Ante el aumento que están experimentando los ciberataques a nivel global tanto en volumen, como en impacto y sofisticación, la ciberresiliencia ha ido adquiriendo relevancia entre las organizaciones. Para el 44% de las empresas españolas ya es una de sus máximas prioridades, posicionando a España como la localización más propensa de Europa a considerarla una prioridad empresarial, seguida de Francia (42%), Reino Unido (39%) y Alemania (38%). Entre España y Francia se sitúa Brasil (43%), mientras que el Reino de Arabia Saudí supera a todos con un 48%. Estas son algunas conclusiones que se extraen del estudio que ha elaborado Palo Alto Networks junto a IDC Research, en el que se expone que existe un consenso sobre cómo la ciberresiliencia es una misión crítica para las empresas. Sin embargo, solo el 38% de los CISO de la región EMEA cree que su estado de ciberresiliencia es maduro.
En España, esta investigación muestra como el 15% y el 19% de los CISO ponen a prueba regularmente sus planes de recuperación. Esta cifra es significativamente inferior a la media de todos los países encuestados (28%), dejando patente discrepancias entre la intención y la ejecución de las empresas nacionales. Por otra parte, señala que los principales vectores de ataque en España son los endpoints, la nube y las tecnologías operacionales (OT), y que las inversiones en ciberseguridad de las empresas se centran en la detección y respuesta de endpoints y en la seguridad de la red.
A su vez, los datos muestran que hasta cuatro de cada diez organizaciones de EMEA y LATAM confían en su capacidad para superar un ciberataque sin sufrir consecuencias significativas, lo que, según Palo Alto Networks, "pone de manifiesto la necesidad de desarrollar iniciativas estratégicas y cuestionar los conjuntos de herramientas existentes para mejorar las posturas en torno a la ciberseguridad". Por otro lado, llama la atención que sólo el 21% de los CISO del sector bancario, financiero y de seguros comprueban regularmente los planes de recuperación, uno de los porcentajes más bajos de todos los mercados de servicios, a pesar de ser uno de los sectores más regulados.
Los principales retos para lograr la ciberresiliencia
La escasez de talentos y la falta de competencias en tecnologías de seguridad emergentes figuran en el estudio como los principales retos para lograr la ciberresiliencia, ambos citados por el 70% de los encuestados, seguidos de la falta de correlación entre múltiples productos puntuales (52%) en EMEA y LATAM. Los resultados indican que, a pesar de que más de tres cuartas partes (el 78%) de las organizaciones en estos territorios reconocen la importancia de la ciberresiliencia, la fragmentación y la demanda de recursos impiden que las aspiraciones se ajusten a la realidad.
En palabras de Haider Pasha, director de seguridad para EMEA y LATAM de Palo Alto Networks: "A pesar de los moderados niveles de madurez en EMEA y LATAM, es sorprendente cómo pocos CISO están equipados para probar regularmente sus planes de recuperación. Pero los CISO se enfrentan a una ardua batalla. Por un lado, los acontecimientos geopolíticos y la interrupción de la cadena de suministro se suman al nivel de amenaza, mientras que, por otro lado, la escasez de talento y experiencia relevante hacen que la implementación de soluciones y la preparación para contrarrestar futuros ataques sean cada vez más desafiantes".
El estudio también pone de releve que solo el 11% de las organizaciones utilizan controles de seguridad maduros para la ciberresiliencia y que en algunos países de la EMEA este porcentaje se reduce a un rango de 5-0%. Así, la mayoría depende en gran medida de los planes de continuidad del negocio (74%), planes de recuperación en caso de desastres (72%), planes de recuperación de ransomware (54%) y estrategias de gestión de crisis (51%).
Según Pasha, "lo que está claro es que muchas organizaciones aún no disponen de los recursos y la confianza necesarios para implantar una pila tecnológica ciberresistente diseñada para prevenir los ataques. En su lugar, tienen que depender en gran medida de tácticas como la recuperación de desastres, que están diseñadas para responder a los incidentes, en lugar de planificarlos. La falta de visibilidad sobre el impacto de las amenazas y el enfoque en la resolución está dejando a las organizaciones expuestas a más amenazas e incapaces de planificar los riesgos futuros."
No obstante, la investigación refleja el deseo de cambiar la cultura de la ciberresiliencia, y que la influencia de los altos cargos es cada vez más importante. De hecho, el 72% de los encuestados afirma que los miembros de los consejos de administración son los principales impulsores de que la organización se centre en la ciberresiliencia, por encima de los imperativos normativos (70%). En esta línea, el director de seguridad de Palo Alto Networks advierte que "es vital un compromiso claro de la alta dirección para crear y mantener políticas claras de ciberseguridad y medir el impacto, así como capacitar a los mandos intermedios para tomar decisiones más rápidas. Sin ello, la responsabilidad recae en los equipos de ciberseguridad para reaccionar ante los incidentes, en lugar de capacitar a la empresa para desarrollar mejores posturas".