Seguridad cibernética: la detección y respuesta supera a la protección perimetral

RSA CSF

RSA, la División de Seguridad de EMC (NYSE: EMC), publicó datos que demuestran que las organizaciones que invierten en tecnologías de detección y respuesta, en lugar de en soluciones basadas en el perímetro, están mejor preparadas para defenderse de incidentes cibernéticos. El segundo índice de pobreza de seguridad cibernética anual de RSA, que compila los resultados de la encuesta realizada a 878 participantes en 81 países y más de 24 sectores industriales,  contó con más del doble de encuestados que el año pasado y permitió que los participantes autoevaluaran la madurez de sus programas de seguridad cibernética usando el marco de seguridad cibernética del National Instute of Standards and Technology de los EE.UU, (CSF por Cibersecurity Framewrok), como parámetro de medición. Según el informe, por segundo año consecutivo, un 75 % de los participantes de la encuesta está expuesto a un alto riesgo de seguridad cibernética. Las capacidades de respuesta a incidentes (IR) están particularmente subdesarrolladas. Casi la mitad de las organizaciones definió sus capacidades básicas de IR como “ad hoc” o “inexistentes”, pero suelen acelerar los programas de refuerzo de sus capacidades de seguridad cibernética una vez que han experimentado un incidente de seguridad con impacto en el negocio. La encuesta también mostró que las organizaciones siguen teniendo dificultades para mejorar la seguridad cibernética porque no comprenden la manera en que los riesgos cibernéticos pueden afectar sus operaciones.

Existe mucha evidencia de que las empresas tienden a postergar las inversiones en seguridad cibernética hasta que se ven afectadas. Además, las empresas que se basan principalmente en una filosofía de defensa del perímetro están en desventaja en términos de detección de actividad maliciosa y corren el riesgo de exponer activos críticos del negocio. Los resultados del índice de pobreza de seguridad cibernética de RSA reforzaron este concepto, ya que se informa que las organizaciones que detectan y sufren incidentes de seguridad con frecuencia tienen un 65 % más de probabilidades de contar con capacidades desarrolladas o privilegiadas.  Esto demuestra que las organizaciones que lidian regularmente con incidentes de seguridad aceleran las iniciativas de fortalecimiento de los programas de seguridad y desarrollan más madurez. Las organizaciones deben enfocarse en llevar a cabo estrategias preventivas y en priorizar la mejora de estas capacidades por sobre otras cuya importancia está creciendo, como las capacidades de detección y respuesta.

Uno de los cambios más significativos respecto de la encuesta de 2015 es el aumento en la cantidad de organizaciones con programas de seguridad cibernética maduros. El porcentaje de organizaciones con capacidades privilegiadas (la categoría más alta) tuvo un incremento superior al 50 % respecto del índice anterior, de 4.9 % a 7.4 %.  Pero la percepción general de las organizaciones sobre su preparación de seguridad cibernética sigue siendo insuficiente. La cantidad de participantes que afirmó tener un nivel considerable de exposición a riesgos de seguridad cibernética se mantuvo estable en casi un 75 %, lo que refleja una disparidad cada vez mayor entre lo que se debe hacer y lo que no se debe hacer en términos de preparación de seguridad.

La encuesta también mostró que las organizaciones siguen lidiando con su capacidad de tomar medidas proactivas para mejorar su postura de seguridad y seguridad cibernética. En términos generales, un 45 % de los encuestados describió su capacidad de catalogar, evaluar y moderar el riesgo cibernético como “inexistente” o “ad hoc”, y solo un 24 % afirmó contar con madurez en este aspecto. La incapacidad de cuantificar su propensión al riesgo cibernético (los riesgos que enfrentan y los posibles impactos en sus organizaciones) dificulta la priorización de la moderación y la inversión, una actividad fundamental para cualquier organización que desee mejorar su postura de riesgo y seguridad.

Por segundo año consecutivo, los resultados de la encuesta muestran cómo los operadores de infraestructura crítica, público al que está dirigido originalmente el CSF, deberán realizar avances significativos en sus niveles actuales de madurez. Las organizaciones del sector energético y el gobierno ocuparon los lugares más bajos entre los sectores industriales en la encuesta, con un 18 % de los encuestados con capacidades privilegiadas o desarrolladas. Las organizaciones del sector de aeroespacio y defensa son las que obtuvieron el nivel más alto de madurez, ya que un 39 % de los participantes demostró tener capacidades privilegiadas o desarrolladas. Las organizaciones de servicios financieros, un sector que suele considerarse líder debido al gran volumen de ataques cibernéticos que enfrenta, se ubicó en una posición intermedia; un 26 % de las firmas calificó como preparadas adecuadamente (una disminución respecto del 33 % del año anterior).

La madurez informada de las organizaciones de América sigue por detrás de EMEA y APJ. Las organizaciones en EMEA informaron las estrategias de seguridad más maduras; el 29% se calificó como desarrolladas o privilegiadas en madurez general, mientras que solo el 26 % de las organizaciones de APJ y el 23% de las organizaciones de América se calificaron como desarrolladas o privilegiadas. EMEA superó a APJ en la clasificación; subió 3 puntos porcentuales mientras que API cayó 13 puntos.

Metodología

Para evaluar la madurez en seguridad cibernética, los encuestados autoevaluaron sus capacidades usando el CSF, que proporciona pautas en función de normas, directrices y prácticas existentes para reducir los riesgos cibernéticos, y se creó mediante la colaboración entre los sectores y el gobierno. A pesar de que el CSF se desarrolló originalmente en los Estados Unidos con el objetivo de reducir los riesgos cibernéticos para la infraestructura crítica, organizaciones en otros países han descubierto que se trata de un enfoque jerarquizado, flexible, repetible y rentable para administrar el riesgo cibernético. Por lo tanto, funciona como una base excelente para evaluar las capacidades de administración de riesgos cibernéticos y seguridad cibernética de cualquier organización.

Las organizaciones calificaron sus propias capacidades en las cinco funciones clave detalladas en el CSF: identificación, protección, detección, respuesta y recuperación. Las calificaciones usan una escala de 5 puntos, donde 1 implica que la organización no tiene capacidad en un área específica y 5 indica que cuentan con prácticas mayormente maduras en el área.

C