21 junio 2016

El 75 % de las organizaciones están expuestas a un alto riesgo de incidentes cibernéticos

De acuerdo con la última investigación de RSA, la inversión en protección del perímetro está frustrando el crecimiento de la respuesta a incidentes 
  • Por segundo año consecutivo, un 75 % de las organizaciones participantes están expuestas a un alto riesgo de seguridad cibernética
  • Las organizaciones que informan una mayor cantidad de incidentes de seguridad con impacto en el negocio tienen un 65 % más de probabilidades de tener capacidades avanzadas de madurez cibernética
  • La mitad de los encuestados describe sus capacidades de respuesta a incidentes como “ad oh” o “inexistentes”
  • Las organizaciones menos maduras siguen cometiendo el error de implementar más tecnologías de perímetro como una medida para detener las brechas y evitar que se generen incidentes
  • El sector energético y el gobierno se ubicaron entre los sectores menos preparados en términos cibernéticos
  • América sigue detrás de APJ y EMEA en madurez cibernética general 
Hoy, RSA® Security, la División de Seguridad de EMC (NYSE: EMC), publicó datos que demuestran que las organizaciones que invierten en tecnologías de detección y respuesta, en lugar de en soluciones basadas en el perímetro, están mejor preparadas para defenderse de incidentes cibernéticos. El segundo índice de pobreza de seguridad cibernética anual de RSA, que compila los resultados de la encuesta realizada a 878 participantes en 81 países y más de 24 sectores industriales, contó con más del doble de encuestados que el año pasado y permitió que los participantes auto-evaluarán la madurez de sus programas de seguridad cibernética usando el marco de seguridad cibernética de NIST (CSF) como parámetro de medición. Según el informe, por segundo año consecutivo, un 75 % de los participantes de la encuesta está expuesto a un alto riesgo de seguridad cibernética. Las capacidades de respuesta a incidentes (IR) están particularmente subdesarrolladas. Casi la mitad de las organizaciones definió sus capacidades básicas de IR como “ad hoc” o “inexistentes”, pero suelen acelerar los programas de refuerzo de sus capacidades de seguridad cibernética una vez que han experimentado un incidente de seguridad con impacto en el negocio. La encuesta también mostró que las organizaciones siguen teniendo dificultades para mejorar la seguridad cibernética porque no comprenden la manera en que los riesgos cibernéticos pueden afectar sus operaciones.
Existe mucha evidencia de que las empresas tienden a postergar las inversiones en seguridad cibernética hasta que se ven afectadas. Además, las empresas que se basan principalmente en una filosofía de defensa del perímetro están en desventaja en términos de detección de actividad maliciosa y corren el riesgo de exponer activos críticos del negocio. Los resultados del índice de pobreza de seguridad cibernética de RSA reforzaron este concepto, ya que se informa que las organizaciones que detectan y sufren incidentes de seguridad con frecuencia tienen un 65 % más de probabilidades de contar con capacidades desarrolladas o privilegiadas.  Esto demuestra que las organizaciones que lidian regularmente con incidentes de seguridad aceleran las iniciativas de fortalecimiento de los programas de seguridad y desarrollan más madurez. Las organizaciones deben enfocarse en llevar a cabo estrategias preventivas y en priorizar la mejora de estas capacidades por sobre otras cuya importancia está creciendo, como las capacidades de detección y respuesta.
Uno de los cambios más significativos respecto de la encuesta de 2015 es el aumento en la cantidad de organizaciones con programas de seguridad cibernética maduros. El porcentaje de organizaciones con capacidades privilegiadas (la categoría más alta) tuvo un incremento superior al 50 % respecto del índice anterior, de 4.9 % a 7.4 %.  Pero la percepción general de las organizaciones sobre su preparación de seguridad cibernética sigue siendo insuficiente. La cantidad de participantes que afirmó tener un nivel considerable de exposición a riesgos de seguridad cibernética se mantuvo estable en casi un 75 %, lo que refleja una disparidad cada vez mayor entre lo que se debe hacer y lo que no se debe hacer en términos de preparación de seguridad.   
La encuesta también mostró que las organizaciones siguen lidiando con su capacidad de tomar medidas proactivas para mejorar su postura de seguridad y seguridad cibernética. En términos generales, un 45 % de los encuestados describió su capacidad de catalogar, evaluar y moderar el riesgo cibernético como “inexistente” o “ad hoc”, y solo un 24 % afirmó contar con madurez en este aspecto. La incapacidad de cuantificar su propensión al riesgo cibernético (los riesgos que enfrentan y los posibles impactos en sus organizaciones) dificulta la priorización de la moderación y la inversión, una actividad fundamental para cualquier organización que desee mejorar su postura de riesgo y seguridad.
Por segundo año consecutivo, los resultados de la encuesta muestran cómo los operadores de infraestructura crítica, público al que está dirigido originalmente el CSF, deberán realizar avances significativos en sus niveles actuales de madurez. Las organizaciones del sector energético y el gobierno ocuparon los lugares más bajos entre los sectores industriales en la encuesta, con un 18 % de los encuestados con capacidades privilegiadas o desarrolladas. Las organizaciones del sector de aeroespacio y defensa son las que obtuvieron el nivel más alto de madurez, ya que un 39 % de los participantes demostró tener capacidades privilegiadas o desarrolladas. Las organizaciones de servicios financieros, un sector que suele considerarse líder debido al gran volumen de ataques cibernéticos que enfrenta, se ubicó en una posición intermedia; un 26 % de las firmas calificó como preparadas adecuadamente (una disminución respecto del 33 % del año anterior).
La madurez informada de las organizaciones de América sigue por detrás de EMEA y APJ. Las organizaciones en EMEA informaron las estrategias de seguridad más maduras; el 29% se calificó como desarrolladas o privilegiadas en madurez general, mientras que solo el 26 % de las organizaciones de APJ y el 23% de las organizaciones de América se calificaron como desarrolladas o privilegiadas. EMEA superó a APJ en la clasificación; subió 3 puntos porcentuales mientras que API cayó 13 puntos.