Tres factores que influyen (y mucho) en la consecución de seguridad efectiva

El 56% de las compañías han sufrido una intrusión o infección de malware significativa el pasado año y el 94% son conscientes de que deben mejorar para implementar una seguridad verdaderamente efectiva. Así lo revela el informe “The Security Botton Line”, de Cisco, que analiza a qué procesos y soluciones dedican su presupuesto de seguridad las organizaciones, además de revisar los principales incidentes a los que tienen que hacer frente.

Según sus datos, el 54% de las compañías españolas consultadas sitúan el spam malicioso como el incidente más significativo en 2018, seguido de malware (49%), spyware (39%) y phishing (37%).

Las respuestas están en línea con los resultados de dos estudios: por un lado, uno de su división de ciberinteligencia, Talos, y otro de Verizon en el que ha colaborado Cisco. El primero constata que el 85% de todos los correos electrónicos a escala global son spam, mientras que el segundo sostiene que el e-mail es el principal vector tanto para la distribución de malware (92,4%) como para el phishing (96%).

En un escenario cada vez más complicado desde el punto de vista de la seguridad, con más ataques y más sofisticados, las compañías son conscientes de la necesidad de identificar, detectar, proteger, responder y recuperar, y a ello dedican la mayor parte de su presupuesto.

Así, según los datos del informe, cuatro de cada diez organizaciones españolas destinan el 20% de su presupuesto en esta área a identificar, es decir, comprender cómo deben gestionar el riesgo que afecta a sistemas, activos, datos y capacidades.

El siguiente proceso por el que más apuestan es detectar las amenazas, seguido de proteger su entorno, a los que se dedica también el 20% del presupuesto, y a lo que menos destinan es a responder y recuperar, con sendos 15%.

El informe sostiene que ocho de cada diez organizaciones consultadas no pueden permitirse adquirir todo lo que consideran necesario para proteger su infraestructura. Sin embargo, aparte del presupuesto, un 94% opina que aún les queda camino por recorrer para implementar una seguridad verdaderamente efectiva. “Es decir, el presupuesto importa, pero no lo es todo. Hay otras acciones que las organizaciones pueden mejorar, además de invertir, para reforzar su protección.

Factores de peso

Entre esos factores que cada vez influyen más, el estudio apunta los siguientes:

- Experiencia. Sólo el 37% de las organizaciones consultadas se apoyan más en su personal interno para blindar sus entornos, mientras el 28% confían más en redes profesionales externas. Aunque es bueno que las organizaciones se apoyen en el outsourcing, los profesionales internos conocen mejor el negocio y la red y sus procesos, por lo que lo ideal es una combinación de los dos modelos.

- Capacidad. Incluso cuando una organización tiene la experiencia necesaria para poder definir su estrategia de seguridad, no significa que tenga la capacidad para ejecutarla correctamente. Por ejemplo, una red a la que también se conectan proveedores y partners externos dificulta la capacidad de ejecución. De hecho, la seguridad de la cadena de suministro de terceros es una gran preocupación para los CISOs en la actualidad.

- Influencia. ¿Pueden las organizaciones influir de forma efectiva en proveedores de soluciones, partners y otros para obtener la seguridad que necesitan? El 86% de las grandes empresas se enteran de vulnerabilidades e incidentes que les afectan a través de sus proveedores o partners de ciber-seguridad antes de que estas vulnerabilidades se hagan públicas, frente al 60% de las empresas con menor tamaño.

El estudio también analiza las soluciones de seguridad más utilizadas, que son los firewalls y las soluciones para el e-mail y de protección de red. También es significativo que la segmentación de red (37%) y la micro-segmentación (11%) se utilicen menos, cuando es algo esencial para evitar infecciones a través de la red.

Además, incluye algunas recomendaciones para las organizaciones:

- Conocer las necesidades de la compañía.
- Sacar partido a las inversiones. La automatización y la integración pueden ayudar enormemente a reducir la complejidad.
- Adoptar una estrategia ‘zero-trust’ para que los atacantes tengan más complicado comprometer los activos.
- Mejorar la formación. Asegurar que los expertos siguen mejorando sus habilidades una vez contratados.
- Considerar el outsourcing. A veces es la mejor forma de obtener ayuda.
- Unir fuerzas. Si la organización es muy pequeña para influir en los proveedores, considera unirte a otras empresas para lograrlo.

El informe se ha basado en encuestas a CISOs, CTOs y decisores de negocio de pymes y grandes empresas en 18 países de los sectores de retail, transporte, fabricación, servicios financieros, educación superior y administraciones. Los datos relativos a España tienen como base el estudio CISO Security Benchmark, en el que han participado 150 compañías españolas.