Las empresas carecen de los niveles adecuados de resiliencia
La mayoría de ellas carece de herramientas para evaluar sus métricas, según un estudio de Inmersive Labs.
Aunque la mayoría de organizaciones cuenta con un programa de resiliencia cibernética, más de la mitad de ellas carecen de un enfoque integral de evaluación, según un estudio de Inmersive Labs. “Los actores de amenazas innovan continuamente para causar situaciones catastróficas e inevitables”, dice Michael Sampson, autor del documento. “Por lo tanto, y aunque la resiliencia es una esperanza para las empresas, las prácticas de creación, prueba y mejora aún son inmaduras para muchas de ellas”.
Aunque el 86% tiene un programa, el 52% reconoce que aún carece de esos programas holísticos. Estos consisten en una combinación de estrategia, planes e infraestructura, y hasta el 51% son administrados por las propias compañías de manera interna. Y, un 35% los subcontratan a terceros, como consultorías.
Las firmas carecen de métricas adecuadas para evaluar su resiliencia, y el 46% de los líderes de seguridad así lo manifiesta. Además, solo el 6% utiliza métricas informativas como tiempos de respuesta, tasas de intrusión, pérdida de datos internos y tasas de incidentes diversos. “la mayoría confía en un marco de evaluación que utiliza indicadores no relacionados con la resiliencia”, asevera Sampson.
Asimismo, la encuesta también pone de manifiesto que solo el 46% de las empresas han hecho que la junta directiva solicite al equipo de ciberseguridad que demostrara la resiliencia en los últimos seis meses. “Es sorprendente ver organizaciones sin métricas plurianuales sobre este ámbito. Sería una noticia estupenda que los directivos empezaran a pedir evidencias y a profundizar en esos planes”.
Las amenazas externas y la formación poco fiable se encuentran entre las principales preocupaciones
Las amenazas y los problemas de ciberseguridad son los principales impulsores de la incorporación de programas ciberresilientes. El sesenta y tres por ciento de los encuestados dijeron que les preocupa el ransomware, y el 51% y el 48%, respectivamente, desconfían de la cadena de suministro y los ataques basados en vulnerabilidades de código.
“El desafío de la resiliencia cibernética inmadura se ve reforzado por la naturaleza caótica de las principales preocupaciones de las organizaciones: ransomware, cadena de suministro y ataques de terceros, y vulnerabilidades de codificación”, explica Sampson. “Hay muchos aspectos de estos tipos de ataques que siguen siendo dinámicos, caóticos y fuera del control de la organización”.
La desconfianza con las certificaciones de la industria surgió como una preocupación clave en la encuesta. Si bien casi todas las organizaciones (96%) fomentan las certificaciones de la industria, solo el 32% cree que son eficaces para mitigar las ciberamenazas. Además, solo el 48% busca certificaciones de ciberseguridad en los procesos de contratación, a pesar de que el 96% indica que alienta a los equipos de TI y ciberseguridad a obtener certificados.
La frecuencia de la capacitación en el aula también es insuficiente para abordar de manera efectiva las amenazas a la seguridad cibernética, ya que solo aproximadamente el 27 % de los encuestados recibe capacitación mensual. “Si bien la certificación y la capacitación tienen un papel que desempeñar en el desarrollo de competencia con un tema o producto, son menos adecuadas para evaluar cómo un individuo aplicaría esa competencia a un evento 'en la naturaleza' y en relación con otros en el equipo.
A pesar de someterse a pruebas de phishing y capacitación sobre seguridad durante varios años, casi la mitad de los encuestados (46%) indicaron que sus empleados no estarían seguros de cómo manejar un correo electrónico de este tipo.
El estudio concluye que las organizaciones deben priorizar los esfuerzos de seguridad cibernética que se centren en desarrollar habilidades, conocimientos y juicio en toda la fuerza laboral, mientras evalúan y abordan activamente los niveles de resiliencia y las brechas de habilidades de seguridad cibernética, para abordar de manera efectiva las amenazas nuevas y emergentes en un panorama de seguridad cibernética en rápida evolución.
