Advierten sobre falta de madurez y confianza excesiva en seguridad cibernética

Una investigación llevada a cabo por RSA descubre que, si bien se considera que las organizaciones más grandes comúnmente tienen los recursos para montar una defensa más importante, el tamaño no es un factor determinante para alcanzar una madurez de seguridad cibernética potente.

“Es importante aclarar que hacer una inversión en una solución preventivas no es el camino”, aseguró Marcos Nehme, Director, Systems Engineer Latin America & Caribbean de la compañía, en diálogo con este medio.

RSA, la división de Seguridad de EMC, dio a conocer su índice de pobreza de seguridad cibernética, en el que se compilaron los resultados de encuestas a más de 400 profesionales de seguridad en 61 países.

Los participantes pudieron autoevaluaran la madurez de sus programas de seguridad cibernética usando el marco de seguridad cibernética de NIST (CSF) como parámetro de medición: casi el 75 % informó niveles insuficientes de madurez en seguridad.

Según Nehme, la falta de madurez en las grandes empresas no es una novedad para RSA: “Sabemos que invierten bastante en tecnología, pero tienen que empezar a cambiar la forma en que utilizan esos recursos. No es un problema de tecnología, sino de mentalidad”, advirtió.

En lo que respecta a las pymes, el entrevistado hizo hincapié en la gran presencia que estas empresas tienen dentro de la cadena, por lo que, “si no tienen la capacidad y madurez de actuar rápidamente ante incidentes pueden afectar a la grandes.

En ese mismo sentido, la investigación detectó que el área más madura del programa y las capacidades de seguridad cibernética de las organizaciones están relacionadas con las soluciones preventivas, las cuales, recordó el entrevistado, resultan insuficientes contra ataques más avanzados.

En contrapartida, Nehme también hizo hincapié en que la mayor debilidad de las organizaciones encuestadas es la capacidad de medir, evaluar y mitigar riesgos de seguridad cibernética. Según el informe, el 45% describe sus capacidades en esta área como “inexistentes” o “ad hoc”, y sólo el 21% informa su madurez en este aspecto. De acuerdo con la compañía, esta desventaja dificulta o imposibilita priorizar los procesos y la inversión.

A diferencia de lo esperado, la investigación muestra que el tamaño de una organización no es un indicador de madurez. Es más, el 83% de las encuestadas con más de 10.000 empleados calificó sus capacidades como inferiores a “desarrolladas” en su nivel de madurez general. “Este resultado sugiere que la experiencia con amenazas avanzadas y la visibilidad general de estas que poseen las grandes organizaciones imponen la necesidad de una mayor madurez que la actual” y que “tienen la necesidad de cambiar a soluciones y estrategias de detección y respuesta para lograr una seguridad más sólida y madura”, según advierten desde RSA.

Servicios financieros

Asimismo, los resultados de las organizaciones de servicios financieros, denominados a menudo líderes en la industria en lo que respecta a la madurez en seguridad, tampoco fueron los esperados. No obstante la opinión general, las organizaciones de este sector no se calificaron como el sector más maduro, y sólo un tercio se calificó como bien preparado.

“Los operadores de infraestructura crítica, público al que está dirigido originalmente el CSF, deberán realizar avances significativos en sus niveles actuales de madurez”, sugiere al respecto la división de seguridad de EMC..
En cambio, las organizaciones del sector de telecomunicaciones informaron el nivel de madurez más alto: el 50 % de los encuestados cuenta con capacidades desarrolladas o privilegiadas.

El Gobierno ocupó el último puesto entre los sectores incluidos en la encuesta: sólo el 18% de los encuestados se calificó como desarrollado o privilegiado. “Las autoevaluaciones de madurez más bajas en sectores notablemente maduros en otros aspectos sugieren una mayor comprensión del panorama de amenazas avanzadas y de la necesidad de crear capacidades más maduras para enfrentarlas”, aseguran desde la compañía.

A pesar de que el CSF se desarrolló en los Estados Unidos, la madurez que informaron las organizaciones en América obtuvo una peor calificación que APJ y EMEA: las organizaciones en APJ informaron las estrategias de seguridad más maduras; el 39% se calificó como desarrollado o privilegiado en madurez general, mientras que sólo el 26% de las organizaciones de EMEA y el 24% de las organizaciones de América se calificaron de esa manera.

Finalmente, Nehme, enumeró una serie de recomendaciones que RSA está dando a partners y empresas de todos los tamaños para hacer frente a amenazas avanzadas, como implementar un programa de seguridad cibernética de acuerdo con el tamaño de la empresa para equilibrar los recursos y centrarse no en la prevención sino en capacitar y poder dar respuestas a incidentes; y poner en práctica los parámetros que se establecen como marco de seguridad cibernética: “Tener tecnología pero no saber usarla es falta de madurez”, concluyó.

Más información

Acceda a la investigación completa haciendo clic aquí.

Temas del Día

Alcanzaste el límite de 40 notas leídas

Advierten sobre falta de madurez y confianza excesiva en seguridad cibernética

Cómo la adaptación climática está redefiniendo a los edificios

Fox comprará la plataforma Roku por 22.000 millones de dólares

Dejá tu comentario

Te Puede Interesar

¿Cómo implementar la figura de Colaboradores Independientes en tu Emprendimiento?

Cómo funciona Fanbag, la PyME dedicada a regalar experiencias

¿Cuáles son las franquicias que más crecieron este año?