La ciberdelincuencia cambia constantemente y con ella los medios para atacar las redes, robar información o pedir rescate a las víctimas. Es esencial que las empresas y organizaciones respondan a estos cambios. Pero, ¿cómo abordan las empresas el espinoso tema de la seguridad de la información y qué medidas adoptan para gestionar los riesgos?
Recientemente, DNV llevó a cabo una encuesta en la que participaron casi mil profesionales de empresas de todo el mundo para conocer su opinión sobre la gestión de la seguridad de la información. En 2015 se había realizado un ejercicio similar. Así, fue posible analizar cómo las organizaciones pueden haber cambiado su punto de vista con el tiempo y comprender las iniciativas y actitudes hacia las mejores prácticas y la creación de sistemas.
En los seis años transcurridos, es evidente que se está produciendo un cambio progresivo hacia una mayor madurez en materia de seguridad de la información. Aun así, menos de la mitad de la muestra consideraba que su empresa era madura (4) o líder (5) en una escala de 5 puntos. Los que se consideraban líderes casi se habían duplicado desde la primera encuesta, pero sólo representaban una de cada ocho de todas las organizaciones encuestadas. Este ligero aumento puede deberse únicamente a una mayor atención y a una mejor comprensión de los riesgos.
Otro cambio es el desplazamiento hacia inversiones más basadas en el comportamiento. De las iniciativas que las organizaciones indican haber tomado para mitigar el riesgo, los encuestados sitúan las tres siguientes a la cabeza:
Esto muestra una clara preferencia por invertir en las personas y mejorar sus competencias. Esto no era tan evidente en la encuesta anterior, en la que los activos físicos y los equipos encabezaban la lista. Es probable que centrarse en las personas dé resultados, ya que en la mayoría de los casos un ciberataque depende de que una persona tome inadvertidamente una decisión equivocada. Hay que tener en cuenta que el periodo entre las encuestas incluyó los años en los que la pandemia de COVID cambió radicalmente la forma de trabajar y de interconectarse de las personas y las organizaciones. Cabe esperar que las organizaciones sean ahora mucho más conscientes que antes de los riesgos e incidentes relacionados con la información, los datos y la cibernética.
Se observa que las empresas con un sistema certificado de gestión de la seguridad de la información son más sensibles y receptivas a los cambios que se producen a su alrededor. Cerca del 80% afirma haber completado o haber completado parcialmente un proceso de adaptación para adecuarse al nuevo entorno digital. A la pregunta de cuál de las cuatro opciones -integrar sistemas de seguridad, formación del personal, pruebas periódicas o prácticas automatizadas de ciberseguridad- era más relevante para tratar los nuevos riesgos derivados de la transformación digital, la formación del personal volvió a situarse a la cabeza, considerada la más relevante por el 33,1% de las empresas certificadas y el 25,9% de las no certificadas.
De las organizaciones con sistemas de gestión de la información certificados, tres cuartas partes han trasladado total o parcialmente su infraestructura informática a la nube. Esto conlleva riesgos adicionales, pero una de cada tres también ha adoptado la norma ISO 27017 u otro código de prácticas para los controles de seguridad de la información de los servicios en la nube.
“Confianza cero" es un nuevo modelo de seguridad que verifica continuamente la fiabilidad de cada dispositivo, usuario y aplicación, es decir, "no te fíes de nadie y tienes que verificar a todo el mundo". Se trata de un nuevo enfoque de la seguridad que se está poniendo de moda. Las empresas con un sistema certificado de gestión de la seguridad de la información parecen estar adoptando el modelo de "Confianza Cero" en mayor medida. Una de cada tres lo ha implantado o está avanzando en esta dirección.
Cuando se trata de las tendencias que más afectan a la ciberseguridad, la primera de la lista es el creciente uso de dispositivos móviles, seguido de tecnologías innovadoras. Los dispositivos móviles son algo que parece formar parte integral de la vida moderna, ya sea en forma de teléfonos inteligentes o tabletas.
También se menciona el auge del Internet de los objetos (IoT), un riesgo que a menudo se pasa por alto. Elementos como las impresoras, al estar constantemente conectadas a las redes de la empresa y a Internet, pueden parecer triviales. Pero con su firmware actualizado automáticamente, por ejemplo, también podrían ser un posible punto de entrada.
Aunque es importante estar en guardia contra los ataques directos, a menudo la amenaza procede de fuentes consideradas seguras, como los proveedores de bienes y servicios. Los tres medios más habituales para abordar y proteger los riesgos de seguridad de la información/seguridad cibernética cuando se compra a proveedores son:
Es más probable que las empresas certificadas confíen en la certificación de terceros para protegerse de los riesgos de la información, los datos y la ciberseguridad de los proveedores. Esto se debe probablemente al conocimiento de los requisitos y controles impuestos por normas como ISO/IEC 27001. Más concretamente, la propia organización puede ser proveedora de otras empresas, por lo que se espera que demuestre una sólida gestión de la seguridad de la información.
De hecho, las tres principales ventajas de implantar un sistema certificado de gestión de la seguridad de la información clasificadas por los encuestados fueron las siguientes:
Les siguen de cerca "Mejorar la identificación/gestión de riesgos" y "Proporcionar una ventaja competitiva". Esto subraya el importante vínculo existente entre la gestión de riesgos y el éxito empresarial.
La rápida transformación del entorno digital -desde la adopción acelerada de la nube y los servicios de automatización, los riesgos de ciberseguridad y privacidad hasta las amenazas de malware y ransomware- ha creado una urgencia entre las empresas por mantener la información y los datos seguros. Las empresas certificadas conforme a las normas de mejores prácticas, como ISO/IEC 27001, parecen tener una ventaja a la hora de comprender el panorama de riesgos y desplegar acciones de mitigación.
-END-
Referencias: Encuesta de Espresso (noviembre de 2021), "¿Cómo afrontan las empresas el riesgo empresarial? Seguridad de la información".
Riesgos para la información, los datos y la ciberseguridad: un enfoque estructurado para gestionarlos
Las personas son cada vez más el punto crítico de entrada y defensa contra la ciberdelincuencia que filtra información.
A menos que una organización sea muy nueva o se encuentre en una fase temprana de crecimiento, es muy probable que ya haya implantado algún tipo de sistema de gestión, como el control de calidad o la concienciación medioambiental.