75 por ciento de las organizaciones se encuentra en alto riesgo de sufrir un ciberataque
Las organizaciones que sufren más incidentes de seguridad tienen un 65 por ciento más de probabilidades de contar con capacidades de madurez en ciberseguridad más avanzadas.
A pesar de ello, las organizaciones menos maduras siguen centrando sus esfuerzos erróneamente en implementar tecnologías perimetrales como medida para frenar los ataques.
RSA, la división de seguridad de EMC, ha dado a conocer unos datos que demuestran que las organizaciones que invierten en tecnologías de detección y respuesta, en lugar de adoptar soluciones basadas en el perímetro, están mejor preparadas para defenderse frente a los ataques cibernéticos. El segundo informe anual RSA Cybersecurity Poverty Index, un estudio que reúne los resultados de una encuesta realizada entre 878 profesionales de seguridad en 81 países y más de 24 sectores industriales, ha encuestado a más del doble de profesionales con respecto al año anterior. El estudio ha dado a los participantes la oportunidad de autoevaluar la madurez de sus programas de seguridad frente a ciberataques tomando como referencia el NIST Cybersecurity Framework (CSF).
El informe pone de manifiesto por segundo año consecutivo que el 75% de los encuestados se encuentra en una situación de alto riesgo en cuanto a ciberseguridad. Las capacidades de respuesta a incidentes (IR) están muy poco desarrolladas. Casi la mitad de las organizaciones afirma que sus capacidades en esta área son “a medida” o inexistentes. Sin embargo, las organizaciones son más propensas a impulsar sus programas para reforzar estas capacidades una vez que han experimentado un incidente de seguridad que haya afectado al negocio. La encuesta también muestra que la mayoría de las organizaciones continúan esforzándose en mejorar la ciberseguridad, ya que no entienden cómo los riesgos cibernéticos pueden afectar a sus operaciones. Varios datos revelan que las empresas tienden a retrasar sus inversiones en ciberseguridad hasta que experimentan los daños en primera persona. Además, las empresas que adoptan una filosofía basada principalmente en la defensa del perímetro se encuentran en mayor desventaja a la hora de encontrar actividades maliciosas, y sus activos críticos de negocio están en riesgo de exposición pública. Los resultados del RSA Cybersecurity Poverty Index consolidan este concepto, reportando que las organizaciones que detectan y experimentan frecuentes incidentes en seguridad tienen un 65% más de probabilidades de tener capacidades desarrolladas o aventajadas. Esto demuestra que las organizaciones que sufren regularmente incidentes de seguridad refuerzan sus programas de seguridad y logran capacidades más maduras. Las organizaciones deben centrarse en la ejecución de estrategias preventivas y al mismo tiempo convertir en prioridad otras capacidades que están creciendo en importancia como la detección y la respuesta.
Uno de los cambios más significativos desde la encuesta de 2015 es el incremento del número de organizaciones con programas de ciberseguridad maduros. El porcentaje de organizaciones que reportan capacidades avanzadas –la categoría más alta- crece más de la mitad con respecto al año anterior, pasando del 4,9% al 7,4%. Pero la percepción general de las organizaciones sobre su preparación en ciberseguridad sigue siendo baja. El número de encuestados que señalaron que su exposición ante los riesgos en ciberseguridad es alta se mantiene estable en casi un 75%, lo que refleja una disparidad creciente entre los que tienen y no tienen preparación en seguridad.
La encuesta también muestra que las organizaciones continúan reforzando su habilidad para adoptar medidas proactivas con el fin de mejorar su ciberseguridad y su posición ante los riesgos. En general, el 45% de los encuestados describió su capacidad para catalogar, evaluar y mitigar los riesgos en ciberseguridad como "inexistente" o "a medida" y sólo el 24% señaló que son maduros en esta área. La incapacidad de cuantificar su Cyber Risk Appetite - los riesgos a los que se enfrentan y los potenciales impactos en sus organizaciones - hace que sea difícil priorizar la mitigación y la inversión, una actividad fundamental para cualquier organización que quiera mejorar sus capacidades de seguridad.
Por segundo año, los resultados de la encuesta ponen de relieve cómo los operadores de infraestructuras críticas, el público objetivo inicial para el CSF, tendrán que hacer avances significativos en sus niveles actuales de madurez. Las administraciones públicas y las organizaciones del sector energético se situaron en el último lugar en todos los mercados de la encuesta, con sólo el 18% de los encuestados calificándose como desarrollados o favorecidos. Las organizaciones del sector aeroespacial y de defensa reportan el nivel más alto de madurez con un 39% de encuestados que afirma tener capacidades desarrolladas o avanzadas. Las organizaciones de servicios financieros, un sector citado a menudo como líder en el mercado debido al gran número de ataques cibernéticos que registra, se sitúa en un lugar intermedio con un 26% de encuestados que consideran que sus empresas están bien preparadas – por debajo del 33% del año pasado.
El nivel de madurez de las organizaciones en Norteamérica vuelve a situarse por detrás de las regiones de APJ y EMEA. Las organizaciones en EMEA consideran que tienen estrategias de seguridad más consolidadas, con un 29% que se clasifican como desarrolladas o por encima del nivel de madurez global, mientras que solo el 26% de las organizaciones en APJ y el 23% de las organizaciones en Norteamérica se posicionan como desarrolladas o aventajadas. EMEA ha desbancado a APJ del primer puesto, subiendo 3 puntos porcentuales mientras que APJ ha bajado 13 puntos.
Amit Yoran, presidente de RSA, la división de Seguridad de EMC, manifiesta: “Este nuevo informe pone de manifiesto que organizaciones de todos los tamaños, sectores y áreas geográficas no se sienten preparadas para hacer frente a las amenazas cibernéticas. Tenemos que cambiar nuestra forma de pensar en cuanto a seguridad. Debemos centrarnos en algo más que la prevención y desarrollar una estrategia que haga hincapié en la detección y la respuesta. Las organizaciones necesitan establecer sus agendas con anterioridad y construir estrategias globales, sin tener que esperar a que se produzca un ataque para pasar a la acción”.