miércoles, 3 de enero de 2018

Cambio y corto

La buena comunicación es uno de los pilares básicos en una empresa  y aunque parece algo sencillo, muchas veces, es difícil de alcanzar. Existen estudios que afirman que un gran porcentaje de los problemas empresariales son consecuencia de una mala comunicación. A pesar de las nuevas tecnologías y la llegada de los dispositivos IoT a la mayoría de las empresas, a medida que aumenta el nivel de conectividad entre los miembros de la organización también aumenta la superficie de ataque.

Según la última edición de la "Encuesta global de seguridad de la información" de EY, la mayoría de los líderes de seguridad sienten que están más en riesgo hoy que hace 12 meses. Se estima que el coste global de las infracciones de ciberseguridad llegará a 6 billones de dólares en 2021, teniendo en cuenta este dato podría parecer que la comunicación sea una de las preocupaciones menores de una empresa, pero muchos de los problemas actuales en el mundo de la ciberseguridad se deben a el estancamiento de la información en alguno de los puntos de la cadena de mando. 

Este estudio encuestó a los jefes de información (CIO), los jefes de seguridad de la información (CISO) y otros ejecutivos de 1.200 organizaciones de todo el mundo. Más del 50 por ciento de las respuestas a la encuesta provienen de organizaciones pequeñas y medianas con menos de 2,000 empleados. Aunque los cinco principales sectores de los encuestados fueron los mercados bancario y de capitales, los productos de consumo y la venta al por menor, el gobierno, los seguros y la tecnología, también se incluyeron otros sectores, como salud, energía y servicios públicos, y bienes raíces.

Mientras que la ciberseguridad se está convirtiendo en un tema de discusión diaria en la sala de juntas, la frecuencia y calidad de las interacciones entre los líderes de seguridad y los directores es un factor clave para determinar la disponibilidad y  la “ciber-resistencia” de la organización. Teniendo en cuenta la cantidad de nuestras vidas y negocios que dependen de la tecnología, no es un buen presagio que solo el 4% de las organizaciones confirmen que han "considerado completamente" las implicaciones de la ciberseguridad de sus decisiones comerciales.

Cuando se trata de la preparación de los rangos superiores de la empresa, los hallazgos de este estudio proporcionaron un resultado variado. Mientras que el 24% de las organizaciones dijeron que el CISO o su equivalente está en el tablero a la hora de la toma de decisiones, solo el 50% de los CISOS informa regularmente a los puestos directivos y el 63% hace que el departamento de seguridad informe al departamento TI de la empresa. Más preocupante aún es que el 43% de los encuestados dijeron que carecen de una estrategia de comunicación o plan para responder a un ataque.

Otro dato alarmante es que, según la encuesta, el 75% de los encuestados calificaron la madurez de su identificación de vulnerabilidades como muy baja a moderada. Este dato es significativo ya que, aunque los ciberriesgos no son solo un problema del departamento de TI, muchos vectores de ataques dependen de las debilidades y vulnerabilidades del mismo. Es por eso que es más importante que nunca que la organización mire la efectividad de sus controle sy la madurez general de las actividades de ciberseguridad.

Muchas organizaciones se preocupan por sus sistemas heredados, con el 46% de los líderes de seguridad que enumeran los controles de seguridad obsoletos o su mala arquitectura como uno de los dos factores principales que aumentan su exposición al riesgo. En términos de amenazas, los dos primeros fueron malware y phishing. Mientras tanto, de manera algo sorprendente, el 35% de los encuestados describieron sus políticas con respecto a la protección de datos como "ad hoc o inexistentes".

A pesar de que los resultados de la encuesta atisben nubes oscuras, la buena noticia es que las soluciones para remediar los problemas mencionados anteriormente están al alcance de cualquier empresa. Estas soluciones se basan en trabajar en lo básico, para la mayoría de las organizaciones, es fundamental centrarse en controles simples como la aplicación periódica de parches y la prueba de planes de respuesta a incidentes. Porque al final, quien quiere puede protegerse.

0 comentarios:

Publicar un comentario