jueves, 9 de julio de 2015

RSA presenta: Índice de pobreza en seguridad cibernética

- Aproximadamente el 75 % de los encuestados carece de la madurez para enfrentar riesgos de la seguridad cibernética
- El 83 % de las grandes organizaciones se califica como con un nivel de madurez inferior a “desarrollado”
- Hasta un 45 % admite incapacidad para medir, evaluar y mitigar riesgos de seguridad cibernética
- La capacidad más madura descubierta en la investigación se relaciona con el área de protección; se manifiesta un retraso en las capacidades de detección y respuesta
- Solo un tercio de las organizaciones de servicios financieros manifiesta una preparación adecuada
- El marco de seguridad cibernética de NIST se utiliza como parámetro de medición; sin embargo, América ocupa un nivel inferior a APJ y EMEA en la clasificación de madurez general

BEDFORD, MA, , 9 DE JUNIO DE 2015 - RSA, la División de Seguridad de EMC (NYSE: EMC), dio a conocer su índice de pobreza de seguridad cibernética, en el que se compilaron los resultados de encuestas de más de 400 profesionales de seguridad en 61 países. La encuesta permitió que los participantes autoevaluaran la madurez de sus programas de seguridad cibernética usando el marco de seguridad cibernética de NIST (CSF) como parámetro de medición. 

La investigación proporciona una valiosa perspectiva global sobre cómo las organizaciones califican, en términos generales, la madurez y las prácticas de seguridad cibernética en organizaciones de distintos tamaños, sectores y geografías. Si bien se considera que las organizaciones de mayor tamaño comúnmente tienen los recursos para montar una defensa cibernética más importante, los resultados de la encuesta indican que el tamaño no es un factor determinante para alcanzar una madurez de seguridad cibernética potente, y casi el 75 % de los encuestados informó niveles insuficientes de madurez en seguridad. 

La falta de madurez general no es sorprendente, ya que muchas de las organizaciones encuestadas informaron incidentes de seguridad que provocaron pérdidas o daños en sus operaciones en los últimos 12 meses. La capacidad más madura descubierta en la investigación fue el área de protección. Los resultados de la investigación proporcionan una perspectiva cuantitativa que muestra que el área más madura del programa y las capacidades de seguridad cibernética de las organizaciones está relacionada con las soluciones preventivas, a pesar de que se sabe que las estrategias y las soluciones preventivas solas no son suficientes contra ataques más avanzados. Además, la mayor debilidad de las organizaciones encuestadas es la capacidad de medir, evaluar y mitigar riesgos de seguridad cibernética; el 45 % describe sus capacidades en esta área como “inexistentes” o “ad hoc”, y solo el 21 % informa su madurez en este aspecto. Esta desventaja dificulta o imposibilita priorizar los procesos y la inversión en seguridad, una actividad básica para cualquier organización que tiene planes de mejorar sus capacidades de seguridad hoy.

A diferencia de lo esperado, la investigación muestra que el tamaño de una organización no es un indicador de madurez. Es más, el 83 % de las organizaciones encuestadas con más de 10,000 empleados calificó sus capacidades como inferiores a “desarrolladas” en su nivel de madurez general. Este resultado sugiere que la experiencia con amenazas avanzadas y la visibilidad general de estas que poseen las grandes organizaciones imponen la necesidad de una mayor madurez que la actual. Las calificaciones de madurez baja que se otorgaron las grandes organizaciones indican que comprenden la necesidad de cambiar a soluciones y estrategias de detección y respuesta para lograr una seguridad más sólida y madura.

Los resultados de las organizaciones de servicios financieros, denominados a menudo líderes en la industria en lo que respecta a la madurez en seguridad, tampoco fueron los esperados. No obstante la opinión general, las organizaciones de servicios financieros encuestadas no se calificaron como el sector más maduro, y solo un tercio se calificó como bien preparado. Los operadores de infraestructura crítica, público al que está dirigido originalmente el CSF, deberán realizar avances significativos en sus niveles actuales de madurez. Las organizaciones del sector de telecomunicaciones informaron el nivel de madurez más alto: el 50 % de los encuestados cuenta con capacidades desarrolladas o privilegiadas. El Gobierno, sin embargo, ocupó el último puesto entre los sectores incluidos en la encuesta: solo el 18 % de los encuestados se calificó como desarrollado o privilegiado. Las autoevaluaciones de madurez más bajas en sectores notablemente maduros en otros aspectos sugieren una mayor comprensión del panorama de amenazas avanzadas y de la necesidad de crear capacidades más maduras para enfrentarlas. 

A pesar de que el CSF se desarrolló en los Estados Unidos, la madurez que informaron las organizaciones en América obtuvo una peor calificación que APJ y EMEA. Las organizaciones en APJ informaron las estrategias de seguridad más maduras; el 39 % se calificó como desarrollado o privilegiado en madurez general, mientras que solo el 26 % de las organizaciones de EMEA y el 24 % de las organizaciones de América se calificaron como desarrollado o privilegiado.
Metodología

Para evaluar la madurez en seguridad cibernética, los encuestados autoevaluaron sus capacidades en relación con una muestra del marco de seguridad cibernética de NIST (CSF). El CSF proporciona pautas en función de normas, directrices y prácticas existentes para reducir los riesgos cibernéticos, y se creó mediante la colaboración entre los sectores y el gobierno. A pesar de que el CSF se desarrolló originalmente en los Estados Unidos con el objetivo de reducir los riesgos cibernéticos para la infraestructura crítica, organizaciones en otros países han descubierto que se trata de un enfoque jerarquizado, flexible, repetible y rentable para administrar el riesgo cibernético. Por lo tanto, funciona como una base excelente para evaluar la madurez de la seguridad cibernética clave y de la administración de riesgos cibernéticos de cualquier organización.

Las organizaciones calificaron sus propias capacidades en las cinco funciones clave detalladas en el CSF: identificación, protección, detección, respuesta y recuperación. Las calificaciones usan una escala de 5 puntos, donde 1 implica que la organización no tiene capacidad en un área específica y 5 indica que cuentan con prácticas mayormente maduras en el área.

Amit Yoran, presidente, RSA, la División de Seguridad de EMC señaló: “Esta investigación muestra que las empresas continúan invirtiendo enormes cantidades de dinero en firewalls, antivirus y protección avanzada contra malware de última generación con la esperanza de detener amenazas avanzadas. No obstante, a pesar de la inversión en estas áreas, incluso las organizaciones más grandes todavía sienten que no están preparadas para las amenazas que enfrentan. Creemos que esta dicotomía es un resultado del fracaso de los modelos de seguridad de la actualidad basados en la prevención para enfrentar el panorama de amenazas avanzadas. Necesitamos cambiar nuestro modo de concebir la seguridad, y el primer paso es reconocer que la prevención aislada es una estrategia fallida y que es necesario prestar más atención a las estrategias basadas en detección y respuesta”.

Stephen T. Whitlock, director de estrategia y tecnología, Information Security Solutions, Boeing comentó: “Boeing ha respaldado el marco de seguridad cibernética de NIST y ha contribuido con este desde su concepción. Lo utilizamos como una base para evaluar la seguridad general de las organizaciones internas y con clientes externos. El marco promueve un enfoque integral, adaptable y basado en riesgos que no tiene en cuenta la tecnología ni las reglamentaciones. Gracias al uso del marco, los resultados han tenido un impacto significativo en la explicación de los problemas y en la definición de la dirección para la capacidad de seguridad cibernética futura”.

Ref EMC