miércoles, 27 de diciembre de 2017

Un ejemplo de ironía

¿Sabías que nadie conoce quién inventó las bocas de incendios porque el edificio donde estaba la patente se quemó en 1836? ¿Qué Gary Kremen, el fundador de Match.com perdió su novia cuando ella lo dejó por un hombre que conoció en Match.com? ¿Y que Hitler era Judío? Sí, era judío. Estos hechos, junto a muchos más son anécdotas históricas que nos demuestran lo irónica que puede ser a veces la vida. Esta ironía, a veces se traslada al mundo de la ciberseguridad.  

Esta semana queremos dar espacio a los resultados obtenidos de un nuevo informe de PwC, titulado '2018 Global State of Information Security Survey (GSISS)'. Este estudio explora en qué medida los 9.500 encuestados, se han preparado para resistir posibles ciberataques teniendo en cuenta que la ciberseguridad ocupa el primer puesto en su lista de preocupaciones. El resultado…irónico.  

A pesar de que la ciberseguridad sigue siendo una de las grandes preocupaciones para las empresas a nivel mundial, la baja aceptación de esta área como una parte clave de las estrategias empresariales por parte de la Junta Directiva, junto a la mala comunicación, da lugar a pésimos resultados. Según esta encuesta, menos de la mitad de las empresas han completado evaluaciones de vulnerabilidad básica, por lo que ni siquiera tienen la información suficiente para conocer su nivel de seguridad actual.  

La encuesta muestra una preocupación considerable entre los encuestados acerca de las consecuencias de un ataque exitoso contra su sistema. El 40%, por ejemplo, imagina una interrupción de operaciones o de procesos de fabricación, el 39% imagina una pérdida o un compromiso de datos confidenciales, mientras que el 22% cree que una violación de seguridad podría incluso influir en la seguridad de sus trabajadores y clientes.

La investigación señala, que a pesar de estas preocupaciones una gran parte de los encuestados no cuenta con un programa de concienciación sobre seguridad enfocado a los empleados (los cuales, según informes anteriores, se han definido como una línea débil en materia de protección contra cibertataques). Mientras tanto, el 54% no tiene un proceso de respuesta a incidentes, lo que es cada vez más apremiante para las organizaciones que operan con información sobre ciudadanos de la UE debido a la inminente llegada de la legislación GDPR.

La participación de la Junta sigue siendo un precipitador clave en la implementación de una seguridad más amplia, con una sólida gobernanza y aceptación por parte de los ejecutivos vinculados a un éxito más amplio de la estrategia. Sin embargo, la investigación encontró participación activa en un 44% de sus juntas corporativas. La actividad de la Junta es relativamente débil en términos de participación en políticas de seguridad, en un 39%, mientras que su apoyo a las tecnologías de seguridad y revisión de los riesgos actuales de seguridad y privacidad se plasma en 36% y 31% de los encuestados, respectivamente.

Los principales oficiales de seguridad, encargados de lidiar con la planificación relacionada con la ciberseguridad y la gestión de incidentes, tienden a tener un mandato relativamente amplio cuando se trata de informes. Alrededor del 40% reporta directamente al CEO, mientras que el 27% informa directamente al directorio, lo que refleja un posible cuello de botella de información para el directorio. Otras áreas del informe incluyen al CIO y al director de privacidad. En términos más generales, existe una fragmentación de opinión cuando se trata del enfoque adoptado por la propiedad de estos roles dentro de las empresas. Muchas organizaciones (48%) carecen de un CISO, CSO o puesto equivalente, mientras que alrededor del 45% informan que emplean a un jefe de seguridad; y el 47% emplea personal de seguridad sin ningún tipo de formación al respecto.

Cuando se trata de procesos que se consideran clave para descubrir los “ciberriesgos” a los que se enfrentan las empresas, menos de la mitad de los encuestados había implementado alguna estrategia. Las evaluaciones de vulnerabilidad, por ejemplo, ya se habían implementado en el 45% de las organizaciones, mientras que las pruebas de penetración se implementaron en un 42%. Se descubrió que otros procesos, como las evaluaciones de amenazas y el monitoreo / análisis activo de la inteligencia de seguridad de la información, se implementaron en el 45% y el 48% de las organizaciones de los encuestados, respectivamente.

Se saben los riesgos, se temen las consecuencias, pero aun así las decisiones no llegan. Hasta que las Juntas Directivas no tomen medidas, los empleados no sean formados en términos de ciberseguridad y los titulares sobre ciberataques no sean tomados en serio, los resultados de este tipo de encuestas no mejorarán. Teniendo en cuenta la cantidad de información a la que tenemos acceso a día de hoy, resulta por lo menos irónico. 

0 comentarios:

Publicar un comentario