Mejorar la comunicación sigue siendo la asignatura pendiente de los responsables de seguridad

El 68% de los responsables de seguridad españoles cree que la ciberguerra es una amenaza inminente para sus organizaciones, una cifra que se acerca mucho al 63% a nivel global. Ademñas, un 49% cree que los ataques relacionados con la ciberguerra tendrá un perjuicio real para la economía en el próximo año. A pesar de ello, un 30% no tiene o no sabe si su empresa tiene una estrategia para hacer frente a ese riesgo.

Este contenido salió publicado en el número de octubre de la revista IT Digital Secutity. Descárgatela.

El estudio, bautizado como 10 in 10, analiza los resultados de una encuesta realizada a 6.724 profesionales y responsables de seguridad de la información de diez países, de los que 526 son españoles, que trabajan en todo tipo de compañías -desde pequeñas empresas a partir de cien empleados, hasta grandes corporaciones que cotizan en bolsa y cuentan con plantillas superiores a las 10.000 personas-, de un amplio espectro de sectores, como Tecnología, Finanzas, Salud y Administración Pública.

Sobre la ciberguerra dice Liviu Arsene, Senior Threat Analyst de Bitdefender, que es muy eficaz “debido a la diversidad de vectores de ataque y cargas útiles que se utilizan”, añadiendo que en el último año, de ha detectado un aumento del malware sin archivos y exploits descubiertos recientemente contra sistemas operativos o software de terceros.

Uno de los asuntos tratados en el estudio es el ransomware. Un 44% de los responsables de seguridad españoles dice que está observando un incremento de los ataques de ransomware y un 57% (63% a nivel global) espera que durante los próximos meses este tipo de ataques siga creciendo. Lo que es más preocupante, un 47% de los encuestados españoles (42% a nivel global) piensa que es posible que un ataque de ransomware pueda acabar con su negocio en los próximos 12 a 18 meses si no se incrementa la inversión en seguridad para evitarlo.

Lo que está claro es que “el ransomware está aquí para quedarse durante al menos varios años más”, dice Liviu Arsene, y eso es porque esta amenaza sigue siendo muy rentable, tanto como para que los ciberdelincuentes estén adoptando nuevas tácticas para ejercer una presión adicional sobre las víctimas. Recuerda el analista de Bitdefender que el ransomware ya ha agregado capacidades de exfiltración de datos y que ahora los cibercriminales amenazan con filtrar esta información robada si las empresas afectadas deciden no pagar el rescate. En todo caso, poco tienen que perder, por el 47% de los encuestados españoles (50% a nivel global) está convencido de que su empresa pagaría el rescate para evitar la publicación de sus datos.

Falta de comunicación

Lo que resulta curioso es que el 53% de los profesionales de seguridad de la información españoles (51% a nivel global) cree que para conseguir aumentar la inversión que se destina a sus proyectos es necesario dar un giro drástico a su comunicación. Este porcentaje aumenta hasta el 55% entre los CISO y CIO a nivel global, profesionales que cuentan, en gran medida, con presencia en los consejos de dirección de sus organizaciones.

No es algo nuevo. Hace mucho que los departamentos técnicos de las empresas vieron la necesidad de hablar el lenguaje de los negocios. En opinión de Liviu Arsene la tarea no es fácil por varias cosas. Por un lado “la ciberseguridad es una especialidad compleja donde los desarrollos ocurren a diario, lo que obliga a los gerentes de ciberseguridad a mantenerse actualizados con los últimos desarrollos, por lo que tienen poco tiempo para cualquier otra cosa”. La aparición, constante, de siglas acuñadas por expertos o consultores ( CASB, SASE, CARTA…) que a menudo sólo responden a iniciativas de marketing, “crea confusión en la industria y dificulta aún más a los gerentes de TI comprender para qué serviría la tecnología respectiva”.

Entre los cambios que deberían realizarse, un 41% de los encuestados españoles piensa que es fundamental mejorar la comunicación con la alta dirección de sus compañías para lograr que comprenda mejor los riesgos a los que está expuesto el negocio. Un 37% (41% a nivel global) cree que es importante hacer hincapié en la comunicación a empleados y clientes. Finalmente, un 36% afirma que es necesario emplear un lenguaje menos técnico si lo que se pretende es que todo el mundo entienda bien tanto los riesgos como las formas de estar protegido.

La importancia de la diversidad

Uno de los mayores desafíos del sector es lidiar con el déficit de talento disponible, algo que se refleja en las opiniones de los profesionales encuestados. Así, un 39% de los españoles (43% a nivel global) considera que sus empresas se están viendo afectadas por la escasez de personal especializado.

En este sentido, un 10% de los responsables de seguridad españoles está convencido de que el avance en los desarrollos relacionados con la ciberseguridad va a seguir su curso, por lo que es muy probable que un plazo de 12 a 18 meses se incremente aún más la brecha que ya existe con respecto a las habilidades de los profesionales. Hay que destacar que a nivel global mantienen esta opinión un 15% de los profesionales, y que hay países, como Francia, en el que la cifra de los que así piensan sube hasta el 17%.

El 28% de los CISO y CIO a nivel global consideran que si el déficit de talento continúa durante otros cinco años, es muy probable que acabe afectando a la supervivencia de las empresas. Igualmente, un 50% de los directores de IT y seguridad a nivel global piensan también que este es un problema que puede llegar a ser muy perjudicial para la evolución del negocio.

Parece, sin embargo, que solucionar el problema de la escasez de talento requiere algo más que la simple formación o contratación de personal cualificado en ciberseguridad. El 55% de los encuestados españoles (52% a nivel global) considera que en el sector de la ciberseguridad, aparte de talento, falta también diversidad, algo que supone una preocupación para ellos. En este sentido, un 36% de los profesionales españoles (40% a nivel global) coincide en afirmar que para ser eficaz, el sector de la ciberseguridad debería ser un reflejo de la sociedad a la que intenta proteger. Así, un 82% de los encuestados españoles (un 72% a nivel global) piensa que es necesario ampliar el conjunto de habilidades de los profesionales de la seguridad, para hacerlo más diverso.

En este sentido, el 41% de los profesionales de seguridad españoles (39% a nivel global) dice que añadir neurodiversidad servirá para fortalecer las defensas de ciberseguridad cibernética. Otro 38% (34% a nivel global) está convencido de que una fuerza laboral más neurodiversa servirá para nivelar el campo de juego en el que se lucha contra los malos. Todo lo anterior indica que la brecha de habilidades es una realidad que ha llegado para quedarse, por lo que la solución pasa por buscar alternativas al talento tradicional.

La falta de talento se está afrontando con servicios gestionados o con automatización. Explica Liviu Arsene, Senior Threat Analyst de Bitdefender, que los servicios de Detección y Respuesta Gestionadas permiten a las empresas subcontratar por completo sus necesidades de seguridad de ciberseguridad, que a nivel tecnológico cada vez se descarga más automatización y toma de decisiones en las máquinas y que la inteligencia artificial y el análisis de riesgos humanos son solo algunas de las tecnologías que han sido extremadamente efectivas contra el malware.

IoT sin compromiso con la seguridad

Analiza también el estudio de Bitdender el uso de dispositivos IoT. Asegurando que va en aumento dice el informe que “existe una clara disparidad entre el mayor uso de dispositivos conectados y la falta de seguridad que se implementa, lo que deja a las empresas y los consumidores abiertos a una serie de amenazas potenciales”.

Según los datos recogidos, el 45% de los CISO/CIO y 2 de cada 5 profesionales de seguridad de la información (40%) creen que es fácil para los ciberdelincuentes obtener el control de los dispositivos de IoT que utilizan los empleados desde casa con fines comerciales.

Afirma Liviu Arsene que a pesar de todas las increíbles características que la IoT trae a nuestras vidas, tanto desde el punto de vista comercial como industrial, “esta rama de la tecnología está plagada de problemas de seguridad, que van desde la falta de soporte de los fabricantes hasta vulnerabilidades que afectan a miles de millones de dispositivos a la vez. Y añade que uno de los problemas más graves que a menudo se pasa por alto es que las personas no se dan cuenta de que poseen dispositivos de IoT.

Concluye el analista de Bitdefender que “2020 ha sido un año de cambios, para el mundo en general y para la industria de seguridad en particular”, que “lo único que sabemos con certeza es que el panorama de la seguridad va a seguir evolucionando” y que “para afrontar la nueva realidad con éxito es necesario que este sector comience a comunicar de una forma más accesible, en la que todo el mundo entienda lo que se está diciendo”.