Solo un tercio de las empresas cuenta con una cobertura de ciberseguridad total
- Endpoint
La falta de una dirección clara sobre la estrategia de ciberseguridad puede ser la razón por la que más de la mitad de los líderes de TI se quejan de que la actitud de su organización hacia el riesgo cibernético es inconsistente y varía de un mes a otro.
Trend Micro ha publicado una investigación que revela que las organizaciones globales carecen de suficientes recursos y de la aceptación del liderazgo para medir y mitigar el riesgo en toda su superficie de ataque digital.
La compañía encuestó a 2.600 líderes globales de TI responsables de la ciberseguridad en organizaciones pequeñas, medianas y grandes para comprender mejor sus actitudes hacia la gestión de riesgos de superficie de ataque (ASRM). Las tres principales brechas en la resiliencia cibernética reveladas por los encuestados fueron:
- Dotación de personal suficiente para una cobertura de ciberseguridad 24x7x365, que sólo tiene el 36%.
- Técnicas de gestión de la superficie de ataque para medir el riesgo de la superficie de ataque, utilizadas sólo por el 35%.
- Uso de marcos regulatorios probados y de otro tipo, como el Marco de Ciberseguridad del NIST, que sólo emplea el 34%.
Falta de liderazgo
El fracaso de la mayoría de las empresas globales para lograr estos conceptos básicos de ciberseguridad podría deberse a la falta de liderazgo y responsabilidad en la cima de la organización. La mitad (48%) de los encuestados afirmó que su liderazgo no considera que la ciberseguridad sea su responsabilidad.
Cuando se les preguntó quién tiene o debería tener la responsabilidad de mitigar el riesgo empresarial, los encuestados respondieron una variedad de respuestas, lo que indica una falta de claridad en las líneas de reporte. Casi un tercio (31%) dijo que la responsabilidad recae en los equipos de TI de la organización.
Esta falta de una dirección clara sobre la estrategia de ciberseguridad puede ser la razón por la que el 54% de los encuestados se quejaron de que la actitud de su organización hacia el riesgo cibernético es inconsistente y varía de un mes a otro.
El liderazgo necesario para remediar estos problemas no está presente en muchas organizaciones. El 96% de los encuestados están preocupados por su superficie de ataque, a más de un tercio (36%) le preocupa tener una forma de descubrir, evaluar y mitigar las áreas de alto riesgo, y una quinta parte (19%) no puede trabajar con una sola fuente de verdad.
Como señala Bharat Mistry, director técnico de Trend, "la falta de un liderazgo claro en ciberseguridad puede tener un efecto paralizante en una organización, lo que lleva a una toma de decisiones reactiva, fragmentaria y errática. Las empresas necesitan que los CISO se comuniquen claramente en términos de riesgo empresarial para involucrar a sus juntas directivas. Idealmente, deberían tener una única fuente de verdad en toda la superficie de ataque desde la cual compartir actualizaciones con la junta, monitorizar continuamente el riesgo y remediar automáticamente los problemas para mejorar la resiliencia cibernética".