Estrategias de ciberdefensa en las empresas
Seguridad informática. No basta con proteger los dispositivos, toda la infraestructura debe estar segura
La firma Tenable, especializada en la medición y gestión del riesgo cibernético alrededor del mundo, presentó en México los resultados de su investigación Estrategias de defensa cibernética: lo que revelan sus prácticas de evaluación de vulnerabilidades, en la que encontró cuatro niveles de madurez en términos de seguridad y, según la cual, sólo 5% de las empresas exhibe el grado de madurez más alto.
Luis Isselin, country manager de Tenable en México, fue el encargado de mostrar los hallazgos más importantes del estudio, en el que se analizaron 2 mil 100 empresas a escala global durante la primera mitad de este año.
Como antecedentes, Isselin presentó información pública que indica que hay un periodo de tiempo entre que un ataque sucede y llega a ser descubierto o publicado. De acuerdo con datos de Verizon, por ejemplo, 99.9% de las vulnerabilidades explotadas fueron solucionadas más de un año después de haber sido reveladas. De los miles de ataques que se han acumulado en la última década, sólo 5% tiene un exploit confirmado y, aun con ese porcentaje tan bajo, han logrado causar mucho daño a compañías alrededor del mundo, porque ya no basta con cuidar los dispositivos de escritorio o móviles, es necesario proteger el resto de la infraestructura que las empresas usan en la Nube, así como las nuevas tecnologías como el Internet de las Cosas a escala empresarial e industrial.
El informe también indica que casi la mitad de las organizaciones a escala mundial (48%) han adoptado evaluaciones estratégicas de vulnerabilidad con el fin de reducir el riesgo cibernético. Sin embargo, de esas empresas, sólo 5%
Un tercio de las empresas encuestadas aceptó que realizan las acciones mínimas de seguridad para cumplir con regulaciones internacionales.
exhibe el grado más alto de madurez, con cobertura integral de activos como piedra angular de sus programas. En el otro extremo del espectro, 33% de las organizaciones adoptan un enfoque minimalista para las evaluaciones de vulnerabilidad, es decir, que hacen lo mínimo requerido por regulaciones de cumplimiento, lo que significa que aumentan su riesgo de que un evento cibernético afecte al negocio.
Hablando de sectores en específico, servicios públicos, salud, educación y entretenimiento tuvieron la mayor proporción de “estilo minimalista” o de madurez baja, mientras que las
industrias de la hotelería, el transporte, las telecomunicaciones, la electrónica y la banca tuvieron la mayor proporción del “estilo cuidadoso” o maduro.
Para conocer su grado de seguridad, algunas de las preguntas clave que las empresas deben responder, son: ¿cuál es su nivel de riesgo?; con base en sus amenazas, ¿dónde deberían priorizar ,la inversión?, y ¿cómo están mejorando en el tiempo? Con ello pueden tener una mejor visión de lo que significa administrar, medir y reducir el riesgo. “Sin importar su nivel de madurez, las organizaciones se benefician al tomar decisiones estratégicas y emplear tácticas como escaneos frecuentes y autenticados para mejorar la eficacia de sus programas de evaluación de vulnerabilidad”, finalizó Isselin.b