miércoles, 27 de julio de 2016

Ciberseguridad a la irlandesa (donde las grandes)

"Lo que era una ola criminal hace solo unos años se ha convertido en una epidemia global, que el CEO de IBM, Ginni Rometty, describe como 'la mayor amenaza para cualquier negocio en el mundo'". Estas palabras son de Pat Larkin, el CEO de Ward Solutions, en el Whitepaper que su compañía ha encargado sobre el grado de conocimiento y preparación de los negocios en Irlanda (Norte y Sur), para hacer frente al cibercrimen. 

Irlanda, sí. El mismo país donde algunas grandes del sector IT tienen su sede fiscal, por motivos ampliamente conocidos. Con esa consideración en mente, no extraña que el estudio hauya impactado en algunas páginas especializadas por arrojar datos como que casi la mitad de estos negocios no revelaría una brecha de seguridad que pudiera impactar a terceras partes, incluyendo clientes y proveedores. Algo que en Veracode han calificado como "mantener tu brecha como un secreto y otras decisiones autodestructivas". El dato es llamativo porque, no obstante, un tercio de los encuestados reconocen haber sufrido una brecha de seguridad en el último año.

El estudio se llevó a cabo en mayo y junio de este mismo año entre 133 profesionales IT de alto nivel, así como decision-makers en empresas con sede en Irlanda. Por si hay dudas con esa "sede irlandesa", en Breakingnews.ie aclaran que son empresas "típicamente grandes". Prosiguiendo con el estudio, algo más de la mitad de las empresas consultadas afirman que los incidentes de seguridad no han crecido ni disminuido durante los últimos 12 meses. Solo un 1% se atreve a decir que han disminuido, mientras que para 3 de cada 10 se han incrementado pero de forma moderada: solo un 25% más que en los 12 meses anteriores.

A pesar de que los incidentes apenas se reducen, y con suerte tampoco crecen, y de que un tercio de las empresas han sufrido alguna brecha en el último año, son más de un cuarto (26%) las que no han hecho ningún tipo de plan para afrontarlas en un futuro. Y casi la misma cifra (23%), dicen no contar con políticas o sistemas de control en lo tocante a datos en manos de terceros. Un panorama bastante poco o nada halagüeño.

Sin embargo, no será por inversión potencial. De los profesionales consultados, casi la mitad aseguran que el presupuesto en ciberseguridad se mantendrá intacto durante los próximos 12 meses, y para los demás habrá incrementos en esta partida. En algunos casos (más del 5%) del 100% o más con respecto a la etapa anterior. Lo que haría suponer, al menos, un grado de conciencia de más de la mitad de los cuadros directivos; y efectivamente así ocurre: casi 6 de cada 10 boards tiene suficiente comprensión de la situación actual de ciberseguridad de la empresa. No obstante, en 3 de cada 10 casos, el profesional consultado da la respuesta contraria, y 1 de cada 10 directamente no lo sabe. El grado de conciencia en lo tocante a contar con un plan de crisis en caso de un incidente es ligeramente superior: 5 puntos porcentuales más para el sí, y 6 menos para el no.

En cuanto a los datos en manos de terceros, la mayoría de las empresas cuentan con sistemas de control. Aunque en algunos casos con reservas: el 29% no realiza auditorías, y el 14% las realiza solo al inicio de los trabajos. Y sí, hay un nada desdeñable 23% que no aplica políticas, ni procedimientos, ni control de clase alguna. Si se les pregunta por la confianza en la que estos datos están almacenados, 3 de cada 10 consultados confían plenamente en esa tercera parte, 1 de cada 10 no lo hace en absoluto, y hay un remarcable 1% que dice no saber si puede o no puede confiar en esa tercera parte.

El estudio, de lectura muy recomendable (y ligero en cuanto a su extensión), concluye con un sumario, y unas recomendaciones de uso:

  • Centrarse primero en lo básico.
  • No tratar de reinventar la rueda.
  • Seguir el proceso evaluar-mitigar-verificar-confiar-volver a verificar en lo tocante a riesgos.
  • Cerrar la brecha de conocimiento y de comunicación.
  • Gastar con sabiduría
  • Implementar un modelo de ciberseguridad holístico
  • Proteger, detectar, responder y recuperar

Además de este estudio sobre las empresas irlandesas, en los últimos siete días son reseñables los resultados de una investigación de RSA sobre el exceso de confianza en las defensas perimetrales, así como un whitepaper bastante duro con Microsoft elaborado por Vircom.

Imagen: Freeimages

0 comentarios:

Publicar un comentario