RSA Cibersecurity Poverty Index
Comunicaciones Hoy28/06/2016
RSA, la división de seguridad de EMC, ha dado a conocer unos datos que demuestran que las organizaciones que invierten en tecnologías de detección y respuesta, en lugar de adoptar soluciones basadas en el perímetro, están mejor preparadas para defenderse frente a los ataques cibernéticos. El segundo informe anual RSA Cybersecurity Poverty Index, un estudio que reúne los resultados de una encuesta realizada entre 878 profesionales de seguridad en 81 países y más de 24 sectores industriales, ha encuestado a más del doble de profesionales con respecto al año anterior. El estudio ha dado a los participantes la oportunidad de autoevaluar la madurez de sus programas de seguridad frente a ciberataques tomando como referencia el NIST Cybersecurity Framework.
El informe pone de manifiesto por segundo año consecutivo que el 75% de los encuestados se encuentra en una situación de alto riesgo en cuanto a ciberseguridad. Las capacidades de respuesta a incidentes están muy poco desarrolladas. Casi la mitad de las organizaciones afirma que sus capacidades en esta área son “a medida” o inexistentes. Sin embargo, las organizaciones son más propensas a impulsar sus programas para reforzar estas capacidades una vez que han experimentado un incidente de seguridad que haya afectado al negocio. La encuesta también muestra que la mayoría de las organizaciones continúan esforzándose en mejorar la ciberseguridad, ya que no entienden cómo los riesgos cibernéticos pueden afectar a sus operaciones. Varios datos revelan que las empresas tienden a retrasar sus inversiones en ciberseguridad hasta que experimentan los daños en primera persona. Además, las empresas que adoptan una filosofía basada principalmente en la defensa del perímetro se encuentran en mayor desventaja a la hora de encontrar actividades maliciosas, y sus activos críticos de negocio están en riesgo de exposición pública. Los resultados del RSA Cybersecurity Poverty Index consolidan este concepto, reportando que las organizaciones que detectan y experimentan frecuentes incidentes en seguridad tienen un 65% más de probabilidades de tener capacidades desarrolladas o aventajadas. Esto demuestra que las organizaciones que sufren regularmente incidentes de seguridad refuerzan sus programas de seguridad y logran capacidades más maduras. Las organizaciones deben centrarse en la ejecución de estrategias preventivas y al mismo tiempo convertir en prioridad otras capacidades que están creciendo en importancia como la detección y la respuesta.
Uno de los cambios más significativos desde la encuesta de 2015 es el incremento del número de organizaciones con programas de ciberseguridad maduros. El porcentaje de organizaciones que reportan capacidades avanzadas -la categoría más alta- crece más de la mitad con respecto al año anterior, pasando del 4,9% al 7,4%. Pero la percepción general de las organizaciones sobre su preparación en ciberseguridad sigue siendo baja. El número de encuestados que señalaron que su exposición ante los riesgos en ciberseguridad es alta se mantiene estable en casi un 75%, lo que refleja una disparidad creciente entre los que tienen y no tienen preparación en seguridad.
La encuesta también muestra que las organizaciones continúan reforzando su habilidad para adoptar medidas proactivas con el fin de mejorar su ciberseguridad y su posición ante los riesgos. En general, el 45% de los encuestados describió su capacidad para catalogar, evaluar y mitigar los riesgos en ciberseguridad como "inexistente" o "a medida" y sólo el 24% señaló que son maduros en esta área. La incapacidad de cuantificar su Cyber Risk Appetite - los riesgos a los que se enfrentan y los potenciales impactos en sus organizaciones - hace que sea difícil priorizar la mitigación y la inversión, una actividad fundamental para cualquier organización que quiera mejorar sus capacidades de seguridad.
Por segundo año, los resultados de la encuesta ponen de relieve cómo los operadores de infraestructuras críticas, el público objetivo inicial para el CSF, tendrán que hacer avances significativos en sus niveles actuales de madurez. Las administraciones públicas y las organizaciones del sector energético se situaron en el último lugar en todos los mercados de la encuesta, con sólo el 18% de los encuestados calificándose como desarrollados o favorecidos. Las organizaciones del sector aeroespacial y de defensa reportan el nivel más alto de madurez con un 39% de encuestados que afirma tener capacidades desarrolladas o avanzadas. Las organizaciones de servicios financieros, un sector citado a menudo como líder en el mercado debido al gran número de ataques cibernéticos que registra, se sitúa en un lugar intermedio con un 26% de encuestados que consideran que sus empresas están bien preparadas - por debajo del 33% del año pasado.
El nivel de madurez de las organizaciones en Norteamérica vuelve a situarse por detrás de las regiones de APJ y EMEA. Las organizaciones en EMEA consideran que tienen estrategias de seguridad más consolidadas, con un 29% que se clasifican como desarrolladas o por encima del nivel de madurez global, mientras que solo el 26% de las organizaciones en APJ y el 23% de las organizaciones en Norteamérica se posicionan como desarrolladas o aventajadas. EMEA ha desbancado a APJ del primer puesto, subiendo 3 puntos porcentuales mientras que APJ ha bajado 13 puntos.
Metodología
Para evaluar su madurez en ciberseguridad, los encuestados autoevaluaron sus capacidades tomando como referencia el NIST Cybersecurity Framework (CSF). El CSF proporciona una guía basada en las normas, directrices y prácticas existentes para reducir los riesgos cibernéticos, que fue creada gracias a la colaboración entre la industria y gobierno. El CSF fue desarrollado inicialmente en Estados Unidos con el fin de ayudar a reducir los riesgos cibernéticos en una infraestructura crítica, pero en la actualidad lo utilizan organizaciones de todo el mundo ya que ofrece un enfoque priorizado, flexible, repetible y rentable para la gestión del riesgo cibernético. Por tanto, se ha convertido en una referencia clave para evaluar la seguridad cibernética y el nivel de madurez en la gestión de riesgos en cualquier organización.
Las organizaciones han calificado sus propias capacidades en los cinco parámetros clave establecidos por el CSF: identificar, proteger, detectar, responder y recuperarse. Para las valoraciones, se ha utilizado una escala de 5 puntos, el 1 significa que la organización no tiene capacidad en un área determinada, mientras que el 5 indica que tiene prácticas bien consolidadas en un área concreta.
Amit Yoran, presidente de RSA, la división de Seguridad de EMC
“Este nuevo informe pone de manifiesto que organizaciones de todos los tamaños, sectores y áreas geográficas no se sienten preparadas para hacer frente a las amenazas cibernéticas. Tenemos que cambiar nuestra forma de pensar en cuanto a seguridad. Debemos centrarnos en algo más que la prevención y desarrollar una estrategia que haga hincapié en la detección y la respuesta. Las organizaciones necesitan establecer sus agendas con anterioridad y construir estrategias globales, sin tener que esperar a que se produzca un ataque para pasar a la acción”.
El informe pone de manifiesto por segundo año consecutivo que el 75% de los encuestados se encuentra en una situación de alto riesgo en cuanto a ciberseguridad. Las capacidades de respuesta a incidentes están muy poco desarrolladas. Casi la mitad de las organizaciones afirma que sus capacidades en esta área son “a medida” o inexistentes. Sin embargo, las organizaciones son más propensas a impulsar sus programas para reforzar estas capacidades una vez que han experimentado un incidente de seguridad que haya afectado al negocio. La encuesta también muestra que la mayoría de las organizaciones continúan esforzándose en mejorar la ciberseguridad, ya que no entienden cómo los riesgos cibernéticos pueden afectar a sus operaciones. Varios datos revelan que las empresas tienden a retrasar sus inversiones en ciberseguridad hasta que experimentan los daños en primera persona. Además, las empresas que adoptan una filosofía basada principalmente en la defensa del perímetro se encuentran en mayor desventaja a la hora de encontrar actividades maliciosas, y sus activos críticos de negocio están en riesgo de exposición pública. Los resultados del RSA Cybersecurity Poverty Index consolidan este concepto, reportando que las organizaciones que detectan y experimentan frecuentes incidentes en seguridad tienen un 65% más de probabilidades de tener capacidades desarrolladas o aventajadas. Esto demuestra que las organizaciones que sufren regularmente incidentes de seguridad refuerzan sus programas de seguridad y logran capacidades más maduras. Las organizaciones deben centrarse en la ejecución de estrategias preventivas y al mismo tiempo convertir en prioridad otras capacidades que están creciendo en importancia como la detección y la respuesta.
Uno de los cambios más significativos desde la encuesta de 2015 es el incremento del número de organizaciones con programas de ciberseguridad maduros. El porcentaje de organizaciones que reportan capacidades avanzadas -la categoría más alta- crece más de la mitad con respecto al año anterior, pasando del 4,9% al 7,4%. Pero la percepción general de las organizaciones sobre su preparación en ciberseguridad sigue siendo baja. El número de encuestados que señalaron que su exposición ante los riesgos en ciberseguridad es alta se mantiene estable en casi un 75%, lo que refleja una disparidad creciente entre los que tienen y no tienen preparación en seguridad.
La encuesta también muestra que las organizaciones continúan reforzando su habilidad para adoptar medidas proactivas con el fin de mejorar su ciberseguridad y su posición ante los riesgos. En general, el 45% de los encuestados describió su capacidad para catalogar, evaluar y mitigar los riesgos en ciberseguridad como "inexistente" o "a medida" y sólo el 24% señaló que son maduros en esta área. La incapacidad de cuantificar su Cyber Risk Appetite - los riesgos a los que se enfrentan y los potenciales impactos en sus organizaciones - hace que sea difícil priorizar la mitigación y la inversión, una actividad fundamental para cualquier organización que quiera mejorar sus capacidades de seguridad.
Por segundo año, los resultados de la encuesta ponen de relieve cómo los operadores de infraestructuras críticas, el público objetivo inicial para el CSF, tendrán que hacer avances significativos en sus niveles actuales de madurez. Las administraciones públicas y las organizaciones del sector energético se situaron en el último lugar en todos los mercados de la encuesta, con sólo el 18% de los encuestados calificándose como desarrollados o favorecidos. Las organizaciones del sector aeroespacial y de defensa reportan el nivel más alto de madurez con un 39% de encuestados que afirma tener capacidades desarrolladas o avanzadas. Las organizaciones de servicios financieros, un sector citado a menudo como líder en el mercado debido al gran número de ataques cibernéticos que registra, se sitúa en un lugar intermedio con un 26% de encuestados que consideran que sus empresas están bien preparadas - por debajo del 33% del año pasado.
El nivel de madurez de las organizaciones en Norteamérica vuelve a situarse por detrás de las regiones de APJ y EMEA. Las organizaciones en EMEA consideran que tienen estrategias de seguridad más consolidadas, con un 29% que se clasifican como desarrolladas o por encima del nivel de madurez global, mientras que solo el 26% de las organizaciones en APJ y el 23% de las organizaciones en Norteamérica se posicionan como desarrolladas o aventajadas. EMEA ha desbancado a APJ del primer puesto, subiendo 3 puntos porcentuales mientras que APJ ha bajado 13 puntos.
Metodología
Para evaluar su madurez en ciberseguridad, los encuestados autoevaluaron sus capacidades tomando como referencia el NIST Cybersecurity Framework (CSF). El CSF proporciona una guía basada en las normas, directrices y prácticas existentes para reducir los riesgos cibernéticos, que fue creada gracias a la colaboración entre la industria y gobierno. El CSF fue desarrollado inicialmente en Estados Unidos con el fin de ayudar a reducir los riesgos cibernéticos en una infraestructura crítica, pero en la actualidad lo utilizan organizaciones de todo el mundo ya que ofrece un enfoque priorizado, flexible, repetible y rentable para la gestión del riesgo cibernético. Por tanto, se ha convertido en una referencia clave para evaluar la seguridad cibernética y el nivel de madurez en la gestión de riesgos en cualquier organización.
Las organizaciones han calificado sus propias capacidades en los cinco parámetros clave establecidos por el CSF: identificar, proteger, detectar, responder y recuperarse. Para las valoraciones, se ha utilizado una escala de 5 puntos, el 1 significa que la organización no tiene capacidad en un área determinada, mientras que el 5 indica que tiene prácticas bien consolidadas en un área concreta.
Amit Yoran, presidente de RSA, la división de Seguridad de EMC
“Este nuevo informe pone de manifiesto que organizaciones de todos los tamaños, sectores y áreas geográficas no se sienten preparadas para hacer frente a las amenazas cibernéticas. Tenemos que cambiar nuestra forma de pensar en cuanto a seguridad. Debemos centrarnos en algo más que la prevención y desarrollar una estrategia que haga hincapié en la detección y la respuesta. Las organizaciones necesitan establecer sus agendas con anterioridad y construir estrategias globales, sin tener que esperar a que se produzca un ataque para pasar a la acción”.
