CIBERSEGURIDAD

El índice de pobreza en ciberseguridad inaugural muestra una preocupante falta de madurez y una dependencia excesiva en la prevención

0 72 3 minutos de lectura


RSA, La División de Seguridad de EMC, ha publicado hoy su Índice de pobreza en ciberseguridad inaugural que recopila los resultados de la encuesta de más de 400 profesionales de la seguridad en 61 países. La encuesta permitió a los participantes autoevaluar la madurez de sus programas de ciberseguridad, aprovechando la Marco de ciberseguridad del NIST (CSF) como la vara de medir. La investigación proporciona información global valiosa sobre cómo las organizaciones califican su madurez y prácticas generales de ciberseguridad en una variedad de tamaños organizacionales, industrias y geografías.
Si bien se suele pensar que las organizaciones más grandes tienen los recursos para montar una ciberdefensa más sustantiva, los resultados de la encuesta indican que el tamaño no es un factor determinante de una sólida madurez de la ciberseguridad y casi el 75% de todos los encuestados declararon tener niveles insuficientes de madurez de la seguridad. .
La falta de madurez general no es sorprendente, ya que muchas organizaciones encuestadas informaron incidentes de seguridad que resultaron en pérdidas o daños en sus operaciones durante los últimos 12 meses. La capacidad más madura revelada en la investigación fue el área de Protección. Los resultados de la investigación brindan información cuantitativa de que el área más madura de las organizaciones de su programa y capacidades de ciberseguridad se encuentran en soluciones preventivas a pesar del entendimiento común de que las estrategias y soluciones preventivas por sí solas son insuficientes frente a ataques más avanzados. Además, la mayor debilidad de las organizaciones encuestadas es la capacidad de medir, evaluar y mitigar el riesgo de ciberseguridad; el 45% de los encuestados describen sus capacidades en esta área como «inexistentes» o «ad hoc», y solo el 21% informan que son maduros en este dominio. Esta deficiencia hace que sea difícil o imposible priorizar la actividad y la inversión en seguridad, una actividad fundamental para cualquier organización que busque mejorar sus capacidades de seguridad en la actualidad.
Contrario a las expectativas, la investigación indica que el tamaño de una organización no es un indicador de madurez. De hecho, el 83% de las organizaciones encuestadas con más de 10,000+ empleados calificaron sus capacidades como menos que “desarrolladas” en madurez general. Este resultado sugiere que la experiencia general de las grandes organizaciones y la visibilidad de las amenazas avanzadas dictan la necesidad de una mayor madurez que su situación actual. Las calificaciones de madurez autoevaluadas débiles de las grandes organizaciones indican su comprensión de la necesidad de moverse para detectar y responder soluciones y estrategias para una seguridad más sólida y madura.
También contrarios a las expectativas fueron los resultados de las organizaciones de servicios financieros, un sector a menudo citado como líder en la industria en términos de madurez de seguridad. Sin embargo, a pesar de la sabiduría convencional, las organizaciones de servicios financieros encuestadas no se clasificaron a sí mismas como la industria más madura, con solo un tercio de la calificación como bien preparada. Los operadores de infraestructura crítica, el público objetivo original del CSF, deberán dar pasos importantes hacia adelante en sus niveles actuales de madurez. Las organizaciones de la industria de las telecomunicaciones informaron el nivel más alto de madurez, con un 50% de los encuestados con capacidades desarrolladas o aventajadas, mientras que el gobierno ocupó el último lugar en todas las industrias en la encuesta, con solo el 18% de los encuestados clasificados como desarrollados o aventajados. Las autoevaluaciones más bajas de madurez en industrias por lo demás notablemente maduras sugieren una mayor comprensión del panorama de amenazas avanzadas y su necesidad de desarrollar capacidades más maduras para igualarlo.
A pesar de que el CSF se desarrolló en los Estados Unidos, la madurez informada de las organizaciones en las Américas se ubicó detrás de APJ y EMEA. Las organizaciones en APJ informaron las estrategias de seguridad más maduras, con un 39% clasificadas como desarrolladas o con ventajas en la madurez general, mientras que solo el 26% de las organizaciones en EMEA y el 24% de las organizaciones en América se clasificaron como desarrolladas o con ventajas.
Comentando sobre el estudio, Amit Yoran, presidente, dijo: “Esta investigación demuestra que las empresas continúan invirtiendo grandes cantidades de dinero en firewalls de próxima generación, antivirus y protección avanzada contra malware con la esperanza de detener las amenazas avanzadas. Sin embargo, a pesar de la inversión en estas áreas, incluso las organizaciones más grandes aún no se sienten preparadas para las amenazas a las que se enfrentan. Creemos que esta dicotomía es el resultado del fracaso de los modelos de seguridad basados ​​en la prevención de hoy para abordar el panorama de amenazas en avance. Necesitamos cambiar la forma en que pensamos sobre la seguridad y eso comienza reconociendo que la prevención por sí sola es una estrategia fallida y se debe prestar más atención a la estrategia basada en la detección y la respuesta «.

Publicaciones relacionadas

¿Podría Fireball Malware convertirse en el próximo Mirai?

El ELM327 Bluetooth de Tesla puede piratearse para analizar mensajes CAN e información de tráfico.

Los juegos en línea nos exponen a peligrosas amenazas de seguridad

La mayoría de las agencias federales han sufrido una violación de datos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar