La rigidez de los procesos en las organizaciones, y la excesiva confianza de sus ejecutivos, debilita la ciberseguridad de las empresas
Un estudio elaborado por Intel Security en colaboración con el CSIS, afirma que sólo la mitad del personal de TI coincide con los directivos en que las estrategias de ciberseguridad están completamente implementadas.
Intel Security, en colaboración con el Centro de Estudios Estratégicos e Internacionales (CSIS), ha dado a conocer su informe “Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity”. El estudio revela tres áreas que representan un talón de Aquiles en la ciberseguridad de las empresas: entornos ágiles y fluidos de la ciberdelincuencia frente a los pesados procesos internos de las empresas; ralentización en la implementación de las políticas de seguridad; y directivos de alto nivel frente a especialistas en ciberseguridad. Además, el informe destaca las formas en que las organizaciones pueden aprender de los propios ciberdelincuentes para corregir estos desajustes.
De acuerdo a las respuestas de 800 profesionales de la ciberseguridad procedentes de 5 sectores industriales diferentes, el informe señala cómo los cibercriminales nos llevan la delantera gracias a los ágiles entornos en los que se mueven aprovechándose de las pesadas organizaciones, procesos y burocracia interna de las empresas.
A nivel interno, también nos encontramos con un hándicap en cuanto a la implantación real de sus políticas de seguridad, así mientras que más del 90% de las empresas afirma tener una estrategia de ciberseguridad, sólo el 49% la ha implementado completamente. Además, el 83% señala que sus organizaciones se han visto afectadas por brechas en sus sistemas de seguridad, lo cual indica una clara desconexión entre la estrategia y la implementación.
"El mercado de los ciberdelincuentes está preparado para el éxito debido a su propia estructura, la cual premia rápidamente la innovación y promueve el intercambio de las mejores herramientas", afirma María Campos, Regional Director para España y Portugal de Intel Security. "Para que los profesionales informáticos y de la ciberseguridad puedan competir con los atacantes, deben ser tan ágiles y hábiles como ellos, y, al mismo tiempo, tener mejores incentivos”.
"Es fácil elaborar una estrategia, lo complicado es llevarla a cabo", reconoce Denise Zheng, directora y miembro senior del programa de política tecnológica del CSIS. "La forma en que las asociaciones abordan sus desajustes respecto a las motivaciones e incentivos de sus especialistas, determinará la eficacia de sus programas de ciberseguridad. No es una cuestión de "qué" hay que hacer, sino más bien hay que determinar "por qué" no se está haciendo y "cómo" hacerlo mejor”.
Otras conclusiones del informe:
• Los técnicos de seguridad achacan los problemas de implementación de las estrategias de seguridad a la falta de recursos y personal en mayor grado que sus directivos, con una proporción de tres a uno.
• El 95% de las organizaciones ha experimentado brechas en ciberseguridad, incluyendo la interrupción de las operaciones, pérdida de propiedad intelectual o daño a la reputación e imagen de marca de la empresa. Sin embargo, sólo el 32% afirma haber sufrido una pérdida de ingresos o beneficios.
• Las administraciones públicas son las menos propensas a disponer de una estrategia de ciberseguridad completamente implementada en sus sistemas (38%). Más aún, el sector público es el que cuenta fondos insuficientes destinados a ciberseguridad (58%) y de menos personal cualificado (63%), en comparación con el sector privado (33% y 48%, respectivamente).
El informe también sugiere algunas formas en las que los defensores pueden aprender de los atacantes. Estas incluyen:
- Optar por la seguridad como servicio para contrarrestar el modelo de cibercrimen como servicio del mercado criminal.
- Aumento de la transparencia.
- Incrementar el talento cibernético.
- Alinear los incentivos y las motivaciones, desde los altos directivos a los profesionales y especialistas.
Ante este panorama, y de acuerdo a los autores del informe, la buena noticia es que la mayoría de las organizaciones reconoce la relevancia de los problemas en ciberseguridad y están dispuestas a abordarlos. En este sentido, las compañías precisan de más y mejores herramientas para combatir a los ciberatacantes. Así pues, la experimentación es necesaria para identificar cuál es la mezcla correcta de métricas e incentivos para cada organización. Ello les permitirá ser más innovadoras en su estructura organizacional y en sus procesos.
Metodología
Intel encargó a Vanson Bourne, especialista en investigación de mercados de tecnología independiente, la investigación sobre la que se basa este informe. Intel encuestó a más de 800 personas de diferentes compañías que varían en tamaño de 500 empleados a más de 5.000 en cinco sectores importantes de la industria, incluyendo finanzas, salud y el sector público. La encuesta estaba dirigida a directivos con responsabilidad en ciberseguridad, así como a operadores que tienen responsabilidades técnicas y de implementación en ciberseguridad. Los países representados en esta muestra son Estados Unidos, Reino Unido, Francia, Alemania, Brasil, Japón, Singapur, Australia y México.