La confianza es un arma de doble filo en el ámbito de la ciberseguridad empresarial. Así lo pone de manifiesto un estudio que acaba de publicar la firma de asesoramiento financiero y de riesgo global Kroll. Este apunta a que existe una inconsistencia preocupante entre el nivel de confianza de las organizaciones en su propio estado de ciberseguridad y su preparación para lograr una verdadera resiliencia cibernética.
Para la elaboración de la encuesta Kroll entrevistó a un millar de responsables de la toma decisiones de seguridad de la información de alto nivel en las regiones de Norteamética y Latinoamérica, APAC y EMEA.
Los encuestados procedían de organizaciones con una facturación de entre 50 y 10.000 millones de dólares de distintos sectores.
El problema fundamental es el exceso de confianza. Más de un tercio (37 %) de los principales responsables de la toma de decisiones aseguraron "confiar plenamente" en que su organización está protegida y puede defenderse con éxito contra la mayoría o todos los ataques de los cibermalos.
Esta percepción de elevada confianza en la capacidad de sus empresas para defenderse de los incidentes también es compartida por los responsables financieros, según pudo constatar en una encuesta a CFOs Kroll el año pasado.
Lamentablemente no todos los líderes de seguridad comprenden contra qué protegen sus herramientas de seguridad y qué herramientas deben implementar para protegerse a largo plazo.
La encuesta evidencia que la mayoría de las organizaciones usan múltiples plataformas para la ciberseguridad, con un promedio de ocho utilizadas. Pero cuantas más se usan más incidentes experimentan las organizaciones.
Los directivos senior son más cautelosos y no confían tanto. Por otro lado, el 95 % de los responsables de la toma de decisiones en materia de seguridad sienten que se necesitan mejoras en el nivel de confianza otorgado por la alta dirección.
Al observar los métodos para prevenir un ciberataque, los encuestados afirman que confían en la capacidad de sus compañeros de trabajo para evitar ser víctimas de un ciberincidente (66 %) por encima de todo.
La confianza en la plantilla se clasifica por encima de la capacidad del equipo de seguridad para identificar y priorizar las brechas de seguridad (63 %), la precisión de las alertas de datos (59 %), la efectividad de las herramientas y tecnologías de ciberseguridad (56 %) y la precisión de la inteligencia de amenazas. datos (56%).
Spain is not different
Uno de los mercados que ha abordado el estudio ha sido España. Los resultados para nuestro país están muy alineados con los globales. Así, la falta de confianza digital también es uno de los problemas para los equipos de ciberseguridad aquí.
Para 3 de cada 4 encuestados lo es relevante es la confianza en los empleados como principales actores a la hora de evitar ciberataques en los que los atacantes empleen phishing o el compromiso de correo electrónico. Son diez puntos más que la media general.
Por detrás, ordenados por importancia, están que se generen alertas por falta de precisión en los datos de negocio (66%), la capacidad del equipo de seguridad para identificar y priorizar las brechas de seguridad (60%), la efectividad de las herramientas y tecnologías de ciberseguridad (52%) y la precisión de los datos de inteligencia de amenazas (46%).
Por otro lado, para la mitad de los encuestados en nuestro país la la sobrecarga de trabajo en las empresas y los objetivos financieros tan agresivos crean complicaciones internas, y generan deterioro en la confianza a la hora de proteger las compañías en España. Un 97% señala que no tienen una confianza global, lo que supone una preocupación globalizada generalizada para los responsables de TI.
Otro dato interesante es que a mayor número de plataformas de seguridad empleadas, más incidentes de seguridad sufren las organizaciones.
El estudio muestra igualmente que el outsourcing en servicios de ciberseguridad empieza a ganar fuerza en España. El 98% de aquellos que todavía no externalizan sus servicios de ciberseguridad tienen (o están considerando) planes para hacerlo.
Lo que aún no está tan popularizado aquí son los ciberseguros. Únicamente un 23% de las empresas españolas ha contratado una póliza de seguro de ciberseguridad.
"Debe haber confianza en los equipos, confianza en la tecnología, en las fuentes de inteligencia y en los proveedores. Sin embargo, tiene que haber un equilibrio crítico sobre cuánto y dónde depositar esa confianza. Vemos que en ciertos casos hay una falta de entendimiento de las capacidades reales que tienen algunas las herramientas de seguridad (no gestionadas), ya que algunas compañías implementan tecnología confiando en que están siendo protegidos de amenazas que no están cubiertas realmente", explica Juan Carlos Díaz, Managing Director del área de Ciber Risk de Kroll en España.
"Por supuesto, esto es comprensible considerando el volumen de datos con el que los equipos de seguridad lidian y la cantidad de incidentes cibernéticos a los que las empresas se enfrentan a diario. Las compañías quieren soluciones que resuelvan los problemas actuales sin apreciar el hecho de que no existe una solución única y definitiva en un panorama en constante cambio", añade.