La rigidez de los procesos en las organizaciones complica la ciberseguridad

El estudio revela cuáles son las tres áreas que representan el talón de Aquiles de la ciberseguridad en las empresas: los entornos ágiles y fluidos de la ciberdelincuencia frente a los pesados procesos internos de las empresas; la ralentización en la implementación de las políticas de seguridad; y los directivos de alto nivel frente a especialistas en ciberseguridad. Por estos motivos, no resulta extraño, según el documento, que los cibercriminales lleven la delantera.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

De forma paralela, también aparece un hándicap en cuanto a la implantación real de las políticas de seguridad por parte de las organizaciones. Así, mientras que más del 90% de ellas afirma tener una estrategia de ciberseguridad, sólo el 49% la ha implementado completamente. Además, el 83% señala que se han visto afectadas por brechas en sus sistemas de seguridad, lo cual indica una clara desconexión entre la estrategia y la implementación.

“El mercado de los ciberdelincuentes está preparado para el éxito debido a su propia estructura, la cual premia rápidamente la innovación y promueve el intercambio de las mejores herramientas”, afirma María Campos, directora para España y Portugal de Intel Security. Por tanto, continúa, “para que los profesionales informáticos y de la ciberseguridad puedan competir con los atacantes deben ser tan ágiles y hábiles como ellos, y al mismo tiempo, tener mejores incentivos”.

Por su parte, Denise Zheng, directora y miembro senior del programa de política tecnológica del CSIS, comenta que “es fácil elaborar una estrategia, lo complicado es llevarla a cabo”; y añade: “No es una cuestión de qué hay que hacer, sino más bien hay que determinar por qué no se está haciendo y cómo hacerlo mejor”.

Por otra parte, el estudio también pone de manifiesto que el 95% de las organizaciones ha experimentado brechas en ciberseguridad, incluyendo la interrupción de las operaciones, la pérdida de propiedad intelectual o el daño a la reputación e imagen de marca de la empresa. Sin embargo, sólo el 32% afirma haber sufrido una pérdida de ingresos o beneficios. Además, las administraciones públicas son las menos propensas a disponer de una estrategia de ciberseguridad completamente implementada en sus sistemas (38%). Más aún, el sector público es el que cuenta con fondos insuficientes destinados a ciberseguridad (58%) y de menos personal cualificado (63%), en comparación con el privado (33% y 48%, respectivamente).

Para finalizar, el informe sugiere algunas formas en las que los defensores pueden aprender de los atacantes. Por ejemplo, pueden optar por la seguridad como servicio para contrarrestar el modelo “crimeware-as-a-service” del mercado criminal, aumentar la transparencia, incrementar el cibertalento, y alinear los incentivos y las motivaciones, desde los altos directivos a los profesionales y especialistas.