La división de seguridad de EMC, RSA, ha dado a conocer los resultados del segundo informe anual RSA Cybersecurity Poverty Index, que reúne los resultados de una encuesta realizada entre 878 profesionales de seguridad en 81 países y más de 24 sectores industriales. Este informe revela que las organizaciones que invierten en tecnologías de detección y respuesta, en lugar de adoptar soluciones basadas en el perímetro están mejor preparadas para defenderse frente a los ataques cibernéticos.
El estudio indica que el 75 % de los encuestados se encuentra en una situación de riesgo en cuanto a ciberseguridad. Además, las capacidades de respuesta a incidentes se encuentran muy poco desarrolladas; y casi la mitad de las organizaciones afirma que sus capacidades en este área son “a medida” o inexistentes. Sin embargo, las organizaciones son más propensas a impulsar sus programas para reforzar estas capacidades una vez que han experimentado un incidente de seguridad que haya afectado al negocio.
La encuesta muestra que las organizaciones continúan reforzando su habilidad para adoptar medidas proactivas con el fin de mejorar su ciberseguridad y su posición ante los riesgos; aunque el 45 % de los encuestados describió su capacidad para catalogar, evaluar y mitigar los riesgos en ciberseguridad como «inexistente» o «a medida» y sólo el 24 % señaló que son maduros en esta área. La incapacidad de cuantificar su Cyber Risk Appetite, es decir, los riesgos a los que se enfrentan y los potenciales impactos en sus organizaciones, hace que sea difícil priorizar la mitigación y la inversión, una actividad fundamental para cualquier organización que quiera mejorar sus capacidades de seguridad.
Prioridades
Ante estos resultados, RSA presentó otro informe, elaborado con el apoyo de Deloitte Advisory Cyber Risk Services, para ofrecer un marco de trabajo para que las empresas cataloguen y establezcan prioridades en materia de riesgos cibernéticos.
El informe, titulado «Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise”, señala que las organizaciones necesitan un proceso sistemático para definir y clasificar de forma global las fuentes de riesgo cibernético, una nueva forma de identificar los principales colaboradores y propietarios de los riesgos y una nueva forma de calcular el apetito de riesgo cibernético.
En este marco, lo primero es definir el término «riesgo cibernético» que va más allá de los ataques planificados contra los sistemas de información. RSA indica que incluye diversas situaciones que conducen a potenciales pérdidas o daños relacionados con la infraestructura técnica del uso de la tecnología dentro de una organización.
El informe recomienda que las organizaciones hagan un inventario exhaustivo de estos riesgos, que pueden ser de diversos tipos —ataques maliciosos deliberados, errores de los usuarios, riegos de fuentes externas a la organización, etc.—, cuantifiquen su impacto potencial y establezcan prioridades.
Las empresas tienen que hacerse las preguntas correctas como qué pérdidas serían catastróficas y qué información no puede caer bajo ningún concepto en manos equivocadas o hacerse pública.
Aconseja también que se establezcan prioridades de los riesgos en función del impacto, situando los sistemas de funcionamiento críticos para el negocio por delante de elementos como la infraestructura básica y el ecosistema extendido —aplicaciones de gestión de la cadena de suministro y portales de partners—. Establecer un orden de prioridades debe ser un proceso continuo que implique una constante evaluación y revaluación.
El estudio concluye que la capacidad de una organización para cuantificar el riesgo cibernético y tomar decisiones sobre su apetito de riesgo cibernético les facilitará el éxito.
«El riesgo cibernético es un problema muy importante en las organizaciones en cuanto a riesgo de negocio, regulación y tecnología. Para hacer frente con eficacia a estos riesgos, los responsables de la toma de decisiones deben entender los apetitos de riesgo cibernético de sus organizaciones y lograr un equilibrio entre la naturaleza y la magnitud de los riesgos frente a los beneficios que significaría un cambio estratégico. Entonces podrían tomar decisiones más informadas», declaró David Walter, GM de RSA, GRC Global.
