Un estudio de RSA sobre
ciberseguridad revela una preocupante falta de
madurez en este terreno y una excesiva dependencia de la prevención.
RSA, la división de seguridad de
EMC, ha presentado su estudio
Cybersecurity Poverty Index,
que reúne los resultados de una encuesta realizada entre más de 400
profesionales de seguridad en 61 países. El estudio permitió a los
participantes autoevaluar la madurez de sus programas de seguridad
frente a ciberataques tomando como referencia el
NIST Cybersecurity Framework (CFS).
El informe ofrece una visión global sobre la manera en que las
organizaciones valoran su madurez y prácticas de ciberseguridad en
general entre empresas de diferentes tamaños, mercados y geografías. Si
bien las organizaciones más grandes suelen ser consideradas como las que
cuentan con más recursos para diseñar una defensa cibernética más
potente, los resultados de la encuesta indican que el tamaño no es un
factor determinante del nivel de preparación en cuanto a
ciberseguridad y
casi el 75% de los encuestados reconoció que su nivel de madurez en lo
que respecta a la seguridad informática es insuficiente.
Esta falta de preparación en general no es sorprendente, ya que muchas
de las
organizaciones encuestadas sufrieron incidentes de seguridad que
dieron lugar a pérdidas o daños en sus operaciones en los últimos 12
meses. El área más preparada en las empresas resultó ser la de
protección, y en concreto el desarrollo de soluciones preventivas, a
pesar de la idea generalizada de que las estrategias y las soluciones
preventivas solas son insuficientes frente a los ataques más avanzados.
Además, la mayor debilidad de las organizaciones encuestadas está en la
capacidad de medir, evaluar y mitigar los riesgos de la
ciberseguridad, y
el 45% de los encuestados afirma que sus capacidades en esta área son
"inexistentes", o "ad hoc", y sólo el 21% reconoce que está preparado en
este aspecto. En este escenario resulta muy difícil o imposible
justificar en algunos ámbitos la necesaria prioridad a la actividad de
seguridad y a la inversión, una actividad fundamental para cualquier
organización que quiera mejorar sus capacidades de seguridad.
En contra de lo que se podría suponer, el estudio revela que el tamaño
de una organización no es un indicador de madurez de sus programas de
seguridad informática. De hecho, el 83% de las organizaciones
encuestadas con más de 10.000 empleados puntuaron sus capacidades como
menos “desarrolladas” en el grado de madurez total. Este resultado
sugiere que la experiencia de las grandes organizaciones en cuanto a las
amenazas avanzadas les hace ser conscientes de la necesidad de una
mayor preparación. Las bajas puntuaciones que las
grandes organizaciones
se han dado a sí mismas indican que entienden la necesidad de pasar a
desarrollar soluciones y estrategias de detección y respuesta para una
seguridad más potente y madura.
También son muy reveladores los resultados de las organizaciones de
servicios financieros, un sector a menudo citado como líder en el
mercado en términos de madurez en seguridad. A pesar de su experiencia,
las organizaciones de servicios financieros encuestadas no se
autocalificaron a sí mismas como la industria más madura, y sólo un
tercio se puntuaron como bien preparadas. Los operadores de
infraestructuras críticas, el público objetivo inicial para el CSF,
tendrán que hacer avances significativos en sus niveles actuales de
madurez. Las organizaciones del Sector de Telecomunicaciones se
clasificaron con el más alto nivel de madurez; el 50% de los encuestados
afirmaron tener capacidades desarrolladas o avanzadas. Las
administraciones públicas se situaron en el último lugar en todos los
mercados en la encuesta, con sólo el 18% de los encuestados
calificándose como desarrollados o favorecidos. Los niveles más bajos de
autoevaluaciones de madurez en mercados que son maduros en otros
ámbitos, demuestran una mayor comprensión del panorama de amenazas
avanzadas y de la necesidad de desarrollar capacidades mejoradas para
ponerse a la altura.
El informe pone de manifiesto que el nivel de madurez de las
organizaciones en Norteamérica se sitúa por detrás de las regiones APJ y
EMEA. Las organizaciones de APJ consideran que tienen estrategias de
seguridad más consolidadas, con un 39% que se clasifican como
desarrolladas o por encima del nivel de madurez global, mientras que
solo el 26% de las organizaciones en EMEA y el 24% en Norteamérica se
posicionan como desarrolladas o aventajadas.
Amit Yoran, presidente de RSA, la división de Seguridad de EMC
"Esta
investigación demuestra que las empresas continúan invirtiendo grandes
cantidades de dinero en firewalls de nueva generación, antivirus y
protección contra malware avanzado con el fin de detener las amenazas
avanzadas. A pesar de la inversión en estas áreas, incluso las grandes
organizaciones no se sienten preparadas para hacer frente a las
amenazas. Creemos que esta dicotomía es el resultado del fracaso de los
modelos actuales de seguridad basados en la prevención para hacer frente
a las amenazas. Tenemos que cambiar nuestra forma de pensar en cuanto a
seguridad, comenzando por reconocer que la prevención por sí sola es
una estrategia fallida y se necesita una mayor inversión en una
estrategia basada en la detección y la capacidad de responder a las
amenazas".
Metodología
Para evaluar su madurez en ciberseguridad, los encuestados autoevaluaron sus capacidades tomando como referencia el
NIST Cybersecurity Framework
(CSF). El CSF proporciona una guía basada en las normas, directrices y
prácticas existentes para reducir los riesgos cibernéticos, que fue
creada gracias a la colaboración entre la industria y gobierno. El CSF
fue desarrollado inicialmente en Estados Unidos con el fin de ayudar a
reducir los riesgos cibernéticos en una infraestructura crítica, pero en
la actualidad lo utilizan organizaciones de todo el mundo ya que ofrece
un enfoque priorizado, flexible, repetible y rentable para la gestión
del riesgo cibernético. Por tanto, se ha convertido en una referencia
clave para evaluar la seguridad cibernética y el nivel de madurez en la
gestión de riesgos en cualquier organización.
Las organizaciones han calificado sus propias capacidades en los cinco
parámetros clave establecidos por el CSF: identificar, proteger,
detectar, responder y recuperarse. Para las valoraciones, se ha
utilizado una escala de 5 puntos, el 1 significa que la organización no
tiene capacidad en un área determinada, mientras que el 5 indica que
tiene prácticas bien consolidadas en un área concreta.