6 de cada 10 empresas han sufrido al menos dos ciberataques disruptivos

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

Tenable ha publicado un estudio independiente realizado por el Instituto Ponemon, que ha descubierto que el 60% de las organizaciones en todo el mundo habían sufrido dos o más ciberincidentes disruptivos –definidos como ciberataques que causan brechas de datos o interrupciones significativas y tiempo de inactividad para las empresas– en los últimos 24 meses. Además, el 91% de los responsables de TI y seguridad encuestados había sufrido al menos un ciberincidente en el mismo período.

A pesar de esta historia documentada de ataques dañinos, el estudio encontró que el 54% de las organizaciones no están midiendo, y, por lo tanto, no comprenden los costes del ciberriesgo para el negocio. El informe concluye que las organizaciones no pueden tomar decisiones empresariales basadas en el riesgo respaldadas por métricas precisas y cuantificables, lo que resulta en una falta de información procesable para la junta directiva.

La transformación digital ha creado un complejo entorno informático de nube, DevOps, movilidad e IoT, donde todo está conectado como parte de la nueva y moderna superficie de ataque. Esto ha creado una brecha masiva en la capacidad de una organización para comprender realmente su exposición cibernética en un momento dado. La investigación encontró que menos de un tercio (29%) de los encuestados reportaron tener suficiente visibilidad en su superficie de ataque (es decir, TI tradicional, nube, contenedores, IoT y tecnología operativa) para reducir efectivamente su exposición al riesgo. Para complicar aún más esta falta de visibilidad, el 58% de los responsables de TI y seguridad encuestados dijo que su función de seguridad carece de personal adecuado para detectar vulnerabilidades de manera oportuna, con solo un 35% que escanean cuando se considera necesario por una evaluación de riesgos para datos confidenciales.

De aquellas organizaciones que miden los costes del ciberriesgo para el negocio, el 62% no están seguras de que sus métricas sean realmente precisas. Por lo tanto, las decisiones sobre la asignación de recursos, las inversiones en tecnologías y la priorización de amenazas se toman sin información crítica, como los costes del robo de propiedad intelectual, la pérdida de ingresos o la pérdida de productividad. Las organizaciones admiten no usar los indicadores clave de rendimiento (KPI) que consideran importantes para evaluar y comprender los riesgos cibernéticos.

Esta falta de rigor deja a las juntas directivas en la oscuridad sobre el verdadero coste de los riesgos cibernéticos para sus organizaciones. Sin confianza en la precisión de sus medidas, los CISO y otros ejecutivos de seguridad se muestran reacios a compartir información crítica sobre los costes del ciberriesgo para el negocio con sus juntas.