en los resultados de una encuesta global a más de 2.800 profesionales de seguridad y TI de todo el mundo, puede descargarse aquí (requiere registro).